Brukerinstruks Informasjonssikkerhet



Like dokumenter
BEHANDLING AV PERSONOPPLYSNINGER

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Personvern og informasjonssikkerhet

Personopplysninger og opplæring i kriminalomsorgen

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Endelig kontrollrapport

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Personopplysningsloven

Innsynsrettigheter og plikt til å gi informasjon til registrerte. Dag Wiese Schartum, AFIN

Nye personvernregler

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Krav til formål, utredning og opplysningskvalitet. Dag Wiese Schartum, AFIN

LOV nr 31: Lov om behandling av personopplysninger (personopplysnin...

Kort innføring i personopplysningsloven

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lov om behandling av personopplysninger (personopplysningsloven).

Personvern-rett H2016

GDPR - Personvern

GDPR HVA ER VIKTIG FOR HR- DATA

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

Personvern overvåking og kontrolltiltak i arbeidslivet. Paratkonferansen, 16. november 2010 Bjørn Erik Thon

Besl. O. nr. 58. Jf. Innst. O. nr. 51 ( ) og Ot.prp. nr. 92 ( ) År 2000 den 7. mars holdtes Odelsting, hvor da ble gjort slikt

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL

Informasjon om bruk av personnummer i Cristin-systemet

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Policy for personvern

Vedlegg til søknad om konsesjon for behandling av

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

IKT-reglement for Norges musikkhøgskole

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Endelig kontrollrapport


Medlemsmøte DIS-Hadeland 1/2-14 Foredrag v/ove Nordberg. Personvern. Bruk av og regler rundt personopplysninger i forbindelse med slektsforskning.

Varslingsrutiner ved HiST

Personvernerklæring for Søknadsweb

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

OM PERSONVERN TRONDHEIM. Mai 2018

Databehandleravtale etter personopplysningsloven

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Personvern, offentlighet og utlevering fra matrikkelen. Bakgrunnen for kurset

Internkontroll i mindre virksomheter - introduksjon

Personvern eller vern av personopplysninger. Hvem vet hva om oss

Personvern og utredningsarbeid hvor går grensen? Cecilie Rønnevik, fagdirektør Forsikringsforeningen 27. november 2013

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Avtale mellom. om elektronisk utveksling av opplysninger

Endelig kontrollrapport

Personvernerklæring for EVUweb - søkere

NINAs personverndokument

Personvernerklæring for EVUweb - søkere

Personvernperspektivet og oppbevaring av intervjumateriale

Brukerveiledning for «Lærers Administrative Oppgaver» - LAO.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Andreas Heffermehl, Taushetsplikt og personvern

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Innsynsrett - Brukers rett til innsyn

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Bilag 14 Databehandleravtale

Krav til rettslig grunnlag for behandling av personopplysninger. Dag Wiese Schartum

Endelig kontrollrapport

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

GDPR General Data Protection Regulativ

Personvernerklæring for Flyt Høgskolen i Molde

Databrukara vtale. for. Rauma kommune

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Personvernerklæring for Studentweb

Personvernerklæring for Søknadsweb

Databehandleravtale digitale arkiv og uttrekk for deponering

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Informasjonssikkerhet

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet.

PERSONVERN I FINANSSEKTOREN

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Personvernerklæring for Edvarda (Consortia Manager)

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

Personvernerklæring for Søknadsweb

Forsikringssvindel og personvern. Møte i Den norske Forsikringsforening 27. november 2013 Øystein Flagstad

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

Transkript:

STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11

Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING... 3 ANSVAR OG MYNDIGHET... 3 ADGANG TIL KOMMUNENS PC-ER OG DATASYSTEMER... 4 INTERNETT... 5 SIKKERHET OG ORDEN PÅ KONTORET... 6 DEL 2... 7 INNHENTING OG KONTROLL AV DE REGISTRERTES SAMTYKKE (POL 8, 9 OG 11)... 7 1. VILKÅR FOR BEHANDLING AV PERSONOPPLYSNINGER... 7 2. BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER... 7 3. GRUNNKRAV TIL BEHANDLING AV PERSONOPPLYSNINGER (POL 11)... 7 VURDERING AV PERSONOPPLYSNINGENES KVALITET (POL 11 BOKSTAV D OG E, 27 OG 28,)... 8 OPPFYLLELSE AV BEGJÆRINGER OM INNSYN OG INFORMASJON (POL 16 TIL 24)... 8 1. RETT TIL INNSYN... 8 2. SAKSBEHANDLINGSFRISTER... 9 3. INFORMASJONSPLIKT (POL 18)... 9 4. UNNTAK FRA RETTEN TIL INFORMASJON (POL 23)... 9 MANGELFULLE OPPLYSNINGER RETTING OG EVENTUELL SLETTING (POL 27)... 9 FORBUD MOT Å LAGRE UNØDVENDIGE PERSONOPPLYSNINGER (POL 28)... 10 OPPFYLLELSE AV PERSONOPPLYSNINGSLOVENS REGLER OM MELDE- OG KONSESJONSPLIKT, JF. PERSONOPPLYSNINGSLOVEN 31 TIL 33.... 10 FJERNSYNSOVERVÅKING (VIDEOOVERVÅKING)... 11 TILSYN OG KONTROLL... 11 1. DATATILSYNET... 11 2 INTERNE OG EKSTERNE KVALITETSREVISJONER... 11 Brukerinstruks del 1 og 2 for Steigen kommune Side 2 av 11

