• No results found

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte"

Copied!
6
0
0

Loading.... (view fulltext now)

Download now ( 6 Page )

Full text

(1)

Författningssamling

Fastställd av kommunfullmäktige: 2003-03-27 § 68 Reviderad:

Personuppgiftslagen

Vad är personuppgiftslagen (PuL)?

Personuppgiftslagens syfte

1 § Lagens syfte är att skydda människor så att deras personliga integritet inte kränks vid behandling av personuppgifter. Den 1 oktober 2001 upphörde datalagen att gälla och PuL reglerar nu de allra flesta behandlingar av personuppgifter.

Innan personuppgifter får registreras elektroniskt och i vissa fall manuellt gäller det att ta reda på om det är tillåtet. Personuppgiftsbehandlingen regleras bl a av personuppgiftslagen men även vårdregisterlagen, lagen om personuppgifter inom socialtjänsten och sekretesslagen måste beaktas.

Vad är personuppgifter?

1a § Personuppgifter är all slags information som på något sätt kan hänföras till en fysisk person som är i livet. Exempelvis:

- namn på personer - personnummer - födelsedata - adresser - kundnummer - bilder på personer - anställningsnummer - kodnummer

Vad är en behandling?

1b § Med behandling menas varje åtgärd som vidtas med personuppgifter, såväl manuell som elektronisk.

Exempelvis:

- insamling -registrering - lagring

(2)

- bearbetning och ändring

- utlämnande, utplåning eller förstöring - sammanställning

- samkörning

För att få behandla personuppgifter måste det alltid finnas ett tydligt ändamål med behandlingen. Fråga Dig därför alltid ”Varför ska personuppgifterna behandlas?”.

Personnummer får behandlas utan samtycke enbart när det är klart motiverat med hänsyn till

behandlingens ändamål, för att en säker identifiering ska vara möjlig eller utifrån något annat beaktansvärt skäl. För de uppgifter som hämtas in av kommunens olika förvaltningar är samtycke inte alltid nödvändigt.

Det beror på att uppgifterna hämtas i samband med myndighetsutövning.

Gemensamma regler

Ansvarsfördelning (se bil. s.2 )

2 § I Nässjö kommun är respektive nämnd och styrelse ansvarig för behandling av personuppgifter, så kallad personuppgiftsansvarig.

Den som elektroniskt eller manuellt behandlar personuppgifter kallas handläggare.

Nämnder och styrelser har utsett en eller flera personer till personuppgiftsombud.

Personuppgiftsbiträde är den som behandlar personuppgifter för den personansvariges räkning. Denne finns alltid utanför den egna organisationen. Ex: servicebyrå (Tieto Enator).

Ett skriftligt avtal måste alltid upprättas.

2.2.1 § Kommunstyrelsen

Rekommenderar nämnder och styrelser att anta och följa de gemensamma rutinerna för behandling av personuppgifter.

2.2.2 § Respektive nämnd/styrelse - Beslutar att utse personuppgiftsombud.

- Ansvarar för att personalen har tillräcklig kompetens.

- Beslutar om användandet av behandlingar.

2.2.3 § Personuppgiftsombudets uppdrag

- Ser till att personuppgifter behandlas på ett lagligt och korrekt sätt.

- Påpekar eventuella brister.

- Gör anmälan till Datainspektionen om brister inte åtgärdas.

- För förteckning över nämndens behandlingar av personuppgifter.

Behandling av personuppgifter (se bil. s. 1)

2.3.1 § Allmänna principer

- Bedömning ska göras om personuppgifterna får behandlas enligt PuL.

- Den registrerade informeras om behandlingen om det inte är uppenbart att behandlingen är känd av den registrerade.

(3)

- Huvudprincipen är att den registrerade ska lämna sitt samtycke till behandlingen av personuppgifter om behandlingen inte ryms inom tillåten behandling enligt PuL

- personuppgifter ska anmälas till myndighetens personuppgiftsombud. (§ 39 förteckning) 2.3.2 § Rutiner för behandling av personuppgifter i Nässjö kommun

Bedömning före behandling av personuppgifter

Innan behandlingen av personuppgifter får ske måste respektive handläggare ta ställning till om

behandlingen är tillåten utifrån PuL. Kontrollera först med personuppgiftsombudet om det redan finns en likvärdig behandling (i så fall behöver ingen ytterligare anmälan göras). Personuppgiftsombudet ska svara för att anmälningar hålls ordnade på ett sökbart sätt. Arbetsgång för behandling av personuppgifter:

- De grundläggande kraven i PuL 9 §.

