Behandling av personuppgifter (GDPR)
Så här arbetar vi med GDPR på fastighetsförvaltningen
Fastighetsnämnden är personuppgiftsansvarig för de register och behandlingar av personuppgifter som sker i nämndens verksamhet. Det finns ett utsett dataskyddsombud på Security Solution. Förvaltningens personuppgiftssamordnare är Carina Froidevaux.
Dataskyddsförordningen (GDPR, The General Data Protection Regulation) har till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter i hela EU. Mycket i dataskyddsförordningen liknar de regler som fanns i personuppgiftslagen. Dataskyddsförordningen innebär dock ett större ansvar för oss som behandlar personuppgifter. Vi behöver informera registrerade om vår behandling av deras personuppgifter och rättigheter. Vi behöver också hålla god ordning på de uppgifter vi behandlar, veta vilket skydd de behöver och med vilken rättslig grund behandlingen sker.
En personuppgift är all information som på något sätt kan hänföras till en fysisk person, t ex namn, telefonnummer, adress, personnummer, bild etc.
Förfrågningar
Om du tar emot en förfrågan gällande tillgång till information (registerutdrag), önskemål om uppdatering eller rättning av information eller begäran om begränsning av uppgifter, kontakta personuppgiftssamordnaren som hjälper till med en bedömning. Personuppgiftssamordnaren kontaktar den som är ansvarig för uppgifterna i enlighet med vårt register över behandlingar. Begäran ses över och ansvarig säkerställer att rättning görs samt kontaktar den registrerade. Ansvarig tar även ställning till och kontaktar tredje part för det fall det är förekommande.
Se även rutin för hantering av GDPR enligt nedan länk.
Förteckning
Det finns på förvaltningen en förteckning över alla personuppgifter som finns registrerade. Avstämning med ansvariga görs en gång per år med personuppgiftssamordnaren för att säkerställa att förteckningen/listor är uppdaterade och aktuella. Genomgång sker på APT.
En konsekvensbedömning behöver genomföras vid varje personuppgiftsbehandling som kan leda till en hög risk för fysiska personers rättigheter och friheter.
Information till registrerade
Alla anställda på förvaltningen ska ha information i sin mailadress som hänvisar till en sida på nätet om hur Helsingborgs stad hanterar personuppgifter. Information om personuppgiftsbehandling ska finnas på alla våra hyreskontrakt, både lägenheter och lokaler. Det finns även på de kameror i staden som vi förvaltar.
Personuppgiftsincident
En personuppgiftsincident ska anmälas till personuppgiftssamordnaren eller närmsta chef omgående. Personuppgiftssamordnaren lägger in en anmälan i stadens e-tjänst för rapportering av incidenter. Om det är en allvarlig incident ska den även anmälas till Integritetsmyndigheten (IMY) via deras e-tjänst. Anmälan ska ske senast 72 timmar efter incidenten upptäcktes. Det kan t ex vara kopplat till känsliga personuppgifter eller sekretess. Exempel på personuppgiftsincident kan vara om man glömmer sin väska innehållande material med personuppgifter. Det kan också vara vid inbrott och t ex datorn stjäls.
Riskbedömning
En del av det kontinuerliga informationssäkerhetsarbetet är att jobba proaktivt med att förebygga risker. Det görs t ex genom konsekvensbedömningar för att identifiera risker och hur de ska bemötas. Riskbedömning sker också genom att göra klassningar av våra system i Stratsys.