Dataskyddspolicy

Inledning

Kårkullas verksamhet omfattar behandling av olika typer av personuppgifter i betydande omfattning. Som en ansvarig aktör vill vi se till att personuppgifter hanteras på ett korrekt sätt med respekt för vars och ens integritet. Kårkulla har åtagit sig att uppfylla sina skyldigheter enligt EU:s allmänna dataskyddsförordning (679/2016) och nationell dataskyddslagstiftning och att skydda individens rättigheter och friheter vid behandlingen av hans eller hennes personuppgifter. 

Med personuppgifter avses all information som rör en identifierad eller identifierbar fysisk person. Behandling av personuppgifter betyder all aktivitet riktad mot personuppgifter, till exempel insamling, visning, lagring eller skickning via e-post. De andra viktigaste begreppen som används i denna dataskyddspolicy definieras i EU:s allmänna dataskyddsförordning. 

Syftet med dataskyddspolicyn är att definiera de huvudprinciper, ansvar och praxis som Kårkulla har åtagit sig för att förverkliga individers (registrerade) rättigheter och friheter när det gäller behandling av personuppgifter. Policyn fungerar som grund för Kårkullas riktlinjer för dataskydd, som syftar till att förtydliga bestämmelserna i policyn och vägleda deras tillämpning i praktiken. 

Dataskyddspolicyn följs i tillämpliga delar på all behandling av personuppgifter, oavsett om Kårkulla är i behandlingssituationen en registeransvarig eller en processor, som behandlar personuppgifter för en annans räkning. Dataskyddspolicyn omfattar alla tjänsteinnehavare, användare, medarbetare och förtroendepersoner (inkluderande aktörer och leverantörer) som hanterar information inom eller för Kårkulla samkommun. 

Genomförandet av dataskydd

Inbyggt dataskydd och dataskydd som standard 

Kårkulla strävar efter att genomföra principerna om inbyggt dataskydd och dataskydd som standard och att införliva principer i ett tidigt skede i behandlingen av personuppgifter. Detta säkerställer att behandlingen uppfyller kraven i EU:s allmänna dataskyddsförordning under de behandlade personuppgifternas hela livscykeln. 

Dataskydd beaktas på olika sätt i samband med Kårkullas grundläggande verksamhet, till exempel inom personalhantering, upphandling och operativa processer. Genomförandet av dataskydd säkerställs också genom att använda bästa möjliga tekniska och organisatoriska lösningar baserade på en riskbedömning. Riskerna för behandling av personuppgifter bedöms främst ur den registrerades perspektiv och vid behov genomförs en konsekvensbedömning av behandlingen i enlighet med dataskyddsförordningen. De nödvändiga åtgärderna och hanteringsåtgärderna väljs utifrån den risknivå som bedöms. 

Principer för behandlingen av personuppgifter 

Kårkulla följer följande principer vid all behandling av personuppgifter: 

  1. Det finns en laglig grund för behandling av personuppgifter (lagenlighet) 
  1. Tillräcklig information om behandlingen har tillhandahållits den registrerade (informationsplikten) 
  1. Personuppgifter ska endast behandlas för ett fördefinierat syfte (Bundenhet till användningsändamålet) 
  1. Registrerades rättigheter ska utövas utan dröjsmål 
  1. Endast personuppgifter som är nödvändiga för syftet med behandlingen insamlas och behandlas (Uppgiftsminimering) 
  1. Korrekthet och uppdatering av data säkerställs (korrekthet) 
  1. Behandlingen av personuppgifter ska dokumenteras 
  1. Personuppgifter ska förvaras endast under den tid som krävs för deras avsedda användning (Lagringsminimering) 
  1. Personuppgifter ska skyddas mot oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörig avslöjande eller åtkomst
  1. Behandlingen följer givna dataskydds- och säkerhetsriktlinjer 

Utbildning och anvisningar 

Kårkulla ser till att anställda får tillräcklig utbildning, vägledning och råd om dataskydd och behandling av personuppgifter. Kårkulla strävar efter att säkerställa att personalen är medveten om och behärskar reglerna för sina respektive ansvarsområden för behandlingen av personuppgifter. 

