Dataskydd, personuppgifter

Så hanterar Umeå kommun dina personuppgifter

Organisationen Umeå kommun hanterar ett stort antal personuppgifter. Det kan till exempel vara namn, adresser och födelsedata. Det är varje förvaltning som ansvarar för hur de behandlar personuppgifter. Här får du veta hur vi handskas med dina personuppgifter, vilka bestämmelser som gäller och vilka rättigheter du som medborgare har när det gäller dina personuppgifter enligt dataskyddsförordningen, GDPR.

Om Dataskyddsförordningen, GDPR

Dataskyddsförordningen, GDPR, gäller som lag i alla EU:s medlemsländer. Förordningen innebär en hel del förändringar för dem som behandlar personuppgifter och stärkta rättigheter för den enskilde när det gäller personlig integritet.

Dataskyddsförordningen innebär förenklat att

  • man bara får bara samla in personuppgifter om det finns ett tydligt syfte och om man uppfyller kraven i lagen
  • uppgifter som samlas in måste vara nödvändiga
  • när syftet med personuppgiftsbehandlingen är uppnått ska uppgifterna tas bort
  • man måste kunna visa att man har de rutiner som krävs för en korrekt hantering.

I korthet kan man säga att alla personer vars personuppgifter behandlas har ett antal rättigheter enligt data­skydds­förordningen (GDPR).

Rättigheter innebär bland annat att man som registrerad ska kunna få information om när och hur person­uppgifterna behandlas och att man ska ha kontroll över sina egna uppgifter.

Vad är en personuppgift?

Som personuppgifter räknas all information som direkt eller indirekt kan kopplas till en person som är i livet. Uppgifter om dig kan exempelvis vara ditt person­nummer, ditt namn eller din adress. Kan du tydligt urskiljas på en bild kan även det vara en personuppgift.

Vad innebär behandling av personuppgifter?

Behandling är ett vitt begrepp och avser nästan allt man kan göra med person­uppgifter, till exempel insamling, organisering, lagring, ändring, läsning, användning, utlämning genom överföring, och radering.

För att få behandla personuppgifter måste det finnas en laglig grund för behandlingen. Det kan till exempel vara en rättslig skyldighet, på grund av myndighetsutövning eller allmänt intresse.

Laglig grund för behandlingarna

För att få behandla personuppgifter måste det finnas en laglig grund för behandlingen, sådan grund kan till exempel vara nödvändigt allmänt intresse, myndighetsutövning eller rättslig skyldighet. Finns ingen annan laglig grund kan man be om samtycke till behandlingen.

Ett samtycke ska vara frivilligt och avse en specifik behandling. Ett samtycke kan när som helst återkallas. Behandlingen är tillåten fram till dess att samtycket återkallas.

När behandlas dina personuppgifter av Umeå kommun?

Om du är i kontakt med kommunen för att exempelvis ansöka om bygglov eller förskoleplats måste kommunen samla in och behandla uppgifter om dig. Andra exempel på när kommunen behandlar dina personuppgifter kan vara om du skickar in ett e-postmeddelande till kommunen eller om du prenumererar på ett nyhetsbrev från kommunen.

Personuppgiftsansvar

Den som ansvarar för behandlingen av personuppgifter kallas i dataskydds­förordningen för person­uppgifts­ansvarig. I kommunen är det varje nämnd som har ansvar för hur personuppgifter behandlas inom deras ansvars­område. Byggnadsnämnden är till exempel personuppgiftsansvarig för personuppgifts­behandlingen om du ansökt om bygglov och för- och grundskolenämnden är personuppgiftsansvarig om du ansökt om förskoleplats.

Vad avgör hur personuppgifter får behandlas?

Vid behandlingen av dina personuppgifter tillämpas från och med den 25 maj 2018 dataskyddsförordningen (också kallad GDPR) som ersätter person­uppgifts­lagen (PUL). Till dataskyddsförordningen finns också kompletterande svensk lagstiftning, främst i formen av lag med kompletterande bestämmelser till EU:s data­skydds­förordning (SFS 2018:218) med tillhörande förordning SFS 2018:19.

Syftet med den nya dataskyddslagstiftningen är bland annat att skydda fysiska personers grundläggande friheter och rättigheter vid behandling av person­uppgifter och att harmonisera skyddet inom EU.

Vad innebär reglerna i dataskyddsförordningen för dig som enskild?

För dig som enskild innebär dataskyddsförordningen att rätten till insyn och information ökar.

Den personuppgiftsansvarige har skyldighet att informera om

  • vilka person­uppgifter som samlas in
  • vad syftet med insamlingen är
  • vilken laglig/rättslig grund man har för att behandla personuppgifterna
  • vilken mottagare som ska ta del av personuppgifterna
  • hur länge man kommer att behandla person­uppgifterna.

Den enskilde har rätt att

  • begära ut information om de uppgifter som person­uppgiftsansvarige har om denne
  • begära rättelse av uppgifterna
  • invända mot behandling, överföring
  • begära att personuppgiftsansvarig begränsar behandlingen av uppgifterna.

Mer information om rättelse, invändning och begränsning finns längre ner på den här sidan.

