Behandling av personuppgifter

Personuppgifter är all slags information som kan kopplas till en levande person. Det exempelvis röra sig om namn, adress och personnummer. Ett organisationsnummer är en personuppgift om det handlar om en enskild firma. Det finns både direkta och indirekta personuppgifter.

Exempel på direkta personuppgifter
Uppenbara uppgifter som namn, personnummer, adress. 

Exempel på indirekta personuppgifter
Uppgifter som går att koppla till en individ som ip-adress, fastighetsbeteckning, diarienummer, kundnummer, e-postadress och telefonnummer. Även foton och ljudupptagningar räknas som personuppgifter. 

Extra skyddsvärda personuppgifter
Alla personuppgifter som rör barn är extra skyddsvärda. Det kan också vara uppgifter som handlar om brott, sådant som omfattas av sekretess och tystnadsplikt, omdömen eller ekonomiska förhållanden. Detta är uppgifter som lätt kan uppfattas som kränkande om de hanteras på fel sätt och ska hanteras extra varsamt. 

Känsliga personuppgifter
Det finns personuppgifter som inte får registreras om det inte finns mycket starka och tydliga skäl till att göra det. Det är uppgifter om

• Ras eller etniskt ursprung
• Politiska åsikter
• Facklig tillhörighet
• Hälsouppgifter
• Religiös eller filosofisk övertygelse
• Sexualliv eller sexuell läggning
• Biometriska (exempelvis fingeravtryck) och genetiska uppgifter (exempelvis DNA)

Ånge kommun behöver ibland registrera känsliga personuppgifter vid myndighetsutövande eller för att uppfylla ett lagkrav. Då används extra skyddsåtgärder för att ingen obehörig ska kunna ha tillgång till dessa uppgifter. 

Även personuppgifter som inte är bedömda som särskilt känsliga kan vara mer värda att skydda. Personuppgifter av mycket personlig eller privat natur anses generellt vara mer värda att skydda än andra typer av personuppgifter.

De registrerades rättigheter

Alla registrerade har rättigheter gentemot den som är personuppgiftsansvarig, beroende av vilken rättslig grund den aktuella behandlingen grundar sig på. Det innebär att det finns rättigheter som bara kan göras gällande under vissa förutsättningar.

Ånge kommun ska göra det möjligt för de registrerade att utöva sina rättigheter och dessa finns beskrivna i dataskyddförordningen (GDPR). Läs mer utförligt om de registrerades rättigheter hos Integritetsskyddsmyndigheten Länk till annan webbplats, öppnas i nytt fönster. som är tillsynsmyndighet i frågor som rör behandling av personuppgifter.

Rätt till information
Den registrerade har rätt att få information kring vad, varför, när, hur, hur länge, på vilken rättslig grund och av vem eller vilka dennes personuppgifter behandlas. Informationen ska lämnas kostnadsfritt i en lättillgänglig form med ett tydligt och enkelt språk.

Skulle en personuppgiftincident uppstå (till exempel ett dataintrång eller liknande) har den registrerade rätt att få information kring incidenten och hur Ånge kommun agerat för att återställa säkerheten kring dennes personuppgifter.

Den registrerade har rätt att få tillgång till sina personuppgifter som behandlas, men den som är vårdnadshavare till ett minderårigt barn har också rätt att ta del av personuppgifter som rör barnet. För att få tillgång till information om de personuppgifter som behandlas, ska en begäran om registerutdrag göras av den registrerade eller av vårdnadshavaren till ett barn.

Rätt till rättelse
Den registrerade har rätt att begära att felaktiga personuppgifter rättas och att ofullständiga personuppgifter kompletteras. Vissa registerlagstiftningar detaljerar hur denna rättighet ska tillämpas. Personuppgifter som behandlas i enlighet med viss lagstiftning får till exempel endast justeras under vissa förutsättningar. Om personuppgifterna kan rättas eller kompletteras inom gällande lagstiftningar ska detta ske så snart som möjligt.

Rätt till radering
Beroende på omständigheter i det enskilda fallet och vilken rättslig grund som behandlingen av personuppgifterna grundar sig på, kan den registrerade även ha rätt att få sina personuppgifter raderade. Rättigheten har begränsad tillämpning inom offentlig förvaltning eftersom de flesta behandlingar av personuppgifter vilar på en rättslig grund där exempelvis annan lagstiftning gör att rätten att radera inte är tillämplig.

