Dataskyddsförordningen - GDPR

Dataskyddsförordning GDPR är till för att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. GDPR gäller i hela EU.

Vad är en personuppgift?

All slags information som direkt eller indirekt kan härledas till en fysisk person som är i livet.
Exempel:

  • Namn
  • Nummer (personnummer, samordningsnummer, bilens reg.nr. om den ägs av privatperson, telefonnummer, kontonummer m.fl.)
  • Bild
  • Röstinspelning
  • E-postadress
  • IP-adress

Vad är behandling av en personuppgift?

Behandling av personuppgift är allt man gör med personuppgifter.
Exempel:

  • Insamling och registrering.
  • Organisering och lagring.
  • Användning, utlämning, spridning.
  • Arkivering och radering.

När får du behandla en personuppgift?

  • När det finns en laglig grund.
  • När det är nödvändigt att behandla personuppgift.
  • När det finns ett syfte/ändamål med personuppgifterna.
  • Syftet får inte ändras.
  • Du får inte spara personuppgifterna längre än nödvändigt.
  • Du måste kunna visa att dessa principer följs.

Laglig behandling av personuppgift.

Behandling är endast laglig om åtminstone ett av följande villkor är uppfyllt:

  1. Samtycke
  2. Avtal
  3. Rättslig förpliktelse
  4. Skydd för grundläggande intresse
  5. Uppgift av allmänt intresse eller myndighetsutövning
  6. Efter intresseavvägning


1. Samtycke

Enskilda kan ge sitt samtycke till att personuppgift behandlas för ett specifikt ändamål. Ex: Signera en samtyckesblankett vid fotografering och/eller inför namnpublicering. Barn under 13 år måste ha vårdnadshavares samtycke.

Samtycket måste vara frivilligt, det vill säga att den enskilde fritt kan välja ja eller nej. Dessutom måste maktförhållandet vara jämlikt. Du behöver också vara säker att den enskilde har förstått innebörden av samtycket. Ex. vid demens, funktionsnedsättning, omognad osv.

Tänk på att maktförhållandet ofta är ojämlikt i relation mellan myndighet och medborgare, mellan personal och brukare, mellan arbetsgivare och arbetstagare, mellan skolpersonal och elev.


2. Avtal

  • När behandling av personuppgift är nödvändig för att fullgöra ett avtal.

Ex: anställningsavtal.


3. Rättslig förpliktelse

  • Personuppgifter får behandlas när personuppgiftsansvarig ska fullgöra en rättslig förpliktelse.

Ex: lämna ut personuppgifter till myndigheter för redovisning av skatt och social avgifter.


4. Skydd för grundläggande intresse

  • När behandling av personuppgifter är nödvändig för att skydda intressen som är av grundläggande betydelse.

Ex: Vid akutsjukvård. Detta är en ovanlig laglig grund inom kommunal verksamhet.


5. Uppgift av allmänt intresse eller myndighetsutövning

Uppgifter av allmänt intresse är de uppgifter som kommunen enligt lag eller förordning har att sköta såsom de obligatoriska uppgifter som regeringen ålagt bl.a. kommuner: Social omsorg, skola, plan- och byggfrågor, miljö- och hälsoskydd, renhållning, vatten och avlopp, räddningstjänst, civilt försvar, bibliotek, bostäder.

Uppgifter av allmänt intresse är även kommuners frivilliga uppgifter: fritid, kultur, energi, sysselsättning och näringslivsutveckling.

Ex: Behandling av personuppgift är berättigat för de uppgifter en kommun enligt lag eller förordning har att sköta. Klasslistor, skolskjuts, hemtjänst, kö till musikskolan, personaladministration, biblioteksregister, bostadsköer osv. Dock måste behandlingen vara nödvändig också vid utförandet av uppgifter av allmänt intresse.

  • Att utföra en uppgift av allmänt intresse är alltså inte att utföra något som kan antas vara för allmänhetens intresse. Ex. att publicera information med namn och/eller bild på ljusdal.se, Facebook eller att lämna ut personuppgifter i en evenemangskalender.

Myndighetsutövning

  • När personuppgiftsbehandling är nödvändig för att utföra myndighetsutövning.

Ex: Myndighetsutövning är sådant som enligt lag ska utföras och som har rättsliga effekter för den enskilde såsom bygglov eller ansökan om ekonomiskt bistånd.


6. Efter intresseavvägning

Den här lagliga grunden är inte lämplig för myndigheter att stödja sig på. Det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för myndigheternas behandling av personuppgifter.

Ex. För myndigheter måste det framgå av lag om, och i så fall hur, personuppgifter ska behandlas; skollagen, lagen om behandling av personuppgifter inom socialtjänsten osv.

Vid en intresseavvägning bedömer personuppgiftsansvarig huruvida organisationens intresse väger
tyngre än den enskildes rättighet till integritet. En sådan bedömning ska alltid dokumenteras.

Vad är en känslig personuppgift?

  • Ras, etniskt ursprung.
  • Politiska åsikter, religiös eller filosofisk övertygelse.
  • Medlemskap i fackförening.
  • Personuppgifter som rör hälsa eller sexualliv.
  • Biometrisk data, ex. fingeravtryck, iris eller röst.

Får jag behandla en känslig personuppgift?

Huvudregeln är att det är förbjudet, men det finns undantag som omfattar mycket av den behandling av personuppgifter som utförs av offentliga myndigheter:

  • När personen har lämnat sitt samtycke.
  • När behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av personen som berörs. Ex. En förtroendevald i en nämnd har redan offentliggjort sin politiska hemvist.
  • Vid tillhandahållande av social omsorg och hälso- och sjukvård.
  • När behandlingen är nödvändig för arkivändamål, statistiska-, historiska- eller vetenskapliga ändamål.

Vem är personuppgiftsansvarig i kommunen?

Varje nämnd är personuppgiftsansvarig för de personuppgifter som behandlas inom nämndens ansvarsområde.

Nämnderna är ansvariga både gentemot tillsynsmyndigheten Datainspektionen och gentemot de som fått sina personuppgifter behandlade, exempelvis vid skadeståndsanspråk.

Det är den personuppgiftsansvariges skyldighet att säkerställa att all behandling av personuppgifter följer dataskyddsförordningen GDPR.

Dataskyddsombudets uppgifter.

GDPR kräver att alla offentliga myndigheter utser ett dataskyddsombud. Ett gemensamt dataskyddsombud för samtliga nämnder är tillåtet. Dataskyddsombudets uppgifter är att:

  • Informera och ge råd inom organisationen och till personuppgiftsansvarig nämnd om vilka skyldigheter som gäller enligt GDPR.
  • Samla in information om hur organisationen behandlar personuppgifter och bevaka att reglerna följs.
  • Fungera som kontaktperson för Datainspektionen.
  • Fungera som kontaktperson för enskilda som får sina personuppgifter behandlade samt för personal inom organisationen.

Det är personuppgiftsansvarig nämnd i varje kommun som ansvarar för att GDPR:s regler följs. Dataskyddsombudet är alltså inte ansvarig för att reglerna följs.

Dataskyddsombud (DSO)
Kaj Laerum
dataskyddsombud@ljusdal.se