Regler för interna personuppgifts- biträdesförhållanden inom Kungsbacka kommun
Regler för interna personuppgifts- biträdesförhållanden inom Kungsbacka kommun
Följande regler ska tillämpas i de fall då nämnder inom Kungsbacka kommun behandlar personuppgifter för en annan nämnds räkning och därmed utgör personuppgiftsbiträde enligt artikel 28.1 allmänna dataskyddsförordningen, GDPR1. I reglerna anges rättigheter och skyldigheter för den personuppgiftsansvarige och personuppgiftsbiträdet.
Om reglerna
Reglerna har utformats för att säkerställa att kommunen och dess nämnder uppfyller kraven i artikel 28.3 a-h samt de grundläggande principerna för behandling av personuppgifter i art. 5 och 6 i GDPR.
I reglerna anges vad som alltid gäller i interna personuppgiftsbiträdessituationer inom kommunen, inklusive de fall då en personuppgiftsbiträdesnämnd fullgör ett samordningsuppdrag. I varje biträdessituation ska även en dokumenterad instruktion lämnas av den personuppgiftsansvariga nämnden till personuppgiftsbiträdes- nämnden. I instruktionen anges det som gäller för det specifika förhållandet och behandlingen.
För hanteringen av personuppgifter gäller även Kungsbacka kommuns riktlinjer för hantering av personuppgifter och integritetspolicy. De här reglerna kompletterar dessa styrdokument och styrdokument på angränsande områden, såsom arkiv och informationshantering.
1. Den personuppgiftsansvariges rättigheter och skyldigheter
Den personuppgiftsansvarige är ansvarig för att säkerställa att behandlingen av personuppgifter utförs i enlighet med GDPR (se artikel 24 i GDPR), annan tillämplig dataskyddslagstiftning i Sverige och EU samt dessa regler.
Den personuppgiftsansvarige har rätt och skyldighet att besluta om syften och medel för behandlingen av personuppgifter.
Den personuppgiftsansvarige är bland annat ansvarig för att den behandling av personuppgifter som personuppgiftsbiträden ombeds utföra har laglig grund.
2. Personuppgiftsbiträden ska följa anvisningarna
Personuppgiftsbiträden får enbart behandla personuppgifter enligt den dokumenterade instruktionen från den personuppgiftsansvarige, om de inte är skyldiga att göra detta enligt unionens eller tillämplig dataskyddslagstiftning i Sverige. Sådana anvisningar ska anges i en särskild instruktion. Efterföljande anvisningar kan också ges av den personuppgiftsansvarige under behandlingen av personuppgifterna. Sådana tillkommande anvisningar ska dock alltid dokumenteras i samband med instruktionen.
Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om anvisningarna enligt personuppgiftsbiträdets uppfattning inte följer GDPR eller annan tillämplig dataskyddslagstiftning i Sverige och EU.
3. Sekretess
Personuppgiftsbiträdet ska endast bevilja tillgång till de personuppgifter som behandlas för den personuppgiftsansvariges räkning till personer som är underställda personuppgiftsbiträdet och som behöver uppgifterna för att utföra behandlingen. Personuppgiftsbiträdet ansvarar för att dessa personer iakttar den
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
lagstadgade sekretess som gäller för uppgifterna och på begäran av den personuppgiftsansvariga påvisa att så sker.
Personsuppgiftsbiträdet ska föra en förteckning av de personer som beviljats tillgång till personuppgifterna. Förteckningen ska granskas regelbundet. Med granskningen som grund ska tillgången till personuppgifter återkallas om tillgången inte längre är nödvändig.
4. Säkerhet vid behandling
I artikel 32 i GDPR anges att med beaktande av tidigare känd teknik, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt risken, av varierande sannolikhets- och allvarlighetsgrad, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
Den personuppgiftsansvarige ska utvärdera riskerna avseende fysiska personers rättigheter och friheter vid behandlingen och vidta åtgärder för att minska dessa risker. Beroende på relevans kan dessa åtgärder inkludera följande:
a. Pseudonymisering och kryptering av personuppgifter.
b. Möjligheten att säkerställa fortlöpande sekretess, integritet, tillgänglighet och motståndskraft i systemen och tjänsterna för behandlingen.
c. Möjligheten att återställa tillgängligheten och tillgången till personuppgifter inom rimlig tid vid en fysisk eller teknisk incident.
d. Ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten i de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
Enligt artikel 32 i GDPR ska även personuppgiftsbiträdet – fristående från den personuppgiftsansvarige – utvärdera riskerna för fysiska personers rättigheter och friheter vid behandlingen och vidta åtgärder för att minska dessa risker. Det innebär att den personuppgiftsansvarige ska förse personuppgiftsbiträdet med all information som krävs för identifiering och utvärdering av sådana risker.
Dessutom ska personuppgiftsbiträdet bistå den personuppgiftsansvarige i att säkerställa efterlevnad av den personuppgiftsansvariges skyldigheter enligt artikel 32 i GDPR, genom att bland annat förse den personuppgiftsansvarige med information avseende tekniska och organisatoriska åtgärder som redan har genomförts av personuppgiftsbiträdet enligt artikel 32 i GDPR, samt all övrig information som krävs för att den personuppgiftsansvarige ska kunna fullgöra sin skyldighet enligt artikel 32.
