Behandling av personuppgifter

Älvsbyns kommun behandlar personuppgifter i enlighet med EU:s dataskyddsförordning (2016/679), nedan förkortat GDPR. Vi har som utgångspunkt att personuppgifter endast får behandlas när det är nödvändigt och berättigat för att fullfölja förpliktelser och lagligt grundade åligganden mot de registrerade. Nedan följer en genomgång av centrala begrepp i dataskyddssammanhang samt en beskrivning av de riktlinjer och principer som anställda och förtroendevalda inom Älvsbyns kommun följer för att säkerställa ett adekvat skydd för den enskildes integritet.

Definition av begrepp

Personuppgift

All slags information som kan knytas till en fysisk person som är i livet, till exempel namn, adress, fastighetsbeteckning, e-postadress, registreringsnummer och foton.

Behandling

Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgift vare sig det sker på automatisk väg eller inte; insamling, inhämtande, registrering, organisering, lagring, ändring, utlämnande, översändande, spridning, sammanställning, samkörning, utplåning eller förstöring (observera att uppräkningen ovan inte är uttömmande).

Personuppgiftsansvarig

En juridisk person som bestämmer ändamålen med och medlen för organisationens behandling av personuppgifter.

Personuppgiftsbiträde

Vanligtvis en juridisk person, till exempel en IT-leverantör, som behandlar personuppgifter för den personansvariges räkning. Personuppgiftsbiträdet finns alltid utanför den personuppgiftsansvariges organisation.

Dataskyddsombud

En person som ser till att personuppgifter behandlas på ett korrekt och lagligt sätt inom den egna organisationen. Dataskyddsombudet kan jämföras med en internrevisor som påpekar fel och brister till den som är personuppgiftsansvarig.

Den registrerade

Den person som en personuppgift avser.

Känsliga personuppgifter/särskild kategori av personuppgifter

Uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa och sexualliv.

Personuppgiftsansvarig

Kommunstyrelsen (KS) är personuppgiftsansvarig för behandling av personuppgifter i kommun­koncernens samtliga förvaltningsenheter med undantag för miljö- och byggkontoret för vilket miljö- och byggnämnden (MBN) är personuppgiftsansvarig. Den personuppgiftsansvarige skall säkerställa att alla verksamheter som ligger under dess ansvar vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.

Personuppgiftsansvarigas kontaktuppgifter

Kommunstyrelsen i Älvsbyns kommun
Storgatan 27
942 85 Älvsbyn

Miljö- och byggnämnden i Älvsbyns kommun
Storgatan 27
942 85 Älvsbyn

De som behandlar personuppgifter, antingen under den personuppgiftsansvariges direkta ansvar (anställda och förtroendevalda) eller för dennes räkning i egenskap av personuppgifts­­­biträde (till exempel IT-leverantörer), skall följa den personuppgiftsansvariges instruktioner vid all behandling av personuppgifter. Den personuppgiftsansvarige bör ingå personuppgifts­biträdesavtal med de personuppgiftsbiträden som anlitas av kommunen. I dessa PUB-avtal skall personuppgiftsbiträdet förpliktas att behandla personuppgifter i enlighet med den personuppgiftsansvariges instruktioner och rådande säkerhetsrutiner.

Dataskyddsombud

I egenskap av personuppgiftsansvariga har kommunstyrelsen och miljö- och byggnämnden genom beslut utnämnt dataskyddsombud för Älvsbyns kommun (KS 2020 § 73, MBN 2018 § 44).

Dataskyddsombudets uppgift är att tillvarata de registrerades rättigheter genom att verka för att personuppgifter behandlas på ett lagligt och korrekt sätt inom Älvsbyns kommun.

Dataskyddsombudets kontaktuppgifter: dataskyddsombud@alvsbyn.se

Telefon 0929-172 18

Rättslig grund för behandling av personuppgifter

Inom Älvsbyns kommun behandlas personuppgifter endast när det är nödvändigt och berättigat för att:

  • Fullfölja en rättslig förpliktelse mot den registrerade som åvilar den personuppgifts­ansvarige enligt 1. Lag eller annan författning 2. Kollektivavtal 3. Beslut som meddelats med stöd av lag eller annan författning
  • Utföra en uppgift av allmänt intresse. De obligatoriska uppgifter och åligganden som utförs inom Älvsbyns kommun med stöd av lag, förordning eller unionsrätt omfattas av allmänt intresse
  • Fullfölja åtaganden som ett led i myndighetsutövning. Även här förutsätts att ändamålet med behandlingen av personuppgifter är nödvändig
  • Fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade om det kan antas att denne har för avsikt att ingå ett avtal
  • Skydda intressen som är livsviktiga eller av grundläggande betydelse för den registrerade. Denna lagliga grund bör användas restriktivt och kan således åberopas först när det står klart att ingen annan laglig grund kan tillämpas

Ifall det saknas stöd för att behandla personuppgifter enligt någon av de ovan angivna grunderna, måste den registrerade lämna sitt samtycke till att dennes personuppgifter behandlas för ett visst specifikt ändamål. Den registrerade måste då informeras om sin rätt att när som helst återkalla sitt samtycke. Vid ett återkallande av samtycke bör all sådan behandling av personuppgifter som kan hänföras till det specifika ändamålet för vilket samtycket inhämtats upphöra. En förutsättning för att samtycket kan anses giltigt är att den registrerade agerar utifrån sin fria vilja och har möjlighet att återkalla samtycket utan att det medför någon nackdel för denne.

