Hantering av personuppgifter i Falköpings kommun

Från och med den 25 maj 2018 gäller EU:s dataskyddsförordning (679/2016). Förordningen ersätter personuppgiftslagen (1998:2014), PuL, och det bakomliggande direktivet till PuL. Eftersom det rör sig om en förordning är regelverket direktverkande i medlemsstaterna även om viss kompletterande reglering sker i nationella lagar.

Ett av syftena med dataskyddsförordningen är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Dataskyddsförordningen har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU så att det fria flödet av uppgifter inom unionen inte hindras. Andra syften med en ny dataskyddsförordning har varit att modernisera dataskyddsdirektivets regler från 1995 och att anpassa dessa till det nya digitala samhället.

Förordningen lägger betydande vikt vid att personuppgiftsansvarig kan visa att förordningen följs, vilket medför ett ökat krav på dokumentation över de hanteringar av personuppgifter som sker inom kommunen. Om kommunen brister i sin hantering eller på annat sätt inte lever upp till de krav som ställs i förordningen riskerar kommunen att åläggas sanktionsavgift eller skadeståndsansvar.

Förordningen är inte tänkt att begränsa offentlighetsprincipen eller myndigheternas skyldigheter enligt arkivlagen.

Syfte och omfattning

Med begreppet personuppgift avses all information som direkt eller indirekt kan hänföras till en levande person. Som exempel på personuppgifter kan nämnas:

  • namn,
  • personnummer,
  • telefonnummer,
  • e-postadress,
  • IP-adress,
  • fotografier,
  • etcetera.

Inom kommunen hanteras personuppgifter av olika slag och för skilda ändamål inom en rad olika verksamheter. Det finns därför ett behov av en kommunövergripande rutin för att sätta de ramar verksamheten behöver iaktta vid personuppgiftshantering. Denna ska sedan kompletteras av ytterligare rutiner som på ett mer detaljerat sätt stödjer verksamheterna i de processer och hanteringsfrågor som uppkommer.

Denna rutin gäller alltså för Falköpings kommuns samtliga nämnder. Den tar sikte på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt i övrigt vid behandling av personuppgifter som ingår eller kommer att ingå i ett register.

Personuppgiftshantering

I Falköpings kommun ska varje behandling av personuppgifter ske med iakttagande av den enskildes integritet och med beaktande av de rättigheter som tillkommer de registrerade. Mot bakgrund av detta ska nedanstående följas.

  • Varje behandling av personuppgifter ska ske i enlighet med gällande lagstiftning.
  • Behandlingen ska vara laglig, korrekt och öppen gentemot de registrerade.
  • Innan behandling påbörjas ska ett särskilt och uttryckt ändamål med behandlingen vara fastställt. Behandling av personuppgifter ska/får inte ske för ett ändamål som är oförenligt med det ursprungliga ändamålet.
  • Insamling av personuppgifter ska inte vara mer omfattande än nödvändigt. Detta innebär att endast uppgifter som är adekvata och relevanta får samlas in. Uppgifterna ska vara uppdaterade och korrekta.
  • Insamlade personuppgifter ska endast bevaras i identifierbar form så länge det är nödvändigt för ändamålet och inte annat följer av lag.
  • Åtkomst till personuppgifter ska begränsas till de som är behöriga.
  • Organisatoriska och tekniska åtgärder för att skydda personuppgifterna ska vidtas om de utifrån riskanalyser och säkerhetsklassningar bedöms nödvändiga.
  • Personuppgiftsansvarig ska kunna påvisa sin följsamhet till dataskyddsförordningen och däri angivna regler/principer.
  • Dataskyddsombud ska finnas utsett för kommunens samtliga nämnder.
  • Varje behandling av personuppgifter ska ske på sådant sätt att risken för de registrerade minimeras.

Personuppgiftsansvar

I Falköpings kommun är respektive nämnd/styrelse personuppgiftsansvarig inom sina respektive verksamhetsområden. Nämnden ansvarar för att regelverket för hantering av personuppgifter följs inom sitt verksamhetsområde. Detta innefattar ansvaret att säkerställa bland annat följande:

  • Ändamål och syfte med behandling av personuppgifter fastställs innan behandlingen påbörjas.
  • Kännedom finns om var personuppgifter förekommer, hur de används och rutiner finns på plats att kunna informera berörda personer vid begäran.
  • Dataskyddsombud har utsetts och ombudet har förutsättningar och besitter erforderlig kunskap för att kunna utföra uppdraget.
  • Det finns tekniska och organisatoriska förutsättningar att behandla personuppgifter med erforderlig säkerhet.
  • Registerföring sker över personuppgiftsbehandlingar.
  • Personuppgiftsbiträdesavtal upprättas när personuppgiftsbiträden anlitas.
  • Rutiner finns på plats dels för att tillgodose de registrerades rättigheter dels för att i övrigt fullgöra de skyldigheter som åligger personuppgiftsansvarig, exempelvis anmälningsskyldighet vid personuppgiftsincidenter.
  • Genom dokumentation säkerställa att man kan styrka att lagstiftningens krav är uppfyllda.