Kommun och politik
- Agenda 2030
- Aktuella beslut i korthet
- Diarium och arkiv
- Flytta hit eller nyinflyttad
- För dig som är förtroendevald
- Gifta sig - borgerlig vigsel
- Kommunens organisation
- Kommunfakta
- Konsumentvägledning
- Kontakta oss
- Personuppgifter och dataskydd
- Politik och demokrati
- Press och kommunikation
- Självservice
- Överklaga beslut, rättsäkerhet
FAQ - Behandling av personuppgifter
Här hittar du en sammanställning av vanliga frågor och svar om personuppgifter och behandling av dessa.
Vad är en personuppgift?
I Sverige tänker vi ofta personuppgifter är likställt med personnummer. Men tänk på att detta är en EU-förordning och personnummer är något svenskt. Personuppgifter är all slags information som kan knytas till en fysisk person som är i livet.
- Exempel 1: personnummer, namn, adress, foton på personer, registreringsnummer, fastighetsbeteckning, e-postadress, identifikationer online
- Exempel 2: personers fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet
Vad är en behandling av en personuppgift?
Med behandling menas allt som görs med personuppgifterna. Exempelvis insamling av personuppgifter, registrering och lagring.
Exempel: kund- och leverantörsregister, besöksliggare, passersystem, verksamhetssystem, pensionslistor, medarbetarsamtal/lönesamtal, intern telefonkatalog, behörighetsadministration, loggar, hemsida/intranät och rekryteringsdatabas.
Vad är en känslig personuppgift?
Med känsliga personuppgifter avses uppgifter om
- ras eller etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i en fackförening
- hälsa
- en persons sexualliv eller sexuella läggning
- genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person.
Huvudregeln för behandling av känsliga personuppgifter är att det är förbjudet att behandla dessa. Det finns dock undantag från förbudet, vilket omfattar mycket av den behandling vi utför i en kommun, till exempel inom ärendehandläggning där behandlingen av känsliga personuppgifter är nödvändiga för handläggningen.
Gör en inventering om er verksamhet behandlar känsliga personuppgifter. Säkerställ därefter att behandlingen ryms inom undantagen.
Vad är en extra skyddsvärd personuppgift?
Extra skyddsvärda personuppgifter är uppgifter som är extra viktiga att skydda till exempel:
- personnummer
- information som omfattas av sekretess eller tystnadsplikt
- vissa uppgifter om ekonomiska förhållanden
- omdömen och värderingar av en person såsom social förmåga, inlärningsförmåga och liknande
- provresultat, resultat av personlighetstester och annan information som ligger nära den privata sfären.
Det finns inget förbud mot att behandla dessa, men de ska hanteras med extra försiktighet. Förordningen kräver att man vidtar säkerhetsåtgärder som reflekterar uppgifternas art och risken som behandlingen medför för den registrerade.
Exemepl på skydd kan vara flerfaktorsautentisering (BankID, sms-kod, inloggningskort eller liknande som identifierar användaren på ett säkert sätt).
Vem är personuppgiftsanvarig?
Varje nämnd är personuppgiftsansvarig för de behandlingar av personuppgifter som görs inom nämndens ansvarsområde. Den personuppgiftsansvarige är alltid en juridisk person, det går inte att delegera personuppgiftsansvaret till en fysisk person. Ansvaret gentemot tillsynsmyndigheten och de registrerade ligger alltid kvar på den personuppgiftsansvarige, det vill säga nämnden, till exempel när det gäller skadeståndsanspråk.
Det är den personuppgiftsansvariges skyldighet att vidta tekniska och organisatoriska åtgärder för att säkerställa att all behandling av personuppgifter följer nya dataskyddsförordningen. Dataskyddsförordningen ställer också högre krav på att den personuppgiftsansvarige ska kunna bevisa att man följer lagstiftningen genom att ha en förteckning.
Vem är personuppgiftsbiträde?
Personuppgiftsbiträde är den som behandlar personuppgifter för en personansvariges räkning. Personuppgiftsbiträdet finns alltid utanför den personuppgiftsansvariges organisation. Typiske biträdessituationer är till exempel när en IT-leverantör processarinformation i sina datorer för den personuppgiftsansvariges räkning genom att exempelvis trycka fakturor eller adresser. Det kan också vara företag som sköter passersystem eller en webbtjänst.
Observera att en biträdessituation inte endast behöver handla om lagring av personuppgifter, utan gäller även när en extern part har åtkomst till personuppgiftsansvariges data genom sitt uppdrag för service, support, underhåll, utveckling och liknande. Dataskyddsförordningen kräver att ett personuppgiftsbiträdesavtal upprättas mellan den personuppgiftsansvarige och personuppgiftsbiträdet.
Även personuppgiftsbiträdet är skyldigt att före en förteckning över sina personuppgiftsbehandlingar och vidta lämpliga säkerhetsåtgärder. Personuppgiftsbiträdet kan även komma att bli föremål för tillsyn, administrativa sanktionsavgifter samt skadeståndsskyldiga.
Vad gör ett dataskyddsombud
Varje nämnd ska utse ett dataskyddsombud.
Den övergripande och viktigaste uppgiften för dataskyddsombudet är att övervaka att organisationen följer dataskyddsförordningen. Det innebär bland annat att
- samla in information om hur organisationen behandlar personuppgifter
- kontrollera att organisationen följer bestämmelser och interna styrdokument
- informera och ge råd inom organisationen.
Dataskyddsombudet ska också
- ge råd om konsekvensbedömningar
- vara kontaktperson för Datainspektionen
- vara kontaktperson för de registrerade och personalen inom organisationen
- samarbeta med Datainspektionen, till exempel vid inspektioner.
Vilka personuppgifter räknas?
Dataskyddsförordningen gäller för all automatiserad behandling av personuppgifter men även för manuell behandling. Eftersom att missbruksregeln försvinner när dataskyddsförordningen börjar gälla så blir tillämpniingsområdet större.
Helt eller delvis automatiserad behandling
All behandling av personuppgifter som utförs helt eller delvis med hjälp av datorer kallas för helt eller delvis automatiserad. Delvis automatiserad behandling omfattar bland annat när någon samlar in personuppgifter manuellt, exempelvis genom en pappersenkät, med syfte att senare registrera uppgifterna digitalt. Det innebär också att till exempel muntligt utlämnande eller utlämnande på papper av personuppgifter som lagras digitalt omfattas av lagen.