Andra lagar har företräde

Andra lagar har företräde framför reglerna i dataskyddsförordningen. Detta innebär bland annat att kommunen inte alltid kan förstöra eller ta bort person­uppgifter efter att ändamålet med behandlingen är uppfyllt. Detta då arkivlagen ställer krav på hur kommunen hanterar handlingar och när de får raderas eller kastas.

En annan lagstiftning som går före reglerna i dataskyddsförordningen är rätten att begära ut allmänna handlingar som grundar sig på svensk grundlag.

Hur hanteras en begäran?

Vid en begäran från enskild om att utnyttja sina rättigheter ska personuppgiftsansvarig inom en månad tillhanda­hålla den som gjort begäran information om de åtgärder som vidtagits, om inte begäran är komplicerad eller det är frågan om ett stort antal inkomna begäranden. I så fall får tiden förlängas med två månader men då ska den som gjort begäran får information om detta och få veta varför det kommer ta längre tid.

Om begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art, får den personuppgiftsansvarige vägra att tillmötesgå begäran.

Rätten till tillgång

En enskild har rätt att få bekräftelse på att dennes personuppgifter behandlas av kommunen. Om kommunen behandlar personuppgifter har den enskilde rätt att kostnadsfritt få en kopia av de personuppgifter som är under behandling.

Rättelse av personuppgifter

Den vars personuppgifter har registrerats har rätt att få felaktiga personuppgifter som rör honom eller henne rättade. Beroende på ändamålet med behandlingen kan den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande. Rättelsen ska ske utan onödigt dröjsmål.

Radering av personuppgifter

I dataskyddsförordningen finns också vad som kallas rätten att bli bortglömd. Denna rätt är dock inte absolut, rätten gäller till exempel inte om behandlingen är ett led i myndighetsutövning som utförs av den person­uppgifts­ansvarige eller om behandlingen krävs för att uppfylla en rättslig förpliktelse.

Om till exempel socialtjänsten behandlar personuppgifter i sin myndighetsutövning har man inte rätt att få de uppgifterna raderade. I praktiken blir denna rättighet bara tillämplig på ett fåtal områden inom kommunen.

Dataportabilitet

Detta är en rätt att få data, som man själv tillhandahållit i ett strukturerat, allmänt använt och maskinläsbart format, överförd till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige, som man ursprungligen lämnat uppgifterna till, kan hindra det. Denna rätt gäller dock bara personuppgiftsbehandlingar som grundar sig på avtal eller samtycke och om behandlingen sker automatiserat.

Invändning mot personuppgiftsbehandling

Den registrerade har rätt att när som helst invända mot att personuppgifter avseende honom eller henne behandlas. Detta gäller behandlingar som utförs på grund av allmänt intresse eller som ett led i myndighets­utövning.

Om man gör en invändning innebär det att kommunen inte längre får behandla personuppgifterna om man inte kan påvisa tvingande berättigade skäl som väger tyngre än den registrerades intressen, rättigheter och friheter. Eller att kommunen behöver behandla uppgifterna för fastställande, utövande eller försvar av rättsliga anspråk.

Begäran om att begränsa personuppgiftsbehandling

Den registrerade kan under vissa omständigheter kräva att kommunen begränsar behandlingen av deras person­uppgifter. Detta kan till exempel vara efter att man gjort en invändning mot behandlingen och väntar på att frågan kontrolleras eller under den tid det tar kommunen att kontrollera uppgifterna efter att man gjort gällande att de registrerade personuppgifterna är felaktiga.

Under den tiden får uppgifterna, med undantag för lagring, bara behandlas utan den registrerades samtycke under vissa omständigheter.

Kommunens regelefterlevnad

Umeå kommun ska kunna visa att vi följer dataskyddsförordningen, där omvänd bevisbörda tillämpas. Tillsyn bedrivs av Integritetsskyddsmyndigheten (IMY). De arbetar med omvänd bevis­börda, vilket innebär att vi måste visa att vi gör rätt.

För att göra rätt arbetar vi för att skapa ordning och genom att ha ett strukturerat och medvetet arbetssätt.

Ett effektivt sätt att visa på efterlevnad av lagen är att dokumentera det vi gör. Exempel på dokumentation är

  • register över personuppgiftsbehandlingar
  • säkerhetsskyddsanalyser
  • klassningar av system
  • personuppgiftsbiträdesavtal i enlighet med dataskyddsförordningen.

Vem kan du vända dig till?

Dataskyddsombud

Om du har frågor eller vill framställa en begäran kan du vända dig till kommunens dataskyddsombud.

E-post: dataskyddsombud@umea.se

Om du har frågor om behandlingen av dina personuppgifter kan du också vända dig direkt till den person­uppgifts­ansvariga nämnden.

Integritetsskyddsmyndigheten

Integritetsskyddsmyndigheten (IMY) är tillsynsmyndighet över kommunens personuppgifts­behandling. Det är också dit du ska vända dig om du har klagomål på hur kommunen behandlar dina personuppgifter.

E-post: imy@imy.se

Integritetsskyddsmyndighetens webbplats, www.imy.se Länk till annan webbplats.

Sidan publicerades www.umea.se/dataskydd