Här kan du hitta svar på en del av dina frågor. Det är tänkt att vara ett levande dokument och kommer att uppdateras efterhand. Har du fler e-posta dem till den som är kontaktperson för dataskyddsgruppen på din förvaltning/bolag.
ALLMÄNT OM DATASKYDDSFÖRORDNINGEN (GDPR)
Vad är GDPR?
GDPR General Data Protection Regulation på svenska dataskyddsförordningen, är en förordning (lag) som gäller för myndigheter, organisationer eller företag som hanterar personuppgifter. Dataskyddsförordningen ersätter den tidigare personuppgiftslagen PuL.
Vad är skillnaden mellan dataskyddsförordningen och dataskyddslagen?
Dataskyddsförordningen är den lag som gäller i hela EU. Dataskyddslagen däremot är den skrivning som är speciellt anpassad för svenska förhållanden. T ex åldersgränsen för barn är 13 år i Sverige mot 15 år i övriga EU. Båda började gälla den 25 maj 2018 och från det datumet slutar de tidigare lagarna att gälla.
Varför införs förordningen?
Förordningen införs för att stärka skyddet för den personliga integriteten och för att samma lagstiftning ska gälla inom hela EU.
Vad är en personuppgift?
En personuppgift är information som direkt eller indirekt går att koppla till en levande person, till exempel namn eller personnummer. Men personuppgifter är också information som medlemsnummer, mobilnummer, foton, IP-nummer, fastighetsbeteckning och e-postadress. I princip allt som kan knytas till en enda person. Om det handlar om ett vanligt namn kan det behövas ytterligare en personuppgift för att säkerställa personen.
Personuppgifter för barn
Barn anses som särskilt skyddvärda eftersom barn kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter och att förstå vilken rätt till skydd för sina uppgifter som de har. Precis som för vuxna måste det finnas en rättslig grund för behandling. Det finns en åldersgräns för barn som är speciell för Sverige där den är 13 år och i andra länder upp till 16 år. När det gäller avtal så kan de inte ingå vilka avtal som helst innan de fyllt 18 år.
Hur fungerar åldersgränsen för barn vid samtycke?
Åldersgränsen låter barn över 13 år bestämma i samråd med förälder över barnets personuppgifter. Under 13 år – föräldrarna bestämmer, mellan 13 till 18 år – barn och föräldrar bestämmer, över 18 år – myndig och får själv rätt att bestämma över sina personuppgifter. Dock är samtycke ”sista utvägen” när det gäller rättsliga grunder.
Räcker det om en förälder ger sitt medgivande?
I texten står ”den som har föräldraansvaret” och tolkningen blir om barnet har två föräldrar ska båda skriva på, om man har delad vårdnad ska båda skriva på, om en förälder har ensam vårdnad ska denne skriva på.
Vem ansvarar för GDPR i en kommun?
Varje nämnd och bolag är personuppgiftsansvariga. Kommunstyrelsen har det yttersta ansvaret och de ska ta beslut om riktlinjer till anställda och förtroendevalda hur arbetet med personuppgifter ska genomföras. Den som tidigare var personuppgiftsombud är den som bör ingå i dataskyddsgruppen. Det kan vara en annan person än den tidigare men alla nämnder och bolag ska ha en representant i gruppen.
Vilka uppgifter har dataskyddsombudet?
Att vara rådgivande i olika situationer som handlar om personuppgifter och hantering av dem. Den viktigaste uppgiften är att övervaka att dataskyddsförordningen följs. Dataskyddsombudet är också kontaktperson för den registrerade, för personalen inom kommunen och för Integritetskyddsmyndigheten. Dataskyddsombudet har inget ansvar för att förordningen följs, det ligger hos den personuppgiftsansvariga eller hos personuppgiftsbiträdet men måste genom olika kontroller se att man följer förordningen.
Vad är ett personuppgiftsbiträde?
Personuppgiftsbiträdet behandlar/förvarar uppgifter för kommunens räkning och finns alltid utanför organisationen. Det kan exempelvis vara en IT-leverantör, en fotograf eller ett tryckeri. Om vi förvarar personuppgifter hos extern part ska alltid ett personuppgiftsbiträdesavtal (PUB-avtal) upprättas. Det är personuppgiftsansvariges avtal som ska skrivas på. Många personuppgiftsbiträden vill hellre få sitt PUB-avtal påskrivet, ett som de vet är genomläst och godkänt av deras jurist. Avtalet ska bland annat reglera vilka kategorier samt för vilka ändamål uppgifterna förvaras hos biträdet, att det finns tillräckligt skydd för förvaring och gallring och hur länge loggar sparas. Om motparten inte godkänner vårt avtal bör kommunjurist kontrollera deras.
Är det tillåtet att skicka ut e-post till flera medborgare/kunder via e-post (massutskick)?
