Publicerad: 24 april 2018

Frågor och svar om GDPR

Allmänna frågor om GDPR

Vad är skillnaden mellan rättslig förpliktelse och myndighetsutövning? 

Fråga

Vad är det för skillnad på rättslig förpliktelse och myndighetsutövning ?

Svar

Myndighetsutövning är en myndighetsutövning. Rättslig förpliktelse däremot en behandling för att uppfylla krav som nationell lagstiftning kräver, som till exempel kraven i arkivlagen, bokföringslagen, skollagen.

Myndighetsutövning, Datainspektionen

Kan intresseavvägning åberopas som laglig grund?

Fråga

I dataskyddsförordningen anges att intresseavvägning inte gäller som laglig grund vid ”behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter”. Detta tolkas av vissa som att intresseavvägning aldrig kan tillämpas av kommuner, men exakt hur det ska tolkas är inte klart och det finns olika uppfattningar. Hur ska jag tänka?

Svar

Min bedömning är att intresseavvägning inte kan åberopas av myndigheter. Men jag vill också tillägga att den frågan inte är prövad av någon domstol än eftersom lagstiftningen inte börjat gälla än.

I betänkandet Ny dataskyddslag SOU 2017: 39, särskilt sid 128-129, har den svenska utredaren i sina lagförslag utgått från att myndigheter generellt ska åberopa någon av de övriga grunderna i artikel 6 och att möjligheten att använda intresseavvägning sannolikt fallerbort. Eftersom detta är en EU-lagstiftning som ska tolkas och tillämpas konformt i alla medlemsländer så kan vi ännu inte säga säkert om det finns något utrymme eller inte vad gäller grunden ”intresseavvägning” i myndigheters behandling av personuppgifter.

Den rättsliga grunden "uppgifter av allmänt intresse" kan således nyttjas som rättslig grund för till exempel dagliga administrativa sysslor inom en myndighet, inklusive personaladministration och andra HR-frågor. Dessa frågor (HR-frågor) är inte myndighetens kärnverksamhet.

Intresseavvägning, Datainspektionen

Begära ut personuppgifter

Att begära ut personuppgifter - vad gäller?

Fråga

Om någon begär ut personuppgifter via mejl, till exempel journalister, vad ska kommunen göra?

Svar

Att begära ut personuppgifter på detta sätt är att begära ut uppgifter med hänvisning till allmänna handlingar. Det ska prövas på vanligt sätt; är det en allmän handling och det inte finns någon sekretess för uppgifterna, då ska det lämnas ut i enlighet med Offentlighetsprincipen.

Om begäran om allmän handling kom in via e-post väljer myndigheten själv om handlingen ska lämnas ut elektroniskt eller på papper via pappers post. Den enskilde har bara rätt att få papperskopia.

Kan jag lämna ut begärd info via post även om förfrågan kom via e-post?

Fråga

Hur vet man vilken praxis för GDPR som gäller på vad som får lämnas ut? Har man rätt att skicka info via brev även om handlingen begärs ut via mejl?

Svar

Om begäran om allmän handling kom in via mejl så väljer myndigheten själv om handlingen ska lämnas ut elektroniskt eller på papper via pappers post. Den enskilde har bara rätt att få papperskopia.

Specificering av begäran om registerutdrag

Fråga

Vi är en kommun som undrar över om det går att specificera en begäran om registerutdrag.

Den som söker om registerutdrag hos oss idag behöver ange förnamn, efternamn, personnummer, hur den vill få sitt registerutdrag (via Mina Sidor eller rekommenderad post) samt så ber vi sökande att skriva under sin begäran. Vi ber den också precisera vilka förvaltningar i kommunen som dess ansökan avser, och den kan då välja en eller flera förvaltningar. Vi undrar om vi kan fråga om mer information om den som söker, om vi kan be den sökande att vara mer precis och om vi kan be om kompletterande personuppgifter för att lättare hitta i systemen (till exempel e-postadress)?

Svar

Det är ok som ni gör idag. Det nya i GDPR vad är att man har rätt att lämna in sin begäran elektroniskt och få ett svar elektroniskt om man begär. För att kunna använda elektroniskt förfarande fullt ut så krävs elektronisk identifiering i e-tjänst eller via mina meddelanden.

