Behandling av personuppgifter
Behandling av personuppgifter och dataskydd i enlighet med dataskyddsförordningen i Geta kommun
Nedan följer information om hur Geta kommun hanterar personuppgifter och vilka rättigheter man har som registrerad i kommunens databaser.
Principer för behandling av personuppgifter
Varje nämnd i Geta kommun är personuppgiftsansvarig och därmed ytterst ansvarig för sin behandling av personuppgifter.
Dataskyddsförordningen, även kallad GDPR, har till syfte att skydda den grundläggande mänskliga rättigheten, rätten till ett privatliv. En människas personliga integritet ska inte kränkas i samband med behandlingen av personuppgifter.
Till personuppgifter räknas all slags information som kan knytas till en fysisk person som är i livet. Exempel på personuppgift är personbeteckning, namn, adress, foton, registreringsnummer, fastighetsbeteckning, identifikationer online, personers fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Kommunens arbete med efterlevnad av dataskyddsförordningen
När personuppgifter behandlas (all hantering av personuppgifter utgör behandling) i kommunen, eller på uppdrag av kommunen, ska de grundläggande principerna i dataskyddsförordningen vara uppfyllda.
Nedan ges några exempel på hur Geta kommun arbetar med att efterleva förordningen.
I enlighet med Dataskyddsförordningens princip om laglighet, korrekthet och öppenhet ska Geta kommun behandla personuppgifter på ett lagligt, korrekt och öppet sätt i förhållande till den vars personuppgifter registreras av Geta kommun. Med detta menas att kommunen alltid ska vara tydlig och konkret i sin beskrivning av hur personuppgifter behandlas.
Geta kommun ska alltid se till att personuppgifter behandlas på en utpekad rättslig grund och att annan lagstiftning som inverkar på behandlingen efterlevs. All behandling av personuppgifter som Geta kommun utför måste vila på minst en rättslig grund, i annat fall är behandlingen olaglig.
Kommunen ska alltid ha avvägningen mellan den registrerades integritet och den egna verksamhetens effektivitet i åtanke.
För de uppgifter som hämtas in av kommunens olika enheter är samtycke i de allra flesta fall inte nödvändigt. Det beror på att uppgifterna används i samband med exempelvis myndighetsutövning, för att kunna fullgöra en skyldighet som åligger kommunen eller att ett avtalsförhållande föreligger. Kommunstyrelsen och alla kommunala nämnder har ett ansvar för att personuppgifter behandlas på ett korrekt sätt.
Information och registerutdrag
Den registrerade har rätt att få information när dennes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av Geta kommun både när uppgifterna samlas in och när den registrerade begär det.
Önskas information om vilka av ens personuppgifter som behandlas av Geta kommun ska man ta kontakt med kommunkansliet. För att få ut personuppgifterna behöver man kunna styrka sin identitet.
Principer för insamlande av personuppgifter
Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
Med detta menas att Geta kommun hela tiden känner till och dokumenterar anledningen till att en viss personuppgift hanteras och personuppgifterna inte senare används för en helt annan anledning som går emot den ursprungliga.
Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.
Med detta menas att Geta kommun endast ska använda sig av de personuppgifter som krävs för att uppnå målet med hanteringen. Kan samma mål uppnås genom att använda färre personuppgifter eller mindre känsliga sådana ska så ske.
Geta kommun kan använda allmänt tillgängliga källor, såsom offentliga register, för insamlande av personuppgifter.
Korrekta personuppgifter
Personuppgifterna som Geta kommun hanterar ska vara korrekta och om nödvändigt uppdaterade. Åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga raderas eller rättas utan dröjsmål.
Med detta menas att Geta kommun alltid måste verka för att personuppgifter som är felaktiga rättas och att det finns rutiner för hur så ska ske.
Lagringstid för personuppgifter
Personuppgifter får inte förvaras identifierbara under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.
Med detta menas att personuppgifterna inte får sparas längre än vad som behövs utifrån målet med behandlingen. När målet är uppnått ska arkivering, gallring eller avidentifiering av personuppgifterna alltid övervägas.
Säkerhet som princip
Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder.
Med detta menas att personuppgifter ska skyddas genom tekniska och organisatoriska åtgärder på en nivå som motsvarar uppgifternas skyddsvärde. Är uppgifterna av känslig eller särskilt skyddsvärd art ska också högre tekniska och organisatoriska krav ställas. Utgångspunkten ska alltid vara att endast behöriga personer ska ges tillgång till skyddsvärd information.
Dataskyddsförordningen och offentlighetsprincipen
För kommunens verksamhet gäller offentlighetsprincipen. Offentlighetsprincipen innebär en rätt för var och en att hos Geta kommun ta del av allmänna handlingar.
Detta innebär att även personuppgifter kan begäras och lämnas ut som en del av allmän handling oavsett för vilket ändamål personuppgiften ursprungligen behandlades.
Denna rätt gäller dock inte om handlingarna innehåller uppgifter som är belagda med sekretess enligt landskapslagen om allmänna handlingars offentlighet (ÅFS 1977:72) eller senare motsvarande gällande lagstiftning.
Känsliga och extra skyddsvärda personuppgifter
Vissa personuppgifter är till sin natur mer känsliga än andra. I dataskyddsförordningen anses följande särskilda kategorier av personuppgifter kräva ett särskilt legalt skydd:
- ras eller etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i en fackförening
- hälsa
- en persons sexualliv eller sexuella läggning
- genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person.
