Hoppa till innehåll

Mitt Nacka

  • …så får du upptäcka spännande evenemang i din närhet.

Mitt Nacka

  • …så får du upptäcka spännande evenemang i din närhet.

GDPR - Dataskyddsförordningen

Dataskyddsförordningen (även kallad GDPR - General Data Protection Regulation) reglerar hur vi får behandla personuppgifter. GDPR ställer höga krav på den som behandlar personuppgifter. Vilka dessa krav är och hur Nacka kommun arbetar med dem finns beskrivna mer utförligt nedan. Det finns även mallar och guider som stöd för att underlätta arbetet.

Kort om GDPR

  • Dataskyddsförordningen (GDPR) gäller vid all digital behandling av personuppgifter och i vissa situationer även för manuell hantering (exempelvis i pärmar).
  • Personuppgifter är all typ av information (exempelvis text, bild och ljud) som kan kopplas till en enskild individ. Behandling innefattar olika typer av åtgärder som görs med personuppgifter, exempelvis lagring, överföring och läsning.
  • Varje verksamhet ansvarar för sina egna personuppgiftbehandlingar och för att uppfylla kraven i GDPR.
  • Personuppgifter ska behandlas i enlighet med de grundläggande principerna som anger bland annat att det ska finnas en rättslig grund och ett tydligt syfte som bestämts i förväg för varje personuppgiftsbehandling. De personuppgifter som hanteras måste dessutom vara relevanta i förhållande till syftet (det finns inget utrymme för "bra att ha") och inte sparas länge än nödvändigt. Läs mer om de grundläggande principerna.
  • Enskilda vars personuppgifter ni behandlar (även kallat "registrerade") har ett antal rättigheter i förhållande till sina personuppgifter. Registrerade har bland annat rätt att få sin personuppgifter rättade, rätt att få ut en kopia på sina personuppgifter och rätt att i förväg få veta hur ni behandlar. Läs mer om registrerades rättigheter nedan.
  • Personuppgifterna ska hanteras på ett säkert sätt, beroende på hur känsliga och skyddsvärda uppgifterna är. De ska exempelvis skyddas så att bara de som är behöriga kan se eller arbeta med uppgifterna. Uppgifterna måste även skyddas så de inte förstörs genom olyckshändelse eller förvanskas.
  • Du kan kontakta kommunens dataskyddsombud för att få stöd i ditt GDPR-arbete eller om du som anställd eller medborgare har synpunkter på kommunens hantering av dina personuppgifter.
  • För att utföra det operativa dataskyddsarbetet ska varje enhet eller verksamhet utse en eller flera dataskyddssamordnare (DSS). Enskilda medarbetare kan få stöd av sin DSS i frågor som rör personuppgifter.
  • En sanktionsavgift kan utdömas vid överträdelse av förordningen. Enskilda kan också rika skadeståndskrav mot kommunen. Det är Integritetsskyddsmyndigheten (IMY) som är tillsynsmyndighet.

Krav enligt GDPR

1. Registrera personuppgiftsbehandlingar
2. Grundläggande principer
3. Rapportera personuppgiftsincidenter
4. Konsekvensbedömningar (DPIA)
5. Personuppgiftsbiträden och PUB-avtal
6. Arkivering och gallring
7. Registrerades rättigheter
8. Känsliga och extra skyddsvärda personuppgifter
9. Informationssäkerhet

1. Registrera personuppgiftsbehandlingar

En förutsättning för att kunna efterleva GDPR är att veta vilka personuppgifter som behandlas och varför. Varje personuppgiftsansvarig (nämnd inom kommunal förvaltning) ska enligt artikel 30 i GDPR ha en förteckning över sina personuppgiftsbehandlingar (en registerförteckning) där bland annat syfte, typer av personuppgifter och lagringstid framgår.