Man har ju som sökande ingen skyldighet att svara på en sådan begäran från kommunens sida, utdraget ska ändå levereras inom den tid som lagen ställer upp, en månad, oavsett vilka frågor man ställer. Om det är en komplicerad begäran där det finns mycket information om personen så är svarstiden max 3 månader (artikel 12. 3p.), annars gäller svarstiden en månad. . NI kan ju inte använda det som ett krav för att leverera utdraget, det får inte framställas så att det kan tolkas som ett krav. Ni kan inte heller kräva att få e-postadress om den enskilde har valt att ge in begäran med papperspost.

Ni kan skriva och fråga om vilka nämnder i kommunen som begäran gäller . Varje nämnd är en personuppgiftsansvarig. Skriver man bara kommunen i sin begäran så får det anses som alla nämnder, om man inte får ngt annat besked från sökanden.

Min uppfattning är att man inte ska fråga om man varit elev, anställd, klient patient, förälder el. liknande. Detta är inte jämförbart med offentlighetsprincipen.

Undantagen i 5 kap 2 § dataskyddslagen gäller också, arbetsmaterial som behandlats kortare tid än ett år , behöver ej ingå. SE vidare i 5 kap 1-2 §§ dataskyddslagen, som trätt ikraft nu.

Vad ska ett registerutdrag innehålla?

Fråga

Vad ska ett registerutdrag innehålla? Är det vilka IT-system man finns i, vilka personuppgifterna är, eller är det all information om mig som finns?

Svar

Detta finns reglerat i Dataskyddsförordningen, artikel 15. Den registrerade har rätt att få information om bland annat om vilka personuppgifterna är, ändamålen med behandlingen, varifrån uppgifterna kommer, till vilka mottagare som uppgifterna har eller kommer att lämnas ut, rätten att begära rättelse eller radering av personuppgifter, rätten att inge klagomål till en tillsynsmyndighet.

Registerutdrag, Datainspektionen

Hur fort måste jag lämna ut registerutdrag?

Fråga

Hur fort måste jag lämna ut registerutdrag?

Svar

Den registrerade har rätt att få informationen “utan onödigt dröjsmål” (art. 12.3) och i vart fall senast en månad efter det att begäran kom in. I vissa fall - beroende på hur komplicerad begäran är eller om det rör sig om en stor mängd inkomna önskemål om registerutdrag - så kan tiden förlängas med två månader. I så fall ska den registrerade få information om detta samt om anledningen till förseningen.

Hur hanterar man om någon upprepade gånger begär registerutdrag?

Fråga

Hur ofta måste registerutdrag skickas ut? Tänk om någon hör av sig till exempel varje vecka och vill ha ett utdrag?

Svar

Detta är inte helt tydligt reglerat hur ofta men däremot ges det ett visst utrymme för den personuppgiftsansvarige att säga nej. Det finns en bestämmelse (art. 12.5 b) som innebär att den registrerade kan nekas att få ett registerutdrag om begäran är “uppenbart ogrundad eller orimlig”. Som exempel nämns särskilt om det rör sig om upprepade förfrågningar av samma slag (där man redan har lämnat ut uppgifter).

Har jag rätt att ta betalt för ett registerutdrag?

Fråga

Har jag rätt att ta betalt för att lämna ut ett registerutdrag?

Svar

Nej, huvudregeln är att informationen ska tillhandahållas kostnadsfritt. Men det står också att om det rör sig om “uppenbart ogrundad eller orimlig begäran”, till exempel om den registrerade nyss har fått ett registerutdrag, så får den personuppgiftsansvarige antingen ta ut en rimlig avgift (som täcker de administrativa kostnaderna) eller vägra att tillmötesgå begäran.

Hur ska man hantera elektroniska registerutdrag?

Fråga

Om någon begär ett utdrag elektroniskt, hur ska detta hanteras? Hur ska det levereras?

Svar

Den registrerade har rätt att begära utdraget elektroniskt och att få det levererat elektroniskt också. Den personuppgiftsansvarige måste kunna vara säker på att det är den registrerade man skickar utdraget till. Om den registrerade har identifierat sig med elektronisk signatur vid sin begäran, så kan man vara tillräckligt säker på att det är rätt person. Samma sak om det är en egenhändigt undertecknad pappersansökan. Är det ett vanligt inkommet mejl utan e-signatur så måste man innan man skickar ut känsliga eller sekretessbelagda personuppgifter på något annat sätt försäkra sig om att det är rätt person man har att göra med.

