Älvsbyns kommun behandlar personuppgifter i enlighet med EU:s dataskyddsförordning (2016/679), nedan förkortat GDPR. Vi har som utgångspunkt att personuppgifter endast får behandlas när det är nödvändigt och berättigat för att fullfölja förpliktelser och lagligt grundade åligganden mot de registrerade. Nedan följer en genomgång av centrala begrepp i dataskyddssammanhang samt en beskrivning av de riktlinjer och principer som anställda och förtroendevalda inom Älvsbyns kommun följer för att säkerställa ett adekvat skydd för den enskildes integritet.
Personuppgift
All slags information som kan knytas till en fysisk person som är i livet, till exempel namn, adress, fastighetsbeteckning, e-postadress, registreringsnummer och foton.
Behandling
Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgift vare sig det sker på automatisk väg eller inte; insamling, inhämtande, registrering, organisering, lagring, ändring, utlämnande, översändande, spridning, sammanställning, samkörning, utplåning eller förstöring (observera att uppräkningen ovan inte är uttömmande).
Personuppgiftsansvarig
En juridisk person som bestämmer ändamålen med och medlen för organisationens behandling av personuppgifter.
Personuppgiftsbiträde
Vanligtvis en juridisk person, till exempel en IT-leverantör, som behandlar personuppgifter för den personansvariges räkning. Personuppgiftsbiträdet finns alltid utanför den personuppgiftsansvariges organisation.
Dataskyddsombud
En person som ser till att personuppgifter behandlas på ett korrekt och lagligt sätt inom den egna organisationen. Dataskyddsombudet kan jämföras med en internrevisor som påpekar fel och brister till den som är personuppgiftsansvarig.
Den registrerade
Den person som en personuppgift avser.
Känsliga personuppgifter/särskild kategori av personuppgifter
Uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa och sexualliv.
Kommunstyrelsen (KS) är personuppgiftsansvarig för behandling av personuppgifter i kommunkoncernens samtliga förvaltningsenheter med undantag för miljö- och byggkontoret för vilket miljö- och byggnämnden (MBN) är personuppgiftsansvarig. Den personuppgiftsansvarige skall säkerställa att alla verksamheter som ligger under dess ansvar vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.
Kommunstyrelsen i Älvsbyns kommun
Storgatan 27
942 85 Älvsbyn
Miljö- och byggnämnden i Älvsbyns kommun
Storgatan 27
942 85 Älvsbyn
De som behandlar personuppgifter, antingen under den personuppgiftsansvariges direkta ansvar (anställda och förtroendevalda) eller för dennes räkning i egenskap av personuppgiftsbiträde (till exempel IT-leverantörer), skall följa den personuppgiftsansvariges instruktioner vid all behandling av personuppgifter. Den personuppgiftsansvarige bör ingå personuppgiftsbiträdesavtal med de personuppgiftsbiträden som anlitas av kommunen. I dessa PUB-avtal skall personuppgiftsbiträdet förpliktas att behandla personuppgifter i enlighet med den personuppgiftsansvariges instruktioner och rådande säkerhetsrutiner.
I egenskap av personuppgiftsansvariga har kommunstyrelsen och miljö- och byggnämnden genom beslut utnämnt dataskyddsombud för Älvsbyns kommun (KS 2020 § 73, MBN 2018 § 44).
Dataskyddsombudets uppgift är att tillvarata de registrerades rättigheter genom att verka för att personuppgifter behandlas på ett lagligt och korrekt sätt inom Älvsbyns kommun.
Dataskyddsombudets kontaktuppgifter: dataskyddsombud@alvsbyn.se
Telefon 0929-172 18
Inom Älvsbyns kommun behandlas personuppgifter endast när det är nödvändigt och berättigat för att:
Ifall det saknas stöd för att behandla personuppgifter enligt någon av de ovan angivna grunderna, måste den registrerade lämna sitt samtycke till att dennes personuppgifter behandlas för ett visst specifikt ändamål. Den registrerade måste då informeras om sin rätt att när som helst återkalla sitt samtycke. Vid ett återkallande av samtycke bör all sådan behandling av personuppgifter som kan hänföras till det specifika ändamålet för vilket samtycket inhämtats upphöra. En förutsättning för att samtycket kan anses giltigt är att den registrerade agerar utifrån sin fria vilja och har möjlighet att återkalla samtycket utan att det medför någon nackdel för denne.