DEL 1 1. Definisjoner (Personopplysningslovens 2 POL) Personregister: registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen, (ref. systemoversikt pkt. 1) Personopplysninger: opplysninger og vurderinger som kan knyttes til en enkeltperson. Behandling av personopplysninger: enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. Registrert: den som en personopplysning kan knyttes til. Samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. Sensitive personopplysninger: Opplysninger om: rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling helseforhold seksuelle forhold medlemskap i fagforeninger Innledning Kommunens rolle i samfunnet innebærer en naturlig forpliktelse til å holde et høyt etisk nivå og sikre riktig kvalitet på sine primæroppgaver. Kommunens drift og organisering medfører at sensitiv opplysninger behandles i mange ledd. Myndighetene har derfor fastsatt et regelverk for kontroll og sikkerhet som krever systematisk oppfølging. De overordnede mål for informasjonssikkerhetsarbeidet i kommunen er å oppnå høy grad av: Tilgjengelighet det du trenger når du trenger det Konfidensialitet opplysninger skal ikke eksponeres for uvedkommende Integritet sikre informasjon mot utilsiktet endring Det betyr at de data som vi registrerer i våre datasystemer skal være korrekte, de skal være tilgjengelige når det er behov for dem og de skal være beskyttet mot uvedkommende. Dette gjelder også deg! Ansvar og myndighet Rådmannen har det overordnede ansvaret for at behandling av personopplysninger i kommunen, er i samsvar med personopplysningsloven (POL). Fagkoordinator og leder for ytre enhet er behandlingsansvarlig innen sitt tjenesteområde/enhet. Brukerinstruks del 1 og 2 for Steigen kommune Side 3 av 11

Hun/han er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler, herunder systemer og rutiner/prosedyrer som skal etableres og brukes ref pol 2 pkt 4 for å oppfylle de aktuelle lovkrav. Den enkelte saksbehandler som behandler personopplysninger på oppdrag fra behandlingsansvarlig leder, er databehandler ref POL 2 pkt 5. Hun/han er ansvarlig for å sette seg inn i og behandle opplysningene i samsvar med gjeldende lovverk og de rutiner som behandlingsansvarlig leder har godkjent. Lærlinger, elever og studenter i praksis er ansvarlig for å sette seg inn i enhetens rutiner for behandling av personopplysninger. Studentens behandling av personopplysninger skal kun skje i opplæringsøyemed og under veiledning av dataansvarlig saksbehandler eller behandlingsansvarlig leder. Forholdet mellom personopplysningsloven og særlovgivning på tjenesteområdene der det i særlovgivning stilles skjerpede krav til behandling av personopplysninger, skal fagkoordinator sikre at det etableres rutiner som ivaretar disse kravene. Alle som utfører arbeide for kommunen - ansatte, midlertidig ansatte og oppdragstakere har lovbestemt taushetsplikt. Plikten gjelder både i arbeidet og privat, og den varer også etter avsluttet arbeidsforhold i kommunen. Lederen for det enkelte tjenesteområde/enhet/kontor har ansvar for å opprettholde en tilfredsstillende informasjonssikkerhet innenfor sitt ansvarsområde. Den enkelte medarbeider har ansvar for å sette seg inn i informasjonssikkerhetslinjene og følge disse. God informasjonssikkerhet oppnås gjennom den enkelte ansattes holdning og årvåkenhet, og ved at den enkelte ansatte kan vise ansvar for informasjonssikkerheten og følge gjeldende retningslinjer innenfor sitt arbeidsområde. Informasjonssikkerhet angår alle, og det er ditt ansvar! Adgang til kommunens Pc-er og datasystemer For å få tilgang til kommunens datasystemer, må alle ansatte, oppdragstakere og midlertidig ansatte gis nødvendige autorisasjoner gjennom sin fagkoordinator (i samråd med ITansvarlig), og taushets- og egenerklæring må undertegnes. Passord er din personlige nøkkel til kommunens datasystemer. Passordet skal holdes hemmelig og skal ikke lånes ut til andre. Den enkelte ansatte er selv ansvarlig for de handlinger som utføres med egen indent. Du må straks endre passord hvis det kan ha blitt kjent av andre! Logg deg ut/ lås Pc-en/terminalen når du forlater arbeidsplassen din. Logg deg altid ut ved arbeidsdagens slutt. Brukerinstruks del 1 og 2 for Steigen kommune Side 4 av 11