Rätt till begränsning av behandling
Beroende på omständigheter i det enskilda fallet kan den registrerade ha rätt till begränsning av behandlingen av personuppgifterna till endast lagring under den tid det tar att utreda en invändning från den registrerade.

Rätt till dataportabilitet
Den registrerade har i vissa fall rätt att få tillgång till personuppgifter i ett format som gör dem möjliga att föra över till en annan personuppgiftsansvarig, det vill säga att få sina personuppgifter flyttade. Det kallas för dataportabilitet. Rättigheten har begränsad tillämpning inom kommuner eftersom merparten av personuppgiftsbehandlingarna vilar på en rättslig grund där dataportabilitet inte är tillämplig.

Rätt att göra invändningar
Om den lagliga grunden för behandlingen av personuppgifter baseras på berättigat intresse (intresseavvägning) eller allmänt intresse, har registrerade under vissa förutsättningar rätt att invända mot hur dennes personuppgifter behandlas.

Den enskilde har alltid rätt att invända mot att dennes personuppgifter används för direkt marknadsföring. En sådan invändning kan göras när som helst. Görs en invändning mot direkt marknadsföring, får personuppgifterna inte längre behandlas för sådana ändamål.

Särskilda regler gäller för personuppgifter som behandlas för vetenskapliga och historiska forskningsändamål eller statistiska ändamål.

En invändning gällande behandling av personuppgift gör du genom att kontakta den förvaltning eller nämnd/styrelse där personuppgiften behandlas. En invändning som kvarstår efter kontakt ska lämnas in skriftligen.

Rätt till återkallande av samtycke
Om den rättsliga grunden för en behandling av personuppgifter är ett samtycke från den registrerade så har denne rätt att återkalla samtycket. Ett återkallande av samtycket påverkar dock inte lagligheten av personuppgiftsbehandlingen för tiden innan samtycket återkallades. Efter ett återkallande får inte kommunen längre behandla de uppgifter som var kopplade till samtycket.

Rätt till klagomål
Om den registrerade inte är nöjd med hur Ånge kommun hanterar personuppgifterna, går det att vända sig till kommunens dataskyddsombud eller till Datainspektionen som är tillsynsmyndighet.

Dataskyddsombud, Matts Boman, Medelpads Räddningstjänstförbund, adress Björneborgsgatan 40, 854 60 Sundsvall. Tel 060-123200 vx, Mobil 070-188 78 87, e-postadress: dataskyddsombud@ange.se

Dataskyddsombudet har en fristående roll i förhållande till kommunen och kontrollerar att kommunen följer dataskyddsförordningen (GDPR) genom att utföra tillsyn och granskningar samt informera och ge stöd i tillämpningen av lagstiftningen.

Det är även möjligt att vända sig till Integritetsskyddsmyndigheten Länk till annan webbplats, öppnas i nytt fönster. som är tillsynsmyndighet i frågor som rör behandling av personuppgifter.

De grundläggande principerna

När personuppgifter behandlas i Ånge kommun, eller på uppdrag av Ånge kommun, ska de grundläggande principerna i dataskyddsförordningen (GDPR) vara uppfyllda. De grundläggande principerna anges i artikel 5 i Dataskyddsförordningen Länk till annan webbplats, öppnas i nytt fönster. och är:

• Laglig och öppen
• Ändamålsenlig
• Uppgiftsminimering
• Korrekthet
• Lagringsminimering
• Integritet och konfidentialitet
• Ansvarsskyldighet

Sammanfattande förklaringar av de grundläggande principerna

Syfte
Det ska vara tydligt vad personuppgiften ska användas till och syftet får inte ändras i efterhand. 

Relevans
Bara de uppgifter som behövs för att uppnå ändamålet med behandlingen ska samlas in, vilket innebär att ”bra att ha”-uppgifter inte samlas in. 

Radera
När uppgifterna inte längre behövs ska de tas bort, om det inte finns andra lagar som ställer krav på lagringstid. Uppgifter som är felaktiga har den registrerade rätt att få ändrade. 

Tillgång
Bara de som behöver ha tillgång till personuppgifterna i sitt arbete ska kunna se dem. 

