Rutin för rapportering av personuppgiftsincidenter (Lysekil)

Syfte

Syftet med rapportering av personuppgiftsincidenter är att tillgodose den registrerades rättigheter samt att kunna identifiera orsak till incidenten, vilket skapar förutsättningar för att vidta rätt skyddsåtgärder. Sedan dataskyddsförordningen trädde i kraft är kommunen skyldig att anmäla vissa typer av personuppgiftsincidenter till Datainspektionen (DI). Anmälan gör det möjligt för DI att bland annat bevaka vad de personuppgiftsansvariga gör för att motverka negativa effekter.

Frekvens

Rutinen ska användas för incidentrapportering så fort incidenten identifierats, utan onödigt dröjsmål.

Ansvar

Medarbetare

Alla medarbetare ska vara uppmärksamma att personuppgifter inte hanteras på ett felaktigt sätt, som kan riskera att personuppgifterna hamnar i obehörigas händer eller exponeras till sådana möjligheter. Medarbetare som upptäcker en sådan incident ansvarar för att rapportera ärendet vidare enligt denna rutin.

Personuppgiftsansvarig

Nämnderna är personuppgiftsansvariga och varje nämnd ska ha ett kontaktombud tillsatt.

Kontaktombud

Bekräftade personuppgiftsincidenter ska omedelbart rapporteras till kontaktombuden, som är incidentansvariga. Kontaktuppgifter till kontaktombuden:

Digitaliseringssamordnare, Dataskyddsombud och SML-IT

Kommunens digitaliseringssamordnare, dataskyddsombud samt SML-IT ska informeras och involveras under rapporteringsprocessen. Dataskyddsombudet får inte kontaktas direkt. Alla frågor gällande personuppgiftsincidenter ska tillställas Digitaliseringssamordnaren.

SML-IT
Webb: https://3580.se/
E-post: 3580@sml-it.se
Tele: 13580 (0523- 61 35 80)

Dataskyddsombud
E-post: Dso.lysekil@jpinfonet.se

Termer

Personuppgiftsansvarig – Inom kommunen är nämnderna ansvariga för sina personuppgifter. De personuppgifter som samlas in inom verksamheterna ansvarar alltså den nämnd som verksamheten tillhör för.

Registrerade – Fysiska personer (exempelvis medborgare, kunder, anställda etc.) vid liv som har fått sina personuppgifter behandlade av kommunen.

Fysisk person - Fysisk person är en enskild människa till skillnad från en juridisk person som till exempel kan vara ett bolag.

Dataskyddsombud - Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser.

Informationssäkerhet - De åtgärder som vidtas för att hindra att information läcker ut (konfidentialitet), förvanskas eller förstörs (riktighet) och för att informationen ska vara tillgänglig när den behövs (tillgänglighet).

Personuppgiftsbehandling – Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte. Det kan vara till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.

Utförande

1. Misstanke om personuppgiftsincident uppstår
   
2. Personuppgiftsincident rapporteras till kontaktombud av medarbetare som upptäckt incidenten (se Kontaktombud)
3. Kontaktombuden samlas och bedömer typ av händelse som kan vara:
   1. Personuppgifter som blivit förstörda.
   2. Personuppgifter som gått förlorade på annat sätt.
   3. Personuppgifter som kommit i orätta händer.
4. Kontaktombud (som är incidentansvarig) undersöker, utreder och dokumenterar incidenten.
   1. Undersöker omfattning, art och konsekvenser av incidenten.
   2. Bedömer om anmälan till Datainspektionen krävs.
   3. Dokumenterar incidenten i en rapport och diarieför denna.
5. Kontaktombud samråder med Dataskyddsombudet
6. Incidentansvarig anmäler incidenten till Datainspektionen – inom 72 timmar om möjligt.
7. I de fall där de registrerade måste informeras, ska detta göras skriftligt och i samråd med dataskyddsombudet.