GDPR - Dataskyddsförordningen
Dataskyddsförordningen (även kallad GDPR - General Data Protection Regulation) reglerar hur vi ska behandla personuppgifter.
Kort om förordningen
- Alla personuppgiftsbehandlingar måste ha rättslig grund, till exempel avtal (anställningsavtal, avtal med kund), allmänt intresse (forskning, statistik, arkiv) myndighetsutövning (bygglov, ekonomiskt bistånd) och rättsliga förpliktelser (till exempel bokföringsskyldighet). Har vi ingen rättslig grund kan vi i vissa fall arbeta med samtycken.
- Varje verksamhet ansvarar för sina egna personuppgiftbehandlingar
- Rättigheterna stärks för enskilda personer. Det ställs strängare krav på att vi ska informera om hur vi hanterar medborgarens personuppgifter
- Kraven på IT-system som hanterar personuppgifter stärks. Personuppgifter ska exempelvis skyddas så att bara de som är behöriga kan se eller arbeta med uppgifterna. Uppgifterna måste även skyddas så de inte förstörs genom olyckshändelse
- Ändamålet måste vara tydligt vid insamlingen av uppgifter. Vi får inte samla in fler personuppgifter än nödvändigt, till exempel för att "det kan vara bra att ha"
- En sanktionsavgift kan utdömas vid brott mot förordningen. Det är Integritetsskyddsmyndigheten (IMY) som är tillsynsmyndighet.
- Vid brott mot dataskyddsförordningen eller datalagen kan även den eller de drabbade begära skadestånd/ersättning
Du har rätt att begära att kommunen rättar dina personuppgifter om de är felaktiga, att kommunen raderar dina personuppgifter eller att invända mot att personuppgifterna behandlas. Kommunen har dock oftast rätt att ändå behandla dina personuppgifter. Du har även rätt att få bekräftelse på om dina personuppgifter behandlas, vilka personuppgifter det är och viss annan information knuten till det, så kallat registerutdrag. För att begära registerutdrag kan du använda vår e-tjänst som du når här. Som huvudregel kan du bara begära registerutdrag för dina egna personuppgifter.
Dataskyddsombud
Vi har ett dataskyddsombud
Myndigheter är skyldiga att ha ett datsskyddsombud. Dataskyddsombudet har som uppgift att bland annat kontrollera att kommunen följer EU:s dataskyddsförordning, som gäller som lag i Sverige och har ersatt personuppgiftslagen (PuL).
Fagersta kommuns dataskyddsombud når du enklast genom att mejla eller ringa växeln 0223-44 000.
Registrera personuppgiftsbehandlingar
Alla personuppgiftsansvariga (respektive nämnd) ansvarar för sina personuppgiftsbehandlingar. Alla behandlingar ska finnas i ett gemensamt register och de olika enheterna/verksamheterna är i sin tur ansvariga för att registret både är kvalitetssäkrat och uppdaterat.
Registret hjälper oss ha kontroll över vilka personuppgiftsbehandlingar vi utför i kommunen. Det hjälper oss också att, på ett systematiskt sätt, kontrollera att vi till exempel har en rättslig grund att behandla uppgifterna.
Registret är en total kartläggning av alla behandlingar av personuppgifter som utförs inom respektive nämnd. Det ger en översikt över alla register, system och dokument där personuppgifter förekommer.
Rapportera personuppgiftsincidenter
Definition
En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättighetererna inskränks.
Exempel:
- diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning
- finansiell förlust
- brott mot sekretess eller tystnadsplikt
En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har
- blivit förstörda
- gått förlorade på annat sätt
- kommit i orätta händer
Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter. (Källa: Integritetsskyddsmyndigheten (IMY)).
Exempel på incidenter:
- Någon har kommit över ett lösenord som gör att den skulle kunna logga in i system som behandlar personuppgifter
- Ett mail med känsligt eller extra skyddsvärda personuppgifter skickas till fel mottagare
- Ett glömt papper i skrivare som innehåller uppgifter om namn och sjukdomstillstånd
- En dator har fått skadlig kod som gör att obehörig skulle kunna komma åt personuppgifter
Rapportera personuppgiftsincident
Personuppgiftsbiträdesavtal (PUB-avtal)
Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Ett PUB-avtal är ett avtal som skrivs mellan personuppgiftsansvarig och våra personuppgiftsbiträden (leverantörer som på uppdrag av oss behandlar personuppgifter).