I Nacka kommun är respektive enhet eller verksamhet ansvariga för att kartlägga sina personuppgiftsbehandlingar och dokumentera dessa i registerförteckningen. Registerförteckningen förs i systemet DraftIt och hjälper oss ha kontroll över vilka personuppgiftsbehandlingar vi utför i kommunen. Det hjälper oss också att, på ett systematiskt sätt, kontrollera att vi följer de grundläggande principerna och underlättar även fullgörandet av andra krav, som lämna information till enskilda och hantera begäran om registerutdrag (läs mer nedan under "Registrerades rättigheter").

Vanligtvis förtecknas personuppgiftsbehandlingarna av en dataskyddssamordnare eller annan utsedd person på enheten eller verksamheten. Registerförteckning ska hållas uppdaterad och bör ses över minst årligen.

2. Grundläggande principer

De grundläggande principerna för behandling av personuppgifter fungerar som vägledning för hur personuppgifter får hanteras och genomsyrar även övriga krav på dataskydd. Därför är det viktigt att känna till principerna och beakta dessa i frågor som rör personuppgifter.

Principerna handlar bland annat om att ha en rättslig grund, enbart behandla så många personuppgifter som behövs för ett visst syfte, iaktta proportionalitet, inte spara längre än de behövs och ha tillräcklig säkerhet.

3. Rapportera personuppgiftsincidenter

Varje organisation är skyldiga att ha processer för att upptäcka, utreda, åtgärda, dokumentera och anmäla vissa personuppgiftsincidenter till tillsynsmyndigheten Integritetsskyddsmyndigheten (IMY). Det innebär att medarbetare ska kunna identifiera när en personuppgiftsincident har hänt, veta hur den ska rapporteras och att det finns processer för att ta hand om en bekräftad incident. Det är även av vikt att incidenten leder till uppdaterade rutiner och arbetssätt för att förhindra nya incidenter.

Varje enhet och verksamhet är ansvariga att utreda, åtgärda och dokumentera samt i vissa fall anmäla personuppgiftsincidenter till IMY. Vanligtvis utreder och dokumenterar en dataskyddssamordnare på enheten eller verksamheten personuppgiftsincidenten. Enhetschef, verksamhetschef eller rektor i samråd med dataskyddsombudet har delegation enligt respektive nämnds delegationsordning att fatta beslut om en incident ska anmälas till IMY eller inte.

4. Konsekvensbedömning (DPIA)

I vissa situationer anses en personuppgiftsbehandling utgöra en så hög risk för enskildas rättigheter att en konsekvensbedömning (även kallat DPIA för den engelska förkortningen, Data Protection Impact Assessment) måste göras innan personuppgiftsbehandlingen påbörjas. En hög risk kan föreligga om känsliga personuppgifter behandlas i stor omfattning, om det rör sig om ny teknik, övervakning eller profilering.

Syfte med konsekvensbedömningen är att:

  • förebygga risker innan de uppkommer
  • att bedöma om den personuppgiftsansvarige har vidtagit tillräckliga åtgärder för att skydda den registrerades integritet och rättigheter.

Konsekvensbedömningen är även ett sätt att visa på sin efterlevnad (GDPR kräver nämligen att den som behandlar personuppgifter ska visa att den gjort och tänkt rätt).

Varje enhet och verksamhet ska ha bedömt om en konsekvensbedömning (DPIA) krävs för sina befintliga personuppgiftsbehandlingar och säkerställa att det för nya görs en konsekvensbedömning, om kriterierna uppfylls. Bedömningen av om en DPIA krävs eller ej dokumenteras i registerförteckningen i systemet Draftit (se ovan under rubriken "Registrera personuppgiftsbehandlingar").

5. Personuppgiftsbiträdesavtal (PUB-avtal)

Personuppgiftsbiträdesavtal (PUB-avtal) ska tecknas om en personuppgiftsansvarig anlitar en extern part som behandlar personuppgifter åt den personuppgiftsansvariga. Den externa parten är då biträde till den personuppgiftsansvariga och ska genom avtalet förbindas att endast behandla personuppgifter efter instruktioner från den ansvarige.

Syftet med avtalet är att säkerställa att enskildas personuppgifter skyddas även när det är någon annan än den personuppgiftsansvarige som behandlar personuppgifterna. Om två parter gemensamt bestämmer syftet rör det sig om ett gemensamt personuppgiftsansvar. Även i detta fall ska ett avtal upprättas.