När det gäller utskicket så ska man inte skicka känsliga personuppgifter med vanlig okrypterad e-post.

Dataskyddsombud

Behöver fristående förskolor ha dataskyddsombud?

Fråga: Behöver enstaka fristående förskolor ha egna DSO (dataskyddsombud)?

Svar: Enstaka fristående skolor har ett DSO. Men det behövs bara om de behandlar känsliga personuppgifter i stor omfattning.

Behöver kommunförbund ha dataskyddsombud?

Fråga

Behöver kommunförbund utan myndighetsutövning ha dataskyddsombud? Det vill säga inte kommunalförbund, men gemensam kommunal samverkansorganisation driven i föreningsform?

Svar

  • Kommunförbund bedömer vi ha den juridiska formen Ideell förening. Det är inte solklart men vår bedömning att de inte är "myndighet eller offentligt organ".
  • Kommunalförbund däremot är en myndighet ur juridisk synpunkt.

Hantera personuppgifter

Hur hanterar jag uppgifter som särskild kost vid kurser?

Fråga: Kan man använda en öppen webbsida för att registrera anmälningar till kurser och samtidigt be personen registrera att den behöver särskild kost?

Svar: Det är en känslig uppgift och kräver en särskild kryssruta för samtycke.

Vilken typ av personuppgiftsbehandling är e-post?

E-post är en av flera typer av personuppgiftsbehandlingar. Enligt gamla personuppgiftslagen föll e-post under undantaget för ostrukturerade personuppgifter (5 a §). Någon laglig grund behövdes tidigare inte för att behandla personuppgifter i e-post.

Undantaget upphörde emellertid den 25 maj. Det krävs således en laglig grund för behandling av personuppgifter i e-post. En stor del av den personuppgiftsbehandling som förekommer i en kommunal myndighets e-post kan hänföras till den lagliga grunden ”arbetsuppgifter av allmänt intresse” (art. 6.1 e) såvida innehållet eller ämnet berör de arbetsuppgifter myndigheten har att fullgöra inom ramen för den kommunala kompetensen, till exempel e-post i bygglovsärenden med invånare.

Även den lagliga grunden ”rättslig skyldighet” kan läggas till grund för behandling av personuppgifter i sådan e-post, t.ex. enligt dokumentationskrav i förvaltningslagen eller annan speciallagstiftning. Inom den verksamhet som kommuner bedriver frivilligt används ofta den lagliga grunden intresseavvägning. Den 25 maj upphör den möjligheten. Det följer av dataskyddsförordningen att myndigheter inte får åberopa denna lagliga grund när de fullgör sina uppgifter.

Regeringen har därför ansett att begreppet uppgifter av allmänt intresse ska ges en vidare betydelse (prop. 2017/18:105 s. 56). Med stöd av den lagliga grunden uppgifter av allmänt intresse kan myndighet således behandla personuppgifter inom den frivilliga verksamheten, om behandlingen är nödvändig, till exempel e-post inom kultur- och idrottsförvaltningen. Likaså för dagliga administrativa funktioner och åtgärder i den kommunala förvaltningen (prop. 2017/18:105 s. 61), till exempel e-post till och från kontaktpersoner hos leverantörer eller liknande.

Hantera personuppgifter i e-post, Datainspektionen

Vilka personuppgifter kan jag publicera på webben?

Fråga

Vilka personuppgifter om anställda och förtroendevalda kan jag publicera på webben?

Svar

Personuppgifter om enskilda får endast publiceras på hemsidan om det finns rättslig grund för publiceringen. Att tänk på att är personuppgifter som enskilt betraktas som harmlösa kan anses vara kränkande beroende på sammanhanget de publiceras i. När det gäller känsliga eller extra skyddsvärda personuppgifter får de aldrig publiceras på webben.

På webbsidan får man publicera personuppgifter om tjänstemän och förtroendevalda som har anknytning till deras tjänsteutövning eller uppdrag som till exempel yrkestitel.