Varje enhet ansvarar för att PUB-avtal ingås med samtliga leverantörer/anordnare eller övriga externa aktörer där personuppgifter överlämnas för behandling.
I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som den personuppgiftsansvarige ska vidta.
Lagringsminimering, arkivering och gallring
En av de grundläggande principerna i dataskyddslagstiftningen är principen om lagringsminimering, det vill säga att samla in så få personuppgifter som möjligt. Du får bara samla in de uppgifter som behövs för att kunna utföra arbetet.
Om dokumenthanteringsplaner och arkivering alternativt gallring
När verksamhetens grund för behandling upphör ska uppgiften arkiveras alternativt gallras. Detta ska framgå i en dokumenthanteringsplan som ska hållas uppdaterad. Den talar om hur allmänna handlingar hos verksamheten ska hanteras och förvaras. Detta säkerställer en enhetlig hantering i kommunen och underlättar vid sökning av information. Den kan även vara ett hjälpmedel för att snabbt få en uppfattning om vad man arbetar med för typ av information i verksamheten och hur den hanteras.
Det finns många behov att ta hänsyn till och det är inte alldeles lätt att komma fram till när tidpunkten infaller då behandlingen ska upphöra och uppgifterna ska arkiveras alternativt gallras . Därför är det viktigt att på varje enhet och i varje system/behandling tänka igenom vilka rutiner som är bäst för er verksamhet och för integritetsskyddet.
Dataskyddsförordningen och arkivering
Arkivering ska ske på separat plats, det vill säga ej i de system du arbetar i.
Dataskyddsförordningen reglerar behandlingen (inhämtande, hantering och lagring) av personuppgifter i verksamheten. Ett syfte är att säkerställa bättre kontroll och säkerhet kring behandlingen.
Offentlighetsprincipen (med reglerna i tryckfrihetsförordningen, offentlighets- och sekretesslagen samt arkivlagen) syftar till att säkerställa allmänhetens tillgång till allmänna handlingar. Dataskyddsförordningen hindrar inte kommunen från att lämna ut allmänna handlingar enligt offentlighetsprincipen.
Arkivlagen reglerar skyldigheten för bland annat kommuner att bevara sina allmänna handlingar.
Dataskyddsförordningen ställer krav på att personuppgifter ska arkiveras alternativt gallras när verksamhetens syfte/grund för behandlingen upphört. Det är därför viktigt att se över och ha väl övervägda tidsfrister i dokumenthanteringsplanerna.
Samtycke
Samtycke kan bara användas när det verkligen föreligger ett fritt val för den registrerade. Samtycke får inte användas när det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige.
Myndighetens ansvar är att visa att den registrerade har fått tydlig information och gjort ett fritt och aktivt val att samtycka.
Vid publicering av bilder kan myndigheten komma att använda sig av allmänt intresse eller samtycke som rättslig grund för publicering av bilder i enlighet med artikel 6.1 Dataskyddsförordningen. Om samtycke används ska detta tydligt framgå och information om detta ska lämnas av myndigheten.
Informationsplikt
Den registrerade har rätt att få information när hens personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige både när uppgifterna samlas in och när den registrerade annars begär det. Därutöver finns det vissa tillfällen när särskild information ska ges till den registrerade, till exempel om det inträffar ett dataintrång eller liknande (en personuppgiftsincident) hos den personuppgiftsansvarige och det finns risk för till exempel identitetsstöld eller bedrägeri.
Informationen ska tillhandahållas den registrerade kostnadsfritt i en lättillgänglig, skriftlig form (vilket kan vara i elektronisk form) och med ett tydligt och enkelt språk. I dataskyddsförordningen anges utförligt vilken information som ska ges. Bland annat ska information lämnas om kontaktuppgifter till den personuppgiftsansvarige, den rättsliga grunden för behandlingen och ändamålet med behandlingen.
Om personuppgifter som rör en registrerad person samlas in ska vi lämna följande information:
- Identitet och kontaktuppgifter för den ansvariga nämnden
- Ändamålen med behandlingen
- Den rättsliga grunden för behandlingen
- Den period personuppgifterna kommer att lagras
Efterlevnad
Vi ska kunna visa att vi följer Dataskyddsförordningen. Omvänd bevisbörda tillämpas. Det innebär att Integritetsskyddsmyndigheten (IMY) (som är tillsynsmyndighet) inte behöver visa att vi gjort fel, utan vi måste istället visa att vi gjort rätt.
