Use Google translate to translate the web page. Telge AB takes no responsibility for the translation.

Gula blommor

Riktlinje för hantering av personuppgifter

Vår riktlinje beskriver Södertälje kommuns och dess bolags hantering av personuppgifter på en övergripande nivå.

Dokumentet gäller för nämnder, kontor, verksamheter, medarbetare. I tillämpbara fall även för andra som hanterar, personuppgifter i organisationer där Södertälje kommun har det rättsligt bestämmande inflytandet (t ex styrelser, bolag, privata utförare, inhyrd personal eller andra aktörer som hanterar personuppgifter på Södertäljes kommuns uppdrag).

Målsättning

I denna riktlinje fastställer kommunstyrelsen Södertäljes syn på behandling av personuppgifter samt övergripande mål och intentioner för arbetet med hantering av personuppgiftsbehandling. Behandling av personuppgifter innefattar allt som sker med personuppgifter.

Södertäljes kommuns mål är att all behandling sker med hänsyn till den enskildes friheter och rättigheter. Innebörden i detta är att värna om den personliga integriteten genom att medborgare och anställda är trygga i att kommunen eftersträvar att alltid sätta en hög nivå av dataskydd.

Personuppgifter ska behandlas med utgångspunkt att:

  • all behandling ska ske i enlighet med gällande lagstiftning.
  • de endast behandlas för berättigat ändamål som är fastställt innan behandlingen påbörjas.
  • de är korrekta och uppdaterade.
  • risker för skada för den registrerade minimeras genom aktiv riskhantering och lämpliga skyddsåtgärder.
  • endast behöriga ska få åtkomst.
  • de ska skyddas så de inte förstörs oavsiktligt.
  • de bevaras i identifierbar form så länge det är nödvändigt för ändamålet.
  • varje verksamhet ska vara representerat av dataskyddombud.
  • tillämpa inbyggt dataskydd och dataskydd som standard genom att ta hänsyn till integritetsfrågor och bygga in lämpliga säkerhetsmekanismer i lösningar.
  • överföring till tredje land inte sker utan adekvata säkerhetsåtgärder.

Organisation av arbetet med personuppgiftshantering

Kommunstyrelsen beslutar övergripande om viljeinriktning för personuppgiftarbetet.

Varje styrelse och nämnd är personuppgiftsansvarig för sina egna personuppgiftbehandlingar. Detta innebär att styrelser och nämnder är ytterst ansvariga för att:

  • följa gällande lagstiftning.
  • fastställa ändamål med behandlingar.
  • säkerställa att det finns ett dataskyddombud.
  • säkerställa att behandling sker med lämplig teknisk och organisatorisk säkerhet.
  • ansvara för att noggrann dokumentation av behandlingar finns.
  • ett giltigt personuppgiftsbiträdesavtal finns upprättat vid behov.
  • relevanta klassningar av behandlingar finns och är dokumenterade.
  • riskanalyser finns och är dokumenterade.
  • säkerställa att det görs konsekvensbedömningar om behandlingar sannolikt medför en hög risk för den registrerades integritet.
  • säkerställa att personuppgiftsincidenter rapporteras till tillsynsmyndigheten.
  • tillgodose registrerades rättigheter gällande information, tillgång (utlämning), rättning, begränsning, dataportabilitet och invändning.
  • tidsfrister sätts och verkställs för behandlingar gällande arkivering, gallring och rensning i enlighet med upprättade dokumenthanteringsplaner.

Samtliga personuppgiftsansvariga utser en kontaktperson, Dataskyddssamordnare (DSS) som representerar den personuppgiftsansvarige. Vid kommunens kontor utses DSS av kontorscheferna. Hos bolagen inom Telgekoncernen utses DSS av bolagens verkställande direktör inom respektive affärsområde eller bolag.

Dataskyddsombud är en oberoende funktion som ska anmälas till tillsynsmyndigheten. Dataskyddsombudet kan ha andra roller om det inte leder till intressekonflikt. Uppgifterna för Dataskyddsombudet omfattar bland annat att:

  • informera och ge råd till personuppgiftsansvarig.
  • övervaka efterlevnad av personuppgiftsbehandlingar.
  • ge råd vid riskanalyser och assistera med konsekvensbedömningar.
  • vara kontakt för registrerade och tillsynsmyndighet.
  • samarbeta och begära förhandsråd av tillsynsmyndighet vid behov.

Anvisning för verksamheten

Vidare konkretisering av styrdokument ska utarbetas i andra anvisningar och rutiner för personuppgiftsbehandling.

Revidering

Riktlinjen är fastställd efter beslut i kommunstyrelsen 2019-12-13. Koncernstyrelsen är informerad om den uppdaterade riktlinjen och den gäller tills vidare från 2020-01-02.

Uppföljning och revidering av denna riktlinje sker enligt riktlinjer för styrdokument i Södertälje kommun samt riktlinje för framtagande och förvaltning av styrande dokument i Telge. I samband med revidering ska tillhörande riktlinjer och ansvisningar revideras på motsvarande sätt.

Senast ändrad: 13 mars, 2020