Skydda
För att inte obehöriga ska få tillgång till uppgifterna så skyddas de genom olika säkerhetsåtgärder som till exempel bra lösenord och flerfaktorsinloggning (exempelvis sms-kod och e-legitimation). Kraven på skydd kan variera beroende på hur stor skada personuppgifterna kan orsaka den registrerade om de hanteras fel. 

Vetskap
Personer vars personuppgifter registreras ska få information om behandlingen på ett lättbegripligt sätt. Bland annat om hur länge uppgifterna lagras, vad syftet är med behandlingen och på vilken rättslig grund personuppgifterna behandlas. 

Hur Ånge kommun arbetar för att följa de grundläggande principerna 

För att kunna följa dataskyddsförordningen har Ånge kommun utbildat och informerat sina anställda om vad den nya lagen innebär. Det innebär förbättrade arbetssätt och förnyade mallar, riktlinjer och rutiner. Nedan följer några exempel på hur Ånge kommun arbetar för att uppfylla förordningen. Ånge kommun ska:

• Behandla personuppgifter på ett lagligt, korrekt och öppet sätt i förhållande till den vars personuppgifter registreras.
• Sträva efter att vara tydlig och konkret i beskrivningen av hur personuppgifter behandlas.
• Se till att personuppgifter behandlas på minst en utpekad rättslig grund och att annan lagstiftning som inverkar på behandlingen följs. Personuppgifter som hanteras utan rättslig grund är inte laglig.
• Göra en avvägning mellan den registrerades integritet och den egna verksamhetens effektivitet. 

Samtycke
Samtycke som rättslig grund är i de flesta fall inte nödvändigt för de uppgifter som hämtas in av kommunens olika verksamheter. Det beror på att behandlingen av uppgifterna har en annan rättslig grund som exempelvis myndighetsutövning, för att kunna fullgöra en skyldighet som åligger kommunen eller att det finns ett avtalsförhållande med den registrerade. 

Om ett samtycke behövs har den registrerade rätt att återkalla det. Då får de personuppgifter som är kopplade till samtycket inte längre behandlas.

Rättsliga grunder för behandling av personuppgifter

All behandling av personuppgifter måste stödja sig mot minst en rättslig grund. Finns det ingen rättslig grund är behandlingen av den personuppgiften inte laglig. En rättslig grund måste vara fastställd innan en behandling av personuppgifter påbörjas och den får inte bytas under en pågående behandling. 

I dataskyddsförordningen GDPR finns följande sex rättsliga grunder

• Samtycke
• Avtal
• Intresseavvägning (denna grund får myndigheter inte använda sig av)
• Rättslig förpliktelse
• Grundläggande intresse
• Myndighetsutövning och uppgift av allmänt intresse

Inom offentlig verksamhet som Ånge kommun tillhör är följande rättsliga grunder de vanligast förekommande:

• Avtal
• Rättslig förpliktelse
• Myndighetsutövning och uppgift av allmänt intresse

Kortfattad beskrivning av de rättsliga grunderna 

Samtycke
Den registrerade har lämnat ett godkännande på att dennes personuppgifter får behandlas för det syfte som är presenterat. Ett samtycke går alltid att återkalla. 

Avtal
Den registrerade har ett avtal med eller ska ingå avtal med någon av Ånge kommuns olika personuppgiftsansvariga (nämnder/styrelser och deras förvaltningar). 

Intresseavvägning 
Om den personuppgiftsansvariges intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella syftet får personuppgifter behandlas utan ett samtycke från den registrerade. Denna rättsliga grund får inte myndigheter använda sig av när de behandlar personuppgifter och den används därför inte av kommunen. 

Rättslig förpliktelse
Det finns lagar eller regler som står över dataskyddsförordningen GDPR och gör att den personuppgiftansvarige måste behandla vissa personuppgifter i sin verksamhet. 

Grundläggande intresse 
Den här rättsliga grunden innebär att personuppgifter får behandlas om det är nödvändigt för att rädda liv. I första hand kommer den att vara aktuell inom vården.

Myndighetsutövning och uppgift av allmänt intresse
Denna rättsliga grund är till för att Ånge kommun och andra offentliga verksamheter ska kunna utföra sina myndighetsuppgifter eller utföra uppgifter av allmänt intresse.  