Manuella register
Manuell behandling av personuppgifter i register (till exempel ett klassiskt kartotek eller när-arkiv) omfattas av personuppgiftslagen om uppgifterna är sorterade enligt något slags system som gör det möjligt att söka bland uppgifterna. En hög med papper på ett skrivbord anses inte vara ett register även om de är sorterade i bokstavsordning efter namn. För att det ska vara ett manuellt register som omfattas av personuppgiftslagen krävs att samlingen av personuppgifter är strukturerad i syfte att påtagligt underlätta eftersökning och sammanställning av personuppgifter.
När är det tillåtet att behandla personuppgifter?
Det ska först och främst vara nödvändigt att behandla en personuppgift. För alla behandlingar av personuppgifter finns alltid ett krav på nödvändighet. De personuppgifter som samlas in ska vara nödvändiga för ändamålet och därför ska heller inga onödiga personuppgifter samlas in.
Tips! Ta för vana att ifrågasätta om alla de uppgifter som registreras faktiskt är nödvändiga för ändamålet. Det är sällan ett personnummer behövs på en deltagarlista till exempel.
Finns det en rättslig grund behövs inget samtycke
Som utgångspunkt krävs ett samtycke från den enskilde för att kommunen ska få behandla någons personuppgifter. Det finns däremot flera undantag från denna utgångspunkt vilket medför att personuppgifter får behandlas utan samtycke om det finns en rättslig grund för det. Vid följande situationer är det tillåtet att behandla personuppgifter utan samtycke:
- Avtalssituation – Behandling av personuppgifter är nödvändig för att uppfylla ett avtal mellan den personuppgiftsansvarige och den enskilde. Exempel: Behandlingar för administration av kundförhållande eller anställningsförhållande.
- Rättslig skyldighet - Behandling av personuppgifter har stöd av annan författning. Exempel: Lämna ut uppgifter om anställda till bland annat statliga myndigheter för att redovisa skatter och sociala avgifter beträffande arbetstagarna.
- Vitala intressen - Behandling av personuppgifter är tillåten om det sker för att skydda den registrerades vitala intressen. Exempel: Inom sjukvården. Detta är en ovanlig rättslig grund för kommunal verksamhet.
- Allmänt intresse - Gäller när behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse. Exempel: Arkivering, forskning och framställning av statistik.
- Myndighetsutövning - Behandling av personuppgifter är tillåten om det är nödvändigt för myndighetsutövning. Med myndighetsutövning menas här sådana uppgifter som en myndighet enligt lag ska utföra och som har rättsliga effekter för den enskilde. Observera att detta inte innebär att alla personuppgiftsbehandlingar i en myndighet sker på denna grund, exempelvis är personaladministrativa åtgärder fortfarande en avtalssituation. Exempel: Ansökan om ekonomiskt bistånd eller bygglov.
- Intresseavvägning - Kan tillämpas när personuppgiftsansvarigs intresse att behandla en uppgift väger tyngre än den enskildes personliga integritet, när ändamålet för behandlingen rör ett berättigat intresse hos den personuppgiftsansvarige. OBS! En intresseavvägning är inte längre tillämplig för myndigheter i den nya dataskyddsförordningen.
Hur ska personuppgifter hanteras i e-post?
E-post som innehåller personuppgifter kan skickas så länge de inte innehåller:
- känsliga/integritetskänsliga personuppgifter
- sekretessuppgifter enligt offentlighets- och sekretesslagen
I de fall vi ändå behöver skicka e-post som innehåller känsliga personuppgifter eller sekretessbelagd information så krävs det att särskilda säkerhetsåtgärder vidtas.
Kritik från justitieombudsmannen
I november 2017 kritiserar Justitieombudsmannen barn- och utbildningsförvaltningen i Luleå kommun för att e-postmeddelanden med känsliga personuppgifter skickats utan att särskilda säkerhetsåtgärder vidtagits och för dröjsmål med att besvara frågor.
Beslutet i korthet: Barn- och utbildningsförvaltningen skickade ett e-postmeddelande med en elevs läkarintyg mellan e-postservrar över internet till vårdnadshavarna och till flera befattningshavare. Det borde ha vidtagits särskilda säkerhetsåtgärder för att säkerställa att rätt person fick åtkomst till uppgifterna och att de överfördes på ett säkert sätt (t.ex. genom kryptering). Eftersom det inte gjordes fanns det risk för att obehöriga, dvs. andra än de avsedda mottagarna, kunde ta del av de känsliga personuppgifterna. Förvaltningen kritiseras för hanteringen. Dessutom kritiseras förvaltningen för att man dröjde nästan sju månader med att besvara frågor från elevens far som gällde bl.a. hantering av läkarintyg.
Arbetar du inom hälso- och sjukvården?
Inom hälso- och sjukvården gäller särskilda bestämmelser utifrån Socialstyrelsens föreskrifter - Informationshantering och journalföring inom hälso- och sjukvården. Föreskrifterna innehåller bestämmelser om hantering av patientuppgifter över öppna nät som innebär att överföring av patientuppgifter ska göras på ett sådant sätt att ingen obehörig kan ta del av uppgifterna. Det gäller även för e-post och innebär i praktiken ett krav på att patientuppgifterna i ett e-postmeddelande ska krypteras på ett sådant sätt att endast den avsedda mottagaren kan ta del av dem.
Hur gör jag om någon skickar e-post till mig med känsliga personuppgifter eller sekretessuppgifter?
Om någon skickar känsliga personuppgifter eller sekretessuppgifter så innebär det inte att hen gett sitt samtycke till att hantera personuppgifter per e-post. Den enskilde har ingen information om kommunens e-post är krypterat och ett samtycke är därför inte aktuellt. Tänk därför på att du inte svarar genom att skicka med det innehåll som omfattas av sekretess. Dessa uppgifter måste tas bort i svarsmejlet.
Hur ska jag hantera personummer?
Tvärt emot vad många tror, finns det inte något förbud mot att registrera personnummer eller samordningsnummer (samordningsnummer är ett unikt identifikationsnummer som kan tilldelas personer som inte är eller har varit folkbokförda i Sverige). Även om ett personnummer inte är en känslig personuppgift så betraktas den som extra skyddsvärd och därför får den inte används hur som helst.
Överväg alltid om det är nödvändigt att notera personnummer på alla ställen som du har tänkt det, eller om det räcker med att det finns tillgängligt till exempel i en akt eller enbart i en grunddatabas. Det är framförallt den slentrianmässiga användningen av personnummer som man måste vara observant på. Tänk efter; stödjer syftet med behandlingen av personuppgifter att personnummer registreras?
