Arjeplogs kommun och GDPR


De uppgifter som du lämnar i blanketter eller e-tjänster kommer Arjeplogs kommun att registrera i datasystem. Registreringen görs för att kommunen (eller kommunens underleverantör) ska kunna fullgöra sin skyldighet gentemot dig, eller den tjänsten berör. Regsitreringen kan också säkra information som är av livsavgörande betydelse.

Uppgifterna kommer att sparas så länge de behövs i verksamheten. Vill du veta exakt hur länge de sparas kan du vända dig till kommunens kundtjänst. Om du är missnöjd med hur Arjeplogs kommun behandlar personuppgifter om dig har du möjlighet att lämna klagomål till Datainspektionen. För mer information om dataskydd, se Datainspektionens webbplatslänk till annan webbplats.

 

GDPR Arjeplogs kommun

Den nya dataskyddslagen som träder i kraft den 25 maj 2018 innebär en del förändringar för behandlingen av personuppgifter. I stort är förändringen jämfört med den nuvarande personuppgiftslagen (PuL) relativt små, men eftersom efterlevnaden av PuL inte har varit tillräcklig blir förändringen för många, däribland oss, ändå betydande. GDPR står för General Data Protection Regulation och heter på svenska dataskyddsförordningen (DSF) och kallas också dataskyddslagen. GDPR är en EU-förordning och gäller alla EU-länder samt vid handel även motparterna.

All behandling av personuppgifter måste uppfylla de grundläggande principer som anges i dataskyddsförordningen. Principerna innebär bland annat att personuppgifter bara får samlas in och behållas för berättigade ändamål och att mängden uppgifter ska begränsas till vad som är nödvändigt för ändamålen. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål och heller inte sparas längre än nödvändigt. För att uppfylla det krävs dokumentation av att gallringsrutiner följs. De grundläggande principerna motsvarar de grundläggande kraven i PuL. En viktig nyhet är att det uttryckligen anges att den personuppgiftsansvariga ska kunna visa att DSF följs.

Inför ikraftträdandet ska kommunerna se till att ett antal politiska beslut är fattade och ett dataskyddsombud utsett. Arjeplogs kommun har upprättat de aktuella dokumenten och de är beslutade av KS respektive MBR. Vårt dataskyddsombud är Isak Nyberg, Skellefteå kommun och kontaktperson i Arjeplog är vår kommunchef, Peter Andersson.

För att säkerställa att vi följer GDPR ska uppföljning integreras i internkontrollarbetet som en egen punkt och därmed tillbörligt dokumenteras och sedan redovisas vid tertialuppföljningarna respektive årsbokslutet.

Definitioner

Det finns några viktiga definitioner i GDPR.

Personuppgift
En uppgift som direkt eller indirekt kan användas för att identifiera en person som är i livet. Det kan t ex vara uppgifter som direkt pekar ut en person eller som tillsammans med andra uppgifter pekar ut en person, t ex initialer tillsammans med skola och klass.

Personuppgiftsansvarig
Den som är juridiskt ansvarig för behandlingen av personuppgifter. I Arjeplogs kommun är det alltid nämnden, alltså Kommunstyrelsen respektive Miljö-, bygg och räddningsförvaltningen.

Personuppgiftsbiträde
Den som behandlar uppgifter för kommunens räkning. Vanligtvis är det en leverantör av it-tjänster.

Dataskyddsombud
En person som blivit utsedd av nämnden att se till att personuppgifterna behandlas på ett korrekt och lagligt sätt.

Gallring
När personuppgifter inte längre behövs för de ändamålen de togs in för, ska de raderas eller avidentifieras. Finns lagkrav som kräver lagring, t.ex. bokföringslagen, ska den lagen följas.

Laglig behandling

För att personuppgifter ska få behandlas i verksamheten är ett nämndsbeslut om behandlingen en förutsättning. Beslutet ska bland annat innehålla uppgifter om vilka personuppgifter som behandlas, syftet med behandlingen, om personnummer registreras, vilken laglig grund som finns och hur länge uppgifterna sparas. Personuppgiftsansvariga är skyldiga att föra ett register över behandlingar av personuppgifter, som även ska uppdateras löpande.

