Rutin för personuppgiftshantering

 

RUTINER FÖR PERSONUPPGIFTSHANTERING

Personuppgiftsansvarig: Pålänge friskola ekonomisk förening – styrelsen

1       Rutin för hur en begäran om tillgång, rättelse, begränsning eller radering ska hanteras

A.    Skriftlig begäran skall lämnas in till verksamhetsledaren

B.    Verksamhetsledaren följer rutiner för inkommen begäran (dokumentation, registerutdrag, rättelse, radering)

2       Rutin för hur en personuppgiftsincident ska hanteras och säkerställande av att konsekvensbedömningar genomförs när så behövs

A.    Förberedelser för att hantera personuppgiftsincidenter

  • Vi vet hur vi känner igen en personuppgiftsincident.
  • Vi förstår att en personuppgiftsincident inte bara handlar om förlust eller stöld av personuppgifter.
  • Vi har rutiner för hur vi ska agera inom organisationen om en personuppgiftsincident inträffar.
  • Vi har utsett en person som ansvarig för att hantera personuppgiftsincidenter.
  • Vår personal vet hur de ska rapportera personuppgiftsincidenter till rätt person.

B.    Att anmäla personuppgiftsincidenter

  • Vi har rutiner för att kunna bedöma riskerna för personer som har drabbats av en personuppgiftsincident.
  • Vi vet att det är Datainspektionen som är tillsynsmyndighet för vår verksamhet.
  • Vi har rutiner för att meddela Datainspektionen om det har inträffat en personuppgiftsincident. Rutinen säger att vi ska rapportera inom 72 timmar efter att ha upptäckt personuppgiftsincidenten. Vi rapporterar då, även om vi inte har alla detaljer än.
  • Vi vet vilken information vi måste ge Datainspektionen när en personuppgiftsincident har inträffat.
  • Vi har rutiner för att informera de registrerade personerna när det är troligt att en personuppgiftsincident medför en hög risk för deras rättigheter och friheter.
  • Vi vet att vi i så fall måste informera de registrerade personerna omedelbart.
  • Vi vet vilken information om personuppgiftsincidenten som vi måste ge till de registrerade personerna, och att vi bör ge råd för att hjälpa dem att skydda sig från dess effekter.
  • Vi dokumenterar alla personuppgiftsincidenter, även de som inte behöver anmälas till Datainspektionen.

 

3       Rutin för hur en begäran om överföring av personuppgifter ska hanteras. (När den som uppgiften avser begär att få ta informationen med sig och i vilken form den ska tillhandahållas)

  • Överföring sker i utskrift antingen personligt överlämnat eller i rekommenderat brev till personen.