Läs mer om de rättsliga grunderna Integritetsskyddsmyndigheten Länk till annan webbplats, öppnas i nytt fönster. som är tillsynsmyndighet i frågor som rör behandling av personuppgifter.

Begära ut, rätta, radera och flytta personuppgifter

Begära ut registerutdrag
Vill du veta vilka av dina personuppgifter som behandlas av Ånge kommun kan du begära ut ett registerutdrag. Som vårdnadshavare kan du även begära ut personuppgifter för minderårigt barn. Läs mer om begäran om registerutdrag via blankett.

Information och kommunikation
Ånge kommun ska informera om hur de registrerades personuppgifter behandlas och om vilka rättigheter de registrerade har enligt dataskyddsförordningen.

Den registrerade har rätt att få information när dennes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av Ånge kommun både när uppgifterna samlas in och när den registrerade begär det.

Informationen ska vara kortfattad, klar, tydlig och begriplig och ges i ett lättillgängligt format. Språket ska vara klart, tydligt, och anpassat till mottagaren, exempelvis om informationen är särskilt riktad till barn.

Ånge kommun ska ge informationen skriftligt och när det går även i elektronisk form. Om den registrerade begär det ska informationen ges muntligt, under förutsättning att den registrerade har styrkt sin identitet.

Kommunens ansvarsskyldighet

Ånge kommun har ett övergripande ansvar att inte bara följa dataskyddsförordningen (GDPR) utan även att visa hur alla nämnder och styrelser gör detta. Det kallas i dataskyddsförordningen för ansvarsskyldighet.

Detta innebär bland annat att Ånge kommun ska ta fram och följa dokumenterade planer för hur respektive nämnd arbetar för att uppfylla de krav dataskyddsförordningen (GDPR) ställer.

Personuppgiftsansvarig
Personuppgiftsansvarig är den som är ansvarig för att lagstiftningen följs och som bestämmer vilka personuppgifter som ska behandlas och vad de ska användas till.

Varje nämnd och styrelse i kommunen är personuppgiftsansvarig och därmed ytterst ansvarig för sin behandling av personuppgifter. Nämnderna ska ansvara för och kunna visa att de följer dataskyddsförordningens grundläggande principer.

Insamlande av personuppgifter
Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade syften och inte senare behandlas på ett annat sätt än vad som var syftet med dem.

Ånge kommun känner till och dokumenterar anledningen till att en viss personuppgift hanteras och att personuppgifterna inte senare används för en helt annan anledning som går emot den ursprungliga.

Personuppgifterna ska vara korrekta, relevanta och inte för omfattande i förhållande till syftet med att de samlades in.

Personuppgifter kan samlas in från den registrerade själv, via ett ombud eller via digitala system där personuppgifterna redan finns registrerade.

Korrekta personuppgifter
Personuppgifterna som Ånge kommun hanterar ska vara korrekta och om nödvändigt även uppdaterade. Felaktiga personuppgifter ska rättas eller raderas så snart som möjligt.

Inom vissa områden finns särskilda regler för hur rättelse och radering får ske och vem eller vilka som får utföra rättningen.

Lagring av personuppgifter
Personuppgifter får inte sparas längre än vad som behövs utifrån syftet med behandlingen. När syftet med behandlingen har uppnåtts, ska arkivering, gallring eller avidentifiering av personuppgifterna alltid övervägas. Ånge kommun styrs delvis av lagar som kräver att arkivering måste ske och att gallring inte är möjlig.

Skyddande av personuppgifter

Personuppgifter ska skyddas mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Är uppgifterna känsliga eller särskilt värda att skydda ska högre tekniska och organisatoriska krav ställas.

Utgångspunkten ska alltid vara att endast behöriga personer ska ges tillgång till skyddsvärd information.

Säkerhetsåtgärder
Ånge kommun måste se till att ha en lämplig säkerhet för hantering av personuppgifter, både tekniskt och organisatoriskt. Vad som är lämplig säkerhet beror bland annat på riskerna med behandlingen, vilken typ av uppgifter som behandlas, vilken skada det skulle kunna innebära för den registrerade och på de tekniska möjligheter som finns. Detta sker bland annat genom informationssäkerhetsklassning, riskanalys och konsekvensbedömningar (DPIA), som betyder Data Protection Impact Assessment.