Detta gör vi bland annat genom att skapa ordning och reda och ha ett strukturerat och medvetet arbetssätt.
Ett effektivt sätt att visa på efterlevnad av lagen är att dokumentera det vi gör, till exempel genom att arbeta utifrån områdena som beskrivits ovan och dokumentera utfallet. Exempel på dokumentation:
- Register över personuppgiftsbehandlingar
- Dokumenthanteringsplaner
- Säkerhetsskyddsanalyser
- Klassningar av system
- Beslutsunderlag till varför vi valt att hantera personuppgifter på ett visst sätt
- Åtgärdsplaner
- Utförda åtgärder vid incidenter
- Kravställning på systemleverantörer
- PUB-avtal i enlighet med dataskyddsförordningen
Dina rättigheter som registrerad
Som registrerad har du flera rättigheter.
Rätt till tillgång – begär registerutdrag
Du kan begära att få besked om Fagersta kommun behandlar personuppgifter som rör dig. Ett så kallat registerutdrag. Du kan även begära ett registerutdrag för annan person, till exempel om du är vårdnadshavare.
Rätt till rättelse
Om du anser att personuppgifterna som rör dig är felaktiga eller ofullständiga kan du begära att få uppgifterna rättade eller kompletterade.
Rätt att göra invändningar
Som registrerad kan du invända mot behandlingen av dina personuppgifter. Om Fagersta kommun inte kan visa att det finns tvingande, berättigade skäl att fortsätta att behandla uppgifterna måste vi upphöra med behandlingen.
Rätt till begränsning av behandling
Du har i vissa fall möjlighet att kräva begränsning av behandlingen av dina personuppgifter.
Rätt till radering
Du kan i vissa fall få dina personuppgifter raderade. Det brukar kallas för rätten att bli bortglömd. Dock kan Fagersta kommun inte radera dina uppgifter om
- De behövs för att kommunen ska kunna fullgöra sitt uppdrag
- Det finns en annan laglig grund
- De framgår av en allmän handling
Rätt till dataportabilitet
Om Fagersta kommun behandlar personuppgifter om dig för att uppfylla ett avtal har du i vissa fall möjlighet att få ut de personuppgifter som rör dig för att kunna använda dessa på annat håll, till exempel för att överföra dem till en annan personuppgiftsansvarig.
Rätt att återkalla samtycke
Har du lämnat ett samtycke till en personuppgiftsbehandling har du rätt att när som helst återkalla ditt samtycke. Ett återkallande innebär dock inte att lagligheten av personuppgiftsbehandlingen som utförts innan återkallandet påverkas. Det är inte säkert att dina uppgifter raderas vid ett återkallat samtycke då de kan förekomma i allmänna handlingar.
Rätt till information om ytterligare behandling
Om dina personuppgifter ska behandlas för en annan anledning än den ursprungliga, så får du information om det innan ny behandling påbörjas.
Fråga eller klaga
Om du har frågor om behandlingen eller vill utöva dina rättigheter kan du kontakta vårt dataskyddsombud:
Om du tycker att Fagersta kommun behandlar dina personuppgifter i strid med dataskyddsförordningen kan du klaga hos Integritetsskyddsmyndigheten (IMY).
Personuppgifter i sociala medier och på webbplatsen
Om du använder sociala medier för att komma i kontakt med Fagersta kommun överförs information och personuppgifter till tredje part (företaget eller organisationen som driver det sociala mediet, till exempel Facebook eller Instagram). Informationen kan även bli tillgänglig utanför EU/ESS.
Du ska aldrig skicka känslig information till oss via sociala medier, till exempel personnummer eller kontaktuppgifter till dig själv eller någon annan. Om integritetskänsliga eller andra känsliga uppgifter förekommer i Fagersta kommuns sociala medier tar vi bort dem.
Vi raderar överflödiga personuppgifter på fagersta.se
Du ska bara lämna personuppgifter på fagersta.se då det tydligt framgår att de behövs för hanteringen av ditt ärende. Vi raderar alla överflödiga personuppgifter, till exempel om du anger kontaktuppgifter i ett fritextfält.
Senast ändrad:
Test