Varje enhet eller verksamhet ansvarar för att PUB-avtal ingås med samtliga leverantörer/anordnare eller övriga externa aktörer där personuppgifter överlämnas för behandling. Om ett gemensamt personuppgiftsansvar föreligger finns även där ett ansvar att ha ett avtal på plats. PUB-avtal och avtal om gemensamt personuppgiftsansvar tecknas enligt respektive nämnds delegationsordning av enhetschef, verksamhetschef eller rektor.

Nacka kommun har en mall för PUB-avtal som kan användas (se länk nedan). Om ni väljer att använda leverantören eller den externa parterns avtal behöver den granskas och bedömas om den uppfyller kommunens krav. PUB-avtalet ska även följas upp, vilket kan göras i samband med den ordinarie avtalsuppföljningen.

Kontakta kommunjuristerna för stöd i arbetet med PUB-avtal.

Tredjelandsöverföring

När en leverantör eller extern part anlitas ska enheten eller verksamheten också kontrollera om personuppgifter kan överföras till tredje land. En tredjelandsöverföring är enbart tillåten under särskilda förutsättningar och ska i regel undvikas. Nacka kommuns PUB-avtalsmall tillåter ingen tredjelandsöverföring. Kontakta dataskyddsombudet för stöd om ni avser överföra personuppgifter till tredjeland.

Observera: Mallen för PUB-avtal är inte gjord i Nacka kommuns mall, eftersom ett avtal inte ska innehålla endast en logotyp. Läs mer om avtal här.

6. Lagringsminimering, arkivering och gallring

En av de grundläggande principerna i dataskyddslagstiftningen är principen om lagringsminimering, det vill säga att personuppgifter inte får behandlas längre än de behövs för ett angivet syftet. I offentlig förvaltning innebär det att varje verksamhet ska hantera sin information enligt en antagen informationshanteringsplan (IHP).

Om informationshanteringsplaner och arkivering alternativt gallring

När verksamhetens grund för behandling upphör ska uppgiften arkiveras alternativt gallras. Detta ska framgå i en informationshanteringsplan (tidigare kallad dokumenthanteringsplan) som ska hållas uppdaterad. Den talar om hur allmänna handlingar hos verksamheten ska hanteras och förvaras. Detta säkerställer en enhetlig hantering i kommunen och underlättar vid sökning av information. Den kan även vara ett hjälpmedel för att snabbt få en uppfattning om vad man arbetar med för typ av information i verksamheten och hur den hanteras.

Läs mer om informationshanteringsplaner på kommunarkivets sidor. Där finns information om vilka planer som är framtagna, både på kommungemensam nivå och för olika enheter. Där hittar du även instruktioner/mallar för hur du tar fram en informationshanteringsplan.

Varje enhet eller verksamhet är ansvariga för att gallring och arkivering sker enligt den antagna IHP. När nya system upphandlas är det viktigt att även kravställa utifrån behovet av arkivering och gallring. Läs mer om arkivkrav vid upphandlingar (PDF-dokument, 360 kB).

7. Registrerades rättigheter

Enskilda har ett antal rättigheter i förhållande till sina personuppgifter, nämligen:

  • Under vissa förutsättningar få sina uppgifter raderade eller rättade (rätten till radering och rättelse)
  • Rätt att få information om hur personuppgifter hanteras (rätten till information)
  • Rätt att invända, dvs. motsätta sig, mot en personuppgiftsbehandling och även begära begränsning av personuppgifternas användning (Rätten att göra invändningar och begära begränsning)
  • Rätt att inte bli föremål för automatiskt beslutsfattande
  • Rätt att vända sig till en personuppgiftsansvarig för att få bekräftat om ens personuppgifter behandlas och i så fall få en kopia på dessa (Rätt till tillgång – även kallat ”registerutdrag”)
  • Rätt att få ut sina personuppgifter på ett strukturerat sätt för att använda de hos någon annan (rätt till dataportabilitet – gäller enbart i få specifika fall inom offentlig förvaltning)

Kommuner hanterar generellt personuppgifter i stor omfattning vilket kräver att det finns utarbetade processer på plats om hur en enskild kan utöva sina rättigheter, särskilt vad gäller rätten till tillgång (registerutdrag). I Nacka kommun finns en central process för registerutdrag, men varje enhet och verksamhet måste ha sin egen rutin för hur en begäran om registerutdrag hanteras då de är ansvariga för att söka igenom sina personuppgifter och lämna ut en kopia på dessa.