- Om behandlingen kan hänföras till något av de fall som anges i PuL 10 §.

- Är uppgifterna känsliga måste behandlingen vara tillåten enligt PuL 13-22 §§.

- Innebär behandlingen att personuppgifterna överförs till tredje land måste även PuL 33-35 §§ följas.

Om behandlingen bedöms vara tillåten ska respektive handläggare fylla i och skicka blanketten förteckning över behandling av personuppgifter till personuppgiftsombudet i respektive nämnd och styrelse.

Personuppgiftsombudet måste därefter överlämna behandlingen för beslut i nämnd/styrelse.

Information till den registrerade (se bil. s. 4)

För att få behandla personuppgifter måste handläggaren informera den registrerade om inte behandlingen är uppenbart känd för den registrerade:

- Vem den personuppgiftsansvarige är (dvs nämnd eller styrelse) - Ändamålen med behandlingen

- Övrig information av betydelse t ex om - vem som är mottagare av uppgifterna -skyldigheten att lämna uppgifter

-rätten att ansöka om information och få rättelse 2.3.3 § Samtycke från den registrerade

För att behandling av personuppgifter ska vara tillåten krävs i vissa fall att den registrerade ger sitt samtycke (PuL 13-22 §§). Skriftligt samtycke rekommenderas!

Efter godkännande anmäler handläggaren behandlingen till personuppgiftsombudet.

Begäran/förfrågan om information

3 § Den registrerade har rätt att få information om var det finns uppgifter om honom/henne en gång per år. Skriftlig och undertecknad begäran/förfrågan kan lämnas till Nässjö kommun till en viss

nämnd/styrelse eller till en lokal enhet. Om begäran/förfrågan avser uppgifter inom samtliga nämnder skickas denna till kommunstyrelsen.

Kommunstyrelsens personuppgiftsombud ansvarar med hjälp av registrator för att begäran/förfrågan som kommer till Nässjö kommun skickas vidare till samtliga nämnder och styrelser som berörs.

Varje nämndstyrelse, med hjälp av registratorn, ansvarar för att förfrågningarna diarieförs och därmed blir återsökningsbara.

Registrator överlämnar begäran till respektive personuppgiftsombud.

(4)

Personuppgiftsombudet vidarebefordrar förfrågan till verksamhetens ansvariga handläggare för respektive behandling.

Handläggarens svar ska skickas till personuppgiftsombudet inom två veckor efter ankomstdatum.

Nämnd/styrelse ansvarar, genom personuppgiftsombudet, för att svaren sammanställs och skickas direkt till frågeställaren om huruvida denne förekommer i någon behandling.

Om förfrågan gäller personuppgifter som finns inom flera av kommunens nämnder/förvaltningar ska kommunstyrelsens personuppgiftsombud sammanställa svaren. Personuppgiftsombudet skickar svaret inom tre veckor efter ankomstdatum.

Meddelande lämnas till registrator för avslutande av ärendet.

Om begäran/förfrågan lämnas till en lokal enhet ska den omgående vidarebefordras till respektive nämnds/styrelses registrator som efter diarieföring överlämnar ärendet till personuppgiftsombudet.

Enligt PuL ska svar lämnas till frågeställaren inom en månad. Förvaltningschef kan besluta om att svar får vänta upp till fyra månader. Hör med ditt personuppgiftsombud. Glöm inte att informera den registrerade om varför svar dröjer!

Säkerhet vid behandling av personuppgifter

4 § Behandling av personuppgifter ska ske i enlighet med personuppgiftslagen, sekretesslagen, lagen om personuppgifter inom socialtjänsten, vårdregisterlagen, datainspektionens allmänna råd om säkerhet för personuppgifter samt kommunens policy för ADB-säkerhet.