Den enskilde har alltid rätt att få information om hur dennes personuppgifter behandlas inom Älvsbyns kommun. Information om personuppgiftsbehandlingen skall lämnas i samband med att uppgifterna samlas in, lämnas ut till en annan mottagare eller när den registrerade begär det. Informationen får inte vara förenat med någon kostnad och skall innehålla minst följande uppgifter:
Den enskilde har också rätt att begära ut registerutdrag med detaljerade beskrivningar över hur personuppgifter behandlas. Informationen bör lämnas till den registrerade inom en rimlig period efter det att personuppgifterna erhållits eller att begäran om registerutdrag inkommit till Älvsbyns kommun, dock senast inom en månad.
Det är en grundläggande princip att alla personuppgifter som behandlas skall vara korrekta. Under förutsättning att den enskildes begäran om rättelse är grundad skall felaktiga personuppgifter som rör denne rättas utan onödigt dröjsmål. Med beaktande av ändamålet med behandlingen skall den enskilde också ges möjlighet att komplettera ofullständiga personuppgifter.
För att få sina personuppgifter raderade, skall någon av nedanstående villkor uppfyllas:
Älvsbyns kommun är skyldig att besvara den registrerades begäran om rättelse och radering senast inom en månad.
När det inte längre är nödvändigt att behandla en personuppgift för ett specifikt ändamål, skall uppgiften antingen lagras eller gallras i enlighet med vad som anges i Älvsbyns kommuns dokumenthanteringsplan, arkivlagen eller tillämplig speciallag. I dokumenthanteringsplanen beskrivs hur allmänna handlingar hanteras och förvaras inom kommunens olika verksamheter.
Älvsbyns kommuns utgångspunkt är att inte lämna ut de registrerades personuppgifter till tredje part såvida det inte är nödvändigt för att uppfylla avtals- eller lagenliga förpliktelser mot den registrerade. I de fall personuppgifter lämnas ut till tredje part upprättas sekretessavtal för att säkerställa att uppgifterna behandlas på ett betryggande sätt.
För att värna om de registrerades integritet och upprätthålla en adekvat säkerhetsnivå vid all behandling av personuppgifter, följer Älvsbyns kommun principerna om inbyggt dataskydd och dataskydd som standard. Detta innebär att personuppgiftsbehandlingen i IT-system begränsas till att omfatta endast det som är nödvändigt för att kunna fullfölja de förpliktelser som kommunen har mot de registrerade (uppgiftsminimering) samt att avidentifiera de registrerade i största möjliga utsträckning.
Anställda och förtroendevalda inom Älvsbyns kommun får behandla och ha tillgång till personuppgifter endast i den mån de behöver dem för att fullgöra sina författningsenliga uppgifter och uppdrag. Känsliga personuppgifter behandlas genom särskilda behörighetskontroller och loggningsfunktioner i syfte att säkerställa ett starkare skydd. Ibruktagandet av ny teknik och nya IT-system skall alltid föregås av en konsekvensbedömning i syfte att identifiera möjliga säkerhetsrisker.
Den som anser att Älvsbyns kommun behandlar uppgifter om honom eller henne i strid med dataskyddsförordningen kan lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY) som är tillsynsmyndighet i dataskyddsfrågor. Integritetsskyddsmyndigheten (IMY) bedömer om det finns skäl att inleda tillsyn, varefter besked om detta lämnas till den som fört fram klagomålet.
Den enskilde kan alltid vända sig till Älvsbyns kommuns dataskyddsombud vid frågor eller synpunkter angående behandlingen av personuppgifter.
Vid en personuppgiftsincident har uppgifter som kan kopplas till en eller flera personer kommit i orätta händer, blivit förstörda på olaga grunder eller gått förlorade på något annat sätt. Den personuppgiftsansvarige i Älvsbyns kommun skall anmäla alla personuppgiftsincidenter till Integritetsskyddsmyndigheten (IMY) inom 72 timmar.
Skulle en personuppgiftsincident inträffa hos ett personuppgiftsbiträde som Älvsbyns kommun anlitar bör personuppgiftsbiträdet omedelbart rapportera detta till den personuppgiftsansvarige som i sin tur anmäler incidenten vidare till Integritetsskyddsmyndigheten.