Kun programvare som er lisensiert til kommunen og som IT-avdelingen har godkjent kan benyttes på kommunens Pc-er og nettverk. Kopiering av kommunens programvare uten tillatelse er forbudt! Disketter/CD-er/data skal alltid kontrolleres for datavirus før du tar dem i bruk! IT-avdelingen vil sørge for at din PC blir kontrollert hver dag når du logger deg på nettverket. Vis aktsomhet i forhold til reglene om taushetsplikten din! Husk du forvalter andres personlige opplysninger! Viruskontroll av disketter/cd-er/data som du mottar er ditt ansvar! Internett Det er ikke tillatt å koble Internett-forbindelser opp mot vårt nettverk uten særskilt tillatelse. Steigen kommune behandler og oppbevarer konsesjonsbelagt informasjon og informasjon som er underlagt taushetsplikt. Kommunen skal behandle og sikre data etter de vilkår som konsesjonen setter og etter lov og forskrifter gitt av offentlig myndigheter, samt vår taushetsplikt og kommunens egne krav til sikkerhet. Det er ikke tillatt å benytte Internett som kanal for å utveksle sensitive data som ikke skal være alminnelig kjent. Under visse forhold kan utveksling av data utføres, men da i samråd med IT-avdeling / sikkerhetsansvarlig. Internett kan være meget nyttig kanal for informasjonsutveksling, men du må huske på at Internett er en åpen kanal hvor det er mulig for uvedkommende å få tilgang til den informasjon som du utveksler. Det kan være mulig for uvedkommende å lese, gjøre endringer eller på annen måte misbruke data som overføres på Internett Eksempler på akseptabel bruk: Å oppdatere seg faglig gjennom tilgjengelige nettmedia som lovdata, offentlige utredninger, biblioteksregister, nyheter og andre relevante kilder som f.eks. medisinske oppslagsverk/ databaser. Å utveksle ikke sensitiv faglig informasjon med kollegaer gjennom e-post. Eksempler på uakseptabel bruk: Å laste ned programvare og spill fra nettet og med mindre dette på forhånd er godkjent av IT - avdelingen Installasjon av programvare, med mindre det er godkjent av IT - avdelingen. Å laste ned pornografi, volds- og rasistisk prega materiale eller annet materiale som kan virke usømmelig Å utveksle personopplysninger og andre opplysninger av fortrolig karakter Utsending av informasjon over kommunens felles e-post system som ikke er relevant for den kommunale virksomheten Brukerinstruks del 1 og 2 for Steigen kommune Side 5 av 11

Sikkerhet og orden på kontoret La ikke sensitiv/fortrolig informasjon ligge å flyte på skrivebordet, skrivere etc. Kast ikke sensitive/fortrolige dokumenter, disketter CD-er etc. i papirkurven. Makuler dem! Uvedkommende skal ikke ha tilgang til steder hvor datautstyr, kommunikasjonsutstyr, skrivere, telefakser o.l. er plassert, uten i følge med ansatt. Husk: Sikkerhet begynner med deg!! Brukerinstruks del 1 og 2 for Steigen kommune Side 6 av 11