Behandling av personuppgifter sker både via programvara och löpande text. Löpande text avser Word, Excel, mail och liknande och kallas även osorterad data. GDPR omfattar, till skillnad från PuL, personuppgifter i löpande text. Beslut har fattats av nämnderna om godkännande av hantering av personuppgifter i löpande text.

Känsliga personuppgifter

Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd i dataskyddsförordningen. Grundregeln är att det är förbjudet att behandla sådana personuppgifter, men det finns undantag som exempelvis samtycke och viss rättslig grund. Kommunen har ett fåtal fall där känsliga personuppgifter behandlas, och det ska alltid göras endast då handläggningen av ärenden kräver det. Känsliga personuppgifter omfattar:

  • Etniskt ursprung
  • Politiska åsikter
  • Religiös eller filosofisk övertygelse
  • Medlemskap i fackförening
  • Hälsa
  • Sexualliv eller sexuell läggning
  • Genetisk eller biometrisk information

Personuppgiftsincident

En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontroller över sina uppgifter eller att rättigheterna inskränks, t ex diskriminering, identitetsstöld, bedrägeri eller skadlig ryktesspridning. En incident har inträffat om uppgifter om en eller flera registrerade personer har blivit förstörda, gått förlorade på ett sätt eller kommit i orätta händer.

Hanteras inte personuppgiftsincidenter på rätt sätt kan det få allvarliga konsekvenser för registrerade personer och även påverka tilltron till kommunorganisationen och leda till sanktionsavgifter.

Om en personuppgiftsincident inträffar, ska åtgärder enligt ”Rutin anmälan av större personuppgiftsincident eller it-incident till Dataskyddsinspektionen eller MSB”.

Samtycke för behandling av personuppgifter

Samtycke för behandling av personuppgifter behövs i normalfallet inte eftersom den kommunala verksamheten omfattas av undantag av DSF som myndighetsutövning, verksamhet av allmänt intresse eller rättslig skyldighet.

Informationsplikt

Personuppgiftsansvarig är skyldig att informera om att den enskildes personuppgifter behandlas. Detta är uppfyllt i och med text på hemsidan.

Vad ska du tänka på när du hanterar personuppgifter?

  • Att vara ytterst noggrann med att inte behandla känsliga personuppgifter, om det inte är nödvändigt för ärendet.
  • Att vara säker på att personuppgifterna behövs för handläggning. Vissa system kräver mer uppgifter än vi behöver för handläggning, och det kan vi i nuläget inte göra så mycket åt även om vi kan förändra det på längre sikt.
  • Att säkerställa att behandlingen är godkänd av nämnden: finns systemet i registret för Arjeplogs kommuns behandling av personuppgifter?
  • Att löpande utföra gallring av personuppgifter. Dokumentera även detta.
  • Att inte lämna ut personuppgifter utan att vara säker på att rättslig grund för det finns. Rättslig grund kan bland annat vara myndighetsutövning.
  • Att om du misstänker att en personuppgiftsincident inträffat, ta genast kontakt med kommunens kontaktperson för GDPR
  • Att personuppgifter i sociala medier har ett eget regelverk, i enlighet med nämndsbeslut
  • Att medborgare har rätt att begära registerutdrag, flytt, rättning och radering av sina personuppgifter. Kontakta då kommunens kontaktperson för GDPR.


Publicerad av: Martin Stråmo
Senast ändrad: 16 oktober 2018

Information

Kommunalråd
Britta Flinkfeldt
Telefon 0961 - 141 11

Kommunchef
Peter Andersson
Telefon 0961 - 141 19

Dataskyddsombud
Isak Nyberg
E-post: isak.nyberg@skelleftea.se
Telefon: 0910-73 46 44 eller 070-673 52 00

Kontakt

Öppettider
Växel: 0961-140 00
Mån-Fre: 8.00-16.00


Besök Tingsbacka
Mån-Tors: 8.00-17.00
Fre: 8.00-16.00

Lunchstängt: 12.00-13.00
kommun@arjeplog.se

Besök oss

Arjeplogs Kommun
Tingsbacka, Storgatan 20