FAQ - Behandling av personuppgifter

Personuppgifter är all slags information som kan knytas till en fysisk person som är i livet. Personuppgifter kan vara direkt utpekande information som namn, personnummer, fotografier och identifikationer, men också fastighetsbeteckning, röstinspelning, beskrivning av en person eller en samling information om en enskild.

Med behandling av personuppgifter menas varje åtgärd eller serie av åtgärder som görs med personuppgifterna. Detta kan vara exempelvis: insamling av personuppgifter, registrering, läsning, överföring och lagring.

Dataskyddsförordningen gäller för all automatiserad behandling av personuppgifter men även för manuell behandling.

Helt eller delvis automatiserad behandling

All behandling av personuppgifter som utförs helt eller delvis med hjälp av datorer kallas för helt eller delvis automatiserad. Delvis automatiserad behandling omfattar bland annat när någon samlar in personuppgifter manuellt, exempelvis genom en pappersenkät, med syfte att senare registrera uppgifterna digitalt. Det innebär också att till exempel muntligt utlämnande eller utlämnande på papper av personuppgifter som lagras digitalt omfattas av lagen.

Manuella register

Manuell behandling av personuppgifter i register (till exempel ett klassiskt kartotek, pärm, personakter eller närarkiv) omfattas av dataskyddsförordningen om uppgifterna är sorterade enligt något slags system som gör det möjligt att söka bland uppgifterna.

Extra skyddsvärda personuppgifter är uppgifter som är extra viktiga att skydda, till exempel:

• personnummer
• information som omfattas av sekretess eller tystnadsplikt
• vissa uppgifter om ekonomiska förhållanden
• omdömen och värderingar av en person såsom social förmåga, inlärningsförmåga och liknande
• provresultat, resultat av personlighetstester och annan information som ligger nära den privata sfären.
• uppgifter om lagöverträdelser

Det finns inget förbud mot att behandla dessa, men de ska hanteras med extra försiktighet. Förordningen kräver att man vidtar säkerhetsåtgärder som reflekterar uppgifternas art och risken som behandlingen medför för den registrerade.

Exemepl på skydd kan vara flerfaktorsautentisering (BankID, sms-kod, inloggningskort eller liknande som identifierar användaren på ett säkert sätt) och behörighetsstyrning.

Varje nämnd är personuppgiftsansvarig för de behandlingar av personuppgifter som görs inom nämndens ansvarsområde. Den personuppgiftsansvarige är alltid en juridisk person, det går inte att delegera personuppgiftsansvaret till en fysisk person. Ansvaret gentemot tillsynsmyndigheten och de registrerade ligger alltid kvar på den personuppgiftsansvarige, det vill säga nämnden, till exempel när det gäller skadeståndsanspråk.

Det är den personuppgiftsansvariges skyldighet att säkerställa att all behandling av personuppgifter följer dataskyddsförordningen och annan kompletterande lagstiftning. Dataskyddsförordningen ställer även krav på att den personuppgiftsansvarige ska kunna bevisa att man följer lagstiftningen genom exempelvis dokumentation av bedömningar kring personuppgiftshantering.

Personuppgiftsbiträdet är den som behandlar personuppgifter för den personansvariges räkning. Personuppgiftsbiträdet finns alltid utanför den personuppgiftsansvariges organisation. Typiske biträdessituationer är till exempel när en IT-leverantör processar information i sina datorer för den personuppgiftsansvariges räkning genom att exempelvis trycka fakturor eller adresser. Det kan också vara företag som sköter drift av exempelvis ärendehanterings- eller passersystem eller tillhandahåller en webbtjänst.

Observera att en biträdessituation inte endast behöver handla om lagring av personuppgifter, utan gäller även när en extern part har åtkomst till den personuppgiftsansvariges data genom sitt uppdrag för service, support, underhåll, utveckling och liknande. Dataskyddsförordningen kräver att ett biträdesavtal upprättas mellan den personuppgiftsansvarige och personuppgiftsbiträdet.

Under guider och mallar hittar du instruktioner och mall för personuppgiftsbiträdesavtal.

I dataskyddsförordningen är även personuppgiftsbiträdet skyldig att föra en förteckning över sina personuppgiftsbehandlingar och vidta lämpliga säkerhetsåtgärder. Personuppgiftsbiträdet kan även komma att bli föremål för tillsyn, administrativa sanktionsavgifter samt bli skadeståndsskyldiga.

Det ska först och främst vara nödvändigt att behandla en personuppgift. För alla behandlingar av personuppgifter finns alltid ett krav på nödvändighet. De personuppgifter som samlas in ska vara nödvändiga för ändamålet och därför ska heller inga onödiga personuppgifter samlas in.

Tips! Ta för vana att ifrågasätta om alla de uppgifter som registreras faktiskt är nödvändiga för ändamålet. Det är sällan ett personnummer behövs på en deltagarlista till exempel.

All personuppgiftsbehandling ska utgå från de grundläggande principerna

De grundläggande principerna är kärnan i dataskyddsförordningen och det är därför viktigt att känna till dessa. Läs mer om principerna under frågan "Vilka principer gäller när man behandlar personuppgifter?"