Rätt till information och tillgång till personuppgifter

Den enskilde har alltid rätt att få information om hur dennes personuppgifter behandlas inom Älvsbyns kommun. Information om personuppgiftsbehandlingen skall lämnas i samband med att uppgifterna samlas in, lämnas ut till en annan mottagare eller när den registrerade begär det. Informationen får inte vara förenat med någon kostnad och skall innehålla minst följande uppgifter:

  • Namn och kontaktuppgifter till personuppgiftsansvarig
  • Ändamålen med och den rättsliga grunden för behandlingen
  • Den registrerades rättigheter, det vill säga rätten att bli bortglömd, rätt att invända mot behandling av personuppgifter, rätt att begära rättelse och radering samt rätten att få sina personuppgifter flyttade till en annan huvudman (dataportabilitet)
  • Hur länge personuppgifterna lagras
  • Rätten att inge klagomål till tillsynsmyndigheten
  • Redogörelse för hur Älvsbyns kommun fått ta del av personuppgifterna, ifall dessa inte samlats in av den registrerade

Den enskilde har också rätt att begära ut registerutdrag med detaljerade beskrivningar över hur personuppgifter behandlas. Informationen bör lämnas till den registrerade inom en rimlig period efter det att personuppgifterna erhållits eller att begäran om registerutdrag inkommit till Älvsbyns kommun, dock senast inom en månad.

Den enskildes rätt att få sina personuppgifter rättade eller raderade

Det är en grundläggande princip att alla personuppgifter som behandlas skall vara korrekta. Under förutsättning att den enskildes begäran om rättelse är grundad skall felaktiga personuppgifter som rör denne rättas utan onödigt dröjsmål. Med beaktande av ändamålet med behandlingen skall den enskilde också ges möjlighet att komplettera ofullständiga personuppgifter.

För att få sina personuppgifter raderade, skall någon av nedanstående villkor uppfyllas:

  • Det är inte längre nödvändigt att behandla personuppgifterna för de ändamål för vilka de samlats in
  • Samtycket har återkallats och det saknas stöd i de övriga lagliga grunderna för att få fortsätta behandlingen
  • Den enskilde invänder mot att personuppgifterna används till direkt marknadsföring och därtill hänförlig profilering
  • Personuppgifterna måste raderas för att den personuppgiftsansvarige skall kunna uppfylla en rättslig förpliktelse som denne omfattas av
  • Personuppgifterna har samlats in eller behandlats på ett olagligt sätt
  • Personuppgifterna avser barn och har samlats in i syfte att skapa eller upprätthålla en profil i ett socialt nätverk

Älvsbyns kommun är skyldig att besvara den registrerades begäran om rättelse och radering senast inom en månad.

Lagring och spridning av personuppgifter

När det inte längre är nödvändigt att behandla en personuppgift för ett specifikt ändamål, skall uppgiften antingen lagras eller gallras i enlighet med vad som anges i Älvsbyns kommuns dokumenthanteringsplan, arkivlagen eller tillämplig speciallag. I dokumenthanteringsplanen beskrivs hur allmänna handlingar hanteras och förvaras inom kommunens olika verksamheter.

Älvsbyns kommuns utgångspunkt är att inte lämna ut de registrerades personuppgifter till tredje part såvida det inte är nödvändigt för att uppfylla avtals- eller lagenliga förpliktelser mot den registrerade. I de fall personuppgifter lämnas ut till tredje part upprättas sekretessavtal för att säkerställa att uppgifterna behandlas på ett betryggande sätt.

Säkerhet vid behandling av personuppgifter

För att värna om de registrerades integritet och upprätthålla en adekvat säkerhetsnivå vid all behandling av personuppgifter, följer Älvsbyns kommun principerna om inbyggt dataskydd och dataskydd som standard. Detta innebär att personuppgiftsbehandlingen i IT-system begränsas till att omfatta endast det som är nödvändigt för att kunna fullfölja de förpliktelser som kommunen har mot de registrerade (uppgiftsminimering) samt att avidentifiera de registrerade i största möjliga utsträckning.

Anställda och förtroendevalda inom Älvsbyns kommun får behandla och ha tillgång till personuppgifter endast i den mån de behöver dem för att fullgöra sina författningsenliga uppgifter och uppdrag. Känsliga personuppgifter behandlas genom särskilda behörighetskontroller och loggningsfunktioner i syfte att säkerställa ett starkare skydd. Ibruktagandet av ny teknik och nya IT-system skall alltid föregås av en konsekvensbedömning i syfte att identifiera möjliga säkerhetsrisker.

Klagomål

Den som anser att Älvsbyns kommun behandlar uppgifter om honom eller henne i strid med dataskyddsförordningen kan lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY) som är tillsynsmyndighet i dataskyddsfrågor. Integritetsskyddsmyndigheten (IMY) bedömer om det finns skäl att inleda tillsyn, varefter besked om detta lämnas till den som fört fram klagomålet.

Den enskilde kan alltid vända sig till Älvsbyns kommuns dataskyddsombud vid frågor eller synpunkter angående behandlingen av personuppgifter.

Rutiner vid en personuppgiftsincident

Vid en personuppgiftsincident har uppgifter som kan kopplas till en eller flera personer kommit i orätta händer, blivit förstörda på olaga grunder eller gått förlorade på något annat sätt. Den personuppgiftsansvarige i Älvsbyns kommun skall anmäla alla personuppgifts­incidenter till Integritetsskyddsmyndigheten (IMY) inom 72 timmar.

Skulle en personuppgifts­­­incident inträffa hos ett personuppgiftsbiträde som Älvsbyns kommun anlitar bör personuppgiftsbiträdet omedelbart rapportera detta till den personuppgiftsansvarige som i sin tur anmäler incidenten vidare till Integritetsskyddsmyndigheten.