Bestämmelserna om personnummer gäller däremot inte födelsedatum. Datainspektionen har ändå ansett att det är tveksamt om det finns anledning att registrera födelsedatum på till exempel en deltagarlista. Är det inte viktigt när någon fyller år eller hur gammal han eller hon är, behövs ju varken födelsedatum eller födelseår.
Personnummer ska enbart användas om:
- om den registrerade har samtyckt till registreringen,
- om behandlingen är klart motiverat med hänsyn till ändamålet med behandlingen (räcker det med förslagsvis namn och adress, födelsedatum eller födelseår, så ska du nöja dig med det),
- om behandlingen är klart motiverat med hänsyn till vikten av en säker identifiering. Exempelvis är det tillåtet att registrera de anställdas personnummer i ett register som innehåller grunddata eller till exempel ett löneadministrativt IT-system, redovisning av källskatter, vid rehabiliteringsutredning eller kommunikation med facket i lönerevisioner, kommuninvånarregister, elevers personnummer i ett skoladministrativt IT-system. Personnummer behövs i dessa fall på grund av vikten av en säker identifiering, det vill säga man måste vara säker på vem personen är när man exempelvis sätter betyg, administrerar ansökningar till barnomsorg eller äldreomsorg, i tillsynsärenden på miljöenhet, i kravärenden och när kommunen rapporterar till skatteverket.
- om behandlingen är klart motiverat med hänsyn till något annat beaktansvärt skäl.
Kan jag använda personnummer som användarindentitet?
Undvik att använda personnummer som användaridentitet vid inloggningar. I stora organisationer med många anställda har Datainspektionen i undantagsfall godtagit användning av personnummer både för behörighetsadministration och inloggning om det behövs för en säker identifikation av användaren. Om det finns behov av att använda personnummer som inloggning så behövs samråd med kommunens personuppgiftsombud/dataskyddsombud.
Vad är skillnaden på avidentifierade eller krypterade personuppgifter?
Om informationen du har registrerad de facto är avidentifierad så rör det sig inte om en behandling av personuppgifter och bestämmelserna i GDPR blir inte tillämpliga. För att personuppgifterna ska anses vara avidentifierade så krävs att man inte kan hitta tillbaka till en enskild individ även om man tillför annan information, till exempel en krypteringsnyckel. Det har ingen betydelse om krypteringsnyckeln är inbyggd i ett verksamhetssystem eller om den är nedskriven på ett papper, så länge den finns att tillgå så är inte personuppgifterna avidentifierade. Inom statistik och forskning är användningen av avidentifierade uppgifter vanligt då svar och resultat inte får att härleda till en särskild individ.
Krypteringen är en teknisk säkerhetsåtgärd men innebär inte att informationen är avidentifierad, reglerna för hur personuppgifter får hanteras gäller alltså för krypterade uppgifter. I Datainspektionens vägledning kring informationssäkerhet fastställs att känsliga personuppgifter ska vara krypterade vid överföring, exempelvis i mejlkommunikation.
Vad är ett personuppgiftsbiträde?
Det är vanligt att ett externt företag, till exempel en systemleverantör, behandlar personuppgifter för nämndens räkning. Den externa parten kallas då personuppgiftsbiträde. Biträdessituationen kan uppstå när den externa parten lagrar personuppgifter, sköter drift och underhåll av ett system eller på distans har åtkomst till personuppgifterna för support eller i annat syfte. Det viktiga är alltså inte vart personuppgifterna lagras utan om den externa parten har åtkomst till och möjlighet att påverka uppgifterna.
Den personuppgiftsansvarige ansvarar fortfarande för att dataskyddslagstiftningen följs och att de registrerade uppgifterna behandlas korrekt. Det är bara den faktiskta behandlingen av personuppgifter som kan överlåtas till ett externt företag, inte ansvaret.
När behövs ett biträdesavtal och vad ska det innehålla?
I alla biträdessituationer ska det finnas ett skriftligt avtal mellan den personuppgiftsansvarige och biträdet - ett så kallat personuppgiftsbiträdesavtal eller biträdesavtal. I ett sådant avtal villkoras biträdets hantering av personuppgifterna och det är den personuppgiftsansvarige som är skyldig att se till att det finns ett skriftligt biträdesavtal. Det är oftast enklast och tydligast att ha biträdesavtalet som en del av tjänsteavtalet. Då slipper man göra en separat beskrivning av uppdraget, som kanske senare ändras i tjänsteavtalet utan att någon tänker på att även biträdesavtalet måste ändras på samma sätt.
Vad ska avtalet innehålla?
Punkterna nedan är utifrån de krav som ställs i dataskyddsförordningen. Avtalet ska innehålla en genomgång av följande:
- Ändamål och varaktighet för behandlingen,
- Kategorier av personuppgifter som kommer att behandlas,
- Att biträdet endast får behandla uppgifterna utifrån den personuppgiftsansvariges instruktioner (det kan gälla exempelvis vilken kommunikation som ska krypteras, vilka autentiseringsmetoder som ska användas eller vart personuppgifterna får lagras),
- Att biträdets personal åtar sig att behandla personuppgifterna konfidentiellt eller med tystnadsplikt,
- Att biträdet åtar sig att upprätthålla kraven på uppdaterade säkerhetssystem,
- Krav på att biträdet ska bistå den personuppgiftsansvarige i förhållande till de registrerades rättigheter,
- Om biträdet ska radera eller återlämna personuppgifterna till den personuppgiftsansvarige efter avslutat uppdrag,
- Att biträdet ska vara behjälpligt för revision och granskning,
- Om det krävs ett skriftligt godkännande för anlitande av eventuella underleverantörer eller om det är tillräckligt att biträder informerar den personuppgiftsansvarige.
Får personuppgifter publiceras på hemsidan?
Personuppgifter om enskilda, till exempel namn, får publiceras på hemsidan om dessa och övriga publicerade uppgifter, enskilt eller sammantaget, inte kan antas leda till att den registrerades personliga integritet kränks. Personuppgifter får alltså inte publiceras i kombination med information som innehåller integritetskänslig information, rör lagöverträdelser eller omfattas av sekretess/tystnadsplikt.
Även personuppgifter som enskilt betraktas som harmlösa kan vid en publicering på webben komma att anses som kränkande.
För publicering av övriga personuppgifter får en så kallad intresseavvägning avgöra i det enskilda fallet. Vid en sådan bedömning ska kommunens intresse av att publicera personuppgifter om enskilda på sin webbplats vägas mot den enskildes intresse av en fredad och privat sfär. På webbsidan får du däremot publicera personuppgifter om tjänstemän och förtroendevalda som har anknytning till deras tjänsteutövning eller uppdrag.
