3 kap. Personuppgiftsansvarigas skyldigheter

De tekniska och organisatoriska åtgärder som den personuppgiftsansvarige ska vidta enligt 3 kap. 2 och 3 §§ brottsdatalagen (2018:1177) ska vara rimliga med hänsyn till behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen. När den personuppgiftsansvarige vidtar åtgärder enligt 3 kap. 3 § samma lag ska även de tekniska möjligheterna och kostnaderna för åtgärderna beaktas.

De tekniska och organisatoriska åtgärder som avses i 3 kap. 2 § brottsdatalagen (2018:1177) ska innefatta antagande och dokumentation av interna strategier för dataskydd, om det inte är uppenbart obehövligt med hänsyn till verksamhetens begränsade omfattning.

Den personuppgiftsansvarige ska föra en förteckning över de kategorier av behandlingar av personuppgifter som denne ansvarar för. Förteckningen ska innehålla namnet på och kontaktuppgifter till den personuppgiftsansvarige, gemensamt personuppgiftsansvariga och dataskyddsombud. Förteckningen ska dessutom, för varje kategori av behandling, innehålla följande uppgifter: 1. den rättsliga grunden för behandlingen, 2. ändamålen med behandlingen, 3. de kategorier av tjänstemän som har tillgång till de personuppgifter som behandlas, 4. de kategorier av mottagare som uppgifterna kan komma att lämnas ut till, även i tredjeland eller internationella organisationer, 5. de kategorier av registrerade som berörs av behandlingen, 6. de kategorier av personuppgifter som kan komma att behandlas, 7. samlingar av överföringar av personuppgifter till tredjeland eller internationella organisationer, 8. användning av profilering, 9. om det är möjligt, tidsfrister för hur länge kategorierna av personuppgifter får behandlas, och 10. om det är möjligt, en allmän beskrivning av vilka säkerhetsåtgärder som har vidtagits.

Skyldigheten att föra loggar i automatiserade behandlingssystem enligt 3 kap. 5 § brottsdatalagen (2018:1177) ska omfatta behandlingar som innebär insamling, ändring, läsning, utlämning, överföring till tredjeland eller internationella organisationer, sammanföring och radering av personuppgifter. Loggarna över läsning och utlämning ska visa datum och tidpunkt för behandlingen och, så långt det är möjligt, vem som har läst eller lämnat ut personuppgifterna och vem som har fått ta del av personuppgifterna.

Vid tilldelning av behörighet för åtkomst till personuppgifter ska, utöver behovet av uppgifterna, utbildning och erfarenhet särskilt beaktas.

I en behörig myndighet ska det finnas rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter.

Tillgången till uppgifter om tidigare brottsmisstankar ska särskilt begränsas.

Konsekvensbedömningar som avses i 3 kap. 7 § första stycket brottsdatalagen (2018:1177) ska dokumenteras och innehålla följande uppgifter: 1. en allmän beskrivning av den planerade behandlingen, 2. en bedömning av riskerna för intrång i registrerades personliga integritet, 3. vilka åtgärder som planeras för att hantera riskerna, 4. åtgärder och rutiner för att säkerställa skyddet av personuppgifterna, och 5. rutiner för att visa att tillämpliga dataskyddsregler följs.

Vid förhandssamråd enligt 3 kap. 7 § andra stycket brottsdatalagen (2018:1177) ska den personuppgiftsansvarige lämna in konsekvensbedömningen till tillsynsmyndigheten och tillhandahålla den övriga information som begärs av myndigheten. Vid bedömningen av om typen av behandling innebär en sådan risk för intrång i registrerades personliga integritet att förhandssamråd ska äga rum ska ny teknik, nya rutiner eller nya förfaranden särskilt beaktas.

Den personuppgiftsansvarige ska ha interna rutiner för anmälan av överträdelser av bestämmelser om personuppgiftsbehandling som garanterar att anmälarens identitet skyddas.

Säkerhetsåtgärder enligt 3 kap. 8 § brottsdatalagen (2018:1177) ska åstadkomma en skyddsnivå som är lämplig med hänsyn till 1. de tekniska möjligheterna, 2. kostnaderna för åtgärderna, 3. behandlingens art, omfattning, sammanhang och ändamål, 4. de särskilda riskerna med behandlingen, 5. om känsliga personuppgifter behandlas, och 6. hur integritetskänsliga övriga personuppgifter som behandlas är.

En anmälan enligt 3 kap. 9 § första stycket brottsdatalagen (2018:1177) ska innehålla följande information: 1. en beskrivning av personuppgiftsincidenten och när den inträffade, 2. om det är möjligt, kategorier av registrerade och det uppskattade antalet registrerade som berörs samt kategorier av personuppgiftsposter och det uppskattade antalet poster som berörs, 3. sannolika konsekvenser av incidenten, 4. vilka åtgärder som vidtagits eller kommer att vidtas med anledning av incidenten, 5. genomförda eller planerade underrättelser till registrerade, och 6. namnet på och kontaktuppgifter till dataskyddsombud eller annan lämplig kontaktpunkt. All information enligt första stycket ska lämnas samtidigt om det är möjligt. Om anmälan görs senare än 72 timmar efter det att personuppgiftsincidenten blev känd för den personuppgiftsansvarige, ska förseningen förklaras.