Personuppgiftsansvarig svarar för att lämpliga säkerhetsåtgärder finns.

Syftet med åtgärderna skall vara att åstadkomma en lämplig säkerhetsnivå med beaktande av, – de tekniska möjligheter som föreligger,

– kostnader i samband med genomförande av dessa åtgärderna,

– om det föreligger särskilda risker vid den aktuella personuppgiftsbehandlingen och hur känsliga de behandlade personuppgifterna är,

– antalet behandlade personuppgifter.

Med ”lämplig” säkerhetsnivå menas, ”en säkerhet som med beaktande av samtliga omständigheter får anses tillräcklig”. Den kostnad och/eller ansträngning som skulle krävas för att på ett otillåtet sätt komma över de aktuella personuppgifter skall vara så omfattande att de därigenom upplevs som avskräckande att inget försök görs.

Personuppgifter på Internet (Tredje land) (se bil. s.3)

5 § När Internet används för spridning av information t ex från en webbplats innebär det att

webbplatsen blir tillgänglig för alla som är anslutna till Internet över hela världen. Innefattar informationen personuppgifter, medför detta nästan alltid att PuL blir tillämplig. Om t.ex. en webbplats åtkomstbegränsas med hjälp av någon form av access kommer frågan om överföringsförbudet avgöras med hänvisning till vilka länder webbplatsen då de facto blir åtkomlig ifrån. I många fall överförs personuppgifter till länder utanför EU eller EES-området. Reglerna i PuL om överföring till tredje land måste då beaktas. Överföring av personuppgifter till land inom EU och EES-området betraktas inte som överföring till tredje land och är tillåten, givetvis under förutsättning att övriga regler i PuL beaktats.

(5)

Den registrerades samtycke innebär att det är tillåtet att publicera hans/hennes personuppgifter på Internet.

Samtycket förutsätter dock att den registrerade först fått information om publiceringen och därefter fått tillfälle att ta ställning till i vad mån han/hon samtycker. Även i de fall där samtycke av något skäl inte kan inhämtas kan det finnas fog för att publicera personuppgifter på t.ex. en webbplats i informationssyfte. Det är tillåtet att publicera personuppgifter utan inhämtande av samtycke om mottagarlandet har en ”adekvat skyddsnivå” för personuppgifter. Detta innebär att ”harmlösa personuppgifter” får publiceras på Internet utan den registrerades samtycke då sådana uppgifter inte anses kräva något skydd. Det utgör inget integritetsintrång att t.ex. publicera dem på Internet. Man kan säga att den adekvata skyddsnivån för harmlösa uppgifter är inget skydd alls. Personuppgifter av denna art kan vara information om vilka personer som är kommunalråd i Nässjö kommun.

Vad som kan anses vara harmlös information måste bedömas från fall till fall. Utgångspunkten bör vara om den enskilde kan uppleva publiceringen som ett integritetsintrång. Tänk på att inte alla har samma

uppfattning om vad som är integritetskänsligt. Om osäkerhet råder huruvida någon person kommer att uppleva publicering t.ex. på en webbplats, kan det vara en god regel att efterfråga hans eller hennes samtycke.

Några exempel på personuppgifter som kan betraktas som ”harmlösa”

Namn, befattning, telefonnummer, e-postadress och liknande arbetsplatsrelaterade personuppgifter kan normalt publiceras på en webbplats utan den registrerades samtycke. Vill man däremot lägga ut t.ex.

hemadress, hemtelefonnummer eller foton bör man inhämta samtycke.

Kallelser, föredragningslistor och protokoll kan läggas ut om informationen inte är otillbörlig eller integritetskänslig. Vilka personuppgifter som är otillbörliga eller känsliga måste alltid bedömas från fall till fall, vilket innebär att alla protokoll måste granskas innan de publiceras.

Arbetsplatsrelaterade personuppgifter bör kunna gå bra att publicera, medan personuppgifter där någon framställs i mer eller mindre dålig dager skall undvikas.

Om någon invänder mot att uppgifter om honom eller henne har publicerats på Internet, bör uppgifterna tas bort även om de för utomstående kan verka harmlösa.