DEL 2 Innhenting og kontroll av de registrertes samtykke (POL 8, 9 og 11) 1. Vilkår for behandling av personopplysninger Personopplysninger kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for: a. å oppfylle en avtale med den registerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås b. at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse c. å ivareta den registrertes vitale interesser, d. å utføre en oppgave av allmenn interesse e. å utøve offentlig myndighet, eller at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til, kan ivareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. 2. Behandling av sensitive personopplysninger Sensitive personopplysninger kan bare behandles dersom behandlingen oppfyller et av vilkårene i pkt 4.1 og at: a. den registrerte samtykker i behandlingen b. det er fastsatt i lov at det er adgang til slik behandling c. behandlingen er nødvendig for å beskytte en persons vitale interesser, og den registrerte ikke er i stand til å samtykke d. det utelukkende behandles opplysninger som den registrerte selv frivillig har gjort alminnelig kjent e. behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav f. behandlingen er nødvendig for at den behandlingsansvarlige kan gjennomføre sine arbeidsrettslige plikter eller rettigheter g. behandlingen er nødvendig for forebyggende sykdomsbehandling, medisinsk diagnose, sykepleie eller pasientbehandling eller for forvaltning av helsetjenester, og opplysningene behandles av helsepersonell med taushetsplikt h. behandlingen er nødvendig for historiske, statistiske eller vitenskapelige formål, og samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte 3. Grunnkrav til behandling av personopplysninger (pol 11) Som behandlingsansvarlig skal fagkoordinator sørge for at personopplysningene som behandles: a. bare behandles når dette er tillatt ref pkt 4.1. og 4.2 b. bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i tjenesteområdets eller enhetens virksomhet Brukerinstruks del 1 og 2 for Steigen kommune Side 7 av 11

c. ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker d. er tilstrekkelige og relevante for formålet med behandlingen e. er korrekte og oppdatert f. ikke lagres lenger enn det som nødvendig ut fra formålet med behandlingen, jf. under pkt 7 om retting av mangelfulle personopplysninger og pkt 8 om forbud mot å lagre unødvendige personopplysninger. Vurdering av personopplysningenes kvalitet (POL 11 bokstav d og e, 27 og 28,) Ansvarlig leder skal til enhver tid vurdere om personopplysningenes kvalitet er i samsvar med det definerte formålet for behandlingen av opplysningene. Dette innebærer også at de ikke senere brukes til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker og at de er tilstrekkelige og relevante for formålet med behandlingen Vurderingen gjelder også retting av mangelfulle personopplysninger og forbud mot lagring av unødvendige personopplysninger. Oppfyllelse av begjæringer om innsyn og informasjon (pol 16 til 24) 1. Rett til innsyn 2.1 Generelt innsyn Enhver som ber om det, skal få vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar, og kan kreve å få følgende informasjon om en bestemt type behandling: a. navn og adresse på behandlingsansvarlig og hans/hennes eventuelle representant b. hvem som er saksbehandler c. formålet med behandlingen d. beskrivelser av hvilke typer personopplysninger som behandles e. hvor opplysningene er hentet fra f. om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker 2.2 Spesielt innsyn: Dersom den som ber om innsyn er registrert, skal personvernombudet opplyse om: hvilke opplysninger om den registrerte som behandles sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten Den registrerte kan kreve at personvernombudet utdyper informasjonen som er beskrevet over, i den grad dette er nødvendig for at den registrerte skal kunne ivareta egne interesser. Personvernombudet kan kreve at den registrerte leverer skriftlig og undertegnet begjæring om innsyn. Den registrerte kan kreve å få informasjonen skriftlig. Brukerinstruks del 1 og 2 for Steigen kommune Side 8 av 11

2. Saksbehandlingsfrister Saksbehandlingsfristen er 30 dager, men kan ved særlige forhold forlenges. Dette forutsetter et foreløpig svarbrev med varsel om behandlingstid og grunnen til forsinkelsen. 3. Informasjonsplikt (pol 18) Når det samles inn personopplysninger fra den registrerte selv, skal fagkoordinator eller ansvarlig saksbehandler av eget tiltak først informere den registrerte om: a. enhetsleders navn og adresse og dennes eventuelle representant b. formålet med behandlingen c. opplysningene vil bli utlevert, og eventuelt hvem som er mottaker d. det er frivillig å gi fra seg opplysningene e. annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som f.eks. informasjon om retten til å kreve innsyn og retten til å kreve retting Varsling er ikke påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen i første ledd. 4. Unntak fra retten til informasjon (POL 23) Retten til innsyn og plikten til å gi informasjon omfatter ikke opplysninger: a. det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger b. det må anses utilrådelig at den registrerte får kjennskap til, av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær. Disse opplysningene kan på anmodning likevel gjøres kjent for en representant for den registrerte når ikke særlige grunner taler mot det. c. det i medhold av lov gjelder taushetsplikt for. d. utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelse og som heller ikke er utlevert til andre. e. det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om, herunder hensynet til den registrerte selv. Fagkoordinator eller leder av enheter som nekter å gi innsyn i medhold av første ledd må begrunne dette skriftlig med presis henvisning til unntakshjemmelen. Mangelfulle opplysninger retting og eventuell sletting (pol 27) Dersom det er behandlet personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal ansvarlig leder av eget tiltak eller på begjæring av den registrerte sørge for at de mangelfulle opplysningene blir rettet. Ansvarlig leder skal om mulig sørge for at feilen ikke får betydning for den registrerte, f.eks. ved å varsle mottakere av utleverte opplysninger. Brukerinstruks del 1 og 2 for Steigen kommune Side 9 av 11