En av principerna är laglighet vilket innebär att varje personuppgiftsbehandling måste vila på en rättslig grund. I dataskyddsförordningen finns sex rättsliga grunder:

• Avtal – Behandling av personuppgifter är nödvändig för att uppfylla ett avtal mellan den personuppgiftsansvarige och den enskilde. Exempel: Behandlingar för administration av kundförhållande eller anställningsförhållande.
• Rättslig förpliktelse - Behandling av personuppgifter är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en förpliktelse som uttryckligen följer av lag. Exempel: Lämna ut uppgifter om anställda till bland annat statliga myndigheter för att redovisa skatter och sociala avgifter beträffande arbetstagarna.
• Allmänt intresse - Gäller när behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse. Exempel: Arkivering, forskning och framställning av statistik.
• Myndighetsutövning - Behandling av personuppgifter är tillåten om det är nödvändigt för myndighetsutövning. Med myndighetsutövning menas här sådana uppgifter som en myndighet enligt lag ska utföra och som har rättsliga effekter för den enskilde. Observera att detta inte innebär att alla personuppgiftsbehandlingar i en myndighet sker på denna grund, exempelvis är personaladministrativa åtgärder fortfarande en avtalssituation. Exempel: Ansökan om ekonomiskt bistånd eller bygglov.
• Grundläggande intressen - Behandling av personuppgifter är tillåten om det sker för att skydda den registrerades vitala intressen. Exempel: Vanligt inom akutsjukvård där den registrerade inte är förmögen att lämna samtycke. Detta är en ovanlig rättslig grund för kommunal verksamhet.
• Intresseavvägning - Kan tillämpas när den personuppgiftsansvariges intresse att behandla en uppgift väger tyngre än den enskildes personliga integritet, när ändamålet för behandlingen rör ett berättigat intresse hos den personuppgiftsansvarige. OBS! En intresseavvägning kan inte användas av myndigheter.

Viktigt att komma ihåg att det inte enbart räcker med en rättslig grund för att en personuppgiftsbehandling ska vara tillåten, utan samtliga principer ska följas.

I dataskyddsförordningen anges några grundläggande principer som gäller för all behandling av personuppgifter. Det betyder att ni vid all personuppgiftsbehandling måste följa dessa principer. Dessa är:

• Varje personuppgiftsbehandling ska ha en rättslig grund (laglighet)
• Personuppgifter får bara hanteras för uttryckligt angivna ändamål (syften) och detta får inte ändras i efterhand (ändamålsbegränsning)
• Personuppgifterna som hanteras måste vara proportionerliga och relevanta i förhållande till syftet (korrekthet - ”fairness” på engelska, uppgiftsminimering)
• Personuppgifterna får inte lagras längre än de behövs för syftet (lagringsminimering)
• Det ska vara tydligt för den registrerade hur personuppgifterna hanteras (öppenhet)
• Personuppgifter ska vara korrekta och uppdaterade (riktighet)
• Personuppgifter ska hanteras på ett säkert sätt i förhållande till risken (integritet och konfidentialitet)
• En personuppgiftsansvarig ska kunna visa att principerna följs (ansvarsskyldighet)

Läs mer om principerna hos Integritetsskyddsmyndigheten.

En beskrivning av rättsliga grunder finns under frågan "När är det tillåtet att behandla personuppgifter?".

Ett dataskyddsombud har i uppgift att ge råd och stöd till en personuppgiftsansvarig om skyldigheter som följer av dataskyddsförordningen och annan kompletterande lagstiftning. Dataskyddsombudet ska vara självständig gentemot den personuppgiftsansvarig och kan inte vara med och fatta beslut om hur personuppgifter hanteras. Dataskyddsombudet ska också granska hur en personuppgiftsansvarig följer gällande lagstiftning samt agera kontaktperson för en registrerad och för tillsynsmyndigheten, Datainspektionen.

Kontaktuppgifter till Nacka kommuns dataskyddsombud

E-post som innehåller personuppgifter kan skickas så länge de inte innehåller:

• Känsliga personuppgifter, till exempel hälsoinformation
• Extra skyddsvärda personuppgifter, till exempel sekretessbelagd information enligt offentlighets- och sekretesslagen eller personnummer

I de fall vi ändå behöver skicka e-post som innehåller känsliga personuppgifter eller sekretessbelagd information så krävs det att särskilda säkerhetsåtgärder vidtas. Nacka kommun erbjuder en tjänst som har en högre säkerhetsnivå än ordinarie e-postsystem. Tjänsten heter Säkra meddelanden och finns tillgänglig via Nackas hemsida.

Läs mer i guiden för säker e-posthantering (PDF-dokument, 358 kB)

I denna presentation finns en sammanfattning av kraven på personuppgiftsbehandling (PDF-dokument, 179 kB) och under frågan "Vad gäller kring e-post och personnummer?" kan du läsa särskilt om vad som gäller kring personnummer i e-post.

Kritik från justitieombudsmannen

I november 2017 kritiserar Justitieombudsmannen barn- och utbildningsförvaltningen i Luleå kommun för att e-postmeddelanden med känsliga personuppgifter skickats utan att särskilda säkerhetsåtgärder vidtagits och för dröjsmål med att besvara frågor.

Beslutet i korthet: Barn- och utbildningsförvaltningen skickade ett e-postmeddelande med en elevs läkarintyg mellan e-postservrar över internet till vårdnadshavarna och till flera befattningshavare. Det borde ha vidtagits särskilda säkerhetsåtgärder för att säkerställa att rätt person fick åtkomst till uppgifterna och att de överfördes på ett säkert sätt (t.ex. genom kryptering). Eftersom det inte gjordes fanns det risk för att obehöriga, dvs. andra än de avsedda mottagarna, kunde ta del av de känsliga personuppgifterna. Förvaltningen kritiseras för hanteringen. Dessutom kritiseras förvaltningen för att man dröjde nästan sju månader med att besvara frågor från elevens far som gällde bl.a. hantering av läkarintyg.

Du kan läsa beslutet i sin helhet på Justitieombudmannens hemsida.

Personnumret är en uppgift som räknas som extra skyddsvärt. Detta gäller oavsett sammanhang och det ska därmed finnas en hög nivå på de tekniska lösningarna när personnummer hanteras. Vanlig e-post uppfyller i regel inte kraven på säkerhet för extra skyddsvärda uppgifter.

