Värt att veta om

dataskydd i Heby kommun

25 maj 2018 får Sverige och övriga EU en ny gemensam lagstiftning som reglerar hur bland
annat kommuner får behandla personuppgifter. En nyhet i denna dataskyddsförordning är
kännbara sanktionsavgifter om man bryter mot reglerna, något som har fått många kommuner
att fundera över hur de hanterar och skyddar personuppgifter. Här följer en enkel grundkurs i
dataskydd med fokus på Heby kommun.

Öster våla Harbo Vittinge Huddunge Tärnsjö Runhällen Morgongåva Heby


GDPR
Dataskyddsförordningen
kallas kort för GDPR vilket står för
General Data Protection Regulation.
Förordningen börjar tillämpas i maj 2018
och ersätter då den svenska
personuppgiftslagen.
Vad är egentligen en personuppgift?
Personuppgifter är all slags information som kan knytas till
en fysisk person som är i livet. Typiska personuppgifter är
personnummer, namn och adress. Även foton på personer
klassas som personuppgifter. Ja, till och med ljudinspelningar
som lagras elektroniskt kan vara personuppgifter även om
det inte nämns några namn i inspelningen. Registrerings-
nummer på en bil kan vara en personuppgift om det går att
knyta till en fysisk person medan registreringsnumret på en
firmabil som används av flera, kanske inte är en personuppgift.
Samla inte in fler personuppgifter än nödvändigt
och enbart för ett visst, i förväg bestämt ändamål.
Spara inte uppgifterna längre än nödvändigt. Man
får inte spara/samla in uppgifter för att det är ”bra
att ha”. Se till att ni har stöd i lagen för att samla in
uppgifterna.
När får personuppgifter samlas in?
Personuppgifter får bara samlas in för ”särskilda, uttryckligt angivna och berättigade
ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ända-
mål”, säger förordningen. Alltså uppgifter som samlas in för ett visst syfte, får inte
sedan användas för helt andra syften.
Till exempel kan Heby kommun utrusta sina tjänstebilar med speciell gps-utrustning
som används för elektroniska körjournaler för att förenkla redovisningen. Men Heby
kommun får inte använda uppgifterna som gps:en samlar in för att kontrollera hur Vad menas med särskilda kategorier
långa raster de anställda tar. av personuppgifter?
I dataskyddsförordningen skiljer man mellan
Man måste också ha stöd i förordningen för att hantera personuppgifter. Det finns
”vanliga” personuppgifter och särskilda katego-
några ”rättsliga grunder” som vi har möjlighet att använda oss av. De viktigaste är:
rier av personuppgifter. Det är sådana som av-
slöjar ras eller etniskt ursprung, politiska åsikter,
Allmänt intresse (forskning, statistik, arkiv) religiös eller filosofisk övertygelse, medlemskap
i fackförening samt personuppgifter som rör
I Sverige är det vanligt att personuppgiftsbehandling som sker i samband med myndig-
hälsa eller sexualliv. Uppgifter om hälsa kan till
hetsutövning regleras i särskilda bestämmelser, så kallade registerförfattningar.
exempel vara sjukfrånvaro, graviditet och lä-
karbesök. Normalt är det förbjudet att hantera
Myndighetsutövning (bygglov, ekonomiskt bistånd) sådana personuppgifter men det finns undantag
När personuppgifter behandlas för att utföra en uppgift av allmänt intresse eller som från förbudet. Känsliga uppgifter måste också
ett led i myndighetsutövning kan den registrerade ha rätt att invända mot att person- skyddas mer än andra uppgifter.
uppgifter behandlas. Nämnden måste då göra en bedömning av om det ändå finns
tvingande och berättigade skäl för behandlingen som väger tyngre är den registrera-
des intressen.
Men är det verkligen så nytt?
Rättslig förpliktelse Att vi i maj 2018 får en ny lag som reglerar hur
man samlar in och använder personuppgifter
Personuppgifter får behandlas om det är nödvändigt för att uppfylla en rättslig förplik-
har väckt stor uppmärksamhet. Men faktum är
telse. Som exempel på en rättslig förpliktelse kan nämnas bokföringsskyldigheten som
att vi i Sverige har haft sådan lagstiftning ända
anges i bokföringslagen.
sedan 1973 då datalagen trädde i kraft. Det var
dessutom världens första nationella datalag. I
Avtal med den registrerade grunden innehåller förordningen samma regler
Anställningsavtal och kundavtal är exempel på avtal som innebär att Heby kommun och principer som dagens lagstiftning men det
måste registrera och hantera personuppgifter men bara de uppgifter som behövs för finns nyheter.
att uppfylla avtalet.
 Samtycke Informera mera…

Ett alternativ är att be personen ifråga att få registrera uppgifterna om henne/honom.
Det kallas för att få personens samtycke. I dataskyddsförordningen ställs det särskilda
krav på samtycket, bland annat att det ska vara frivilligt. Behandlar vi i Heby kommun
personuppgifter med stöd av ett samtycke måste vi kunna visa att ett giltigt samtycke
har lämnats av den registrerade.
När ni samlar in uppgifter om en person så måste
ni informera personen i fråga. I förordningen finns
en lång lista över vilken information som ska ges,
men mycket kort ska vi tala om att vi samlar in
personuppgifter, vilka uppgifter det handlar om
och varför vi gör det. Kommer vi att lämna uppgif-
terna vidare till andra måste vi tala om det.

Skydda grundläggande intressen

Läs mer om dataskydd
Behandling av personuppgifter är tillåten om det är nödvändigt för att skydda intres-
I den här broschyren tar vi upp några av de viktigaste
sen som är av grundläggande betydelse för den registrerade eller för någon annan
grunderna i dataskydd. Men, vi tar inte upp alla krav
person. Det handlar om sådana intressen som är av avgörande betydelse för den
och bedömningar som kan bli aktuella då personupp-
registrerades eller någon annan persons liv. Till exempel är personuppgiftsbehand-
gifter samlas in och hanteras. Ett bra ställe att fortsätta
ling nödvändig för livsavgörande vård i akuta situationer då den registrerade inte kan
inläsningen är på intranätet under ”så här jobbar vi”
lämna sitt samtycke.
och sedan ”dataskyddsförordningen” .
Miljonböter om vi inte sköter oss!
En nyhet i dataskyddsförordningen är att Datainspektionen kan besluta att en nämnd
som inte följer reglerna i förordningen ska betala en administrativ sanktionsavgift,
vilket är en form av böter. Regeringens förslag är att sanktionsavgiften kommer ligga
på fem miljoner i den undre skalan och 10 miljoner i den övre skalan.
…och spara mindre
En viktig regel i förordningen är att man inte får
spara personuppgifter för länge. När de inte läng-
re behövs för det syftet som de en gång samla-
des in för, så ska de tas bort. För Heby kommun
innebär det till exempel att uppgifter om perso-
ner som inte längre är kunder måste tas bort från
IT-systemen.
TÄNK OCKSÅ PÅ DETTA! Det kan finnas krav i
annan lagstiftning som innebär att uppgifterna
måste sparas en viss tid, till exempel för bokfö-
rings- och arkivändamål.

Vem ansvarar för vad?

Se över säkerheten!
Tänk på att skydda personuppgifterna som ni hanterar,
så att de inte stjäls eller oavsiktligt raderas eller ändras.
Ett nytt krav i förordningen är att om ni råkar ut för en
Alla personuppgiftsansvariga (respektive nämnd) ansvarar för sina personuppgiftsbe-
handlingar. Alla behandlingar ska finnas i ett gemensamt register och de olika enhe-
terna/verksamheterna är i sin tur ansvariga för att registret både är kvalitetssäkrat och
uppdaterat. Registret hjälper oss ha kontroll över vilka personuppgiftsbehandlingar
vi utför i kommunen. Det hjälper oss också att, på ett systematiskt sätt, kontroller att

”personuppgiftsincident” så ska det rapporteras enligt
rutin på intranätet. En sådan incident kan till exempel
vara ett usb-minne med personuppgifter som tappas
bort, ett diskriminering, identitetsstöld, finansiell för-
lust, brott mot sekretess eller att någon anställd obe-
hörigt tagit del av personuppgifter.
?
vi till exempel har en rättslig grund att behandla uppgifterna. Registret är en total
kartläggning av alla behandlingar av personuppgifter som utförs inom respektive
nämnd. Det ger en översikt över alla register, system och dokument där personupp-
gifter förekommer. Heby kommuns register ligger i ett system som heter Draftit. Vill
du ha tillgång till systemet eller beställa en sammanställning för din nämnd, vänligen Har du frågor? Vänd dig till dataskyddsombud
kontakta dataskyddsombudet. Ann Wallén, ann.wallen@heby.se, 0224-361 93.