Gemensamt dataskyddsombud

Från Sydarkiveras Wiki

Dataskyddsombud.png

Sammanfattning

EU:s dataskyddsförordning (GDPR) trädde i kraft den 25 maj 2018 och gäller som lag i Sverige. Dataskyddsförordningen innehåller regler om hur man får behandla personuppgifter och ersätter personuppgiftslagen. Enligt förordningen är det obligatoriskt för vissa personuppgiftsansvariga att utnämna dataskyddsombud. För kommuner är det obligatoriskt att ha dataskyddsombud och Sydarkivera erbjuder sina medlemskommuner att som anslutande tjänst ta del av verksamheten gemensamt dataskyddsombud.

Sydarkivera är gemensamt dataskyddsombud för ett antal förbundsmedlemmar, kommunalförbund och kommunala bolag. 2019 har en utvärdering genomförts vilket har resulterat i att nya avtal arbetas fram.

Tjänsten som dataskyddsombud utförs av en grupp med olika kompetenser, jurist, arkivarie och IT- och informationssäkerhetsspecialist. Dataskyddsombudets primära uppgift är rådgivning i dataskyddslagstiftning och övervakning av efterlevnaden av dataskyddsförordningen. Särskilda avtal tecknas med de som ansluter sig till tjänsten.

Sydarkivera genomför nätverksträffar för dataskydd där anslutna organisationer får chans att nätverka och ställa frågor i ämnet dataskydd och informationssäkerhet. På nätverksträffarna genomförs utbildning inom olika delar av området.

Tjänster

Sydarkivera tillhandahåller följande tjänster/aktiviteter:

  • Råd och stöd till de personuppgiftsansvariga och dess anställda om skyldigheter enligt dataskyddsförordningen och annan dataskyddslagstiftning ingår i tjänsten. Det kan till exempel vara rådgivning vid risk- och konsekvensbedömningar avseende dataskydd, vid upphandling av system eller applikationer som rör personuppgifter, vid ingående av personuppgiftbiträdesavtal samt vid personuppgiftsincident. Vid personuppgiftsincidenter är dataskyddsteamet tillgänglig för råd och stöd i så stor utsträckning som möjligt.
  • Grundutbildning i dataskyddsförordningen och annan dataskyddslagstiftning hos nya anslutna parter ingår i tjänsten. Grundutbildningen genomförs av dataskyddsteamet.
  • Nätverksträffar fyra gånger per år för dataskyddssamordnare ingår i tjänsten och är endast för anslutna parter. Nätverksträffarna innehåller utbildningsmoment och syftar också till att nätverka och ta del av erfarenheter inom gruppen dataskyddssamordnare.
  • Fördjupad utbildning i dataskyddslagstiftningen kommer att genomföras i enlighet med Sydarkiveras modell för utbildning. Utbildningen genomförs vid ett par tillfällen under året på olika lämpliga platser inom Sydarkiveras område. Denna utbildning ingår inte i tjänsten utan erbjuds till anslutna parter mot en deltagaravgift som baseras på självkostnadsprincipen. Även externa deltagare kan närvara mot deltagaravgift som motsvarar kommersiell prisbild.
  • Mallar för styrdokument, handledningar, informationstexter och liknande dokument för behandling av personuppgifter tas fram av dataskyddsteamet. Sydarkivera bjuder in till dataskyddsarbetsdagar minst två gånger per år för att arbeta med innehållet i mallarna och hålla dem uppdaterade. Dataskyddsarbetsdagarna ingår i tjänsten.
  • Samarbete med tillsynsmyndigheten (Datainspektionen) och där dataskyddsombudet är kontaktperson gentemot tillsynsmyndigheten
  • Dataskyddsteamet följer rättsutvecklingen inom området för dataskydd och deltar i nätverk, konferenser och projekt för att upprätthålla hög kompetens.


Ansluten till tjänsten Gemensamt dataskyddsombud förbinder sig att göra följande:

  • Utse dataskyddssamordnare som leder det lokala dataskyddsarbetet och som är kontaktperson gentemot dataskyddsombudet. Vidare är det också dataskyddssamordnaren som rapporterar till sin förvaltningsledning i samråd med dataskyddsombudet.
  • Fastställa en lokalt anpassad organisation för dataskyddsarbetet med råd och stöd från dataskyddsombudet. Det är den lokala organisationen som utför det operativa arbetet på plats hos personuppgiftsansvarig t ex inventerar personuppgiftsbehandlingar, vid behov processkartlägger sin organisation, lämnar ut registerutdrag, för register över behandlingar, tar fram lokalt anpassade dokument utifrån tillhandahållna mallar och som gör risk- och konsekvensbedömningar avseende dataskydd.
  • När risk- och konsekvensbedömningar avseende dataskydd görs ska dataskyddsombudet rådfrågas enligt art 35 GDPR.
  • Fastställa interna riktlinjer och policydokument för behandling av personuppgifter samt andra dokument som rör behandling av personuppgifter med råd och stöd från dataskyddsombudet, t ex för att dataskyddsombudet ska kunna övervaka efterlevnaden av dataskyddsförordningen och annan dataskyddslagstiftning.”


Tillsyn

Övervakning av efterlevnaden av dataskyddsförordningen och annan dataskyddslagstiftning och tillsyn hos den personuppgiftsansvarige ingår i tjänsten. Den genomförs genom årlig tillsynsenkät för självvärdering, dataskyddstillsyn på plats utifrån fokusområden enligt tillsynsplan och vid behov eller önskemål händelsestyrd tillsyn för dataskydd.

Tillsynen genomförs på följande sätt:

  1. Årlig tillsynsenkät för självvärdering tas fram av dataskyddsteamet och skickas ut till dataskyddssamordnarna för genomförande. Åtgärdsrapport tas fram av dataskyddsteamet och skickas till ansluten part.
  2. Medlemssamordnarna inom Sydarkivera kommer att genomföra tillsyn på plats i samband med att arkivtillsynen genomförs. Separat rapport kommer att göras av medlemssamordnarna vad gäller dataskydd som sedan skickas till ansluten part.
  3. Vid behov eller önskemål från part kan också händelsestyrd tillsyn genomföras av medlemssamordnarna och dataskyddsteamet tillsammans.



Handboken

Verksamhetsområden

Arkivorganisation

Arkivleveranser

Arkivredovisning

Arkivinspektion / Tillsyn

Dataskydd

Digitisering och digitalisering

Hålla ordning

Hantera och förvara

Hemliga handlingar

Insyn och åtkomst

Systemförvaltning

Verktyg och mjukvara

External testbed / Extern testbädd

VerkSAM Arkivredovisning