Läs mer om e-post under frågan "Hur ska personuppgifter hanteras i e-post?" och mer om personnummer under frågan "Hur ska jag hantera personnummer?"

Om någon skickar känsliga personuppgifter eller sekretessuppgifter så innebär det inte att hen gett sitt samtycke till att hantera personuppgifter per e-post. Den enskilde har ingen information om vilka säkerhetsåtgärder som kommunen har vidtagit för e-posthantering (t.ex. kryptering). Det är kommunens ansvar som personuppgiftsansvarig att säkerställa att lämpliga säkerhetsåtgärder vidtagits.

Tänk därför på att ta bort det ursprunliga meddelandet när du svarar och inte vidarebefordra e-postmeddelandet vidare, utan hantera det i ett verksamhetssystem eller liknande som kan hantera känslig och sekretessbelagd information

Tvärt emot vad många tror, finns det inte något förbud mot att registrera personnummer eller samordningsnummer (samordningsnummer är ett unikt identifikationsnummer som kan tilldelas personer som inte är eller har varit folkbokförda i Sverige), men det finns särskilda krav på när personuppgifter får behandlas.

Överväg därför alltid om det är nödvändigt att notera personnummer på alla ställen som du har tänkt det, eller om det räcker med att det finns tillgängligt till exempel i en akt eller enbart i en grunddatabas. Det är framförallt den slentrianmässiga användningen av personnummer som man måste vara observant på. Tänk efter: stödjer syftet med behandlingen av personuppgifter att personnummer registreras?

Personnummer ska enbart användas:

• om behandlingen är klart motiverat med hänsyn till ändamålet med behandlingen (räcker det med förslagsvis namn och adress, födelsedatum eller födelseår, så ska du nöja dig med det),
• om behandlingen är klart motiverat med hänsyn till vikten av en säker identifiering. Exempelvis är det tillåtet att registrera de anställdas personnummer i ett register som innehåller grunddata eller till exempel ett löneadministrativt IT-system, redovisning av källskatter, vid rehabiliteringsutredning eller kommunikation med facket i lönerevisioner, kommuninvånarregister, elevers personnummer i ett skoladministrativt IT-system. Personnummer behövs i dessa fall på grund av vikten av en säker identifiering, det vill säga man måste vara säker på vem personen är när man exempelvis sätter betyg, administrerar ansökningar till barnomsorg eller äldreomsorg, i tillsynsärenden, i kravärenden och när kommunen rapporterar till skatteverket.
• om behandlingen är klart motiverat med hänsyn till något annat beaktansvärt skäl.

(Kriterierna är föreskrivna av 3 kap. 10 § dataskyddslagen vilket innebär att en behandling av personnummer som inte uppfyller kraven ovan inte är laglig)

Bestämmelserna om personnummer gäller däremot inte födelsedatum. Överväg därför också om det räcker med att ta bort fyra sista siffrorna i ett personnummer. Datainspektionen har ändå ansett att det är tveksamt om det finns anledning att registrera födelsedatum på till exempel en deltagarlista. Är det inte viktigt när någon fyller år eller hur gammal hen är, behövs ju varken födelsedatum eller födelseår.

Undvik att använda personnummer som användaridentitet vid inloggningar. I stora organisationer med många anställda har Datainspektionen i undantagsfall godtagit användning av personnummer både för behörighetsadministration och inloggning om det behövs för en säker identifikation av användaren. Om det finns behov av att använda personnummer som inloggning så behövs samråd med kommunens dataskyddsombud.

Pseudonymiserade personuppgifter är uppgifter som inte kan kopplas till en enskild individ utan kompletterande uppgifter. Exempelvis: kodning av uppgifter på olika sätt. Pseudonymiserade uppgifter räknas fortfarande som personuppgifter och ska följa dataskyddslagstiftningen.

Avidentifierade (anonymiserade) uppgifter är uppgifter som behandlas på ett sätt så att det inte går att identifiera enskilda (även om annan information tillförs), exempelvis statistik på aggregerad nivå. För att uppgifter verkligen ska räknas som avidentifierade ska det inte gå att ändra tillbaka uppgifterna så att enskilda på nytt kan identifieras. Även viktigt att komma ihåg att det inte räcker med att ta bort namn, personnummer eller annan direkt utpekande information för att avidentifiera personuppgifter. Beroende på vilka andra uppgifter som behandlas kan enskilda ändå identifieras. Uppgifter som är avidentifierade räknas inte som personuppgifter och då gäller inte dataskyddslagstiftning.

Krypteringen är en teknisk säkerhetsåtgärd men innebär inte att informationen är avidentifierad, reglerna för hur personuppgifter får hanteras gäller alltså för krypterade uppgifter. I Datainspektionens vägledning kring informationssäkerhet fastställs att känsliga personuppgifter ska vara krypterade vid överföring, exempelvis i mejlkommunikation.

Det är vanligt att ett externt företag, till exempel en systemleverantör, behandlar personuppgifter för nämndens räkning. Den externa parten kallas då personuppgiftsbiträde. Biträdessituationen kan uppstå när den externa parten lagrar personuppgifter, sköter drift och underhåll av ett system eller på distans har åtkomst till personuppgifterna för support eller i annat syfte. Det viktiga är alltså inte vart personuppgifterna lagras utan om den externa parten har åtkomst till och möjlighet att påverka uppgifterna.

Förekommer en biträdessituation, ska ett personuppgiftsbiträdesavtal tecknas (PUB-avtal). Under sidan Mallar för GDPR - dataskyddsförordningen finns Nacka kommuns PUB-avtalsmall och instruktion för mallen. PUB-avtalet ska säkerställa att biträdet följer den personuppgiftsansvariges instruktioner vad gäller hanteringen av och säkerheten för personuppgifterna.

