Gemensamt dataskyddsombud

Från Sydarkiveras Wiki

Dataskyddsombud.png

Sammanfattning

EU:s dataskyddsförordning (GDPR) trädde i kraft den 25 maj 2018 och gäller som lag i Sverige. Dataskyddsförordningen innehåller regler om hur man får behandla personuppgifter och ersätter personuppgiftslagen. Enligt förordningen är det obligatoriskt för vissa personuppgiftsansvariga att utnämna dataskyddsombud. För kommuner är det obligatoriskt att ha dataskyddsombud och Sydarkivera erbjuder sina medlemskommuner att som anslutande tjänst ta del av verksamheten gemensamt dataskyddsombud.

Sydarkivera är gemensamt dataskyddsombud för ett antal förbundsmedlemmar, kommunalförbund och kommunala bolag.

Tjänsten som dataskyddsombud utförs av en grupp med olika kompetenser, jurist, arkivarie och IT- och informationssäkerhetsspecialist. Dataskyddsombudets primära uppgift är rådgivning i dataskyddslagstiftning och övervakning av efterlevnaden av dataskyddsförordningen. Särskilda avtal tecknas med de som ansluter sig till tjänsten.

Sydarkivera genomför nätverksträffar för dataskydd där anslutna organisationer får chans att nätverka, genomgå utbildning inom olika delar av området, samt ställa frågor i ämnet dataskydd och andra kringliggande ämnen.

Tjänster

Sydarkivera tillhandahåller följande tjänster/aktiviteter:

  • Råd och stöd till de personuppgiftsansvariga och dess anställda om skyldigheter enligt dataskyddsförordningen och annan dataskyddslagstiftning ingår i tjänsten. Det kan till exempel vara rådgivning vid risk- och konsekvensbedömningar avseende dataskydd, vid upphandling av system eller applikationer som rör personuppgifter, vid ingående av personuppgiftbiträdesavtal samt vid personuppgiftsincident. Vid personuppgiftsincidenter är dataskyddsteamet tillgänglig för råd och stöd i så stor utsträckning som möjligt.
  • Grundutbildning i dataskyddsförordningen och annan dataskyddslagstiftning hos nya anslutna parter ingår i tjänsten. Grundutbildningen genomförs av dataskyddsteamet.
  • Nätverksträffar fyra gånger per år för dataskyddssamordnare ingår i tjänsten och är endast för anslutna parter. Nätverksträffarna innehåller utbildningsmoment och syftar också till att nätverka och ta del av erfarenheter inom gruppen dataskyddssamordnare.
  • Fördjupad utbildning i dataskyddslagstiftningen kommer att genomföras i enlighet med Sydarkiveras modell för utbildning. Utbildningen genomförs vid ett par tillfällen under året på olika lämpliga platser inom Sydarkiveras område. Denna utbildning ingår inte i tjänsten utan erbjuds till anslutna parter mot en deltagaravgift som baseras på självkostnadsprincipen. Även externa deltagare kan närvara mot deltagaravgift som motsvarar kommersiell prisbild.
  • Mallar för styrdokument, handledningar, informationstexter och liknande dokument för behandling av personuppgifter tas fram av dataskyddsteamet. Sydarkivera bjuder in till dataskyddsarbetsdagar minst två gånger per år för att arbeta med innehållet i mallarna och hålla dem uppdaterade. Dataskyddsarbetsdagarna ingår i tjänsten.
  • Samarbete med tillsynsmyndigheten (Integritetsskyddsmyndigheten) och där dataskyddsombudet är kontaktperson gentemot tillsynsmyndigheten
  • Dataskyddsteamet följer rättsutvecklingen inom området för dataskydd och deltar i nätverk, konferenser och projekt för att upprätthålla hög kompetens.


Ansluten till tjänsten Gemensamt dataskyddsombud förbinder sig att göra följande:

  • Utse dataskyddssamordnare som leder det lokala dataskyddsarbetet och som är kontaktperson gentemot dataskyddsombudet. Vidare är det också dataskyddssamordnaren som rapporterar till sin förvaltningsledning i samråd med dataskyddsombudet.
  • Fastställa en lokalt anpassad organisation för dataskyddsarbetet med råd och stöd från dataskyddsombudet. Det är den lokala organisationen som utför det operativa arbetet på plats hos personuppgiftsansvarig t ex inventerar personuppgiftsbehandlingar, vid behov processkartlägger sin organisation, lämnar ut registerutdrag, för register över behandlingar, tar fram lokalt anpassade dokument utifrån tillhandahållna mallar och som gör risk- och konsekvensbedömningar avseende dataskydd.
  • När risk- och konsekvensbedömningar avseende dataskydd görs ska dataskyddsombudet rådfrågas enligt art 35 GDPR.
  • Fastställa interna riktlinjer och policydokument för behandling av personuppgifter samt andra dokument som rör behandling av personuppgifter med råd och stöd från dataskyddsombudet, t ex för att dataskyddsombudet ska kunna övervaka efterlevnaden av dataskyddsförordningen och annan dataskyddslagstiftning.”


Kontroll av dataskyddsefterlevnad

Kontroll av efterlevnaden av dataskyddsförordningen och annan dataskyddslagstiftning hos den personuppgiftsansvarige ingår i tjänsten. Den genomförs genom årlig enkät för självvärdering, och vid behov eller önskemål händelsestyrd kontroll av dataskyddsefterlevnaden.

Kontrollen genomförs på följande sätt:

  1. Årlig enkät för självvärdering tas fram av dataskyddsteamet och skickas ut till dataskyddssamordnarna för genomförande. Åtgärdsrapport tas fram av dataskyddsteamet och skickas till ansluten part.
  2. Vid behov eller önskemål från part kan också händelsestyrd kontroll av dataskyddet genomföras av dataskyddsteamet eller medlemssamordnarna och dataskyddsteamet tillsammans.



▼ HANDBOKEN ▲

Verksamhetsområden

Arkivleveranser

Arkivredovisning

Arkivtillsyn

Digitalisering - digitalt arbetssätt

Hantera, lagra och förvara

Säkerhetsskyddsklassificerade uppgifter

Informationshantering

Insyn och åtkomst

Organisation och roller

Praktiskt arbete i arkivet

Standarder

Systemförvaltning

Särskilda informationstyper

Hjälpsidor

External testbed / Extern testbädd

VerkSAM Arkivredovisning

Hittar du inte vad du letar efter?
Testa på Alla Sidor