Konsekvensbedömning (DPIA)
Vid en omfattande hantering av känsliga personuppgifter eller om det finns risk för att särskilda krav på skydd inte kan uppnås, ska Ånge kommun först genomföra en konsekvensbedömning avseende dataskydd i samråd med kommunens dataskyddsombud.

Om en sådan konsekvensbedömning innebär att de bedömda höga riskerna kvarstår måste Ånge kommun samråda med Integritetsskyddsmyndigheten Länk till annan webbplats, öppnas i nytt fönster. som är tillsynsmyndighet innan behandlingen påbörjas.

Dataskyddsförordningen och offentlighetsprincipen

Dataskyddsförordningen reglerar behandlingen av personuppgifter (inhämtande, hantering och lagring) i kommunens verksamheter, men den hindrar inte kommunen från att lämna ut allmänna handlingar enligt offentlighetsprincipen. I den delen innebär den nya lagstiftningen inte några förändringar jämfört med tidigare.

För kommunens verksamhet gäller offentlighetsprincipen som innebär en rätt för var och en att ta del av allmänna handlingar. Det innebär att du kan begära och få personuppgifter utlämnade oavsett för vilket ändamål personuppgiften ursprungligen behandlades.

Denna rätt gäller inte om handlingarna innehåller uppgifter som är belagda med sekretess enligt Offentlighets- och sekretesslagen Länk till annan webbplats.. Till exempel kan uppgifter sekretessbeläggas för att skydda enskildas personliga förhållanden inom skola, socialtjänst och hälso- och sjukvård.

Sekretess gäller bland annat för utlämning av personuppgifter som skulle medföra att personuppgiften behandlas i strid med dataskyddsförordningen eller dataskyddslagen.

Dataskyddsombudet

Om den registrerade inte är nöjd med hur Ånge kommun hanterar personuppgifterna går det att vända sig till kommunens dataskyddsombud eller till Datainspektionen som är tillsynsmyndighet.

Dataskyddsombud, Camilla Eriksson, Sundsvalls kommun, Mobiltelefon: 072-146 51 19 och
e-post: dataskyddsombud@sundsvall.se

Dataskyddsombudet har en fristående roll i förhållande till kommunen och kontrollerar att kommunen följer dataskyddsförordningen (GDPR) genom att utföra tillsyn och granskningar samt informera och ge stöd i tillämpningen av lagstiftningen.

Det är även möjligt att vända sig till Integritetsskyddsmyndigheten Länk till annan webbplats, öppnas i nytt fönster. (IMY) som är tillsynsmyndighet i frågor som rör behandling av personuppgifter.

Register över personuppgiftsbehandlingar

Samtliga styrelser och nämnder i kommunen är personuppgiftsansvariga och ska ha en gällande förteckning över samtliga behandlingar av personuppgifter. Denna förteckning ska upprättas skriftligt, vara tillgänglig i elektronisk format och hållas uppdaterad. Registret hålls tillgängligt för kommunens dataskyddsombud och på begäran för Datainspektionen som är tillsynsmyndighet.

Varje behandling av personuppgifter ska uppdateras när nya förutsättningar gäller för hanteringen, exempelvis att den avslutats eller att behovet av skydd för informationen har förändrats.

Kontakt, frågor eller mer information

För att göra invändningar av Ånge kommuns personuppgiftsbehandlingar eller om du vill ha rättelse, begära överföring (dataportabilitet), begära att Ånge kommun begränsar behandlingen eller begära radering av dina personuppgifter begär du det på adressen:

Ånge kommun
Kansliet
841 81 Ånge

Kommunkansliet vidarebefordrar ditt ärende till ansvarig nämnd eller styrelse. Du kan även kontakta oss genom kommunens Information/växel på Tel 0690-25 01 00, e-postadress: ange@ange.se

Dataskyddsombud, Camilla Eriksson, Sundsvalls kommun, Mobiltelefon: 072-146 51 19 och
e-post: dataskyddsombud@sundsvall.se

Om du inte är nöjd med kommunens behandling av dina personuppgifter och vill framföra klagomål, ska du kontakta dataskyddsombudet som har en oberoende roll. Det är även möjligt att vända sig till Integritetsskyddsmyndigheten Länk till annan webbplats, öppnas i nytt fönster. (IMY) som är tillsynsmyndighet i frågor som rör behandling av personuppgifter.