Den personuppgiftsansvarige ansvarar fortfarande för att dataskyddsförordningen följs. Det är bara den faktiskta behandlingen av personuppgifter som kan överlåtas till ett externt företag, inte ansvaret. Därför är det även viktigt att dels ställa krav på biträdet i PUB-avtalet och dels följa upp att biträdet verkligen lever upp till kraven.

En biträdessituation uppstår när en extern part utanför kommunen behandlar personuppgifter för en personuppgiftsansvariges räkning. Två kriterier ska därmed vara uppfyllda för att en biträdessituation ska uppstå:

1. Personuppgifter behandlas av en extern part. Behandling av personuppgifter är alla typer av åtgärder som görs med personuppgifterna, exempelvis: lagring, läsning eller överföring. Lagrar den externa parten personuppgifter eller har den på något sätt åtkomst till uppgifterna, så behandlar den externa parten personuppgifter.
2. Behandlingen av personuppgifterna sker för den personuppgiftsansvariges räkning. Ett biträde kan per definition inte bestämma över personuppgifterna, dvs. med vilken rättslig grund personuppgifterna behandlas, vad är syftet, vilka personuppgifter ska ingå i behandlingen osv. Om uppgifter endast skickas från en personuppgiftsansvarig till en annan, där båda använder uppgifterna för sina egna syften, krävs inget PUB-avtal då detta inte är en biträdessituation.

I alla biträdessituationer ska det finnas ett skriftligt avtal mellan den personuppgiftsansvarige och biträdet - ett så kallat personuppgiftsbiträdesavtal eller biträdesavtal. I ett sådant avtal villkoras biträdets hantering av personuppgifterna och det är den personuppgiftsansvarige som är skyldig att se till att det finns ett skriftligt biträdesavtal på plats. Det är oftast enklast och tydligast att ha biträdesavtalet som en del av tjänsteavtalet. Då slipper man göra en separat beskrivning av uppdraget, som kanske senare ändras i tjänsteavtalet utan att någon tänker på att även biträdesavtalet måste ändras på samma sätt.

Vad ska avtalet innehålla?

Nedan listas de krav som dataskyddsförordningen ställer på innehållet i ett biträdesavtal. Avtalet ska innehålla följande:

• En beskrivning av ändamålet och varaktigheten för behandlingen,
• Vilka kategorier av personuppgifter som kommer att behandlas,
• Bestämmelse om att biträdet endast får behandla uppgifterna utifrån den personuppgiftsansvariges instruktioner (det kan gälla exempelvis vilken kommunikation som ska krypteras, vilka autentiseringsmetoder som ska användas eller vart personuppgifterna får lagras),
• Bestämmelse om att biträdets personal åtar sig att behandla personuppgifterna konfidentiellt eller med tystnadsplikt,
• Bestämmelse om att biträdet åtar sig att upprätthålla kraven på uppdaterade säkerhetssystem,
• Krav på att biträdet ska bistå den personuppgiftsansvarige i förhållande till de registrerades rättigheter,
• Bestämmelse om huruvida biträdet ska radera eller återlämna personuppgifterna till den personuppgiftsansvarige efter avslutat uppdrag,
• Krav på att biträdet ska vara behjälpligt för revision och granskning,
• Bestämmelse om det krävs ett skriftligt godkännande för anlitande av eventuella underleverantörer eller om det är tillräckligt att biträdet informerar den personuppgiftsansvarige.

Vid tecknande av PUB-avtal ska Nacka kommuns mall för personuppgiftsbiträdesavtal användas. Du hittar mallen på sidan Mallar för GDPR - Dataskyddsförordningen.

Personuppgifter om enskilda får endast publiceras på hemsidan om det finns en rättslig grund för publiceringen och publicering följer dataskyddsprinciperna i övrigt. Samtycke är en av de rättsliga grunderna, läs mer om samtycke nedan.

Tänk på att personuppgifter som enskilt betraktas som harmlösa kan anses vara kränkande beroende på sammanhanget de publiceras i. Känsliga eller extra skyddsvärda personuppgifter får aldrig publiceras på webben.

Personuppgifter (inklusive fotografier och filmer) om tjänstemän och förtroendevalda som har anknytning till deras tjänsteutövning eller uppdrag som till exempel yrkestitel får i regel publiceras på webben utan samtycke.

Läs mer om publicering på internet på IMY:s hemsida.

Samtycke är ett alternativ, men begränsningar finns

Samtycke kan inhämtas för personuppgifter som inte kan publiceras utan samtycke, men tänk på att samtycke i offentlig verksamhet och mellan arbetsgivare/arbetstagare enbart kan användas i begränsade fall. Samtycke ska vara helt frivilligt och kunna dras tillbaka närsomhelst (då ska publiceringen upphöra).

Samtycket anses inte vara frivilligt om det råder ett ojämlikt maktförhållande i en situation, exempelvis mellan en kommun/medborgare där kommunen utövar myndighetsutövning och en arbetsgivare/arbetstagare. Det får inte ställas krav i samband med samtycket och den enskilde ska inte på något sätt påverkas negativt av att säga nej. Det ska också finnas dokumenterat att ett samtycke inhämtats.

Under guider och mallar - GDPR finns en mall till en samtyckesblankett.

På Integritetsmyndighetens hemsida finns mer information om samtycke.

För publicering av personuppgifter i nämndernas sammanträdeshandlingar gäller samma regler som för publicering av personuppgifter på hemsidan i övrigt. Personuppgifter om enskilda får endast publiceras på hemsidan om det finns rättslig grund för publiceringen och publicering följer dataskyddsprinciperna i övrigt, exempelvis att det finns ett uttryckligt syfte, att inte fler personuppgifter än nödvändigt publiceras och att enskilda har fått information om att uppgifterna publiceras.

