Dokumenttyp Upprättad

Valnämndens dataskyddsrutiner

Rutiner

Valnämnden 200623, § 5

Dokumenttyp Upprättad

1. Den registrerades rättigheter

1.1 Verkställighet och myndighetsutövning

Ärenden rörande den registrerades rätt till information och tillgång på personuppgifter, rättelse, radering, begränsning, invändning, eller dataportabilitet verkställs av den eller de avdelningar som berörs hos kommunledningsförvaltningen, som sorterar under valnämnden. Verkställigheten sker med beaktande av de tidsfrister och övriga skyldigheter som framgår av artikel 12 i EU:s dataskyddsförordning (hädanefter dataskyddsförordningen). Möter verkställigheten lagligt hinder ska valnämndens ordförande omedelbart informeras om detta. Behörighet att myndighetsutöva gentemot den registrerade regleras i valnämndens delegationsordning.

2. Den personuppgiftsansvariges ansvar

2.1 Information till arbetstagare

Kommunledningsförvaltningens chefer ska i enlighet med dataskyddsförordningens artikel 32 tillse att samtliga arbetstagare i kommunledningsförvaltningen som får tillgång till personuppgifter på valnämndens verksamhetsområde behandlar dessa i enlighet med gällande förordning, lag och föreliggande rutiner. För detta ändamål ska reguljära fora som arbetsplatsträffar, chefs- och arbetsledarträffar, medarbetarsamtal samt introduktion av nyanställda primärt användas.

2.2 Säkerhet i samband med personuppgiftsbehandling samt konsekvensbedömning

På initiativ av kommunledningsförvaltningens chefer ska respektive avdelning vid behov, dock minst en gång per år, se över och uppdatera tekniska och organisatoriska åtgärder för att säkerställa att myndighetens personuppgiftsbehandling utförs i enlighet med dataskyddsförordningen och svensk lagstiftning på området. Detta arbete ska inkludera testning och utvärdering av effektiviteten hos befintliga åtgärder och särskilt väga in behovet av de metoder som framgår av dataskyddsförordningens artikel 32. Kommunledningsförvaltningens chefer ska tillse att dataskyddsförordningens krav på dataskydd beaktas vid upphandling av nya system för automatiserad behandling av personuppgifter.

På initiativ av kommunledningsförvaltningens chefer ska respektive avdelning regelbundet, dock minst en gång per år, bedöma konsekvenserna av personuppgiftsbehandling som kan leda till en hög risk för fysiska personers rättigheter och friheter. Sådan risk ska alltid antas föreligga vid behandling av känsliga personuppgifter och de särskilda kategorier av personuppgifter som framgår av dataskyddsförordningens artikel 9. Visar en konsekvensbedömning att en viss personuppgiftsbehandling leder till en hög risk om inte den personuppgiftsansvarige vidtar lämpliga åtgärder, ska valnämndens ordförande informeras

om detta. Hen ska då förhanddsamråda med tillsynsmyndigheten. Kommunledningsförvaltningens arbete med säkerhet i samband med personuppgiftsbehandling och konsekvensbedömning avseende dataskydd ska återrapporteras till valnämnden minst en gång per år. Valnämnden ska i samband med detta ta ställning till om skriftliga underlag för återrapportering ska sekretessmarkeras.

2.3 Personuppgiftsbiträden

På initiativ av kommunledningsförvaltningens chefer ska berörd avdelning regelbundet, dock minst en gång per år, inventera beståndet av personuppgiftsbehandlingar som kräver personuppgiftsbiträden. Behandling som ska genomföras av annan på valnämndens vägnar men som saknar stöd i biträdesavtal ska omedelbart åtgärdas i enlighet med dataskyddsförordningens artikel 28. Behörighet att underteckna personuppgiftsbiträdesavtal för myndighetens räkning regleras i valnämndens delegationsordning.

2.4 Incidentrapportering

En personuppgiftsincident är att likställa med en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller åtkomst till de personuppgifter som överförs, lagras eller behandlas.

Den arbetstagare, ledamot och ersättare i valnämnden jämte de personuppgiftsbiträden som anlitas av myndigheten som befarar att en personuppgiftsincident inträffat är skyldig att omgående informera valnämndens ordförande samt kommundirektören om detta. Den senare ska därefter låta undersöka saken närmare. Behörighet att besluta om en personuppgiftsincident ska anmälas till tillsynsmyndigheten i enlighet med de tidsfrister och övriga bestämmelser som framgår av dataskyddsförordningens artikel 33 regleras i valnämndens delegationsordning.

Med beaktande av de begränsningar som framgår av artikel 34 tar kommundirektören ställning till om den registrerade ska informeras om personuppgiftsincidenten och vem i kommunledningsförvaltningen som ska lämna den informationen.

3. Domstolsärende och tillsynsärende

3.1 Rättshjälp

Behörighet att besluta om rättshjälp med anledning av att den registrerade avser föra talan i domstol mot valnämnden regleras i valnämndens delegationsordning.

3.2 Skadebedömning

Kommundirektören ska hålla valnämnden informerad om dataskyddsärenden i domstol samt ärenden hos tillsynsmyndighet som kan skada allmänhetens tilltro till myndigheten och/eller åsamka myndigheten ekonomisk skada. De administrativa sanktionsavgifter som framgår av dataskyddsförordningens artikel 83 jämte de skadeståndsbelopp som den registrerade kan rikta mot valnämnden, bör beaktas i valnämndens budgetarbete.