Exempelvis: Namn på ledamot i samhällsbyggnadsnämnden får publiceras på hemsida. Även partitillhörighet eftersom det avser hens politiska uppdrag i nämnden. Om samma ledamot däremot som privatperson får ett vitesföreläggande för ett olovligt bygge så ska uppgifterna inte publiceras. Samma sak gäller om det skulle röra sig om en medarbetare i kommunen.
Samtycke är ett bra alternativ
Är du osäker på om en uppgift kan vara integritetskränkande eller om du är tveksam i en intresseavvägning, använd dig av möjlighet att hämta in samtycke. Samtycker den enskilde så kan du publicera uppgifterna. Fyller den enskilde i en ansökan digitalt eller i pappersformat så kan du alltid be om samtycke i samband med ansökan. Du har då också ett dokumenterat samtycke att hänvisa till.
Offentlighetsprincipen då?
Offentlighetsprincipen och dataskyddsförordningen (GDPR) har olika syften. Enbart det faktum att en handling är allmän och offentlig innebär inte att det är tillåtet att publicera den på hemsidan. Enligt offentlighetsprincipen finns det heller ingen skyldighet att publicera information på internet. Det innebär i sin tur att dataskyddsförordningens regler måste följas när det kommer till webbpublicering.
Exempel: En nämnd beslutar om att vitesförelägga en privatperson för brott mot miljöbalken. Hur ska beslutet hanteras utifrån:
- Offentlighetsprincipen? Om någon begär att få ta del av beslutet så är det en offentlig handling och ska lämnas ut.
- Dataskyddsförordningen? Eftersom handlingen innehåller information om lagöverträdelser ska handlingen inte publiceras på hemsidan.
Webbdiarium
Att publicera diarier och protokoll på hemsidan sker inte med stöd av offentlighetsprincipen utan går utöver kommunens skyldighet enligt grundlagen – med det sagt är det heller inte otillåtet att ha ett webbdiarium. För de handlingar som publiceras i webbdiariet gäller däremot PuL.
Personuppgifter som direkt pekar ut en enskild får inte publiceras på hemsidan, undantaget förtroendevalda i deras roll som förtroendevalda och tjänstemän i deras roll som tjänstemän. Direkt utpekande uppgifter är exempelvis namn och personnummer, indirekta uppgifter är exempelvis fastighetsbeteckning. Det är dock enskilda uppgifter i handlingarna som ska döljas, inte hela diarieposten i sig.
Obs! Känsliga personuppgifter får under inga omständigheter publiceras på hemsidan. Tänk på att bara uppgiften om att en enskild förekommer i ett ärende kan vara en känslig personuppgift.
Får jag publicera fotografier på hemsidan?
Att publicera foton på anställda på hemsidan kräver samtycke från den anställde. Namn och arbetsrelaterade kontaktuppgifter är uppgifter som normalt kan publiceras på hemsidan utan samtycke. Inför publicering av fotografier ska alla medarbetare tillfrågas och ges möjlighet att samtycka eller inte samtycka. Man ska alltså inte bara behöva säga nej, utan uttryckligen säga ja till publiceringen. Samtycket ska också vara helt frivilligt och medarbetare ska inte känna att man "gör fel" genom att säga nej, vilket är viktigt i en relation mellan arbetsgivare och arbetstagare.
Inom skola, förskola och fritids måste vårdnadshavare samtycka innan en publicering av barn sker på hemsidan. Samtycket ska inhämtas från båda vårdnadshavarna. Kontakta dataskyddssamordnaren för att få hjälp med att ta fram en samtyckesblankett för dina ändamål.
Tänk på att det kan finnas enskilda med skyddade personuppgifter i skolan eller på arbetsplatsen och att sådana personuppgifter kräver extra försiktig hantering.
Har kommunen ett ansvar för personuppgifter i sociala medier?
När Ödeshögs kommun som organisation publicerar personuppgifter i sociala medier (Facebook, Twitter, Instagram, Youtube m.fl.) så finns ett personuppgiftsansvar. I personuppgiftsansvaret ingår att:
- inte publicera kränkande personuppgifter,
- hålla regelbunden uppsikt över publiceringar för att upptäcka kränkande personuppgifter,
- skyndsamt ska ta bort kränkande personuppgifter,
- vidta lämpliga säkerhetsåtgärder (det innebär bland annat att kommunen ska ge instruktioner till de som arbetar med sociala medier för organisationens räkning, anställda och andra som agerar på uppdrag av kommunen).
I personuppgiftsansvaret ingår det alltså att se till att det hålls en god ton bland besökarna på till exempel kommunens Facebook-sida. För att minska risken för kränkningar av enskildas personliga integritet menar Datainspektionen att den personuppgiftsansvarige också bör vidta åtgärder i förebyggande syfte. Det kan till exempel vara att:
- informera om för vilka ändamål som kommentarsfunktionen är tänkt att användas, vilka typer av kommentarer som inte får förekomma och att publiceringar kan komma att plockas bort,
- uppmana användare att rapportera kränkande innehåll till organisationen och ha rutiner för att hantera klagomål.
Vad innebär det att gallra personuppgifter?
Gallring innebär att personuppgifter som inte längre är relevanta för det ändamål som behandlingen avser ska rensas. En personuppgift anses gallrad när det inte längre går att koppla informationen till en enskild individ. Enligt dataskyddsprincipen om lagringsminimering kan det sägas att det är ändamålet för behandlingen som avgör hur länge uppgifterna får bevaras. Ändamålet för behandlingen måste bestämmas redan innan personuppgifterna samlas in och registreras och det ska kunna anges uttryckligen. Det är den personuppgiftsansvarige som har ansvaret för gallring av personuppgifter, även när ett personuppgiftsbiträde har anlitats.
Regler om gallring hindrar dock inte att en myndighet (alltså nämnden), arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelserna om allmänna handlingar enligt offentlighets- och sekretesslagen liksom arkivlagen har då företräde framför bestämmelserna i dataskyddsförordningen.
Hur tar jag bort personuppgifter?