Vid anlitande av utomstående

6 § När konsult/utomstående så kallat personuppgiftsbiträde anlitas och denne genom sitt uppdrag har tillgång till behandling av myndigheternas personuppgifter gäller följande:

Personuppgiftsbiträdet ska:

- iaktta de regler för behandling av personuppgifter och andra säkerhetsföreskrifter som gäller inom Nässjö kommun

- genom tystnadsförbindelse eller likvärdig åtgärd med sin egen personal se till att sekretess iakttas.

I de avtal som träffas mellan kommunen och konsult/utomstående ska det regleras att otillåten behandling av personuppgifter inte får ske.

Begäran om rättelse

7 § Den registrerade har rätt att begära att personuppgifter som inte har behandlats i enlighet med PuL eller föreskrifter ska rättas, blockeras eller tas bort. Den personuppgiftsansvarige, dvs respektive

nämnd/styrelse är skyldig att se till att detta utförs snarast. Personuppgiftsombudet hjälper de registrerade

(6)

att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.

Delegation

8 § Utifrån bestämmelserna i Personuppgiftslagen samt Lag om behandling av personuppgifter inom socialtjänsten ska beslut fattas av myndighet, dvs nämnd/styrelse. Upprättade delegationsordningar finns i kommunens författningssamling. Dessa ska efter anpassning till vars och ens verksamhet beslutas av respektive nämnd/styrelse.

Förhandskontroll

9 § För att personuppgifter som kan innebära särskild risk för otillbörligt intrång i den personliga

integriteten ska få behandlas måste anmälan om förhandskontroll göras hos Datainspektionen. Detta görs via respektive nämnd/styrelse.

Mer information

Mer detaljerad information finns att hämta på Datainspektionens hemsida www.datainspektionen.se. Du kan också tala med respektive nämnds/styrelses personuppgiftsombud:

Giovanni Rojas, 51 84 03 - Kommunstyrelsen

Birgitta Dunnington, 51 80 75 - Kultur- och fritidsnämnden Helena Hermansson, 51 85 98 - Social- och omsorgsnämnden Johnny Eriksson, 51 83 36 - Barn- och utbildningsnämnden Göran Karlsson, 51 89 06 - Mätningskontoret

Karl-Olof Landbring, 51 85 02 - Miljö och byggnadsnämnden Mats Sylvaner, 51 81 24 - Tekniska nämnden

References

Download now ( PDF - 6 Page - 100.18 KB )

Related documents

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

använda kommentarbankerna, redigera dem eller skapa helt egna utifrån den lokala pedagogiska planeringen. Förutom fritextfält dokumenteras skriftliga omdömen genom att lärarna

Tillsyn enligt personuppgiftslagen (1998:204) LifeGene - direktåtkomst, säkerhet för känsliga personuppgifter samt samtycke och information

Informationen uppfyller inte kraven i 14 § lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa avseende för vilka

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Datainspektionen konstaterar att det vid inspektionen inte framkommit något som tyder på att nämnden behandlar personuppgifter som avslöjar etniskt ursprung i strid med lagen

Samtycke enligt personuppgiftslagen

Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och

Begäran om uppgifter. IVO:s behandling av personuppgifter i tillsynen. Ändamål och rättslig grund för behandlingen. Kategorier av personuppgifter

Vilka förändringar har nämnden genomfört för enskilda med beslut om insatser inom området SoL/ÄO under utbrottet av covid-19. Flera val per insats

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204), PuL

Det amerikanska bolaget kommer att spara uppgifterna i maximalt nittio (90) dagar från det att uppgifterna samlats in. Inom denna tidsperiod skall uppgifterna ha sammanställts

Tillsyn enligt personuppgiftslagen (1998:204) lagligt stöd för behandling av kunders personuppgifter

marknadsföringsändamål. Svenska Spel använder uppgifterna i Playscan som underlag då de inte skickar direktadresserad reklam till vare sig den kund som erhållit färgen röd

Tillsyn enligt personuppgiftslagen (1998:204) Ideell förenings behandling av personuppgifter för löneutbetalningsändamål

att säkerställa att de anställda får sin semesterlön i enlighet med semesterlagen (1977:480) samt för att fullgöra de krav som ställs av lagstiftaren och i av parterna