Juridisk information - GDPR

Allmänna frågor om GDPR

Vad gäller kring öppenhet?

Fråga: När det gäller öppenhet. Hur ska informationen ske? Räcker det med en allmän information på till exempel hemsidan?

Svar: Man kan lämna generell info på hemsidan men måste man ju nå ut till medborgarna för att tala om att informationen finns där.

Vad är skillnaden mellan rättslig förpliktelse och myndighetsutövning?

Fråga: Vad är det för skillnad på rättslig förpliktelse och myndighetsutövning ?

Svar: Myndighetsutövning är en myndighetsutövning. Medans rättslig förpliktelse är till exempel kraven i arkivlagen, bokföringslagen, skollagen.

Förtydligande kring intresseavvägning

Fråga: I dataskyddsförordningen anges att intresseavvägning inte gäller som laglig grund vid ”behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter”. Detta tolkas av vissa som att intresseavvägning aldrig kan tillämpas av kommuner, men exakt hur det ska tolkas är inte klart och det finns olika uppfattningar. Hur ska jag tänka?

Svar: Min bedömning är att intresseavvägning inte kan åberopas av myndigheter. Men jag vill också tillägga att den frågan inte är prövad av någon domstol än eftersom lagstiftningen inte börjat gälla än.

I betänkandet , ny dataskyddslag SOU 2017: 39, särskilt sid 128-129 har den svenska utredaren i sina lagförslag utgått från att myndigheter generellt ska åberopa någon av de övriga grunderna i artikel 6 och att möjligheten att använda intresseavvägning sannolikt fallerbort. Eftersom detta är en EU-lagstiftning som ska tolkas och tillämpas konformt i alla medlemsländer så kan vi ännu inte säga säkert om det finns något utrymme eller inte vad gäller grunden ”intresseavvägning” i myndigheters behandling av personuppgifter.

Den rättsliga grunden "uppgifter av allmänt intresse" kan således nyttjas som rättslig grund för till exempel dagliga administrativa sysslor inom en myndighet, inklusive personaladministration och andra HR-frågor. Dessa frågor (HR-frågor) är inte myndighetens kärnverksamhet.

Begära ut personuppgifter

Att begära ut personuppgifter - vad gäller?

Fråga: Om någon begär ut personuppgifter via mejl, till exempel journalister, vad ska kommunen göra?

Svar: Någon begär ut personuppgifter med stöd av offentlighetsprincipen, alltså allmän handling. Det ska prövas på vanligt sätt , är det en allmän handling och det inte finns någon sekretess för uppgifterna, då ska det lämnas ut.

Om begäran om allmän handling kom in via mejl så väljer myndigheten själv om handlingen ska lämnas ut elektroniskt eller på papper via pappers post. Den enskilde har bara rätt att få papperskopia.

Kan jag lämna ut begärd info via post även om förfrågan kom via e-post?

Fråga: Hur vet man vilken praxis för GDPR som gäller på vad som får lämnas ut? Har man rätt att skicka info via brev även om handlingen begärs ut via mejl?

Svar: Om begäran om allmän handling kom in via mejl så väljer myndigheten själv om handlingen ska lämnas ut elektroniskt eller på papper via pappers post. Den enskilde har bara rätt att få papperskopia.

Dataskyddsombud

Behöver fristående förskolor ha dataskyddsombud?

Fråga: Behöver enstaka fristående förskolor ha egna DSO (dataskyddsombud)?

Svar: Enstaka fristående skolor har ett DSO. Men det behövs bara om de behandlar känsliga personuppgifter i stor omfattning.

Behöver kommunförbund ha dataskyddsombud?

Fråga: Behöver kommunförbund utan myndighetsutövning ha dataskyddsombud? Det vill säga inte kommunalförbund, men gemensam kommunal samverkans­organisation driven i föreningsform?

Svar: Kommunförbund, jag antar att den juridiska formen är Ideell förening. Inte solklart men jag bedömer att de inte är "myndighet eller offentligt organ".