Det finns två olika sätt att ta bort personuppgifter. Man kan antingen avidentifiera eller förstöra (gallra) dem:
- Avidentifiera
Att avidentifiera personuppgifterna innebär att man avlägsnar alla identifieringsmöjligheter så att de uppgifter som fortsättningsvis behandlas inte längre går att koppla samman med en fysisk person. Krypterade personuppgifter är inte avidentifierade så länge någon kan göra uppgifterna läsbara och därmed identifiera personen. - Förstöra (gallra)
Att förstöra personuppgifterna innebär att se till att de inte går att återskapa. Det är viktigt att känna till vad som krävs rent tekniskt för att uppgifterna verkligen ska förstöras. Det är till exempel inte tillräckligt att radera den fil som innehåller personuppgifterna. Det är nämligen inte säkert att ett sådant kommando verkligen raderar all information, filen kan exempelvis ligga kvar i datorns "papperskorg". I stället krävs säker omformatering av lagringsmediet eller total överskrivning så att personuppgifterna inte kan tolkas i efterhand. Det är däremot inte heller säkert att vanlig formatering raderar alla uppgifter utan det kan krävas särskild utrustning eller specialprogramvaror. Hur långtgående tekniska åtgärder som bör vidtas är bland annat beroende av informationens känslighet.
Hur vet jag när personuppgifter ska gallras?
Är du osäker på när en handling (och tillhörande personuppgifter) ska gallras så anges gallringsfristen i den dokumenthanteringsplan som varje nämnd har antagit. Dokumenthanteringsplanen gäller både för digitala och fysiska handlingar. I dokumenthanteringsplanen anges även om gallringsfristen tar hänsyn till andra lagstiftningar, exempelvis arkivlagen, offentlighets- och sekretesslagen eller annan registerlagstiftning.
Varför måste en behandling av personuppgifter anmälas?
Vanligtvis rör det sig om behandling av personuppgifter i digitala verksamhetssystem, men även manuella register i exempelvis pärmar, kartotek eller annan strukturerad samling av personuppgifter ska anmälas.
Förteckningen är en förutsättning för att kommunen ska kunna fullgöra sin skyldighet att lämna registerutdrag till den som efterfrågar det. Förteckningen ger också viktig information över hur dataflödena ser ut i kommunen och hur kommunen efterlever lagstiftningen. Det är därför av stor vikt att alla nya behandlingar anmäls till dataskyddssamordnaren.
Hur anmäler jag en behandling?
Du mailar förvaltningens dataskyddssamordnare för att få ett inlogg till det system som Ödeshögs kommun valt att ha sitt register i, ange namn och nämnd. Följ sedan länken och besvara frågorna. Spara gärna länken eftersom du då lätt kan gå tillbaka till formuläret och ändra eller uppdatera information. Om du tappar bort länken så kontakta personuppgiftsombudet för hjälp.
Genom att anmäla behandlingen i god tid innan behandlingen sätts igång har du tid att säkra att behandlingen sker i enlighet med gällande lagstiftning. Det är ofta i samband med anmälan som det är lätt att upptäcka om det finns brister när det gäller hanteringen. Kanske behöver säkerheten för personuppgifterna ses över ytterligare eller ett samtycke inhämtas från den enskilde. När det gäller känsliga personuppgifter så ska en särskild konsekvensanalys genomföras innan behandlingen påbörjas.
För att kommunen ska leva upp till dataskyddsprincipen om ansvarsskyldighet så är det viktigt att registrerade behandlingar uppdateras vid behov av den som har gjort anmälan.
Vilka säkerhetskrav ska ställas på en personuppgiftsbehandling?
För alla som hanterar och bearbetar personuppgifter är det viktigt att säkerställa att personuppgifterna skyddas på ett bra sätt. Den personuppgiftsansvarige måste vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Till tekniska åtgärder räknas saker som brandväggar, krypteringsfunktioner och anti-virus, medan organisatoriska åtgärder handlar om säkerhetsarbetets organisation och styrdokument. Behandling av integritetskänsliga personuppgifter ställer högra krav på vidtagna säkerhetsåtgärder.
Följande frågeställningar kan vara till hjälp när man bedömer hur pass integritetskänsliga uppgifterna är:
- Omfattas uppgifterna av tystnadsplikt eller sekretess enligt offentlighets- och sekretesslagen eller annan lagstiftning?
- Omfattas behandlingen av någon särlagstiftning, till exempel patientdatalagen eller lagen om behandling av personuppgifter inom socialtjänsten med flera?
- Är det uppgifter om lagöverträdelser?
- Är det uppgifter om enskildas personliga förhållanden?
Är svaret Ja på någon av dessa frågor ska säkerhetsåtgärderna för att skydda personuppgifterna vara mer omfattande.
När innebär en behandling en särskild risk?
Den som är personuppgiftsansvarig ska därtill ta ställning till vilka särskilda risker det finns med behandlingen av personuppgifter. Även riskerna kan påverka vilka säkerhetsåtgärder som behövs för att skydda personuppgifterna. Frågor man bör ställa sig är:
- Behandlas personuppgifterna på ett sätt som gör det svårt att kontrollera att det bara sker i enlighet med ändamålen med behandlingen? Finns det risk för att personuppgifterna kan spridas på ett oönskat sätt?
- Hanteras personuppgifter via öppna nät som internet, till exempel via en webbsida eller genom e-post?
- Kan många användare komma åt personuppgifterna?
- Behandlas personuppgifter om många personer?
- Behandlas en stor mängd personuppgifter om varje person?
- Hur stor är sannolikheten för och konsekvenserna av tekniska störningar eller att obehöriga får åtkomst till uppgifterna?
Ju fler av dessa frågor som man svarar Ja på desto mer omfattande bör säkerhetsåtgärderna vara. När man sedan gör en lämplighetsbedömning, det vill säga bestämmer vilken säkerhetsnivå man ska ha, ska man tänka på att åtgärderna ska ge en säkerhetsnivå som är lämplig i förhållande till:
- tillgänglig teknik,
- kostnaden för åtgärderna,
- om det finns några särskilda risker med behandlingen,
- hur pass känsliga uppgifterna är.
Vad ska jag tänka på när jag lagrar dokument med personuppgifter?
All verksamhetsrelaterad information ska lagras på för denna avsedda platser. Information som är klassad som känslig och omfattas av sekretess eller innehåller känsliga personuppgifter bör hanteras, delas och sparas i ett
verksamhetssystem. Finns inget sådant alternativ bör en särskild lagringsyta
sättas upp med bland annat åtkomstbegränsning och utökad spårbarhet. Använd alltså inga allmänna lagringsytor för ditt arbetsmaterial (till exempel Dropbox, Google drive eller liknande). Verksamehetsrelaterad information ska aldrig sparas på privat dator, surfplatta eller telefon. Det är också viktigt att komma ihåg ha gallringsrutiner samt att kommunens dokumenthanteringsplaner följs även för de dokument som lagras utanför verksamhetssystem.
Hur gör jag med skyddade eller sekretessmarkerade personuppgifter?
Om någon är utsatt för ett allvarligt hot kan Skatteverket besluta om skyddade personuppgifter i särskilda fall. Det finns tre typer av skyddade personuppgifter: sekretessmarkering, kvarskrivning och fingerade personuppgifter.
När det gäller behandling av skyddade personuppgifter ska den personuppgiftsansvarige, utöver att se till att behandlingen följer gällande lagstiftning, även tänka på följande:
- Regler och rutiner ska finnas för att säkerställa att skydda personuppgifter behandlas på ett sådant sätt att det inte innebär en ökad risk för registrerade.
- En riskbedömning ska göras från fall till fall då behovet av vilka uppgifter som behöver särskilt skydd varierar.
- Vid behandling av skyddade personuppgifter är det extra viktigt att endast registrera uppgifter nödvändiga för ändamålet, dessa ska även gallras så snart de inte längre behövs.
- Den personuppgiftsansvarige bör begränsa åtkomsten till de skyddade personuppgifterna till ett fåtal personer. För de personer som har åtkomst till uppgifterna ska det också tydligt framgå att de är skyddade (exempelvis genom flaggning).
- Den personuppgiftsansvarige bör se till att skyddade personuppgifter inte okontrollerat sprids mellan olika verksamhetssystem som utbyter data. Det är alltså viktigt att skyddade personuppgifter inte sprids till ett system med sämre säkerhet. Den personuppgiftsansvarige är skyldig att vidta lämpliga säkerhetsåtgärder (med hänsyn till den riskbedömning som gjorts avseende behandlingen).
- All personal som kommer i kontakt med skyddade personuppgifter måste få kunskap om de regler och rutiner som gäller.
- Se till att verksamhetssystem som behandlar skyddade personuppgifter genererar loggar så att det i efterhand går att kontrollera vem som har haft tillgång till informationen. Glöm inte att följa upp och kontrollera loggarna!
Vad innebär informationsplikten?
Enligt PuL har den personuppgiftsansvarige informationsplikt gentemot de registrerade. De personer som har sina personuppgifter registrerade ska alltså få information om detta. Informationsplikten fortsätter att gälla även när den nya dataskyddsförordningen träder i kraft i maj 2018.
Informationen lämnas lämpligen i samband med att personuppgifterna hämtas in och på samma medium, alltså muntligt vid samtal, skriftligt på en blankett eller på hemsidan om den registrerade lämnar sina personuppgifter på webben. Information måste även lämnas vid händelse av dataintrång och det finns risk för exempelvis bedrägeri eller identitetsstöld (incidentrapportering).
Informationen som lämnas till de registrerade ska bland annat innehålla:
- kontaktuppgifter till den personuppgiftsansvarige
- den rättsliga grunden för behandlingen
- ändamålet med behandlingen.
- information om personuppgifterna kan komma att lämnas ut till tredje part och i så fall för vilka syften
- rätten att begära registerutdrag
- rätten att få sina personuppgifter rättade vid felaktigheter eller raderade
- hur länge personuppgifterna kommer att lagras
Om redan insamlade personuppgifter kommer att användas för ett annat syfte (ändamål) än för vilket de samlades in måste ny information lämnas till de registrerade – det vill säga information om ändamålet för den nya behandlingen. I nya dataskyddsförordningen kommer det att ställas högre krav på att den information som lämnas är lättbegriplig och tydlig – detta för att de registrerade lättare ska kunna utöva sina rättigheter att exempelvis begära rättelse av uppgifter.
Vad innebär ett samtycke till behandling av personuppgifter?
Samtycke innebär att den registrerade har gett sitt godkännande till att få sina personuppgifter behandlade. I PuL är utgångspunkten att personuppgiftsbehandling endast är tillåten när den registrerade har lämnat sitt samtycke, men det finns omfattande undantag från kravet på samtycke, så kallad tillåten behandling eller rättslig grund för behandling. I och med att den som behandlar personuppgifter kan stödja behandlingen på dessa undantag ställs det också krav på att information lämnas till de registrerade (se ovan om informationsplikt). Till undantagen hör att personuppgiftsansvarig har stöd för behandlingen antingen i PuL eller annan gällande lagstiftning (se ovan om rättslig grund för behandling).
Ett samtycke ska vara individuellt, frivilligt och särskilt. Ett samtycke kan därför inte lämnas för någons annan räkning och den registrerade ska också ha möjlighet att själv avgöra om personuppgifterna ska få behandlas. Det förutsätter att den som frågas har fått tillräcklig information om behandlingen för att kunna ge sitt samtycke. Ett lämnat samtycke gäller också för ett enda ändamål, om de insamlade personuppgifterna ska användas för ett annat ändamål än för vilket de samlades in krävs ett nytt samtycke för det nya ändamålet.
För behandling av känsliga personuppgifter ställs det högre krav på att samtycket är uttryckligt, alltså att det är extra tydligt. Ett konkludent samtycke där uppgiftslämnandet i sig utgör ett samtycke är inte godtagbart för registrering av känsliga personuppgifter.
I PuL ställs det däremot inga krav på att samtycket ska vara skriftligt, men det är en god idé att dokumentera inhämtade samtycken eftersom det är den personuppgiftsansvarige som har bevisbördan i de fall ett samtycke ifrågasätts.
Kontakta personuppgiftsombudet för hjälp att ta fram en samtyckesblankett för dina ändamål.
Vad gör jag när ett samtycke återkallas?
I de fall en personuppgiftsbehandling utförs endast med stöd av samtycke från den registrerade så kan samtycket också återkallas. Ett återkallat samtycke innebär att den personuppgiftsansvarige inte får registrera nya uppgifter om den enskilde. Den personuppgiftsansvarige får däremot fortsätta att behandla redan insamlade personuppgifter men de får inte uppdateras eller ändras, risken att dessa också blir rent av felaktiga är därför stor.
Vad gäller för personuppgifter i e-tjänster?
Alla e-tjänster behandlar i någon utsträckning personuppgifter (namn, adress, telefonnummer osv.). Det innebär att PuL är tillämplig på behandlingen. Om e-tjänsten även behandlar känsliga personuppgifter krävs extra säkerhetsåtgärder. Valet av autentiseringsmetod bör utgå från känsligheten hos de personuppgifter som behandlas, mängden uppgifter och de risker som är förknippade med behandlingen. Generellt för alla e-tjänster gäller följande:
Information
I anslutning till e-tjänsten ska det lämnas information till användarna om behandlingen av personuppgifter. Det gäller oavsett om uppgifterna samlas in med eller utan de registrerades samtycke. Informationen ska upplysa om vem som är personuppgiftsansvarig, ändamålen med behandlingen, vilka som är mottagare av uppgifterna, eventuell skyldighet för den enskilde att lämna uppgifter och rätten att ansöka om registerutdrag och få felaktiga uppgifter rättade. Normalt kan informationen lämnas i en särskild ruta eller i ett särskilt fönster på webbplatsen i anslutning till e-tjänsten.
Personuppgiftsbiträdesavtal
Om en utomstående leverantör behandlar personuppgifter för en nämndens räkning, till exempel om de lagras på en server hos leverantören, blir denne ett personuppgiftsbiträde. Nämnden måste då i egenskap av personuppgiftsansvarig upprätta ett skriftligt avtal – ett så kallat biträdesavtal – med leverantören. I avtalet ska det föreskrivas att leverantören får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att leverantören är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna.
Anmäla behandlingen till personuppgiftsombud
Behandling av personuppgifter ska anmälas till kommunens personuppgiftsombud som har en förteckning över alla behandlingar. Behandlas känsliga personuppgifter i e-tjänsten ska en dokumenterad konsekvensanalys bifogas (mall för detta kommer tas fram) vid anmälan.
Allmänna handlingar
Tänk på att inkommande och utgående handlingar i en e-tjänst utgör allmänna handlingar utifrån bestämmelserna i offentlighets- och sekretesslagen. Det innebär att daglig diarieföring ska ske vilket omfattar även inkommande och utgående handlingar i e-tjänster. Vad gäller bevarande och gallring så ska dokumenthanteringsplan för ärendetyperna ange tider för gallring och bevarande.
Bedöm hur känsliga personuppgifterna är
Enligt PuL gäller särskilda begränsningar för behandling av vissa kategorier av personuppgifter. Uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen, uppgifter om lagöverträdelser samt uppgifter om enskilds personliga förhållanden (integritetskänsliga eller extra skyddsvärda uppgifter) ska också behandlas på samma sätt som känsliga personuppgifter.
Särskilda krav som ställs på e-tjänst som behandlar känsliga personuppgifter (inklusive integritetskänsliga uppgifter):
- Användaren av e-tjänsten måste kunna förvissa sig om att det är den personuppgiftsansvarige (nämnden) som är mottagare av uppgifterna. Detta kan lösas genom att till exempel använda ett signerat servercertifikat och SSL/TLS.
- Personuppgifter måste skyddas så att obehöriga inte kan ta del av dem genom exempelvis kryptering och servercertifikat
- Det krävs fungerande rutiner för behörighetstilldelning och tydliga riktlinjer för när det är tillåtet för personalen att ta del av personuppgifter, här kan utbildningsinsatser vara nödvändiga.
- Det ska finnas en behandlingshistorik (logg) som löpande registrerar användaridentitet, tidpunkt och vilka personuppgifter som användaren har haft åtkomst till eller bearbetat.
Hur är ansvaret fördelat i organisationen?
Nämnden är personuppgiftsansvarig och har det yttersta ansvaret för att personuppgiftsbehandlingar följer lagstiftningen. Det är även nämnden som bestämmre ändamålet för en behandling.
- Enheterna ansvarar för att personuppgifterna hanteras korrekt och att behandlingarna anmäls och registreras. I de fall behandlingar utförs i ett verksamhetssytem är systemägaren ansvarig för att systemet uppfyller säkerhetskraven och att det finns rätt avtal med eventuella leverantörer.
- Medarbetarna ansvarar för att behandla personuppgifter korrekt i sitt vardagliga arbete.
- Personuppgiftsombudet eller dataskyddsombudet ska bevaka medborgarnas intresse och se till att reglerna för personuppgiftsbehandling följs. Ombudet stödjer verksamheten med sakkunskap.
Vad gäller kring e-post och personnummer?
Personnumret är integritetskänsligt som sådant och är alltid extra skyddsvärt/integritetskänsligt. Detta gäller oavsett sammanhang och det ska därmed finnas en hög nivå på de tekniska lösningarna.
Vad känsliga personuppgifter är finns definierat i förordningen, vad som är extra skyddsvärda/integritetskänsliga uppgifter får man göra en bedömning av. I Sverige har man dock tagit ställning till att personnummer är extra skyddsvärt, därmed erbjuds Säkra meddelanden.
Datainspektionen anser att personnummer bör exponeras så lite som möjligt.
GDPR innebär att flera delar måste beaktas vid personuppgiftshantering. Kort skulle det kunna beskrivas som olika delar. Exempelvis en del reglerar hur och vilka personuppgifter man får hantera och en del handlar om datasäkerhetsfrågor - hur man skyddar information baserat på vilken sorts information det är och hur skyddsvärdig den är.
Vilka principer gäller när man behandlar personuppgifter
I dataskyddsförordningen anges några grundläggande principer som gäller för all behandling av personuppgifter. Kortfattan innebär principerna bland annat att personuppgifter endast får samlas in och behandlas för berättigade ändamål, att det ska finnas en rättslig grund för behandlingen och att mängden personuppgifter som behandlas ska begränsas till vad som är nödvändigt för ändamålet. Uppgifterna får heller inte sparas längre än nödvändigt eller behandlas på ett oförenligt sätt med ändamålet för vilket de samlades in. När verksamhetens grund för behandling upphör ska uppgiften arkiveras alternativt gallras. Detta ska framgå i en dokumenthanteringsplan som ska hållas uppdaterad. Den talar om hur allmänna handlingar ska hanteras och förvaras.
Hur är ansvaret fördelat i organisationen?
- Nämnden är personuppgiftsansvarig och har det yttersta ansvaret för att personuppgiftsbehandlingar följer lagstiftningen. Det är även nämnden som bestämmer ändamålet för en behandling.
- Förvaltningarna ansvarar för att personuppgifterna hanteras korrekt och att behandlingarna anmäls och registreras. I de fall behandlingar utförs i ett verksamhetssytem är systemägaren ansvarig för att systemet uppfyller säkerhetskraven och att det finns rätt avtal med eventuella leverantörer.
- Medarbetarna ansvarar för att behandla personuppgifter korrekt i sitt vardagliga arbete.
- Dataskyddsombudet ska ge råd och stöd och övervaka Ödeshögs kommuns efterlevnad av dataskyddsförordningen. Dataskyddsombudet rapporterar till högsta ledningsnivå och är även kontaktperson för Datainspektionen.