Exempelvis: Namn på ledamot i miljö- och stadsbyggnadsnämnden får publiceras på hemsida. Även partitillhörighet eftersom det avser hens politiska uppdrag i nämnden.

Får vi hantera kontaktuppgifter till anställda?

Fråga

Vi har ett behov av att kunna registrera kontaktuppgifter till våra anställdas närstående, för att kunna kontakta dem om något skulle inträffa med den anställde under arbetstid. Vi är dock osäkra på vilken laglig grund vi kan stötta oss på, och om det finns någon laglig grund?

Svar

Det är tämligen osäkert. Jag vet inte om det kan vara ett allmänt intresse. Men jag tänker att om ni redan har uppgifterna idag och den finns i HR-register måste det finnas en laglig grund redan enligt den lagstiftning som upphör nu den 25/5 . Nödvändigt för fullgörande av avtal med den anställde är det sannolikt inte. Det faller inom Allmänt intresse möjligen?

När det gäller intresseavvägning så har det funnits en diskussion om huruvida den bortfaller helt (som regeringen tycks anse när men läser prop:en till dataskyddslagen) eller om det kan finnas ett utrymme för det vad gäller administrativt stöd av olika slag till exempel HR-verksamhet, vilket har hävdats av en del jurister som föreläser inom området. 

Får vi fråga om medlemskap i facket?

Fråga

Vi går nu in i en lönerevision och har (som vanligt) kontaktat de aktuella facken för att få uppgift om vilka medarbetare de representerar. Budskapet från ett av facken är att de inte kan lämna ut dessa uppgifter med hänvisning till GDPR. De uppmanar oss istället att inhämta informationen från individen - något som är en smula ogörligt. Hur ser ni på detta?

Svar

En arbetsgivare är personuppgiftsansvarig för behandlingen av anställdas personuppgifter i verksamheten, och bestämmer ändamålen och medlen för personuppgiftsbehandlingen. Känsliga personuppgifter, såsom medlemskap i fackförening, får behandlas om det är nödvändigt för att den personuppgiftsansvarige (arbetsgivaren) eller den registrerade (arbetstagaren) ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd. Laglig grund för behandlingen finns i artikel 9.2 b i Dataskyddsförordningen som kompletteras av 3 kap 2 § i lag med kompletterande bestämmelser till EU:s dataskyddsförordning (2018:218).

För att en arbetsgivare ska kunna fullgöra sina skyldigheter enligt kollektivavtalet och hantera den årliga löneöversynen behöver arbetsgivaren veta vad medarbetarna har för facklig tillhörighet. Denna uppgift kan tillhandahållas från de fackliga organisationer som är kollektivavtalsbärande part.

SKL och Sobonas uppfattning är att en arbetsgivare som tar emot uppgifter om de anställdas fackliga medlemskap är personuppgiftsansvarig för de uppgifterna och inte personuppgiftsbiträde, oavsett om uppgifterna erhålls från en facklig organisation. Det krävs därför inte något personuppgiftsbiträdesavtal mellan arbetsgivaren och de fackliga organisationerna.

SKL och Sobonas uppfattning är att utgångspunkten är att fackförbunden lämnar uppgift till arbetsgivaren om vilka de företräder i samband med löneöversynen.

På grundval av lagstiftning och praxis gällande offentlighet och sekretess, samt med beaktande av utanförstående arbetstagares intresse av integritet gentemot de fackliga organisationerna, bör arbetsgivare inte lämna ut listor på samtliga anställda till de fackliga organisationerna.

 

Personuppgiftsansvarig

Är ett inkassoföretag personuppgiftsansvarig eller personuppgiftsbiträde?

Fråga

Vi har ett inkassoföretag som hanterar krav-ärenden. De sköter inkassoärendena självständigt och tar in uppgifter från andra myndigheter för att kunna utföra sitt uppdrag. Dessa uppgifter kommer inte till kommunen. De anser sig inte vara personuppgiftsbiträden utan personuppgiftsansvariga.

Men jag skulle vilja säga att en leverantör kan vara både personuppgiftebiträde och personuppgiftsansvarig, men för olika uppgifter. Vi ska ju tala om i PuB-avtalet vad som är föremålet för behandlingen. Hur ska vi tänka?