Kårkullas personal måste känna till och behärska reglerna för sitt eget ansvarsområde för behandling av personuppgifter. Varje personals ledamot bör bekanta sig med Kårkullas instruktioner om behandling av personuppgifter, och införandet av alla nya anställda innehåller ett avsnitt om dataskydd och dess genomförande i Kårkulla. Separat online eller annan utbildning före behandling av personuppgifter krävs om det krävs av arbetsuppgifter. Handledaren måste se till att nödvändig utbildning och orientering är genomförd. 

Alla personer som hanterar personuppgifter omfattas av antingen lagstadgad eller separat överenskommen och dokumenterad sekretessförpliktelse.

Kårkullas dataskyddsbeskrivningar, uppförandekoder och instruktioner, utbildningsmaterial och annan information om dataskydd publiceras på Kårkullas intranät eller webbplats. 

Organisation och ansvaret

Kårkullas ledning ansvarar för att personuppgifter behandlas lagenligt och korrekt och att dataskyddsarbetet vid samkommunen organiseras och resurseras på ett lämpligt sätt.

Enhetschefer ska se till att enheter följer lagstiftningen om dataskydd, dataskyddpolicyn och utfärdade instruktioner. Enhetschefer och handledare specificerar arbetstagarnas roller så, att det är tydligt för varje anställd vilka personuppgifter han eller hon kan behandla och vilka skyldigheter och vilket ansvar detta medför. Handledare bör se till att anställda är bekanta med instruktionerna om datasäkerhet och dataskydd. 

Varje Kårkullas anställd och tjänsteman bör känna till de bestämmelser och risker som gäller behandlingen av personuppgifter inom det egna ansvarsområdet och kunna behandla personuppgifterna på ett korrekt och lagenligt sätt. Varje ansvarar för behandlingen av personuppgifter gjorda med sina egna användarnamn och är annars skyldig att delta i implementering, underhåll och kontroll av dataskydd, till exempel att följa dataskydd- och säkerhetsföreskrifter och meddela om den upptäcker att informationssäkerhet eller dataskydd kan äventyras. 

Alla personregister måste ha en ansvarig / kontaktperson som samordnar behandlingen av personuppgifter och ser till att dataskyddsbeskrivning upprättas och hålls uppdaterade. 

Kårkullas dataskyddsombud övervakar och utvecklar genomförandet av dataskydd i hela organisationen, stöder ledningen och personalen i att uppfylla de krav som dataskyddslagstiftningen ställer och rapporterar regelbundet till ledningen. Dataskyddsombudet utbildar personalen och ger råd i dataskyddsfrågor. Ombudet fungerar också som kontaktperson för de registrerade och tillsynsmyndigheten. Dataskyddsombud ansvarar för att övervaka genomförandet av och efterlevnaden av denna policy. 

Informationssäkerhets- och personuppgiftsincidenter

En informationssäkerhetsincident är en händelse därav följer att informationens och verksamhets konfidentialitet, integritet eller användbarhet äventyras. En personuppgiftsincident är en händelse som leder till att personuppgifter förstörs, försvinner, ändras, olovligen överlåts eller hamnar i händerna på en aktör som saknar rätt att behandla dem. Alla på Kårkulla har skyldighet att omedelbart rapportera brister, fel och intrång relaterade till datasäkerhet eller dataskydd.

Kårkulla har en skriftlig plan för att hantera personuppgiftsincidenter. Planen ska innehålla de ansvarsområden och åtgärder som ska följas vid personuppgiftsincident. Dataskyddsincidenter rapporteras av dataskyddsombudet till tillsynsmyndigheten inom de lagstadgade tidsramarna. Om incidenten innebär hög risk för den registrerades rättigheter och friheter, anmäls incidenterna också till de registrerade.

Ikraftträdande och uppehälle av dataskyddspolicyn

Dataskyddspolicyn träder i kraft när styrelsen av Kårkulla har godkänt den. Kårkullas dataskyddsombud ansvarar för att dataskyddspolicyn förblir aktuell och uppdateras vid behov.