Vad ska jag tänka på när jag arbetar på distans?
När du arbetar med personuppgifter är det viktigt att tänka på säkerheten för dessa även när du arbetar på distans - vare sig det är hemma, på resan eller i offentlig miljö. För att minska risken för att obehöriga får åtkomst till personuppgifter som behandlas av kommunen kan du tänka på följande:
- Anslut inte till öppna nätverk om du inte behöver. Säkerheten kan inte garanteras och det finns en risk att din aktivitet på nätverket övervakas. Använd istället din mobil för att dela din internetanslutning med datorn.
- Anslut alltid till VPN på datorn, detta är extra viktigt om du kopplar upp dig på ett öppet nätverk.
- Utbyt aldrig känslig eller sekretessbelagd information via offentliga, trådlösa nätverk.
- Spara aldrig verksamhetsrelaterad information på privat dator, surfplatta eller telefon eller liknande. Tänk också på att inte använda din privata e-postadress när du kommunicerar med kollegor inom ramen för ditt arbete.
Vad gäller vid hanteringen av personnummer vs födelsedatum
Dataskyddsförordningen stadgar att den personuppgiftsansvarige ska ”vidta lämpliga tekniska och organisatoriska åtgärder” för att skydda personuppgifter, och att skyddsvärdet beror på risker, kostnader och hur känslig informationen är. Personnummer anses enligt Datainspektionen vara extra skyddsvärda personuppgifter främst pga. möjligheten att identifiera oss hos företag och myndigheter.
Födelsedatum kan också användas för att identifiera oss, om än inte i samma utsträckning som personnummer. Skyddsvärdet för födelsedatum är inte lika högt som för personnummer men födelsedatum är för den delen inte harmlösa personuppgifter. Födelsedatum bör således mailas endast när det inte finns andra sätt att utföra arbetsuppgiften.
Informationsplikten - hänvisa till hemsidan?
Det har kommit in frågor om man på blanketter istället kan hänvisa till skriftlig information på hemsida och att man där informerar om behandlingen i sin helhet.
Det finns en mall för vad den registrerade behöver informeras om på hemsidan. I första hand rekommenderar vi att man använder sig av mallen eftersom den innehåller alla de delar som man behöver informera om i sin helhet utifrån dataskyddsförordningen.
I vissa fall kan det däremot vara fullt tillräckligt att skriva en kortare informationstext i exempelvis en ansökningshandling eller på en blankett, där framförallt ändamålet med behandlingen av personuppgifter framgår tydligt, och sedan hänvisa till en fullständig informationstext på hemsidan. Det ska i så fall vara en tydlig länk till förvaltningens webbplats där det enkelt går att ta del av texten. Det får inte vara några långa krångliga webbadresser utan en tydlig länk direkt synlig på verksamhetens startsida, i sådana fall. Det räcker inte att hänvisa till odeshog.se och den övergripande information som finns om hur kommunen i stort behandlar personuppgifter utan texten ska vara anpassad efter den särskilda behandlingen.
Hur mycket av informationen som ska finnas med omedelbart synlig i tex. en blankett, beror helt på omständigheterna i det enskilda fallet. Fundera på vad som är det viktigaste att veta, förutom ändamålet kan det vara att uppgifterna kommer att lämnas vidare till en tredje part, sparas under en lång tid eller hämtas in från offentliga källor.
OBS! Det är inte alltid en hänvisning till hemsidan är tillräckligt, utan det beror på kategorin av registrerade. Kan man förutsätta att informationen riktas till personer med begränsad erfarenhet av eller tillgång till datorer och internet, t.ex. äldre personer eller nyligen invandrade personer, är hemsidan inte den bästa kommunikationsvägen.
Var alltid beredd att skriva ut eller skicka informationen till den som vill det. Det ska vara enkelt att begära det.
Informationsplikten - När är det ok att ha kortare informationstexter?
I vissa fall kan det vara fullt tillräckligt att skriva en kortare informationstext i exempelvis en ansökningshandling eller på en blankett, där framförallt ändamålet med behandlingen av personuppgifter framgår tydligt, och sedan hänvisa till en fullständig informationstext på hemsidan.
Det ska i så fall vara en tydlig länk till verksamhetens webbplats där det enkelt går att ta del av texten. Det får inte vara några långa krångliga webbadresser utan en tydlig länk direkt synlig på enhetens startsida, i sådana fall. Det räcker inte att hänvisa till odeshog.se och den övergripande information som finns om hur kommunen i stort behandlar personuppgifter utan texten ska vara anpassad efter den särskilda behandlingen.
Hur mycket av informationen som ska finnas med omedelbart synlig i tex. en blankett, beror helt på omständigheterna i det enskilda fallet. Fundera på vad som är det viktigaste att veta, förutom ändamålet kan det vara att uppgifterna kommer att lämnas vidare till en tredje part, sparas under en lång tid eller hämtas in från offentliga källor.
OBS! Det är inte alltid en hänvisning till hemsidan är tillräckligt, utan det beror på kategorin av registrerade. Kan man förutsätta att informationen riktas till personer med begränsad erfarenhet av eller tillgång till datorer och internet, t.ex. äldre personer eller nyligen invandrade personer, är hemsidan inte den bästa kommunikationsvägen.
Får skolan upprätta klasslistor och i så fall även dela ut dessa?
Ja, att upprätta klasslistor är absolut tillåtet. Skolförvaltningen behöver ha klasslistor för att kunna bedriva sin verksamhet, och då finns det rättsligt stöd. Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 6 1 e) och 2 kap 4 § dataskyddslagen). Något samtycke för detta är alltså inte nödvändigt, men hanteringen ska finnas med i registerförteckning och informeras om.
Det ska inte heller vara något hinder att dela ut klasslistor till vårdnadshavare, givetvis beroende på vad klasslistan innehåller. Eftersom det finns rättsligt stöd för att ha listan i den egna verksamheten, är den också en allmän handling som skulle kunna begäras ut. Det är bara de som har skyddade folkbokföringsuppgifter, eller om det föreligger annan specifik sekretess för viss elev, som gör att uppgifter om den eleven inte ska finnas med i klasslistan. Det bör anses som en del i verksamheten att föräldrarna vet vilka barn som går i klassen och därför ska det inte vara något hinder att lämna ut dessa listor. Men tänk ”uppgiftsminimering”, vilka uppgifter är relevanta att dela ut? Hela personnummer bör inte finnas med, men födelsedatum kan vara ok, men behövs det i sammanhanget?