Svar

Komplex fråga. Men inkassoföretag som hanterar kommunens inkassoärenden för indrivning är normalt personuppgiftsansvarig för det de gör i sin verksamhet. Kommunen lämnar över sina ärenden som innehåller personuppgifter, för behandling hos inkassoföretaget för detta ändamål (driva inkassoärenden). Uppdraget från kommunen gäller ju inte behandling av personuppgifter här utan inkassoverksamhet.

Det är samma situation som för revisionsföretag, advokatbyråer, rekryteringsföretag m.fl som sköter uppdrag för kommunens räkning. Det vore en annan sak om inkassoföretaget fick åtkomst till kommunens ekonomisystem, då vore det såklart en biträdessituation.

Personuppgiftsbiträdesavtal

Vad gäller kring personuppgiftsbiträdesavtal?

Fråga

Kan en anställd i kommunen, till exempel chefen för intern IT ges ansvar för att för kommunens räkning ingå personuppgiftsbiträdesavtal för alla verksamheter i kommunen och för alla kommunens nämnders räkning.

Svar

Varje nämnd är ju personuppgiftsansvarig för den behandling av personuppgifter som sker i nämndens verksamhet. (KS kan i och för sig vara personuppgiftsansvarig för vissa kommunövergripande system som e-posten). I artikel 28 sägs att det är den personuppgiftsansvarige som ska anlita personuppgiftsbiträden. Om varje nämnd, till den i kommunen anställde IT-chefen, delegerar rätten att ingå biträdesavtal så blir det lagligt och korrekt.

Mall för personuppgiftsbiträdesavtal samt fördjupning i frågan (punkt 6)

Behövs biträdesavtal med systemleverantörer?

Fråga

Vi är med i ett kommunalförbund som hanterar våra it-frågor, upphandlarsystem. Vi har biträdesavtal med dem, behöver vi ha biträdesavtal även med systemleverantörerna (där förbundet varit upphandlad myndighet) om dessa hanterar personuppgifter?

Svar

Om det är Kommunalförbundet som har handlat upp och tecknat avtal med dessa systemleverantörer så är det kommunalförbundet som ska ha biträdesavtal med dessa.

Är kommunalförbund en myndighet?

Ja, ett kommunalförbund är en myndighet och inget annat.

Behövs PuB-avtal med skolfotoleverantörer?

Fråga

Behöver en skola ha PuB-avtal med skolfotoleverantörer?

Svar

Vad är det lagliga syftet? Ska skolan använda fotografierna inom ramen för utbildning, t.ex. för att ha elevfoto i sina skoladministrativa system för identifiering, till vikarier eller i andra pedagogiska sammanhang kan laglig grund antas finnas. När det gäller fotografier (individuella elevfotografier, skolkatalog) som eleverna och vårdnadshavarna får köpa bör samtycke inhämtas, eftersom det då är något som inte bedöms nödvändigt för utbildning.

Fotoföretagen kan lösa administration av samtycke på olika sätt, bl.a. att eleven/vårdnadshavaren godkänner behandling i samband med påseende och eventuellt köp av fotografier. Vill eleven av olika anledningar inte finnas med i skolkatalogen på klassfoton e.dyl., bör detta ha uppmärksammats tidigare t.ex. i samband med information om att fotografering ska ske.

Oavsett så är fotoföretaget personuppgiftsbiträde och ett PuB-avtal behövs. De företag som är anslutna till branschföreningen SER (Sveriges Elevfotografers Riksförbund) använder sig av SKL:s mall.

Radering och rättelse

Radering av personuppgifter?

Fråga

Enligt GDPR har en person rätt att få sina personuppgifter raderade, Gäller detta även en kommuns socialregister?

Svar

Rätten att bli glömd är väldigt överdriven i media, det är en väldigt smal rätt som bland annat inte gäller inom socialtjänsten, hälso- och sjukvården, skolan, kreditupplysningsregister och så vidare.

Som privatperson har du rätt att begära att dina personuppgifter blir raderade. Det gäller bland annat om uppgifterna inte längre är nödvändiga utifrån varför de samlades in, om uppgifterna behandlats olagligt eller om har tagit tillbaka ditt samtycke och den personuppgiftsansvarige inte har någon annan rättslig grund att behålla uppgifterna.

