Som personuppgifter räknas all information som direkt eller indirekt kan kopplas till en person som är i livet. Uppgifter om dig kan exempelvis vara ditt person­nummer, ditt namn eller din adress. Kan du tydligt urskiljas på en bild kan även det vara en personuppgift.

Behandling är ett vitt begrepp och avser nästan allt man kan göra med person­uppgifter, till exempel insamling, organisering, lagring, ändring, läsning, användning, utlämning genom överföring, och radering.

För att få behandla personuppgifter måste det finnas en laglig grund för behandlingen. Det kan till exempel vara en rättslig skyldighet, på grund av myndighetsutövning eller allmänt intresse.

För att få behandla personuppgifter måste det finnas en laglig grund för behandlingen, sådan grund kan till exempel vara nödvändigt allmänt intresse, myndighetsutövning eller rättslig skyldighet. Finns ingen annan laglig grund kan man be om samtycke till behandlingen. Ett samtycke ska vara frivilligt och avse en specifik behandling. Ett samtycke kan när som helst återkallas. Behandlingen är tillåten fram till dess att samtycket återkallas.

Om du är i kontakt med kommunen för att exempelvis ansöka om bygglov eller förskoleplats måste kommunen samla in och behandla uppgifter om dig. Andra exempel på när kommunen behandlar dina personuppgifter kan vara om du skickar in ett e-postmeddelande till kommunen eller om du prenumererar på ett nyhetsbrev från kommunen.

Den som ansvarar för behandlingen av personuppgifter kallas i dataskydds­förordningen för personuppgiftsansvarig. I kommunen är det varje nämnd som har ansvar för hur personuppgifter behandlas inom deras ansvarsområde. Byggnadsnämnden är till exempel personuppgiftsansvarig för personuppgifts­behandlingen om du ansökt om bygglov och för- och grundskolenämnden är personuppgiftsansvarig om du ansökt om förskoleplats.

Vid behandlingen av dina personuppgifter tillämpas från och med den 25 maj 2018 dataskyddsförordningen (också kallad GDPR) som ersätter person­uppgifts­lagen (PUL). Till dataskyddsförordningen finns också kompletterande svensk lagstiftning, främst i formen av lag med kompletterande bestämmelser till EU:s dataskyddsförordning (SFS 2018:218) med tillhörande förordning SFS 2018:19.

Syftet med den nya dataskyddslagstiftningen är bland annat att skydda fysiska personers grundläggande friheter och rättigheter vid behandling av person­uppgifter och att harmonisera skyddet inom EU.

För dig som enskild innebär dataskyddsförordningen att rätten till insyn och information ökar.

Den personuppgiftsansvarige har skyldighet att informera om

• vilka person­uppgifter som samlas in
• vad syftet med insamlingen är
• vilken laglig/rättslig grund man har för att behandla personuppgifterna
• vilken mottagare som ska ta del av personuppgifterna
• hur länge man kommer att behandla person­uppgifterna.

Den enskilde har rätt att

• begära ut information om de uppgifter som person­uppgiftsansvarige har om denne
• begära rättelse av uppgifterna
• invända mot behandling, överföring
• begära att personuppgiftsansvarig begränsar behandlingen av uppgifterna.

Mer information om rättelse, invändning och begränsning finns längre ner på den här sidan.

Andra lagar har företräde framför reglerna i dataskyddsförordningen. Detta innebär bland annat att kommunen inte alltid kan förstöra eller ta bort person­uppgifter efter att ändamålet med behandlingen är uppfyllt. Detta då arkivlagen ställer krav på hur kommunen hanterar handlingar och när de får raderas eller kastas. En annan lagstiftning som går före reglerna i dataskyddsförordningen är rätten att begära ut allmänna handlingar som grundar sig på svensk grundlag.

Om du har frågor eller vill framställa en begäran kan du vända dig till kommunens dataskyddsombud. Se kontaktuppgifter längre ner på den här sidan.