Varje enhet och verksamhet måste också veta vilka typer av personers personuppgifter dehanterar (exempelvis "sökande av bygglov", "medborgare som lämnar synpunkt") för att uppfylla kravet om "rätten till information" (vilket kan göras i en typ av "integritetspolicy" för enheten/verksamheten). Läs mer i information till registrerad - guide och checklista (PDF-dokument, 232 kB).

Därutöver måste enheten eller verksamheten känna till övriga rättigheter för att kunna hjälpa en person som kontaktar kommunen och vill utöva sina rättigheter. Det finns en skyldighet att underlätta utövandet av rättigheterna och en person ska inte behöva känna till exakta begreppen eller ens nämna GDPR.

8. Känsliga och extra skyddsvärda personuppgifter

Känsliga personuppgifter är en typ av personuppgifter som det är förbjudet att behandla om inte ett undantag är tillämplig. Därför är det viktigt att veta om ni behandlar känsliga personuppgifter och då säkerställa att ett undantag finns.

Förutom känsliga personuppgifter, finns det en grupp personuppgifter kallat extra skyddsvärda personuppgifter. Denna typ av personuppgifter kräver inte ett undantag för att det ska vara tillåtet att hantera dem, men är samtidigt av en karaktär som kräver att de skyddas med högre säkerhet. Dessa typer av uppgifter och känsliga personuppgifter får enbart hanteras enligt säkerskilda rutiner och i system/lagringsytor som har högre säkerhet. Läs mer här om vilka typer av uppgifter som räknas till känsliga respektive extra skyddsvärda personuppgifter.

Varje enhet och verksamhet är ansvariga för att hantera känsliga och extra skyddsvärda personuppgifter på ett säkert sätt och h säkerställa att eventuella känsliga personuppgifter har ett undantag.

Personnummer

Personnummer räknas till som en extra skyddsvärd personuppgift. Dessutom anges i dataskyddslagen (som kompletterar dataskyddsförordningen) att personnummer bara får behandlas utan samtycke om det är klart motiverat med hänsyn till:

  • ändamålet med behandlingen
  • vikten av en säker identifiering
  • något annat beaktansvärt skäl.

Hanterar ni personnummer behöver ni därmed säkerställa att något av ovanstående gäller.

Nedan hittar du guider som hjälper dig att hantera känsliga och extra skyddsvärda personuppgifter rätt:

9. Informationssäkerhet

Personuppgifter ska även hanteras för att säkerställa personuppgifternas konfidentialitet (att inga uppgifter röjs för obehöriga), tillgänglighet (att uppgifterna är tillgängliga när de behövs) och riktighet (att uppgifterna är korrekta). Med andra ord handlar det om att arbeta aktivt med informationssäkerhet.

Genomför en informationsklassning för att veta vilken typ av information enheten hanterar och vilka krav som ställs på hantering av denna. Ni analyserar där vilka krav ni har på er informations konfidentialitet, riktighet och tillgänglighet. Baserat på hur informationen klassats analyseras de krav som ställs på systemet som hanterar informationen och riskanalyser görs för att identifiera och bedöma risker vars konsekvenser kan leda till störningar i informationstillgången, allvarliga händelser eller extraordinära händelser.

Här kan du läsa mer om hur du jobbar systematiskt med informationssäkerhet.

Frågor och svar om personuppgifter och dataskyddsförordningen

Här hittar du vanliga frågor och svar om personuppgifter och dataskyddsförordningen i vår FAQ.

Sidan uppdaterades: