Dataskyddsförordningen (GDPR) gäller som lag i alla EU:s medlemsländer. Förordningen innebär en hel del förändringar för dem som behandlar personuppgifter och stärkta rättigheter för den enskilde när det gäller personlig integritet.

Dataskyddsförordningen innebär förenklat att

• man bara får bara samla in personuppgifter om det finns ett tydligt syfte och om man uppfyller kraven i lagen
• uppgifter som samlas in måste vara nödvändiga
• när syftet med personuppgiftsbehandlingen är uppnått ska uppgifterna tas bort
• man måste kunna visa att man har de rutiner som krävs för en korrekt hantering.
  

I korthet kan man säga att alla personer vars personuppgifter behandlas har ett antal rättigheter enligt dataskyddsförordningen (GDPR).

Rättigheter innebär bland annat att man som registrerad ska kunna få information om när och hur personuppgifterna behandlas och att man ska ha kontroll över sina egna uppgifter. 

Vad är en personuppgift?

Som personuppgifter räknas all information som direkt eller indirekt kan kopplas till en person som är i livet. Uppgifter om dig kan exempelvis vara ditt personnummer, ditt namn eller din adress. Kan du tydligt urskiljas på en bild kan även det vara en personuppgift.

Vad är en behandling?

Behandling är ett vitt begrepp och avser nästan allt man kan göra med person­uppgifter, till exempel insamling, organisering, lagring, ändring, läsning, användning, utlämning genom överföring, och radering.

För att få behandla personuppgifter måste det finnas en laglig grund för behandlingen. Det kan till exempel vara en rättslig skyldighet, på grund av myndighetsutövning eller allmänt intresse.

När får personuppgifter behandlas?

För att få behandla personuppgifter måste det finnas en laglig grund för behandlingen, sådan grund kan till exempel vara nödvändigt allmänt intresse, myndighetsutövning eller rättslig skyldighet. Finns ingen annan laglig grund kan man be om samtycke till behandlingen. Ett samtycke ska vara frivilligt och avse en specifik behandling. Ett samtycke kan när som helst återkallas. Behandlingen är tillåten fram till dess att samtycket återkallas.

När kan dina personuppgifter komma att behandlas av Umeå kommun?

Om du är i kontakt med kommunen för att exempelvis ansöka om bygglov eller förskoleplats måste kommunen samla in och behandla uppgifter om dig. Andra exempel på när kommunen behandlar dina personuppgifter kan till exempel vara om du skickar in ett e-postmeddelande till kommunen eller om du prenumererar på ett nyhetsbrev från kommunen.

Vem ansvarar för behandlingen av personuppgifterna i kommunen?

Den som ansvarar för behandlingen av personuppgifter kallas i dataskydds­förordningen för personuppgiftsansvarig. I kommunen är det varje nämnd som har ansvar för hur personuppgifter behandlas inom deras ansvarsområde. Byggnadsnämnden är till exempel personuppgiftsansvarig för personuppgifts­behandlingen om du ansökt om bygglov och För- och grundskolenämnden är personuppgiftsansvarig om du ansökt om förskoleplats.

Vad avgör hur personuppgifter får behandlas?

Vid behandlingen av dina personuppgifter tillämpas från och med den 25 maj 2018 dataskyddsförordningen (också kallad GDPR) som ersätter person­uppgifts­lagen (PUL). Till dataskyddsförordningen finns också kompletterande svensk lagstiftning främst i formen av lag med kompletterande bestämmelser till EU:s dataskyddsförordning (SFS 2018:218) med tillhörande förordning SFS 2018:19.

Syftet med den nya dataskyddslagstiftningen är bland annat att skydda fysiska personers grundläggande friheter och rättigheter vid behandling av person­uppgifter och att harmonisera skyddet inom EU.

Vad innebär reglerna i dataskyddsförordningen för dig som enskild?

För dig som enskild innebär dataskyddsförordningen att rätten till insyn och information ökar.

Den personuppgiftsansvarige har en skyldighet att informera om vilka person­uppgifter som samlas in, vad syftet med insamlingen är, vilken laglig/rättslig grund man har för att behandla personuppgifterna, mottagaren som ska ta del av personuppgifterna och hur länge man kommer att behandla person­uppgifterna.

Den enskilde har rätt att begära ut information om de uppgifter som person­uppgiftsansvarige har om denne, begära rättelse av uppgifterna, invända mot behandling, överföring eller för att begära att personuppgiftsansvarig begränsar behandlingen av uppgifterna.

Andra lagar har företräde

Andra lagar har företräde framför reglerna i dataskyddsförordningen. Detta innebär bland annat att kommunen inte alltid kan förstöra eller ta bort person­uppgifter efter att ändamålet med behandlingen är uppfyllt. Detta då arkivlagen ställer krav på hur kommunen hanterar handlingar och när de får raderas eller kastas. En annan lagstiftning som går före reglerna i dataskyddsförordningen är rätten att begära ut allmänna handlingar som grundar sig på svensk grundlag.

Vem kan du vända dig till?

Om du har frågor eller vill framställa en begäran kan du vända dig till kommunens dataskyddsombud. Om du har frågor om behandlingen av dina personuppgifter kan du också vända dig direkt till den personuppgiftsansvariga nämnden.

Datainspektionen är tillsynsmyndighet över kommunens personuppgifts­behandling. Det är också dit du ska vända dig om du har klagomål på hur kommunen behandlar dina personuppgifter, du kan hitta kontaktuppgifter till datainspektionen på deras webbplats https://www.datainspektionen.se/.

Hur ska en begäran hanteras?

En begäran från enskild om att utnyttja sina rättigheter ska behandlas inom en månad, om inte begäran är komplicerad eller det är frågan om ett stort antal inkomna begäranden. I så fall får tiden förlängas med två månader men då ska den som gjort begäran får information om detta och få veta varför det kommer ta längre tid. Om begäran är uppenbart ogrundad eller orimlig, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige vägra att tillmötesgå begäran.

Rätten till information

En enskild har rätt att få bekräftelse på dennes personuppgifter behandlas av kommunen. Om kommunen behandlar personuppgifter har den enskilde rätt att kostnadsfritt få en kopia av de personuppgifter som är under behandling.

Rättelse

Den vars personuppgifter har registrerats har rätt att få felaktiga person­uppgifter som rör honom eller henne rättade. Beroende på ändamålet med behandlingen kan den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande. Rättelsen ska ske utan onödigt dröjsmål.

Radering

I dataskyddsförordningen finns också vad som kallas rätten att bli bortglömd. Denna rätt är dock inte absolut, rätten gäller till exempel inte om behandlingen är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige eller om behandlingen krävs för att uppfylla en rättslig förpliktelse. Om till exempel socialtjänsten behandlar personuppgifter i sin myndighetsutövning har man inte rätt att få de uppgifterna raderade. I praktiken blir denna rättighet bara tillämplig på ett fåtal områden inom kommunen.

Dataportabilitet

Detta är en rätt att få data, som man själv tillhandahållit i ett strukturerat, allmänt använt och maskinläsbart format, överförd till en annan personuppgifts­ansvarig utan att den personuppgiftsansvarige, som man ursprungligen lämnat uppgifterna till, kan hindra det. Denna rätt gäller dock bara personuppgifts­behandlingar som grundar sig på avtal eller samtycke och om behandlingen sker automatiserat.

Invändning

Den registrerade har rätt att när som helst invända mot att personuppgifter avseende honom eller henne behandlas. Detta gäller behandlingar som utförs på grund av allmänt intresse eller som ett led i myndighetsutövning. Om man gör en invändning innebär det att den kommunen inte längre får behandla personuppgifterna om man inte kan påvisa tvingande berättigade skäl som väger tyngre än den registrerades intressen, rättigheter och friheter. Eller att kommunen behöver behandla uppgifterna för fastställande, utövande eller försvar av rättsliga anspråk.

Begränsning av behandling

Den registrerade kan under vissa omständigheter kräva att kommunen begränsar behandlingen av deras personuppgifter. Detta kan till exempel vara efter att man gjort en invändning mot behandlingen och väntar på att frågan kontrolleras eller under den tid det tar kommunen att kontrollera uppgifterna efter att man gjort gällande att de registrerade personuppgifterna är felaktiga. Under den tiden får uppgifterna, med undantag för lagring, bara behandlas utan den registrerades samtycke under vissa omständigheter.

Regelefterlevnad

Vi ska kunna visa att vi följer Dataskyddsförordningen, där omvänd bevisbörda tillämpas. Tillsynsmyndigheten Datainspektionen arbetar med omvänd bevis­börda, vilket innebär att vi måste visa att vi gör rätt.

För att göra rätt arbetar vi för att skapa ordning och genom att ha ett strukturerat och medvetet arbetssätt.

Ett effektivt sätt att visa på efterlevnad av lagen är att dokumentera det vi gör. Exempel på dokumentation är:

• register över personuppgiftsbehandlingar
• säkerhetsskyddsanalyser
• klassningar av system
• personuppgiftsbiträdesavtal i enlighet med dataskyddsförordningen.