Geta kommun ska endast behandla känsliga personuppgifter när det finns särskilt stöd i lag eller om den registrerade särskilt samtyckt till den specifika behandlingen.
Även personuppgifter som inte är särskilt reglerade som känsliga kan vara mer skyddsvärda än andra. Personuppgifter av mycket personlig eller privat natur anses generellt vara mer skyddsvärda än andra typer av personuppgifter.
Konsekvensbedömning
Om en behandling av personuppgifter som kan leda till en hög risk för de registrerade (t.ex. en omfattande hantering av känsliga personuppgifter eller risk att särskilda krav avseende skydd inte kommer att kunna uppnås) planeras genomföras måste Geta kommun enligt dataskyddsförordningen först genomföra en så kallad konsekvensbedömning avseende dataskydd.
Om en sådan konsekvensbedömning innebär att de bedömda höga riskerna kvarstår måste Geta kommun samråda med Datainspektionen som är tillsynsmyndigheten innan behandlingen påbörjas.
Information och kommunikation
Geta kommun ska tillhandahålla information till registrerade i enlighet med dataskyddsförordningens krav. Information ska ges om hur Geta kommun behandlar de registrerades personuppgifter och om vilka rättigheter som de registrerade har enligt dataskyddsförordningen.
Information som ges ska vara koncis, klar, tydlig och begriplig och den ska ges i ett lättillgängligt format. Språket ska vara klart och tydligt, och vara anpassat till mottagaren, exempelvis om informationen är särskilt riktad till barn.
Informationen ska tillhandahållas skriftligt och kan när det är lämpligt ges i elektronisk form. Om den registrerade begär det ska informationen tillhandahållas muntligt, under förutsättning att den registrerade har styrkt sin identitet.
Det här innebär att den som ansvarar för behandlingen alltid måste ta ställning till om den information om behandlingen som krävs ges till den registrerade på ett tillräckligt sätt.
Den registrerades rättigheter
Alla registrerade har rättigheter gentemot den som är personuppgiftsansvarig. Vissa av rättigheterna är beroende av vilken rättslig grund som den aktuella behandlingen av personuppgifter vilar på. Detta innebär att vissa rättigheter bara kan göras gällande under vissa förutsättningar. Geta kommun ska möjliggöra för de registrerade att utöva sina rättigheter.
Rätt till insyn
Den registrerade har rätt att få tillgång till de personuppgifter som behandlas. Detta innebär att Geta kommun på begäran måste kunna tillhandahålla dessa uppgifter till den registrerade.
Rätt till ändring
Den registrerade har rätt att begära att felaktiga personuppgifter rättas och att ofullständiga personuppgifter kompletteras. Vissa personuppgifter som behandlas i enlighet med viss lagstiftning får dock till exempel endast justeras under vissa förutsättningar.
Rätt till radering, rätten att bli bortglömd
Beroende på omständigheter i det enskilda fallet och vilken rättslig grund som personuppgiftsbehandlingen görs kan den registrerade även ha rätt till radering av sina personuppgifter. Rättigheten har begränsad tillämpning inom offentlig förvaltning eftersom merparten av personuppgiftsbehandlingarna vilar på en rättslig grund där rättigheten inte är tillämplig.
Rätt till begränsning
Beroende på omständigheter i det enskilda fallet kan den registrerade ha rätt till att behandlingen av personuppgifterna begränsas till endast lagring under den tid det tar att utreda en invändning från den registrerade.
Rätt till dataportabilitet
Beroende på omständigheter i det enskilda fallet och på vilken rättslig grund som personuppgiftsbehandlingen grundar sig på har den registrerade i vissa fall rätt att få tillgång till personuppgifterna i ett sådant format som möjliggör överförande till en annan personuppgiftsansvarig. Rättigheten har begränsad tillämpning inom kommuner eftersom merparten av personuppgiftsbehandlingarna vilar på en rättslig grund där rättigheten inte är tillämplig.
Återkallande av samtycke
Om den rättsliga grunden för behandling av personuppgifter är ett samtycke från den registrerade så har denne rätt att återkalla samtycket. Ett återkallande av samtycket påverkar dock inte lagligheten av personuppgiftsbehandlingen för tiden innan samtycket återkallades.
Rätt att invända mot behandling
Om den lagliga grunden för behandlingen av personuppgifter baseras på berättigat intresse (intresseavvägning) eller allmänt intresse har en registrerad under vissa förutsättningar rätt att invända mot hur dennes personuppgifter behandlas.
Rätt att lämna klagomål
Den registrerade har alltid rätt att vända sig till tillsynsmyndigheten med klagomål om denne inte är nöjd med hur Geta kommun hanterar den registrerades personuppgifter. Tillsynsmyndighet är Datainspektionen, mer information finns på www.di.ax.
Kontakt, frågor eller mer information
För att göra invändningar mot Geta kommuns personuppgiftsbehandlingar eller om man vill ha rättelse, begära överföring (dataportabilitet), begära begränsning av behandlingen eller begära radering av dina personuppgifter, gör man det på Geta kommuns postadress Getavägen 2115, 22340 Geta, eller kommunkansliets e-postadress info@geta.ax.
Ni kan även vända er till kommunens dataskyddsombud på dpo@cwlaw.fi eller på Advokatbyrå Carlsson Wingert Ab växel på telefon +358 18 13 366 .
Kommunens personuppgiftspolicy finns som bilaga att läsa.
Niklas Oriander, kommundirektör