Hantera personuppgifter

Hur hanterar jag uppgifter som särskild kost vid kurser?

Fråga: Kan man använda en öppen webbsida för att registrera anmälningar till kurser och samtidigt be personen registrera att den behöver särskild kost?

Svar: Det är en känslig uppgift och kräver en särskild kryssruta för samtycke.

Vilken typ av personuppgiftsbehandling är e-post?

E-post är en av flera typer av personuppgiftsbehandlingar. Enligt personuppgiftslagen faller e-post under undantaget för ostrukturerade personuppgifter (5 a §). Någon laglig grund behövs alltså inte idag inte för att behandla personuppgifter i e-post.

Undantaget upphör emellertid den 25 maj. Det krävs således därefter en laglig grund för behandling av personuppgifter i e-post. En stor del av den personuppgiftsbehandling som förekommer i en kommunal myndighets e-post kan hänföras till den lagliga grunden ”arbetsuppgifter av allmänt intresse” (art. 6.1 e) såvida innehållet eller ämnet berör de arbetsuppgifter myndigheten har att fullgöra inom ramen för den kommunala kompetensen, till exempel e-post i bygglovsärenden med invånare.

Även den lagliga grunden ”rättslig skyldighet” kan läggas till grund för behandling av personuppgifter i sådan e-post, t.ex. enligt dokumentationskrav i förvaltningslagen eller annan speciallagstiftning. Inom den verksamhet som kommuner bedriver frivilligt används ofta den lagliga grunden intresseavvägning. Den 25 maj upphör den möjligheten. Det följer av dataskyddsförordningen att myndigheter inte får åberopa denna lagliga grund när de fullgör sina uppgifter.

Regeringen har därför ansett att begreppet uppgifter av allmänt intresse ska ges en vidare betydelse (prop. 2017/18:105 s. 56). Med stöd av den lagliga grunden uppgifter av allmänt intresse kan myndighet således behandla personuppgifter inom den frivilliga verksamheten, om behandlingen är nödvändig, till exempel e-post inom kultur- och idrottsförvaltningen. Likaså för dagliga administrativa funktioner och åtgärder i den kommunala förvaltningen (prop. 2017/18:105 s. 61), till exempel e-post till och från kontaktpersoner hos leverantörer eller liknande.

Personuppgiftsansvarig

Är ett inkassoföretag personuppgiftsansvarig eller personuppgiftsbiträde?

Fråga: Vi har ett inkassoföretag som hanterar krav-ärenden. De sköter inkassoärendena självständigt och tar in uppgifter från andra myndigheter för att kunna utföra sitt uppdrag. Dessa uppgifter kommer inte till kommunen. De anser sig inte vara personuppgiftsbiträden utan personuppgiftsansvariga.

Men jag skulle vilja säga att en leverantör kan vara både personuppgiftebiträde och personuppgiftsansvarig, men för olika uppgifter. Vi ska ju tala om i personuppgiftsbiträdesavtalet vad som är föremålet för behandlingen. Hur ska vi tänka?

Svar: Komplex fråga. Men inkassoföretag som hanterar kommunens
inkassoärenden för indrivning är normalt personuppgiftsansvarig för det de gör i sin verksamhet. Kommunen lämnar över sina ärenden som innehåller personuppgifter, för behandling hos inkassoföretaget för detta ändamål (driva inkassoärenden). Uppdraget från kommunen gäller ju inte behandling av personuppgifter här utan inkassoverksamhet.

Det är samma situation som för revisionsföretag, advokatbyråer, rekryteringsföretag m.fl som sköter uppdrag för kommunens räkning. Det vore en annan sak om inkassoföretaget fick åtkomst till kommunens ekonomisystem, då vore det såklart en biträdessituation.

Personuppgiftsbiträdesavtal

Vad gäller kring personuppgiftsbiträdesavtal?

Fråga: Kan en anställd i kommunen, till exempel chefen för intern IT ges ansvar för att för kommunens räkning ingå personuppgiftsbiträdesavtal för alla verksamheter i kommunen och för alla kommunens nämnders räkning.

Svar: Varje nämnd är ju personuppgiftsansvarig för den behandling av personuppgifter som sker i nämndens verksamhet. (KS kan i och för sig vara personuppgiftsansvarig för vissa kommunövergripande system som e-posten). I artikel 28 sägs att det är den personuppgiftsansvarige som ska anlita personuppgiftsbiträden. Om varje nämnd, till den i kommunen anställde IT-chefen, delegerar rätten att ingå biträdesavtal så blir det lagligt och korrekt.

Behövs biträdesavtal med systemleverantörer?

Fråga: Vi är med i ett kommunalförbund som hanterar våra it-frågor, upphandlarsystem. Vi har biträdesavtal med dem, behöver vi ha biträdesavtal även med systemleverantörerna (där förbundet varit upphandlad myndighet)?

Svar: Om det är Kommunalförbundet som har handlat upp och tecknat avtal med dessa systemleverantörer så är det kommunalförbundet som ska ha biträdesavtal med dessa.

Är kommunalförbund en myndighet?

Ja, ett kommunalförbund är en myndighet och inget annat.

Radering och rättelse

Radering av personuppgifter?

Fråga: Enligt GDPR har en person rätt att få sina personuppgifter raderade, Gäller detta även en kommuns socialregister?

Svar: Rätten att bli glömd är väldigt överdriven i media, det är en väldigt smal rätt som bland annat inte gäller inom socialtjänsten, hälso- och sjukvården, skolan, kreditupplysningsregister och så vidare.

Samtycke

Vad gör jag om personen inte kan ge samtycke?

Fråga: Angående samtycke, finns det nåt resonemang runt personer som inte kan lämna samtycke till exempel kognitiv funktionsnedsättning, demens?

Svar: God man med "rätt" uppdrag, eller förvaltare, kan samtycka i den registrerades ställe. Är någon annan grund tillämplig så ska man aldrig använda samtycket

Hur länge gäller ett samtycke?

Fråga: Angående samtycke. Hur länge gäller ett samtycke? Finns det några tidsbegränsningar? Måste ett samtycke vid något tillfälle förnyas?

Svar: Ett samtycke gäller så långe man har sagt att det ska gälla, i information som ska föregå samtycket. Till exempel bara 1 bild eller alla bilder under hela elevens tid i skolan. Kom dock ihåg att det går att återkalla. Dessutom har det nyligen kommit en vägledning från EU om samtycke, som bland annat säger att de menar att det är "god sed" att då och då "påminna" om samtycket. Vad det kommer att innebära i praktiken återstår att se.

Vad gäller kring bildhantering på webb?

Fråga: Om jag har frågat efter en bild till exempelvis en hemsida, kan det anses vara ett samtycke eller måste det vara mera formellt hanterat.

Svar: Om den som är på bilden ska samtycka så måste det gälla att hen samtycker till att bilden ska publiceras till exempel på en viss webbplats. Det räcker inte med att får jag använda bilden.

Ansvar för kommunens webbplats

Ansvarig för Ljusdals kommuns webbplats

Kommunchefen är ansvarig för att innehållet på kommunens webbplats www.ljusdal.se och kommunens e-tjänster som finns på webbplatsen följer de regler som gäller enligt lag.

Myndighetsuppgifter

Uppgifter om myndigheten

Postadress
Ljusdals kommun
827 80 Ljusdal

Telefonnummer
0651-180 00

Fax
0651-183 77

E-post
kommun@ljusdal.se

Besöksadress
Norra Järnvägsgatan 21
(Riotorget), Ljusdal

Organisationsnummer
212000-2320

Kommunchef

Nicklas Bremefors
0651-180 00
nicklas.bremefors@ljusdal.se

Dataskyddsombud

Kaj Laerum
dataskyddsombud@ljusdal.se