Om du har frågor om behandlingen av dina personuppgifter kan du också vända dig direkt till den personuppgiftsansvariga nämnden.

Datainspektionen är tillsynsmyndighet över kommunens personuppgifts­behandling. Det är också dit du ska vända dig om du har klagomål på hur kommunen behandlar dina personuppgifter, du kan hitta kontaktuppgifter till datainspektionen på deras webbplats:

www.datainspektionen.se

Vid en begäran från enskild om att utnyttja sina rättigheter ska personuppgiftsansvarig inom en månad tillhandahålla den som gjort begäran information om de åtgärder som vidtagits, om inte begäran är komplicerad eller det är frågan om ett stort antal inkomna begäranden. I så fall får tiden förlängas med två månader men då ska den som gjort begäran får information om detta och få veta varför det kommer ta längre tid. Om begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art, får den personuppgiftsansvarige vägra att tillmötesgå begäran.

En enskild har rätt att få bekräftelse på att dennes personuppgifter behandlas av kommunen. Om kommunen behandlar personuppgifter har den enskilde rätt att kostnadsfritt få en kopia av de personuppgifter som är under behandling.

Den vars personuppgifter har registrerats har rätt att få felaktiga personuppgifter som rör honom eller henne rättade. Beroende på ändamålet med behandlingen kan den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande. Rättelsen ska ske utan onödigt dröjsmål.

I dataskyddsförordningen finns också vad som kallas rätten att bli bortglömd. Denna rätt är dock inte absolut, rätten gäller till exempel inte om behandlingen är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige eller om behandlingen krävs för att uppfylla en rättslig förpliktelse. Om till exempel socialtjänsten behandlar personuppgifter i sin myndighetsutövning har man inte rätt att få de uppgifterna raderade. I praktiken blir denna rättighet bara tillämplig på ett fåtal områden inom kommunen.

Detta är en rätt att få data, som man själv tillhandahållit i ett strukturerat, allmänt använt och maskinläsbart format, överförd till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige, som man ursprungligen lämnat uppgifterna till, kan hindra det. Denna rätt gäller dock bara personuppgiftsbehandlingar som grundar sig på avtal eller samtycke och om behandlingen sker automatiserat.

Den registrerade har rätt att när som helst invända mot att personuppgifter avseende honom eller henne behandlas. Detta gäller behandlingar som utförs på grund av allmänt intresse eller som ett led i myndighetsutövning. Om man gör en invändning innebär det att kommunen inte längre får behandla personuppgifterna om man inte kan påvisa tvingande berättigade skäl som väger tyngre än den registrerades intressen, rättigheter och friheter. Eller att kommunen behöver behandla uppgifterna för fastställande, utövande eller försvar av rättsliga anspråk.

Den registrerade kan under vissa omständigheter kräva att kommunen begränsar behandlingen av deras personuppgifter. Detta kan till exempel vara efter att man gjort en invändning mot behandlingen och väntar på att frågan kontrolleras eller under den tid det tar kommunen att kontrollera uppgifterna efter att man gjort gällande att de registrerade personuppgifterna är felaktiga. Under den tiden får uppgifterna, med undantag för lagring, bara behandlas utan den registrerades samtycke under vissa omständigheter.

Umeå kommun ska kunna visa att vi följer dataskyddsförordningen, där omvänd bevisbörda tillämpas. Tillsynsmyndigheten Datainspektionen arbetar med omvänd bevis­börda, vilket innebär att vi måste visa att vi gör rätt.

För att göra rätt arbetar vi för att skapa ordning och genom att ha ett strukturerat och medvetet arbetssätt.

Ett effektivt sätt att visa på efterlevnad av lagen är att dokumentera det vi gör. Exempel på dokumentation är

• register över personuppgiftsbehandlingar
• säkerhetsskyddsanalyser
• klassningar av system
• personuppgiftsbiträdesavtal i enlighet med dataskyddsförordningen.