Den rättsliga grund som är aktuell vid publicering av personuppgifter i nämndhandlingar är främst allmänt intresse och att myndigheter har en skyldighet att informera om sin verksamhet.

Följande typer av personuppgifter får inte publiceras:

• Känsliga personuppgifter
• Personnummer
• Sekretessbelagda uppgifter
• Uppgifter som rör en enskilds privata sfär, inklusive ekonomiska förhållanden
• Omdömen och värderande uppgifter om en enskild
• Handskriven namnteckning (då det finns risk att namnteckningen kan användas i bedrägerisyften)

I regel kan en enskild medborgare som kontaktar kommunen eller har ett aktuellt ärende inte förvänta sig att få sina personuppgifter publicerade öppet på nätet. Därför måste ni motivera varför varje publicering är nödvändig.

Tänk på att indirekta personuppgifter, exempelvis fastighetsbeteckning eller adress, också räknas som personuppgifter om de kan kopplas till en enskild individ.

Personuppgifter (i form av exempelvis namn, titel, e-post eller telefon i arbetet) om tjänstepersoner och förtroendevalda som har anknytning till deras tjänsteutövning eller uppdrag får publiceras i handlingar.

Exempelvis: Namn på ledamot i miljö- och stadsbyggnadsnämnden får publiceras på hemsida. Även partitillhörighet eftersom det avser hens politiska uppdrag i nämnden. Om samma ledamot däremot som privatperson får ett vitesföreläggande för ett olovligt bygge så ska uppgifterna inte publiceras. Samma sak gäller om det skulle röra sig om en medarbetare i kommunen.

Fotografier på kommunens företrädare inom ramen för deras tjänsteutövning/uppdrag får publiceras utan samtycke. Med kommunens företrädare avses:

• Förtroendevalda
• Direktörer
• Enhetschefer/verksamhetschefer/rektorer
• Anställda i vars uppdrag ligger att företräda kommunen utåt

Övrig publicering av fotografier från kommunens verksamhet där enskilda kan identifieras kräver samtycke. Läs mer om när och hur samtycke kan inhämtas under föregående fråga.

Inom skola, förskola och fritids måste vårdnadshavare samtycka innan en publicering av barn sker på hemsidan. Samtycket ska inhämtas från båda vårdnadshavarna. Om samtycket utformas på ett korrekt sätt behöver det bara inhämtas en gång för alla bilder som publiceras under hela skoltiden. På sociala medier får barns personuppgifter enbart publiceras när det är motiverat utifrån syftet och då också bara med vårdnadshavarnas samtycke.

Tänk på att det kan finnas enskilda med skyddade personuppgifter i skolan eller på arbetsplatsen och att sådana personuppgifter kräver extra försiktig hantering.

Under guider och mallar - GDPR finns en mall till en samtyckesblankett.

På Integritetsmyndighetens hemsida finns mer information om samtycke.

När Nacka kommun som organisation publicerar personuppgifter i sociala medier (Facebook, Twitter, Instagram, Youtube m.fl.) så finns ett personuppgiftsansvar. I personuppgiftsansvaret ingår att:

• följa reglerna om rättslig grund och övriga dataskyddsprinciper
• inte publicera kränkande personuppgifter,
• hålla regelbunden uppsikt över publiceringar för att upptäcka kränkande personuppgifter,
• skyndsamt ska ta bort kränkande personuppgifter,
• vidta lämpliga säkerhetsåtgärder (det innebär bland annat att kommunen ska ge instruktioner till de som arbetar med sociala medier för organisationens räkning, anställda och andra som agerar på uppdrag av kommunen).

Kommunens riktlinjer för sociala medier

I personuppgiftsansvaret ingår det alltså att se till att det hålls en god ton bland besökarna på till exempel kommunens Facebook-sida. För att minska risken för kränkningar av enskildas personliga integritet menar Integritetsskyddsmyndigheten (IMY) att den personuppgiftsansvarige också bör vidta åtgärder i förebyggande syfte. Det kan till exempel vara att:

• informera om för vilka ändamål som kommentarsfunktionen är tänkt att användas, vilka typer av kommentarer som inte får förekomma och att publiceringar kan komma att plockas bort,
• uppmana användare att rapportera kränkande innehåll till organisationen och ha rutiner för att hantera klagomål.

Offentlighetsprincipen och dataskyddsförordningen har olika syften men tillämpas parallellt. Enbart det faktum att en personuppgift finns i en handling som är allmän och offentlig innebär det exempelvis inte att det är tillåtet att publicera den på hemsidan eller att göra uppgiften tillgänglig internt för anställda som inte har behov av uppgiften för sitt arbete. Det är reglerna i dataskyddsförordningen som bestämmer om det är tillåtet att publicera uppgifter externt eller tillgängliggöra uppgifter internt, se fråga "När är det tillåtet att behandla personuppgifter?"

När det enligt offentlighetsprincipen finns en skyldighet att registrera och lämna ut allmänna handlingar så utgör det en rättslig förpliktelse som den personuppgiftsansvarige (nämnden) är skyldig att följa.

Det finns däremot ingen skyldighet enligt offentlighetsprincipen att exempelvis publicera information på internet eller att lämna ut handlingar digitalt, vilket betyder att dataskyddsförordningen regler gäller när personuppgifter behandlas i dessa sammanhang. Det innebär bland annat att de krav på säkerhet som finns för känsliga och extra skyddsvärda personuppgifter ska följas.