Det finns dock undantag till denna rätt. Exempelvis kan den personuppgiftsansvarige behöva ha kvar dina personuppgifter för att uppfylla ett krav i lagen, som om vissa uppgifter är nödvändiga för ett företags bokföring. Likaså kan organisationen behöva ha kvar dina uppgifter för att kunna säkra eller försvara något som den kan ha rätt till enligt lag.

Gallring respektive radering - vad gäller?

Fråga

Vad gäller GDPR nämns radering och gallring väldigt ofta. En vanlig uppfattning är att man efter 25 maj kan radera sina personuppgifter. Vad gäller?

Svar

Det är två olika frågor, dels när den personuppgiftsansvariga myndigheten ska radera och gallra uppgifter ur systemen på eget initiativ, dels när en registrerad ber om att uppgifterna ska raderas. GDPR har regler om att personuppgifter inte ska bevaras längre än nödvändigt med hänsyn till behandlingsändamålen. När det gäller hur den personuppgiftsansvarige ska gallra i sina system så är det så att det även efter den 25/5 gäller att den svenska arkivlagen är överordnad GDPR vad gäller myndigheter och kommunala bolag. Kommuner och landsting ska ha gallringsbeslut och arkivföreskrifter som styr när och hur gallring ska ske, det gäller ju allmänna handlingar generellt inte bara personuppgifter. Den andra frågan om den registrerade har rätt att begära att dennes personuppgifter ska raderas. Det finns en sådan rätt i GDPR men undantagen är många och för myndigheter och kommunala bolag är huvudregeln att det inte finns någon sådan rätt till radering eftersom arkivlagstiftningen är överordnad. Om behandlingen grundas endast på samtycke, och den registrerade återkallar samtycket så blir konsekvensen att uppgifterna får inte behandlas för det ändamål för vilket de samlades in, t ex webbpublicering, däremot kan de få de finnas kvar för arkivändamål.

GDPR och mejl - hur hanterar man gallring och radering?

Fråga

E-post har tidigare haft undantag från PUL genom den så kallade missbruksregeln, men med GDPR kommer detta försvinna. Hur ska man tänka kring e-post, GDPR och gallring?

Svar

E-posten omfattas såklart av GDPR, dels innehållet i själva breven och dels registreringen i inkorg och metadata. Det man ska tänka på är bland annat att e-posten från 25/5 måste tas upp i kommunens registerförteckning, det ska ges ett avgränsat ändamål, alla som använder e-posten måste göra det inom ramen för det ändamål som verksamheten bestämt och inget annat. E-posten ärt en kanal för kommunikation och inget diarium för återsökning av gamla beslut. E-posten är också underkastad arkivlagen och kommunens gallringsbeslut. Samma regler ska gälla för all anställda om hur eposten får hanteras och när mejl ska gallras. Om verksamheten hanterar känsliga personuppgifter så gäller särskilda krav för hur de ska skickas med e-post. De ska krypteras först.

Om någon skickar in känsliga personuppgifter via mejl utan kryptering så ska det förmodligen plockas bort från e-posten och hanteras i särskild ordning i system som har högre skydd.

När det gäller mejlkommunikation med länder utanför EU EES så innebär det att reglerna i GDPR om överföring till tredje land blir tillämpliga. Det är inget absolut förbud för det men det finns olika hinder och olika begränsningar gäller men det finns också undantag. Svårt att ge ett kortfattat svara om hur man ska hantera hela den frågan.

Frågan om hur länge det ska sparas i e-postsystemen bestäms av kommunens gallringsbeslut för e-posten. Eftersom all behandling av personuppgifter i och med dataskyddsförordningen är underkastad samma regelverk innebär det att varje myndighet måste ha ett avgränsat ändamål med sin eposthantering, vilken också påverkar hur långa bevarandetider som kan bli aktuella och gallringsbesluten. Det går inte längre med att varje handläggare själv väljer att spara det som är bra att ha utifrån sina egna behov.

Ostrukturerad behandling?

E-post är både ostrukturerad behandling och strukturerad behandling, allt ska inordnas under samma ändamål

Riktlinjer – hur länge ska sparas?