Om därefter – enligt den personuppgiftsansvariges bedömning – en minskning av identifierade risker kräver att ytterligare åtgärder vidtas av personuppgiftsbiträdet än de som redan har vidtagits enligt artikel 32 i GDPR, ska den personuppgiftsansvarige ange att dessa ytterligare åtgärder ska vidtas i instruktionen till personuppgiftsbiträdet.
5. Användning av underleverantörer
Personuppgiftsbiträdet ska uppfylla de krav som anges i artikel 28.2 och 28.4 i GDPR om ett annat personuppgiftsbiträde anlitas (en underleverantör).
Personuppgiftsbiträdet får, om inte annat framgår av den personuppgiftsansvariges instruktion för behandlingen, anlita en underleverantör.
Om personuppgiftsbiträdet använder en underleverantör för att utföra specifik behandling på uppdrag av den personuppgiftsansvarige, gäller samma dataskyddsskyldigheter som anges i reglerna och instruktionen för underleverantören via avtal eller annan rättsakt enligt EU:s eller svensk lagstiftning. Det gäller i synnerhet
tillräckliga garantier att vidta lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i dessa regler och GDPR.
Personuppgiftsbiträdet ska därför kräva att underleverantören som ett minimum fullgör de skyldigheter som gäller för personuppgiftsbiträdet enligt dessa regler, den personuppgiftsansvariges instruktion och GDPR.
En kopia av ett sådant underleverantörsavtal och efterföljande ändringar ska – på begäran av den personuppgiftsansvarige – skickas till den personuppgiftsansvarige och därmed ge den personuppgiftsansvarige möjlighet att säkerställa att samma dataskyddsskyldigheter som anges i reglerna och instruktionen följer med och gäller för underleverantören. Avtal om verksamhetsrelaterade frågor som inte påverkar det rättsliga dataskyddsinnehållet i underleverantörsavtalet, behöver inte lämnas till den personuppgiftsansvarige.
Om underleverantören inte fullgör sina dataskyddsskyldigheter är personuppgiftsbiträdet helt ansvarigt inför den personuppgiftsansvarige när det gäller fullgörandet av underleverantörens skyldigheter. Detta påverkar inte de registrerades rättigheter enligt GDPR – särskilt de som föreskrivs i artiklarna 79 och 82 i GDPR – gentemot den personuppgiftsansvarige och personuppgiftsbiträdet, inklusive underleverantören.
Personuppgiftsbiträdet ska skriftligen informera den personuppgiftsansvarige om alla avsiktliga förändringar avseende tillägg eller utbyte av underleverantörer minst 30 dagar i förväg och därmed ge den personuppgiftsansvarige möjlighet att invända mot sådana förändringar innan berörd underleverantör anlitas. Den personuppgiftsansvariga har rätt att med anledning av en sådan invändning avbryta biträdesförhållandet.
6. Överföring av uppgifter till tredjeland eller internationella organisationer
Överföring av personuppgifter till tredjeland eller internationella organisationer av personuppgiftsbiträdet får endast utföras om den personuppgiftsansvarige har medgett det i sin instruktion, om inte behandlingen krävs enligt unionsrätten eller enligt svensk rätt som personuppgiftsbiträdet omfattas av. Behandlingen ska alltid utföras i enlighet med kapitel V i GDPR.
7. Stöd till den personuppgiftsansvarige
Med beaktande av behandlingens art ska personuppgiftsbiträdet bistå den personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgärder när det är möjligt, i syfte att fullgöra den personuppgiftsansvariges skyldigheter att besvara förfrågningar om utövande av den registrerades rättigheter enligt kapitel III i GDPR.
Detta innebär att datauppgiftsbiträdet så långt det är möjligt ska bistå den personuppgiftsansvarige vid den personuppgiftsansvariges efterlevnad av
a. rätten till information när personuppgifter samlas in från den registrerade,
b. rätten till information när personuppgifter inte har erhållits från den registrerade,
c. den registrerades rätt till tillgång,
d. rätten till rättelse,
e. rätten till radering (”rätten att bli bortglömd”).
f. rätten till begränsning av behandling,
g. anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling,
h. rätten till dataportabilitet,
i. rätten att göra invändningar,
j. rätten att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering.