Exempel: En nämnd beslutar om att vitesförelägga en privatperson för brott mot miljöbalken. Hur ska beslutet hanteras utifrån:

• Offentlighetsprincipen? Om någon begär att få ta del av beslutet så är det en offentlig handling och ska lämnas ut.
• Dataskyddsförordningen? Eftersom handlingen innehåller information om lagöverträdelser ska handlingen inte publiceras på hemsidan.

Gallring innebär att personuppgifter som inte längre är relevanta för det ändamål som behandlingen avser ska rensas. Enligt principen om lagringsminimering är det alltså ändamålet för behandlingen som avgör hur länge uppgifterna får sparas. Arkivering är ett ändamål för att behandla personuppgifter, personuppgifter får därmed sparas i arkiveringssyfte.

Allmänna handlingar får inte gallras utan att detta framgår av en informationshanteringsplan. Personuppgifter som inte förekommer i allmänna handlingar ska rensas när de inte längre behövs för det ursprungliga ändamålet. Ska en allmän handling innehållandes personuppgifter gallras enligt en informationshanteringsplan och uppgifterna inte krävs för något annat syfte, finns inte längre något ändamål med att behandla uppgifterna och den är därmed olaglig.

Läs mer om arkivering och informationshantering på kommunarkivets sidor.

Det finns två olika sätt att ta bort personuppgifter. Man kan antingen avidentifiera eller förstöra (gallra) dem:

• Avidentifiera (anonymisera)
  Att avidentifiera personuppgifterna innebär att man avlägsnar alla identifieringsmöjligheter så att de uppgifter som fortsättningsvis behandlas inte längre går att koppla samman med en fysisk person (inte heller med annan kompletterande information). Krypterade personuppgifter är inte avidentifierade så länge någon kan göra uppgifterna läsbara och därmed identifiera personen.
• Förstöra (gallra)
  Att förstöra personuppgifterna innebär att se till att de inte går att återskapa. Det är viktigt att känna till vad som krävs rent tekniskt för att uppgifterna verkligen ska förstöras. Det är till exempel inte tillräckligt att radera den fil som innehåller personuppgifterna. Det är nämligen inte säkert att ett sådant kommando verkligen raderar all information, filen kan exempelvis ligga kvar i datorns "papperskorg". I stället krävs säker omformatering av lagringsmediet eller total överskrivning så att personuppgifterna inte kan tolkas i efterhand. Det är däremot inte heller säkert att vanlig formatering raderar alla uppgifter utan det kan krävas särskild utrustning eller specialprogramvaror. Hur långtgående tekniska åtgärder som bör vidtas är bland annat beroende av informationens känslighet.

Är du osäker på när en handling (och tillhörande personuppgifter) ska gallras så anges gallringsfristen i en informationshanteringsplan. Ingen handling får gallras utan ett fastställt beslut i en informationshanteringsplan. Informationshanteringsplanen gäller både för digitala och fysiska handlingar. I informationshanteringsplanen anges även om gallringsfristen tar hänsyn till andra lagstiftningar, exempelvis arkivlagen, offentlighets- och sekretesslagen eller annan registerlagstiftning.

Läs mer om arkivering och informationshantering på kommunarkivets sidor.

För alla som hanterar och bearbetar personuppgifter är det viktigt att säkerställa att personuppgifterna skyddas på ett bra sätt. Den personuppgiftsansvarige måste vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Till tekniska åtgärder räknas saker som brandväggar, krypteringsfunktioner och anti-virusprogram, medan organisatoriska åtgärder handlar om säkerhetsarbetets organisation och rutiner. Behandling av känsliga och extra skyddsvärda personuppgifter ställer högra krav på vidtagna säkerhetsåtgärder.

Följande frågeställningar kan vara till hjälp när man bedömer hur pass integritetskänsliga uppgifterna är:

• Omfattas uppgifterna av tystnadsplikt eller sekretess enligt offentlighets- och sekretesslagen eller annan lagstiftning?
• Omfattas behandlingen av någon särlagstiftning, till exempel patientdatalagen eller lagen om behandling av personuppgifter inom socialtjänsten med flera?
• Är det uppgifter om lagöverträdelser?
• Är det känsliga personuppgifter?
• Är det uppgifter om enskildas personliga förhållanden?
• Behandlas personnummer?

Är svaret Ja på någon av dessa frågor ska säkerhetsåtgärderna för att skydda personuppgifterna vara mer omfattande. Enligt praxis kräver ovanstående typer av personuppgifter:

• Kryptering
• Stark autentisering vid inloggning (tvåfaktorsinloggning)
• Behörighetsstyrning så att endast de som direkt har behov av uppgifterna för sitt arbete har tillgång till dem
• Loggning av vem som tagit del av uppgifterna för att följa upp att ingen obehörigen tagit del av uppgifterna
• Rutiner för hur uppgifterna får hanteras

Den personuppgiftsansvarige ska ta ställning till vilka särskilda risker det finns med behandlingen av personuppgifter. Riskerna kan påverka vilka säkerhetsåtgärder som behövs för att skydda personuppgifterna. Att göra en risk- och sårbarhetsanalys för en personuppgiftsbehandling eller ett verksamhetssystem är en bra utgångspunkt för att säkerställa en säker och korrekt behandling av personuppgifter. Exempel på fårgor som ställs i en risk- och sårbarhetsanalys är:

• Behandlas personuppgifterna på ett sätt som gör det svårt att kontrollera att det bara sker i enlighet med ändamålen med behandlingen?
• Finns det risk för att personuppgifterna kan spridas på ett oönskat sätt?
• Hanteras personuppgifter via öppna nät som internet, till exempel via en webbsida eller genom e-post?
• Kan många användare komma åt personuppgifterna?
• Behandlas personuppgifter om många personer?
• Behandlas en stor mängd personuppgifter om varje person?
• Vad blir konsekvenserna om obehöriga får åtkomst till uppgifterna eller om systemet drabbas av tekniska störningar? Hur stor är sannolikheten för att det inträffar?

