Personuppgifter på webb

Som förvaltning i en kommun vill man arbeta för transparens och öppenhet. Vi har offentlighetsprincip och tryckfrihetsförordning, vi kan lämna ut uppgifter som vi har registrerat som allmän handling. Men dataskyddsförordningen är en lag som styr över förvaltningar/bolags behandling av personuppgifter.

För att det ska vara möjligt, att enligt dataskyddsförordningen, behandla personuppgifter måste det finnas en laglig/rättslig grund. I offentlig verksamhet är följande möjliga att använda sig av:

1. Avtal – Den registrerade har ett avtal eller ska ingå ett avtal med den personuppgiftsansvarige. 

 2. Rättslig förpliktelse – Det finns lagar eller regler som gör att den personuppgiftsansvarige måste behandla vissa personuppgifter i sin verksamhet. Jfr. Bokföringslag.

3. Myndighetsutövning eller allmänt intresse –  ska grundas på lagar, förordningar eller andra författningar, det vill säga EU-rätt eller svensk rätt.Obligatoriska uppgifter som ålagts kommuner att utföra är av allmänt intresse. De har också en vidsträckt möjlighet att göra frivilliga åtaganden. Som exempel på uppgifter av allmänt intresse kan nämnas fritids- och idrottsanläggningar. Åtgärder för att främja näringsliv och annan kulturell verksamhet räknas också hit. Gäller det mesta som händer i skolan. Jfr Skollagen.

4. Samtycke – ”den sista utvägen”, när ingen annat laglig grund finns kan man använda samtycke. Det ska vara lika enkelt att lämna som att återkalla. Viktigt att det finns en tydlig koppling mellan samtycket och personuppgiften. Var beredd på ett nej och fråga innan bild/film/ljud tas. 

Bestäm vilken rättslig/laglig grund som ska användas innan behandlingen påbörjas
Eftersom de registrerade har rätt att bli informerade om med vilken rättslig grund deras personuppgifter behandlas så måste den personuppgiftsansvarige ha detta klart för sig redan innan uppgifterna samlas in.

Dokumentera era val och informera de registrerade
Dokumentera hur ni resonerar när ni väljer rättslig grund. Ni ska alltid informera de registrerade om vilken rättslig grund ni utgår ifrån när ni behandlar deras personuppgifter.

Varje ändamål måste vara kopplat till en rättslig grund
Som regel ska varje personuppgiftsbehandling stödjas på endast en rättslig grund. Var alltså tydlig med varför ni tänker behandla personuppgifter och välj endast en rättslig grund för ett visst ändamål. Det går inte att byta rättslig grund under en pågående personuppgiftsbehandling.

Protokoll med tillhörande dokument/handlingar
Vilken fråga rör det sig om? Har den registrerade fått information om publiceringen? Vilka uppgifter gäller det, exempelvis kan en publicering av ett namn komma att anses som kränkande om det i sammanhanget framgår att det är fråga om ett avslag eller ett negativt beslut. Även en fastighetsbeteckning kan medföra risk för integritetskränkningar, exempelvis om det framgår att fastighetsägaren har fått ett vitesföreläggande att röja upp på sin tomt eller något liknande.

Inga slentrianmässiga publiceringar
Sammanfattningsvis måste kommunen alltid göra en bedömning i det enskilda fallet och kan inte slentrianmässigt publicera ”allt” på sin webbplats. Ytterligare en aspekt av att exempelvis att publicera personuppgifter på internet är att det medför en risk att enskilda som inte vill figurera på internet i sammanhanget avstår helt att kontakta kommunen. Även anställdas personuppgifter kan vara olämpligt att visa på webben. 

En bedömning av vad som inkräktar på den personliga integriteten ska inte göras schablonartat enbart utifrån vilka uppgifter som behandlas utan måste även ta sin utgångspunkt t.ex. i vilket sammanhang uppgifterna förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller riskerar att få, vilken information som lämnats samt vad behandlingen kan leda till.

Indirekta personuppgifter
Diarienummer och fastighetsbeteckningar är indirekta personuppgifter.