7.2 Personuppgiftsincidenter, skyddsåtgärder och konsekvensbedömning Förutom personuppgiftsbiträdets skyldighet att bistå den personuppgiftsansvarige enligt ovan ska personuppgiftsbiträdet dessutom bistå den personuppgiftsansvarige för att säkerställa efterlevnad av
a. den personuppgiftsansvariges skyldighet att utan dröjsmål och vid behov, inte senare än 72 timmar efter upptäckten, meddela personuppgiftsincidenten till behörig tillsynsmyndighet, Integritetsskyddsmyndigheten (IMY), såvida inte personuppgiftsincidenten troligen inte innebär någon risk för fysiska personers rättigheter och friheter,
b. den personuppgiftsansvariges skyldighet att utan dröjsmål underrätta den registrerade om personuppgiftsincidenten, när personuppgiftsincidenten troligen resulterar i en hög risk för fysiska personers rättigheter och friheter,
c. den personuppgiftsansvariges skyldighet att utföra en bedömning av den påverkan som de planerade behandlingsåtgärderna får på skyddet av personuppgifter (en konsekvensanalys av dataskyddet),
d. den personuppgiftsansvariges skyldighet att samråda med den behöriga tillsynsmyndigheten, Integritetsskyddsmyndigheten, före behandlingen där en konsekvensbedömning av dataskyddet visar att behandlingen skulle innebära en hög risk om inga åtgärder vidtas av den personuppgiftsansvarige för att minska risken.
7.2.1 Underrättelse om personuppgiftsincident
Vid en personuppgiftsincident ska personuppgiftsbiträdet, utan onödigt dröjsmål efter upptäckten, anmäla incidenten till den personuppgiftsansvarige.
Personuppgiftsbiträdets underrättelse till den personuppgiftsansvarige ska om möjligt äga rum samma dag som personuppgiftsbiträdet har fått vetskap om personuppgiftsincidenten, för att göra det möjligt för den personuppgiftsansvarige att fullgöra skyldigheten att underrätta tillsynsmyndigheten om personuppgiftsincidenten, jfr artikel 33 i GDPR.
Personuppgiftsbiträdet ska bistå den personuppgiftsansvarige med att underrätta behörig tillsynsmyndighet om personuppgiftsincidenten och bistå vid insamlingen av den information som anges nedan, vilket enligt artikel 33.3 i GDPR ska anges i den personuppgiftsansvariges underrättelse till behörig tillsynsmyndighet:
a. Personuppgiftens art, inbegripet om så är möjligt de kategorier och ungefärliga antal registrerade som berörs, samt de kategorier och ungefärliga antal personuppgiftsposter som berörs.
b. De troliga konsekvenserna av personuppgiftsincidenten.
c. Åtgärderna som vidtagits eller föreslås för att hantera personuppgiftsincidenten, inbegripet när så är lämpligt åtgärder för att mildra dess potentiella skadliga effekter.
8. Radera och återlämna uppgifter
När personuppgiftsbehandlingen avslutas ska personuppgiftsbiträdet radera eller återlämna alla personuppgifter till den personuppgiftsansvarige och radera befintliga kopior i enlighet med den personuppgiftsansvariges instruktion, om det inte enligt unionens eller svensk lagstiftning krävs att personuppgifterna lagras.
Vid gallring och arkivering av personuppgifter ska gällande lagstiftning och kommunens styrdokument gällande arkivering och informationsförvaltning tillämpas.
9. Granskning och inspektion
Personuppgiftsbiträdet ska för den personuppgiftsansvarige tillgängliggöra all information som krävs för att visa att de skyldigheter som anges i artikel 28 och i de här reglerna efterlevs, samt underlätta uppföljning och revision som utförs av den personuppgiftsansvarige eller annan granskare på uppdrag av den personuppgiftsansvarige.
Personuppgiftsbiträdet ska även ge behöriga tillsynsmyndigheter, eller ombud som agerar på uppdrag av sådana tillsynsmyndigheter, tillgång till personuppgiftsbiträdets fysiska lokaler.
10. Överenskommelser om andra villkor
När personuppgiftsbehandling läggs över från en nämnd till en annan ska personuppgiftsansvarig kontrollera om personuppgiftsbehandlingarna styrs av speciallagstiftning eller myndighetsutövning som medger att de alls kan hanteras av en annan nämnd.
Personuppgiftsansvarig och personuppgiftsbiträde kan i övrigt komma överens om andra regler avseende behandlingen av personuppgifter genom att exempelvis ange ansvarsskyldighet, så länge de inte strider direkt eller indirekt mot de här reglerna eller den registrerades grundläggande rättigheter eller friheter och det skydd som anges i GDPR.
11. Ersättning för skada
Vid ersättning för skada i samband med behandling som genom fastställd dom eller förlikning ska utgå till den registrerade på grund av överträdelse av bestämmelse i de här reglerna och/eller tillämplig bestämmelse i dataskyddslagstiftningen ska art. 82 i GDPR tillämpas.
Sanktionsavgifter enligt dataskyddsförordningen, art. 83, eller lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning 6 kap. 2 § ska bäras av den av parterna som påförts en sådan avgift.
Om endera parten får kännedom om omständigheter som kan leda till skada för motparten ska parten omedelbart informera motparten om förhållandet och aktivt arbeta tillsammans med motparten för att förhindra och minimera sådan skada.
Beslutad av: Kommunstyrelsen 19 oktober 2021 § 278 och Kommunfullmäktige 9 november 2021 § 142, KS 2021-00691 |
Gäller från: 9 november 2021 |
Ansvarig förvaltning: Kommunstyrelsens förvaltning |
Kontakt: Kungsbacka direkt 0000-00 00 00, xxxx@xxxxxxxxxx.xx |