Ju fler av dessa frågor som man svarar Ja på desto mer omfattande bör säkerhetsåtgärderna vara. När man sedan bestämmer vilken säkerhetsnivå man ska ha, ska man tänka på att åtgärderna ska ge en säkerhetsnivå som är lämplig i förhållande till:

• tillgänglig teknik,
• kostnaden för åtgärderna,
• om det finns några särskilda risker med behandlingen,
• hur pass känsliga uppgifterna är.

All verksamhetsrelaterad information ska lagras på för denna avsedda platser. Information som är klassad som känslig och omfattas av sekretess eller innehåller känsliga personuppgifter bör hanteras, delas och sparas i ett verksamhetssystem. Finns inget sådant alternativ bör en särskild lagringsytavsättas upp med bland annat åtkomstbegränsning och utökad spårbarhet. Använd alltså inga allmänna lagringsytor för ditt arbetsmaterial (till exempel Dropbox, Google drive eller liknande). Verksamehetsrelaterad information ska aldrig sparas på privat dator, surfplatta eller telefon. Det är också viktigt att komma ihåg ha gallringsrutiner samt att kommunens dokumenthanteringsplaner följs även för de dokument som lagras utanför verksamhetssystem.

Här hittar du en guide för lagringsalternativ (PDF-dokument, 506 kB) som hjälp för att välja vilken lagringsplats är lämplig för vilken typ av personuppgifter.

Begränsningen av hur och var arbetsrelaterad information, inklusive personuppgifter, lagras är en del av Nackas informationssäkerhetsstrategi.

Du kan läsa mer om strategin samt ta del av stöd och riktlinjer här

Information om hur du ska hantera skyddade personuppgifter är samlad på en separat sida. Klicka på länkan för att komma till sidan och läsa mer.

Alla e-tjänster behandlar i någon utsträckning personuppgifter (namn, adress, telefonnummer osv.). Det innebär att regler för personuppgiftsbehandling ska tillämpas. Om e-tjänsten även behandlar känsliga personuppgifter krävs extra säkerhetsåtgärder. Valet av autentiseringsmetod bör utgå från känsligheten hos de personuppgifter som behandlas, mängden uppgifter och de risker som är förknippade med behandlingen. Generellt för alla e-tjänster gäller följande:

Information

I anslutning till e-tjänsten ska det lämnas information till användarna om behandlingen av personuppgifter. Det gäller oavsett om uppgifterna samlas in med eller utan de registrerades samtycke. Informationen ska upplysa om vem som är personuppgiftsansvarig, ändamålen med behandlingen, vilka som är mottagare av uppgifterna, eventuell skyldighet för den enskilde att lämna uppgifter och rätten att ansöka om registerutdrag och få felaktiga uppgifter rättade. Normalt kan informationen lämnas i en särskild ruta eller i ett särskilt fönster på webbplatsen i anslutning till e-tjänsten.

Under sidan guider och mallar - GDPR hittar du en guide och mall för hur information till registrerade ska ges.

Personuppgiftsbiträdesavtal

Om en utomstående leverantör behandlar personuppgifter för nämndens räkning, till exempel om de lagras på en server hos leverantören, blir denne ett personuppgiftsbiträde. Nämnden måste då i egenskap av personuppgiftsansvarig upprätta ett skriftligt avtal – ett så kallat biträdesavtal – med leverantören. I avtalet ska det föreskrivas att leverantören får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att leverantören är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna.

Under sidan guider och mallar - GDPR hittar du mall och instruktioner för personuppgiftsbiträdesavtal.

Allmänna handlingar

Tänk på att inkommande och utgående handlingar i en e-tjänst utgör allmänna handlingar utifrån bestämmelserna i offentlighets- och sekretesslagen. Det innebär att daglig diarieföring ska ske vilket omfattar även inkommande och utgående handlingar i e-tjänster. Vad gäller bevarande och gallring så ska informationshanteringsplanen för ärendetyperna ange tider för gallring och bevarande.

Läs mer om arkivering och informationshantering

Bedöm hur känsliga personuppgifterna är

Uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen, uppgifter om lagöverträdelser samt uppgifter om enskilds personliga förhållanden (extra skyddsvärda uppgifter) ska också behandlas på samma sätt som känsliga personuppgifter.
Särskilda krav som ställs på e-tjänst som behandlar känsliga personuppgifter (inklusive extra skyddsvärda uppgifter):

• Användaren av e-tjänsten måste kunna förvissa sig om att det är den personuppgiftsansvarige (nämnden) som är mottagare av uppgifterna. Detta kan lösas genom att till exempel använda ett signerat servercertifikat och SSL/TLS.
• Personuppgifter måste skyddas så att obehöriga inte kan ta del av dem genom exempelvis kryptering och servercertifikat
• Det krävs fungerande rutiner för behörighetstilldelning och tydliga riktlinjer för när det är tillåtet för personalen att ta del av personuppgifter, här kan utbildningsinsatser vara nödvändiga.
• Det ska finnas en behandlingshistorik (logg) som löpande registrerar användaridentitet, tidpunkt och vilka personuppgifter som användaren har haft åtkomst till eller bearbetat.

• Nämnden är personuppgiftsansvarig och har det yttersta ansvaret för att personuppgiftsbehandlingar följer lagstiftningen.
• Enheterna ansvarar för att personuppgifterna hanteras korrekt enligt dataskyddslagstiftningen och att övriga krav som följer av lagstiftningen följs.
• Medarbetarna ansvarar för att behandla personuppgifter korrekt i sitt vardagliga arbete.
• Dataskyddsombudet ska ge råd och stöd och övervaka Nacka kommuns efterlevnad av dataskyddsförordningen. Dataskyddsombudet rapporterar till högsta ledningsnivå och är även kontaktperson för Datainspektionen.