När ska e-posten gallras, SKL har rekommendationer och vägledning genom Samrådsgruppen för kommunala arkivfrågor. Alla deras vägledningar finns på samrådsgruppens hemsida. Gallringsråd för eposten finns i ”Bevara och gallra nr 1, som gäller lednings och stödprocesser” som gäller en lång katalog av handlingsslag och bland annat e-post . En del ska bevaras i annan form än e-post en del kan gallras direkt för att det inte berör myndighetens verksamhet och en del kan gallras när en kopia har förts över till diariet eller annat system.

Samtycke

Vad gör jag om personen inte kan ge samtycke?

Fråga

Angående samtycke, finns det nåt resonemang runt personer som inte kan lämna samtycke till exempel kognitiv funktionsnedsättning, demens?

Svar

God man med "rätt" uppdrag, eller förvaltare, kan samtycka i den registrerades ställe. Är någon annan grund tillämplig så ska man aldrig använda samtycket

Hur länge gäller ett samtycke?

Fråga

Hur länge gäller ett samtycke? Finns det några tidsbegränsningar? Måste ett samtycke vid något tillfälle förnyas?

Svar

Ett samtycke gäller så länge man har sagt att det ska gälla, i information som ska föregå samtycket. Till exempel bara en bild eller alla bilder under hela elevens tid i skolan. Kom dock ihåg att det går att återkalla. Dessutom har det nyligen kommit en vägledning från EU om samtycke, som bland annat säger att de menar att det är "god sed" att då och då "påminna" om samtycket. Vad det kommer att innebära i praktiken återstår att se.

Vad gäller kring bildhantering på webb?

Fråga

Om jag har frågat efter en bild till exempelvis en hemsida, kan det anses vara ett samtycke eller måste det vara mera formellt hanterat.

Svar

Om den som är på bilden ska samtycka så måste det gälla att hen samtycker till att bilden ska publiceras till exempel på en viss webbplats. Det räcker inte med att får jag använda bilden.

Om bildhantering och samtycke

Krävs samtycke för behandling av personuppgifter i personalsystem?

Fråga

Krävs det samtycke av anställda för att kunna hantera deras personuppgifter i olika personaladministrativa system?

Svar

Nej, den lagliga grunden är anställningsavtalet, så samtycke är inte aktuellt. I artikel 13-14 GDPR räknas de uppgifter upp som ni självmant ska informera de registrerade om. NI måste ha koll på vilka behandlingsändamål som gäller i era olika verksamheter. Man kan göra en standardmall för detta men det är inte säkert att det omfattar det ni gör .

Hur hanterar vi barn och ungdomar i sociala medier?

Fråga

Villkoren för barns samtycke är satt till 13 år i Sverige vid erbjudandet av informationssamhällets tjänster direkt till barn. Vad innebär detta i praktiken?

Svar

Om det handlar om att eleven ska öppna ett konto hos den sociala medieleverantören så är det sannolikt 13 år som gäller (exempel Facebook, Instagram), det finns kommersiella inslag typ reklam och tjänsten riktar sig direkt till den unge när man skaffar konto och lämnar sina uppgifter till tjänsteleverantören . När det i nästa led handlar om att eleven ska godkänna att skolan lägger upp bilder på eleven på skolans/kommunens sida i den sociala medietjänsten, så håller jag med dig, där är det en del av skolans verksamhet. Om det krävs samtycke för publiceringen så är det istället huvudregeln som gäller, det vill säga normalt 14-15 år, allt beroende på sammanhang och typ av uppgifter. Gränsen mellan behandling av uppgifter för erbjudande av informationssamhällets tjänster direkt till ett barn och annan behandling av personuppgifter är inte glasklar. Men om man läser i de svenska förarbetena till den nationella implementeringsbestämmelse där Sverige har bestämt att 13 år ska gälla , så finns skrivningar om vad detta kan omfatta. Se prop 2017/18:105 sid 67. Ytterligare en fråga är om det kan finnas någon annan rättslig grund för behandlingen, t ex att behandlingen är nödvändig för utförande av en arbetsuppgift grundat på allmänt intresse och som har stöd i lag, förordning, eller beslut meddelat med stöd av lag el författning (art 6 och 2 kap 2 § DSL)?

Ordlista för GDPR

Vanliga ord och begrepp du ofta hör i samband med den nya dataskyddsförordningen och GDPR.

Ordlista för GDPR

Hjälpte informationen på sidan dig?


User information

Tack för att du hjälper oss!

Sidfot