Personuppgifter och GDPR

Här hittar du information om dataskyddsförordningen (GDPR) och hur du anmäler hantering av personuppgifter.

Kontakt

Kontaktuppgifter till Motala kommuns dataskyddsombud:

Erik Österberg, Insatt AB
E-post: dataskyddsombud@motala.se

När kommunen eller någon annan myndighet behandlar personuppgifter ska behandlingen uppfylla de grundläggande principerna som anges i dataskyddsförordningen, även kallad GDPR. Det innebär bland annat att personuppgifter bara får samlas in för berättigade ändamål och att mängden uppgifter ska begränsas till vad som är nödvändigt för ändamålen. Uppgifterna får inte heller sparas längre än nödvändigt.

Rättsliga grunder

Utöver de grundläggande principerna måste det även finnas en rättslig grund för behandlingen, exempelvis:

  • avtal, exempelvis ett anställningsavtal
  • rättslig förpliktelse
  • uppgift av allmänt intresse eller myndighetsutövning
  • samtycke

Personuppgifter är information som direkt eller indirekt kan kopplas till en enskild individ som är i livet. Direkta identifierare är till exempel:

  • namn
  • personnummer
  • fotografi
  • annan personspecifik information

Indirekta personuppgifter kan vara till exempel:

  • registreringsskylt
  • e-postadress
  • bostadsadress
  • IP-adresser
  • kön
  • ålder

Om sådana uppgifter kommer på avvägar, kan det få allvarliga konsekvenser.

Dataskyddsförordningen reglerar hantering av personuppgifter som behandlas automatiskt eller halvautomatiskt. All information som behandlas digitalt sker per definition automatiskt. Det betyder att all information som du hanterar i en dator behandlas automatiskt.

Information på papper som har en digital förlaga, alltså en utskrift från datorn, är att se som halvautomatisk behandling. Det gäller även information som samlas in med papper och penna med avsikten att föras in i en dator.

Även ett pappersregister som är upprättat på ett sätt som gör det sökbart på två kriterier eller fler är också att se som halvautomatiskt behandling.

När du ska behandla personuppgifter är det viktigt att du är försiktig och inte behandlar fler uppgifter än vad som är nödvändigt. Du kanske redan utför behandling av personuppgifter utan att du är medveten om det. Fundera på nedanstående frågor:

  • Har du på egen hand upprättat dokument med personuppgifter som du lagrar i din dator eller på nätverket?
  • Har du skapat egna register innehållande personuppgifter på din hårddisk eller lagringsutrymme som L: eller W:? Tänk på att register är ett brett begrepp som innefattar även enkla listor som du sammanställt. Det kanske är en lista över kollegornas matallergier inför en temadag som du organiserade för fem år sedan?
  • Har du ett pappersregister med sökbara personuppgifter?
  • Har du tagit fotografier på personer?

Svarade du ja på någon av de föregående frågorna måste du bedöma om handlingen med registret/dokumentet/bilden fortsättningsvis är nödvändig att behålla för ditt arbete. Är handlingen nödvändig måste den registreras i det allmänna register över personuppgiftsbehandlingar som din förvaltning har. Du måste också ange vilken rättslig grund du har för att hantera uppgifterna.

Om du kommer fram till att du måste behandla personuppgifter ska du göra en riskbedömning för att värdera om behandlingen sannolikt leder till en hög risk för enskilda personers fri- och rättigheter. Om så är fallet måste en regelrätt konsekvensbedömning genomföras enligt stadgarna i dataskyddsförordningen. Vid en sådan ska dataskyddsombudet medverka.

För att bedöma detta ska du värdera om två eller fler av de nedan uppräknade kriterierna i punktlistan stämmer in på behandlingen. Bygger personuppgiftsbehandlingen på poängsättning eller utvärdering.

  • Personuppgiftsbehandlingen genererar ett automatiskt beslut.
  • Det rör sig om systematisk övervakning.
  • Det förekommer känsliga uppgifter eller uppgifter av mycket personlig karaktär.
  • Uppgifter som behandlas i stor omfattning. Bedömt på antalet registrerade, mängden uppgifter, databehandlingens varaktighet och behandlingens geografiska omfattning.
  • Matchande eller kombinerande uppgiftsserier från två eller fler behandlingar.
  • Uppgifter som rör sårbara registrerade.
  • Innovativa användningar eller tillämpning av ny teknik.