Retting av uriktige eller ufullstendige personopplysninger som kan ha betydning som dokumentasjon, skal skje ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger. Det skal ikke brukes korrekturlakk el. Dersom tungtveiende personvernhensyn tilsier det, kan Datatilsynet bestemme at retting skal skje ved at de mangelfulle personopplysningene slettes eller sperres. Hvis opplysningene ikke kan kasseres i medhold av arkivloven, skal Riksarkivaren høres før det treffes vedtak om sletting. Vedtaket går foran reglene i arkivloven 4. desember 1992 nr. 126 9 og 18. Sletting bør suppleres med registrering av korrekte og fullstendige opplysninger. Dersom dette ikke er mulig, og dokumentet som inneholdt de slettede opplysningene av den grunn gir et åpenbart misvisende bilde, skal hele dokumentet slettes. Forbud mot å lagre unødvendige personopplysninger (pol 28) Fagkoordinator skal sørge for at personopplysninger ikke lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. Fagkoordinator kan lagre personopplysninger for historiske, statistiske eller vitenskapelige formål, dersom samfunnets interesse i at opplysningene lagres klart overstiger de ulempene den kan medføre for den enkelte. Han/hun må da sørge for at opplysningene ikke oppbevares på måter som gjør det mulig å identifisere den registrerte lenger enn nødvendig. Den registrerte kan kreve at opplysninger som er sterkt belastende for ham eller henne skal sperres eller slettes dersom dette: a. ikke strider mot annen lov b. er forsvarlig ut fra en samlet vurdering av bl.a. andres behov for dokumentasjon, hensynet til den registrerte, kulturhistoriske hensyn og de ressurser gjennomføringen av kravet forutsetter Datatilsynet kan - etter at Riksarkivaren er hørt - treffe vedtak om at retten til sletting etter tredje ledd går foran reglene i arkivloven 4. desember 1992 nr. 126 9 og 18. Hvis dokumentet som inneholdt de slettede opplysningene gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes. Oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt, jf. personopplysningsloven 31 til 33. Enhetsleder skal i forkant og innen 30 dager før behandlingen tar til, gi melding til personvernombudet om: Behandling av personopplysninger med elektroniske hjelpemidler Opprettelse av manuelt personregister som inneholder sensitive opplysninger Ny melding skal gis hvert 3. år. Krav til meldingens innhold er beskrevet i pol 31. Behandling av sensitive opplysninger som er avgitt uoppfordret, omfattes ikke av konsesjonsplikten. I tvilstilfeller kan enhetsleder kreve at datatilsynet avgjør om en behandling krever konsesjon. Brukerinstruks del 1 og 2 for Steigen kommune Side 10 av 11

Fjernsynsovervåking (videoovervåking) Leder av en enhet som planlegger fjernsynsovervåking, må sørge for å avklare om denne er lovlig og evt. søke om konsesjon ihht. pol kap. VII. Fjernsynsovervåking. Ved fjernsynsovervåking skal enhetsleder sørge for at rutiner etableres og gjennomføres i samsvar med konsesjonen. Tilsyn og kontroll 1. Datatilsynet Datatilsynet gir råd og veiledning og kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, og at feil eller mangler blir rettet. 2 Interne og eksterne kvalitetsrevisjoner Sikkerhetsrevisjonen skal: Undersøke i hvilken utstrekning virksomheten oppfyller krav de krav og retningslinjer som er nedfelt i kvalitetssystemet og som er pålagt virksomheten utenfra Undersøke behovet for forbedring og korrigering Avviksbehandling Bruk av system for behandling av personopplysninger som er i strid med fastlagte rutiner, identifiseres, dokumenteres og følges opp som avvik i samsvar med kravene i prosedyren for avviksbehandling. Dersom avviket har medført uautorisert utlevering av personopplysninger, skal Datatilsynet varsles. Brukerinstruks del 1 og 2 for Steigen kommune Side 11 av 11

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding