Behandling av personuppgifter

Den 25 maj 2018 träder dataskyddsförordningen i kraft.

Dataskyddsförordningen är en modernisering av tidigare Personuppgiftslagstiftning och ställer mer långtgående krav på Gnosjö kommun gällande behandling av personuppgifter.

I enlighet med GDPR:s grundläggande principer ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den vars personuppgifter behandlas (den registrerade).

I Gnosjö kommun hanterar vi en mängd olika personuppgifter. Gnosjö kommun ska vidta alla rimliga åtgärder för att säkerställa att skyddet för den personliga integriteten är starkt inom kommunen. Det gäller för såväl behandling av personuppgifter gällande invånare och företagare med relation till kommunen, som medarbetare och andra individer vars personuppgifter kan komma att registreras hos Gnosjö kommun. Alla som registreras ska kunna känna sig trygga när de anförtror kommunen sina personuppgifter.

Gnosjö kommun behandlar personuppgifter endast för särskilda och uttryckligt angivna ändamål.

Här följer en förklaring hur Gnosjö kommun samlar in och använder dina personuppgifter. Den beskriver också dina rättigheter gentemot oss och hur du kan göra dina rättigheter gällande.

Gemensamt dataskyddsombud med Gislaveds kommun

Som liten kommun är det svårt att på egen hand uppfylla alla nya lagkrav och Gnosjö samarbetar därför med Gislaveds kommun kring hanteringen av personuppgifter, och tillämpningen av GDPR.

Enligt GDPR skall varje kommun ha ett dataskyddsombud som ansvarar för hur personuppgifterna hanteras, och han är anställd av Gislaveds kommun men medfinansieras av Gnosjö kommun.

Du kan alltid kontakta oss vid frågor kring integritets- och dataskydd genom att skicka meddelande till vårt kommungemensamma dataskyddsombud som nås via dataskyddsombud@gislaved.se.

Vad är en personuppgift?

En personuppgift är all slags information som kan knytas till en fysisk person som är i livet. Typiska personuppgifter är personnummer, namn och adress. Även foton på personer klassas som personuppgifter.

Ljud- och filminspelningar som lagras elektroniskt kan vara personuppgifter även om det inte nämns några namn i inspelningen.

Ett bolagsnummer är ofta inte en personuppgift men är det om det handlar om en enskild näringsverksamhet. Registreringsnumret på en bil kan vara en personuppgift om det går att knyta till en fysisk person medan registreringsnumret på en firmabil som används av flera, kanske inte är en personuppgift.

Fler exempel på personuppgifter:

• ett namn
• IP adress
• en postadress
• en e-postadress
• platsinformation
• bankuppgifter
• ett foto (om det går att identifiera personen i bilden)
• en uppdatering i sociala medier

Gnosjö kommun samlar in och lagrar information när du t.ex. skickar in en ansökan eller gör en anmälan. I samband med att du gör din ansökan/anmälan framgår det hur vi kommer att använda dina personuppgifter.

Genomgående använder vi begreppet "behandling", som omfattar alla olika åtgärder som involverar personuppgifter, det vill säga insamling, hantering, lagring, delning, tillgång, användning, överföring och radering.

Känsliga personuppgifter

I dataskyddsförordningen skiljer man mellan personuppgifter och känsliga personuppgifter. Känsliga personuppgifter är sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv.

Uppgifter om hälsa kan till exempel vara sjukfrånvaro, graviditet och läkarbesök. Normalt är det förbjudet för kommunen att hantera sådana personuppgifter men det finns undantag från förbudet. Om vi behandlar känsliga personuppgifter så har vi ett ansvar att skydda dem mer än andra personuppgifter.

Vem ansvarar för behandlingen av mina personuppgifter?

Det gör den personuppgiftsansvariga myndigheten. I kommuner är varje nämnd en myndighet. Gnosjö kommuns nämnder (kommunstyrelsen och samhällsbyggnadsnämnden) är var och en personuppgiftsansvarig för behandlingen av dina personuppgifter de gör och ansvarar för att sådan behandling sker på ett lagligt sätt.

Hur skyddas mina personuppgifter?

All behandling av personuppgifter ska ske med respekt för den personliga integriteten och med beaktande av EU:s dataskyddsförordning och i övrigt säkerställa att behandlingen sker enligt gällande lag. För att uppnå ett fullgjort integritetsskydd har Gnosjö kommun i uppdrag att se till så att personuppgifter skyddas av modern och kostnadseffektiv teknik. Dina personuppgifter utgör en del av kommunens allmänna handlingar och vi kan få frågor om att lämna ut dessa till enskilda eller företag. Före ett utlämnande genomförs en sekretessprövning enligt offentlighets- och sekretesslagen.

Ändamål med behandlingen av mina personuppgifter

Gnosjö kommun behandlar personuppgifter enligt gällande lagstiftning inom våra olika verksamhetsområden eller när det behövs för att utföra den uppgift som avses (t.ex. för att kunna ge dig bättre service). I samband med insamlingen informeras personuppgiftsansvarig om ändamål för behandlingen, vilken rättslig grund som finns och hur länge vi kommer att ha personuppgifterna kvar.

När får Gnosjö kommun behandla mina personuppgifter?

Gnosjö kommun får bara samla in personuppgifter för ”särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandla dem på ett sätt som är oförenligt med dessa ändamål”, enligt Dataskyddsförordningen.

Det betyder att vi inte får samla in uppgifter för ett visst syfte för att sedan använda dem för helt andra syften.

Kommunen måste också ha lagligt stöd i dataskyddsförordningen för att samla in och hantera dina personuppgifter. Det finns ett antal olika lagliga grunder som vi kan använda.

De vanligaste är:

• Rättslig förpliktelse – Vi behöver hantera dina personuppgifter som del i handläggandet eller hanteringen av någon uppgift som kommunen har en skyldighet att utföra enligt olika lagar.
• Allmänt intresse och myndighetsutövning – Vi behöver hantera dina personuppgifter för att utföra en uppgift som är av allmänt intresse eller som ett led i vår myndighetsutövning.
• Avtal - Vi behöver hantera dina personuppgifter för att utföra en uppgift som är nödvändigt för att ett avtal med den registrerade ska kunna fullgöras.
• Samtycke – Dvs. att du på en särskild blankett eller i en E-tjänst samtyckt till att vi behandlar dina personuppgifter. Du har alltid rätt att återta ditt samtycke.

Exakt återgivning av samtliga lagliga grunder för hantering av personuppgifter och personliga personuppgifter finns på Datainspektionens webbplats.

Kommunen har genomfört en inventering av alla sina personuppgiftsbehandlingar, och har på detta sätt upprättat förteckningar över vilka personuppgiftsbehandlingar som görs, och syftet med dessa behandlingar, vilket lagstöd som finns för dom m m. Du kan kontakta kommunen för att ta del av dessa.

Offentlighetsprincipen och allmänna handlingar

Den svenska offentlighetsprincipen följer av vår grundlag. Offentlighetsprincipen innebär en rättighet för var och en att få insyn i myndigheters verksamhet, exempelvis genom att ta del av våra allmänna handlingar. Handlingar som du skickar in till Gnosjö kommun, exempelvis brev, e-post och andra meddelanden, blir i allmänhet allmänna handlingar. Detta innebär att de omfattas av offentlighetsprincipen. Detta gäller även om du har skrivit in personuppgifter i meddelandet.

Personuppgifter kan alltså begäras och lämnas ut enligt offentlighetsprincipen - oavsett för vilket ändamål personuppgiften ursprungligen behandlades.

Rätten att ta del av allmänna handlingar gäller dock inte om handlingarna innehåller uppgifter som är belagda med sekretess enligt offentlighets- och sekretesslagen.

Den grundlagsskyddade offentlighetsprincipen går före GDPR. Offentlighetsprincipen innebär en rätt för var och en att hos Gnosjö kommun ta del av allmänna handlingar. Om det finns personuppgifter i allmänna handlingar, kan de lämnas ut med stöd av offentlighetsprincipen, såvida inte uppgifterna omfattas av sekretess.

Var behandlas mina personuppgifter?

Gnosjö kommun strävar alltid efter att behandla dina data inom EU/EES. Nämnderna följer alltid EU/EU-kommissionens rekommendationer om adekvat skyddsnivå och ett personuppbiträdesavtal finns med våra leverantörer som reglerar hur de i sin tur får behandla personuppgifterna på uppdrag av oss.

Hur länge sparas mina personuppgifter?

Personuppgifter får inte sparas längre än nödvändigt. Det innebär att när personuppgifterna inte längre behövs till det ändamål de samlades in, ska de tas bort (lagringsminimering).

När det gäller offentliga myndigheter finns ett viktigt undantag från principen om lagringsminimering. Undantaget tillåter myndigheter att bevara handlingar för arkivändamål av allmänt intresse.

Enligt svensk lagstiftning är myndigheter skyldiga att spara allmänna handlingar i arkiv, även efter att handlingarna inte längre används i ett pågående ärende. Detta krävs för att kunna tillgodose rätten att ta del av allmänna handlingar. Regler om detta finns i tryckfrihetsförordningen, offentlighets- och sekretesslagen, den svenska dataskyddslagen och arkivlagen.

Det innebär att om det finns personuppgifter i allmänna handlingar som ska sparas i arkiv får Gnosjö kommun spara dem längre än vad som är nödvändigt, utifrån det ändamål som uppgifterna ursprungligen använts.

Även om Gnosjö kommun ska spara handlingar med personuppgifter ska vem som har tillgång till uppgifterna begränsas. Medarbetare inom Gnosjö kommun får bara ha tillgång till sådana personuppgifter som behövs för att de ska kunna utföra sina arbetsuppgifter.

Svenskt regelverk kring allmänna handlingar gäller. Det betyder att personuppgifter som finns i allmänna handlingar bevaras i myndighetens arkiv. Detta är nödvändigt för att offentlighetsprincipen ska kunna fylla sin funktion.

Vad är mina rättigheter?

Rätten till information

Du har rätt att få information när dina personuppgifter behandlas. Information om behandlingen ska lämnas av ansvarig nämnd både när dina uppgifter samlas in och när du annars begär det. Därutöver finns det vissa tillfällen när särskild information ska ges till dig, till exempel om det inträffar ett dataintrång eller liknande (en personuppgiftsincident) hos den ansvariga nämnden och det finns risk att du utsätts för till exempel identitetsstöld eller bedrägeri.

Rätten till radering

Du har rätt att vända dig till kommunens dataskyddsombud (dataskyddsombud@gislaved.se) om behandlingen av dina personuppgifter och be att uppgifterna som avser dig raderas.

Uppgifterna måste ändå raderas i följande fall:

• Om uppgifterna inte längre behövs för de ändamål som de samlades in för.
• Om behandlingen grundar sig på ditt samtycke som du har återkallat.
• Om du motsätter dig att dina uppgifter behandlas inom ramen för myndighetsutövning eller allmänt intresse och det inte finns berättigade skäl som väger tyngre.
• Om kommunen har behandlat dina uppgifter olagligt.

Det finns undantag från rätten till radering t.ex. om bevarandet av dina personuppgifter är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet, för att uppfylla en laglig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.

Rätten till rättelse

Du har rätt att vända dig till kommunens dataskyddsombud och be att få felaktiga uppgifter rättade. Det innebär också att du har rätt att komplettera med sådana personuppgifter som saknas och som är relevanta med hänsyn till ändamålet med personuppgiftsbehandlingen. Vi som kommun är också skyldig att se till att de uppgifterna vi behandlar om dig är korrekta och uppdaterade.

Rätt till behandlingsbegränsning

Du har under vissa förutsättningar rätt att begränsa behandlingen av dina personuppgifter till att endast omfatta lagring av personuppgifterna, t.ex. under tiden då Gnosjö kommun utreder om du har rätt till radering.

Rätt till tillgång

Du har rätt att få en bekräftelse från Gnosjö kommun om hur vi behandlar dina personuppgifter. Du har rätt att få tillgång till personuppgifterna och följande information:

• Varför vi behandlar personuppgifterna
• Vilka personuppgifter som vi behandlar
• Vem som är mottagare av personuppgifter (särskilt om sådana är belägna utanför EU/EES)
• Hur länge personuppgifterna behandlas
• Information om vilka rättigheter du har
• Information om varifrån personuppgifterna har samlats in
• Om det förekommer automatiserat beslutsfattande, inbegripet profilering

Gnosjö kommun har rätt att ta ut en avgift om du begär mer än en kopia av dina personuppgifter.

Rätt till dataportabilitet

När behandlingen av dina personuppgifter sker för att du har gett ditt samtycke eller för att behandlingen är nödvändig för att fullgöra eller ingå ett avtal med dig, samt under förutsättning att personuppgifterna har samlats in direkt från dig, har du rätt att få en kopia av dina personuppgifter på ett vanligt förekommande maskinläsbart format.

Rättigheter i förhållande till automatiserat beslutsfattande, inbegripen profilering

Du har rätt att inte vara föremål för helt automatiserat beslutsfattande, inbegripet profilering, om sådant beslutsfattande har rättsliga följder eller väsentligen påverkar dig. Denna rätt tillämpas inte om det automatiserade beslutsfattandet är nödvändigt för att fullgöra ett avtal med dig, om beslutsfattandet uttryckligen är tillåtet enligt lag eller om du har lämnat ditt uttryckliga samtycke till detta.

Rätten att göra invändningar

Om kommunen behandlar dina uppgifter för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning har du rätt att invända mot detta.

Om du invänder mot behandlingen får nämnden endast fortsätta att behandla dina uppgifter om det går att visa att det finns tvingande eller berättigade skäl till att uppgifterna måste behandlas som väger tyngre än dina intressen, rättigheter och friheter eller om behandlingen sker för fastställande, utövande eller försvar av lagliga anspråk.

Du ska framföra din invändning skriftligen till kommunens dataskyddsombud på dataskyddsombud@gislaved.se.

Rätten att lämna klagomål

Om du anser att någon nämnd behandlar uppgifter om dig i strid med Dataskyddsförordningen kan du lämna in ett klagomål till datainspektionen. Datainspektionen ska ta del av alla klagomål och bedöma om tillsyn ska inledas. Datainspektionen måste meddela dig om tillsyn ska inledas eller inte inom tre (3) månader efter att ha tagit emot ditt klagomål. Om du som klagande inte får besked inom den tiden, kan du vända sig till domstol för att begära besked.