Uppfylls inte kriterierna i listan nedan men du ändå anser att personuppgiftsbehandlingen innebär särskilt hög risk ska du ändå göra en konsekvensbedömning. Obs! I tveksamma fall ska alltid en konsekvensbedömning utföras. Rådgör med dataskyddsombudet.

Vid genomförandet av en konsekvensbedömning ska en analys utföras över de risker personuppgiftsbehandlingen kan innebära och förslag på lämpliga säkerhetsåtgärder. Riskerna och åtgärderna ska dokumenteras för att kunna visa att förordningen efterlevs (accountability).

Du kan läsa mer om vad som ska tas hänsyn till vid en konsekvensbedömning på Integritetsskyddsmyndighetens hemsida eller i de riktlinjer som en arbetsgrupp i EU har arbetat fram.

Mall för konsekvensbedömning

Konsekvensbedömning avseende dataskydd, Wordmall

Om en registrerad begär att få utöva sina rättigheter ska vi svara snarast, eller inom en månad. I svaret ska vi beskriva vad vi gjort för att uppfylla begäran. Om vi inte lyckas tillgodose begäran ska vi beskriva vad vi gjort samt informera den registrerade om rätten att klaga hos Integritetsskyddsmyndigheten, eller ta fallet till domstol.

Att behandla sådana förfrågningar kräver goda rutiner och att vi vet vilka register som finns där vi kan söka fram personuppgifter. Det är därför det är viktigt att alla register registreras.

När det gäller allmänna handlingar har arkivlagstiftningen företräde framför dataskyddsförordningens bestämmelser. Intresset av att bevara allmänna handlingar och leva upp till offentlighetsprincipen prioriteras framför integritetsskyddet.

Du ska alltså inte radera personuppgifter om de utgör allmänna handlingar. Radering (gallring) av allmänna handlingar ska alltid ske enligt en antagen dokumenthanteringsplan.

Läs mer om vad som är en allmän handling.

Personuppgiftsansvar för arkiverade handlingar

När verksamheten lämnar över arkivmaterial till centralarkivet upphör personuppgiftsbehandlingen. Det är centralarkivet som då har ansvar för de behandlingar av personuppgifter som sker därefter.

Rätten till radering

Den enskildes rätt att få sina egna personuppgifter borttagna gäller inte uppgifter i allmänna handlingar om behandlingen är nödvändig för arkivändamål.

Kontakt

För frågor om vad som gäller kring personuppgifter vid arkivering, kontakta centralarkivet på centralarkivet@motala.se.

Personuppgiftsbegreppet är brett och innebär även fotografier, filmer och ljudfiler där en person, direkt eller indirekt, kan identifieras. Vissa personuppgifter som t ex information om en persons hälsa eller sexuella läggning räknas också som extra känsliga. När bilder, filmer eller ljudklipp med identifierbara personer ska lagras och publiceras måste verksamheten stödja sig på någon av de rättsliga grunder som anges i dataskyddsförordningen.

Läs mer om vad som gäller:

Gemensamma anvisningar för publicering av bilder, fim och ljud enligt dataskyddsförordningen

I vissa fall stödjer vi oss på skriftliga samtycken när vi ska fotografera eller filma personer. Nedanstående blanketten ska då fyllas i av personen som fotograferas eller filmas. Du fyller i den styrelse eller nämnd som din verksamhet lyder under, exempelvis kommunstyrelsen eller socialnämnden. Samtycket ska lagras tillsammans med bilden/filmen/ljudklippet vilket kommunens centrala mediabank möjliggör. Det ska också vara enkelt för en individ att dra tillbaka sitt samtycke och att då ta bort berörda personuppgifter från användning.

Samtycke till användning av personuppgifter i bilder

Läs mer

Personuppgiftsincident

Personuppgiftsbiträdesavtal

Kommunanställdas personuppgifter

Integritetsskydds-myndigheten (IMY)

Integritetsskyddsmyndigheten (tidigare Datainspektionen) är tillsynsmyndighet för hantering av personuppgifter.

Motala kommuns externa webb

Information om personuppgifter på Motala kommuns externa webbplats.
ß