En underrättelse enligt 3 kap. 10 § första stycket brottsdatalagen (2018:1177) ska innehålla följande uppgifter: 1. en beskrivning av personuppgiftsincidenten och när den inträffade, 2. bedömda konsekvenser för den registrerade, 3. vilka åtgärder som vidtagits eller kommer att vidtas med anledning av personuppgiftsincidenten, 4. åtgärder som den registrerade kan vidta för att begränsa skadan, och 5. kontaktuppgifter till dataskyddsombud eller annan lämplig kontaktpunkt.

Den personuppgiftsansvarige ska dokumentera alla personupp-giftsincidenter. Av dokumentationen ska omständigheterna kring incidenten framgå tillsammans med dess effekter och de åtgärder som vidtagits med anledning av den.

Om en personuppgiftsincident som enligt 3 kap. 9 § brottsdatalagen (2018:1177) ska anmälas till tillsynsmyndigheten rör personuppgifter som kommer från eller har lämnats till en behörig myndighet i en annan medlemsstat, ska sådan information som anges i 12 § första stycket utan onödigt dröjsmål lämnas till den myndigheten.

Den personuppgiftsansvarige ska säkerställa att dataskyddsombud ges möjlighet att delta i de frågor som rör skyddet av personuppgifter. Den personuppgiftsansvarige ska se till att dataskyddsombud kan utföra de uppgifter som anges i 3 kap. 14 § brottsdatalagen (2018:1177) genom att tillhandahålla nödvändiga resurser, ge tillgång till dokumentation om behandling av personuppgifter och vid behov medge åtkomst till personuppgifter som behandlas. Den personuppgiftsansvarige ska också se till att dataskyddsombud har den sakkunskap som krävs och att de ges möjlighet att upprätthålla denna.

Ett avtal eller en annan överenskommelse enligt 3 kap. 16 § andra stycket brottsdatalagen (2018:1177) ska ange vad behandlingen av personuppgifter ska avse, hur länge behandlingen ska pågå, dess art och ändamål, typen av personuppgifter, kategorier av registrerade och den personuppgiftsansvariges skyldigheter och rättigheter. I avtalet eller överenskommelsen ska det särskilt föreskrivas att personuppgiftsbiträdet ska 1. behandla personuppgifter bara enligt instruktioner från den person-uppgiftsansvarige, 2. säkerställa att personer som har tillstånd att behandla personuppgifter antingen har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt, 3. hjälpa den personuppgiftsansvarige att säkerställa att bestämmelserna om registrerades rättigheter följs, 4. radera eller återlämna alla personuppgifter till den personuppgiftsansvarige när uppdraget har slutförts och, om inte annat följer av lag eller förordning, radera befintliga kopior, 5. ge den personuppgiftsansvarige tillgång till den information som krävs för att visa att det som sägs i denna paragraf, 18 § och 3 kap. 16-18 §§ brottsdatalagen följs, och 6. respektera de villkor som framgår av denna paragraf, 18 § och 3 kap. 17 § brottsdatalagen när ett annat personuppgiftsbiträde anlitas.

Om den personuppgiftsansvarige har lämnat ett generellt tillstånd enligt 3 kap. 17 § brottsdatalagen (2018:1177), ska personuppgiftsbiträdet informera den personuppgiftsansvarige innan nya personuppgiftsbiträden anlitas.

Varje personuppgiftsbiträde ska föra en förteckning över kategorier av behandlingar av personuppgifter som utförs för en personuppgiftsansvarigs räkning. Förteckningen ska innehålla namnet på och kontaktuppgifter till personuppgiftsbiträdet och dessutom, för varje kategori av behandling, följande uppgifter: 1. namnet på och kontaktuppgifter till eventuella underbiträden, 2. namnet på och kontaktuppgifter till den personuppgiftsansvarige som personuppgiftsbiträdet agerar för , 3. vilka uppgifter som har överförts och till vem, om överföringar av personuppgifter har gjorts till ett tredjeland eller en internationell organisation, och 4. om det är möjligt, en allmän beskrivning av de säkerhetsåtgärder som har vidtagits.

Ett personuppgiftsbiträde ska utan onödigt dröjsmål underrätta den personuppgiftsansvarige om en personuppgiftsincident.

Det som sägs om den personuppgiftsansvariges skyldigheter i 4 och 11 §§ gäller även för personuppgiftsbiträden.

Gemensamt personuppgiftsansvariga ska i en skriftlig överenskommelse reglera sina respektive förpliktelser i egenskap av personuppgiftsansvarig. I överenskommelsen ska det särskilt regleras 1. hur ansvaret för enskildas rättigheter ska utövas och vars och ens skyldighet att tillhandahålla information enligt 4 kap. 1 och 2 §§ brottsdatalagen (2018:1177), och 2. vem som ska vara kontaktpunkt för registrerade. En sådan överenskommelse som anges i första stycket får inte innebära att de personuppgiftsansvarigas författningsenliga skyldigheter inte fullgörs.

Tillsynsmyndigheten får meddela ytterligare föreskrifter om 1. sådana åtgärder som avses i 3 kap. 2-4 och 8 §§ brottsdatalagen (2018:1177), 2. krav och rutiner för loggning enligt 3 kap. 5 § brottsdatalagen, 3. vilka typer av behandlingar som ska omfattas av förhandssamråd enligt 3 kap. 7 § andra stycket brottsdatalagen, och 4. anmälan och underrättelse om personuppgiftsincidenter.