Hoppa över till innehållet

Behandling av personuppgifter

mannen tar foto med sin telefon.

Många av oss behandlar personuppgifter i vårt arbete. Även inom ungdomsarbetet behandlas personuppgifter tidvis. Vare sig det handlar om reklamföring eller en lista över vårdnadshavare för lägerdeltagare, lönar det sig att veta hur personuppgifter behandlas.

Hur behandlar man personuppgifter korrekt, och vad måste man ansvara för under behandlingen?

  • Behandlingen av personuppgifter ska planeras och dokumenteras på förhand.
  • Sörj för att planen och genomförandet motsvarar varandra
  • Se till att datasäkerheten är fungerande och uppdaterad
  • Sörj för att personerna som behandlar personuppgifter har rätt kompetens
  • Om/när ändringar sker i verksamheten, uppdatera dokumentationen

Det lönar sig att planera behandlingen av personuppgifter väl. Fastställ och dokumentera hur uppgifterna behandlas och bestäm vilka uppgifter du samlar in, varför, varifrån och hur. Samtidigt måste man ange vad behandlingen av personuppgifter grundar sig på (GDPR artikel 6), vem som behandlar de insamlade uppgifterna och om huruvida uppgifterna överlåts vidare.

Minneslista för behandling av personuppgifter:

  1. Ange klart hur länge och hur uppgifterna förvaras och hur de slutligen raderas
  2. Berätta hur den registrerades rättigheter i praktiken verkställs
  3. Fundera på riskerna med behandlingen av personuppgifter och hur riskerna hanteras
  4. Utarbeta en offentlig dataskyddsbeskrivning
  5. Sörj i allmänhet för att datasäkerheten verkställs
  6. Ingå alla nödvändiga avtal
  7. Kontrollera att verksamhetsmodellen och det tekniska verkställandet motsvarar planen
  8. Sörj för att de som behandlar personuppgifterna har fått orientering och är kompetenta

Dataskyddsbeskrivningen och den registrerades rättigheter 

Efter att du gått igenom kärnfrågorna kring personuppgifter är det tid att utarbeta en dataskyddsbeskrivning som beskriver hur personuppgifterna behandlas. Utöver en offentlig beskrivning lönar det sig att utarbeta ett internt dokument om hur personuppgifterna ska behandlas.

Den offentliga beskrivningen ska ha minst följande uppgifter:

  • Personuppgiftsansvarig med kontaktuppgifter
  • Ändamålet med behandlingen av personuppgifterna
  • Grunderna till behandlingen av personuppgifter
  • Behandlingstider
  • Överlåtelse av uppgifter
  • Överlåtelse till länder utanför EU/EES
  • Den registrerades rättigheter
  • Information om källan till uppgifterna om de inte erhållits från den registrerade själv

Ladda upp dataskyddsbeskrivningen på er egen webbplats och bifoga den till i material som används för att samla in personuppgifter. I tryckt material kan man använda en sammanfattning och ge läsaren en länk till den egna webbplatsen för den kompletta beskrivningen. Undvik att använda fackspråk i beskrivningen, förklara saker på ett klart och förståeligt sätt. Se till att den registrerades rättigheter kan verkställas och att det finns en existerande verksamhetsmodell för dem.

Datasäkerhet och det tekniska genomförandet 

Datasäkerhet kräver också tekniskt genomförande. Kontrollera att era datasäkerhetslösningar är uppdaterade och aktuella. Dessutom lönar det sig att kontrollera att lösenordspraxisen är klar för alla och att den följs. Kontrollera också att admin-lösenorden är datasäkra.

Lista av saker att uppmärksamma beträffande det tekniska genomförandet:

  • Gör en lista på de system, program, appar och apparater som anknyter till behandlingen av personuppgifter, och kontrollera nivån på deras datasäkerhet
  • Kontrollera att systemens funktion motsvarar vad som dokumenterats och planerats inom verksamhetsmodellen
  • Om man använder en utomstående part för att behandla personuppgifterna, kontrollera också det tekniska genomförandet för deras del. Ingå ett avtal om behandlingen av personuppgifter med parten (eller en avtalsbilaga).
  • Skapa en verksamhetsmodell i fall av personuppgiftsincidenter.

Avtal och dataskyddsombud

Bekanta dig med avtalen som ingåtts med serviceproducenterna och kontrollera att man beaktat behandlingen av personuppgifter i dem enligt GDPR. Utnämn också ett dataskyddsombud, som antingen kan vara en anställd inom organisationen eller en utomstående aktör.

  • Uppdatera vid behov avtal eller lägg till en dataskyddsbilaga
  • Beakta särskilt avtal som ingås med personerna som behandlar personuppgifterna
  • Som personuppgiftsansvarig kan du kräva en ändamålsenlig beskrivning/bilaga
  • Fäst uppmärksamhet vid att man i avtalen har diskuterat ansvar och datasäkerhetsfrågor. Det lönar sig också att genom avtal fastställa förfaranden i fall av personuppgiftsincidenter
  • Om ingen tidigare haft ansvar för dataskydds och -säkerhetsfrågor, tillsätt en sådan person nu och bestäm också om vikariepraxis
  • Kontrollera också att företagets ledning har den information de behöver om dataskydd och behandlingen av personuppgifter

Överenstämmelse mellan verksamhetsmodell och teknik 

När du skapar en verksamhetsmodell för behandlingen av personuppgifter, uppmärksamma programmen och systemen som används vid behandlingen. Uppdatera vid behov systemen så att de motsvarar kraven. Ofta har olika system/programvara/appar uppdaterats till att överensstämma med GDPR. Om allt inte kan göras på en gång, gör upp en plan för genomförandet.

Om den tekniska lösningen inte överensstämmer med GDPR, och den inte kan uppdateras, hitta alternativa lösningar. Se till att behandlingen av personuppgifter också tekniskt är så okomplicerat som möjligt. Se till att enbart de personer till vars arbetsuppgifter det hör kan behandla personuppgifter. För att garantera detta kan man till exempel använda sig av olika roller.

Du kan bekanta dig med dataskydd och datasäkerhet genom en utbildningsserie som tillhandahålls av kunskapscentret för digitalt ungdomsarbete här.

Visa alla vinkar