Ja, i de fall då det finns rättslig grund. Information ska ges till den registrerade och måste innehålla följande för den specifika registreringen. Läs mer här – Informationskrav [pdf]
- Vilken information/personuppgifter samlas
- Vem samlar in
- Hur är det samlat
- Varför samlas den in
- Hur kommer personuppgiften att användas
- Vilka kommer att ha tillgång till personuppgiften
- Vad blir det för resultat av detta för individen
- Kan den tänkta användningen göra att individer protesterar eller klagar
Dessutom bör man tänka på, om man använder t ex Outlook, att genom att skriva eller kopiera in ett antal e-postadresser i adressfältet så exponerar man ett antal e-postadresser för andra personer/mottagare. Använd fältet Hemlig kopia och lägg din egen e-post eller en funktionsadress som avsändare. På det sättet sprider du inte de personuppgifter som du har till annan person.
Vad är en rättslig eller laglig grund och vilka finns det?
När ni vill behandla personuppgifter i er verksamhet måste ni följa dataskyddsförordningen. Det betyder bland annat att ni ska stödja er på någon av de rättsliga grunderna annars är personuppgiftsbehandlingen inte laglig och får då inte genomföras.
Artikel 6: Laglig behandling av personuppgifter, det måste finnas minst en för att behandling ska kunna ske. a) Samtycke (bild eller annat, om ingen annan laglig grund kan användas. Kan återkallas och bör användas ytterst återhållsamt.) b) avtal (anställning, köp) c) rättslig förpliktelse (bokföringslag) d) grundläggande intresse (vid sjukdom, ej nåbar) e) myndighetsutövning (skola omsorg, socialtjänst) f) intresseavvägning (om du kan visa att dina intressen väger högre än den enskildes rätt. Den här passar inte in på kommunal verksamhet.) Om det inte finns, minst en, laglig grund för din behandling av personuppgifter så ska den inte genomföras.
Får gamla listor och Excel- eller Wordfiler med personuppgifter sparas eller när måste man gallra bort dem?
Excel-filer och andra dokument med personuppgifter ska gallras bort så snart du inte behöver dem längre. Om du vill spara för statistik kan du avidentifiera uppgifterna eller bara spara sammanställningar där inte enskilda personuppgifter finns med. Tänk också på att spara informationen på en säker lagringsyta under tiden den används.
Omfattas digital information på USB-minnen och externa hårddiskar också av GDPR?
Ja, det är ingen skillnad. Alla digitala media där man kan lagra är inräknad.
Är det tillåtet att skriva om andra eller lägga ut bilder från aktiviteter mm i sociala medier?
Du kan bara skriva om andra och lägga ut bilder i sociala medier om du har fått deras godkännande att göra detta. Samtycke krävs och bilden får endast användas utifrån samtycket. Detta gäller även retroaktivt, alla bilder och inlägg som redan är utlagda.
Hur är det med sekretess och dataskyddsförordningen?
Sekretess och dataskyddsförordningen är två helt olika saker som inte har något med varandra att göra. En sekretessprövning sker aldrig på förhand eller generellt utan varje utlämnande eller offentliggörande prövas per gång.
Kan jag fotografera på jobbet som förut?
Bilder i verksamheten är ett sätt att dokumentera som vi tidigare har använt ganska fritt. Vi har använt oss av ”missbruksprincipen” eller ”personuppgifter i löpande text” utan att ens fundera över att det är en personuppgift. Nu är det undantaget borttaget, personuppgifter i löpande text är inte längre tillåtet utan de ska behandlas som alla personuppgifter. Behandling av bild och annan personuppgift ska ha ett tydligt syfte och minst en laglig grund.
Jag tar in personuppgifter för ett nyhetsbrev, måste jag ta in samtycke?
Den mest spridda och felaktiga informationen är att det krävs samtycke för att behandla personuppgifter. Samtycke är ett undantag och ska användas så sällan som möjligt. Samtycke kan användas för att få använda/spara digitalt/publicera en bild där en eller flera personer är tydliga. I kommunal verksamhet är det myndighetsutövning, rättslig förpliktelse och allmänt intresse som i första hand ska vara den rättsliga grunden. Avtal kan också användas där man får något i utbyte. Däremot är du skyldig att lämna information till den vars personuppgifter du behandlar, dvs samlar in och sparar och/eller behandlar på annat sätt.
Vi har många gamla listor sparade vad gör vi med dem?
De ska gallras och rensas enligt gällande dokumenthanteringsplan. Några frågor man bör ställa sig är: Finns det personuppgifter i listan? Vad är syftet med listan? Vilken rättslig grund finns för att behandla uppgifterna? De listor som är kvar efter ovanstående ska föras in i DraftIt eller i en separat registerhanteringsfil. Om du vill spara för att få statistik, ta bort personuppgifter, de är troligen inte nödvändiga. En lista utan personuppgifter ska inte ingå i inventeringen.