När du arbetar med personuppgifter är det viktigt att tänka på säkerheten för dessa även när du arbetar på distans - vare sig det är hemma, på resan eller i offentlig miljö. För att minska risken för att obehöriga får åtkomst till personuppgifter som behandlas av kommunen kan du tänka på följande:

• Anslut inte till öppna nätverk om du inte behöver. Säkerheten kan inte garanteras och det finns en risk att din aktivitet på nätverket övervakas. Använd istället din mobil för att dela din internetanslutning med datorn.
• Anslut alltid till Nackas VPN på datorn, detta är extra viktigt om du kopplar upp dig på ett öppet nätverk.
• Utbyt aldrig känslig eller sekretessbelagd information via offentliga, trådlösa nätverk.
• Spara aldrig verksamhetsrelaterad information på privat dator, surfplatta eller telefon eller liknande. Tänk också på att inte använda din privata e-postadress när du kommunicerar med kollegor inom ramen för ditt arbete.

Här kan du läsa mer om distansarbete.

Enskilda har enligt dataskyddsförordningen rätt att få information om hur personuppgifterna hanteras, därför måste ni säkerställa att ni informerat enskilda om hur ni hanterar personuppgifter. Informationen ska vara tydlig, begriplig och lätt att hitta.

Hur informationen ska presenteras - om det sker i steg där en person genom länkar klickar sig fram eller genom en skriftlig blankett där all information framgår - beror på situationen när personuppgifterna samlas in och hur den registrerade lämpligast förväntas ta till sig informationen. Om information samlas in på pappersblankett och den registrerade inte förväntas ha tillgång till dator är det exempelvis inte lämpligt att hänvisa till en webbsida för mer information, utan då bör all informationen ges på en pappersblankett.

I denna guide och checklista (PDF-dokument, 235 kB) kan du läsa mer om hur registrerade ska informeras, vilken information som ska ges och hur informationen kan presenteras.

När går det att hänvisa till den generella informationstexten på nacka.se?

I denna guide (PDF-dokument, 235 kB) finns en checklista för vilken information som ska ges till en enskild. På nacka.se, under sidan nacka.se/om-webbplatsen/behandling-av-personuppgifter/ finns information om:

• Registrerades rättigheter
• Information om att klagomål kan lämnas till Intergritetsskyddmyndigheten (IMY)
• Dataskyddsombudets kontaktuppgifter

Om hänvisning till den generella informationstexten görs, ska minst följande information framgå på annat sätt:

• Namn på den personuppgiftsansvarige nämnden och kontaktuppgifter
• Ändamål (syfte) med behandlingen av personuppgifter
• Rättslig grund
• Hur länge personuppgifterna sparas (lagringstid)
• Om personuppgifterna överförs till en tredje part, personuppgiftsbiträde eller annan personuppgiftsansvarig, vilka dessa mottagare är

Observera att det kan finnas krav på att lämna mer information än ovanstående. Kontrollera därför mot checklistan i guiden och mallen (PDF-dokument, 235 kB) att informationsplikten uppfylls.

Myndigheter och andra aktörer som utför uppgifter av allmänt intresse behöver tillstånd om man vill kamerabevaka en plats dit allmänheten har tillträde. Tillståndsplikten gäller bara bevakning som innebär varaktig eller regelbundet upprepad personbevakning. En ansökan om tillstånd handläggs av Integritetsskyddsmyndigheten (IMY) utifrån bestämmelserna i kamerabevakningslagen.

Platser dit allmänheten inte har tillträde får myndigheter bevaka utan tillstånd, men då måste myndigheten säkerställa att man följer reglerna i dataskyddsförordningen. I dessa fall måste man göra en dokumenterad bedömning kring rätten att bevaka. Det krävs även att man identifierat ändamålet för kamerabevakningen och att det finns en rättslig grund i dataskyddsförordningen. För kommunens verksamhet är den vanligaste rättsliga grunden att kamerabevakningen är nödvändig för att ni ska kunna utföra en uppgift av allmänt intresse eller som ett led i er myndighetsutövning. Samtycke är inte en lämplig rättslig grund när det gäller kamerabevakning eftersom ett samtycke ska samlas in i förväg och vara helt frivilligt.

För att kamerabevakning ska få tillämpas krävs det att det finns ett berättigat syfte med sådan bevakning och därtill att man gjort en intresseavvägning mellan bevakningsintresset och integritetsintresset. Innan kamerabevakning aktualiseras ska i första hand andra åtgärder vidtagits eller i alla fall övervägas. Dokumentation kring de överväganden och bedömningar som gjorts är av stor vikt. Dokumentationen ska bland annat innehålla överväganden om lagringstid och behörighet. Läs mer i "Kamerabevakning och GDPR - en guide" (PDF-dokument, 177 kB).

Vare sig kamerabevakningen behöver tillstånd eller inte är information om kamerabevakningen viktigt att säkerställa. Även förhandling med arbetstagarorganisationer kan vara nödvändigt.

Mer information och vägledning om kamerabevakning?

På IMY:s hemsida finns mycket information om kamerabevakning och särskilt fokus på exempelvis kommuner i stort, skolor m.m. Läs mer här: https://www.imy.se/verksamhet/kamerabevakning/offentlig-verksamhet/.

Läs även mer i Kamerabevakning och GDPR - en guide (PDF-dokument, 177 kB) .

Kontakta gärna dataskyddsombudet för stöd och hjälp ur ett GDPR-perspektiv.