Det är viktigt att alla som arbetar inom Östhammars kommun följer GDPR. Det är viktigt för att värna om förtroendet hos våra medborgare och anställda - vars personuppgifter vi förvaltar - men det är också viktigt för att undvika oönskade påföljder. Integritetsskyddsmyndigheten (IMY) kontrollerar efterlevnaden av lagen och allvarliga felsteg är förenade med stora bötesbelopp.
GDPR
GDPR är en förkortning för General Data Protection Regulation som är det engelska namnet på Dataskyddsförordningen. GDPR gäller som lag i hela EU och syftar till att skydda enskildas personuppgifter. Lagen gäller myndigheter, företag och föreningar och rymmer stränga krav för behandling av personuppgifter.
Personuppgiftsbehandling
Som personuppgift räknas alla uppgifter som enskilt eller i kombination identifierar en fysisk nu levande person. Namn och personnummer räknas hit, men även exempelvis fastighetsbeteckning, ip-adresser och bilder. Som personuppgiftsbehandling räknas all hantering av personuppgifter, som insamling, bearbetning eller publicering.
Grundläggande principer
Rättslig grund och uppgiftsminimering är två viktiga principer i GDPR. Varje personuppgiftsbehandling måste ha en rättslig grund. I kommunens verksamhet handlar det ofta om att uppfylla ett avtal, att utöva myndighetsutövning eller att verka i allmänt intresse. Bara de personuppgifter som behövs i verksamheten får behandlas. Vi får alltså inte samla in fler personuppgifter än nödvändigt, bara för att de är ”bra att ha”.
En del uppgifter måste rensas, en del måste sparas
Enligt GDPR ska personuppgifter förstöras, när den behandling för vilken de en gång samlades in, har avslutats. Men vid myndigheter i Sverige gäller inte bara GDPR, utan också andra lagar som styr dokumenthanteringen. Bokföringslagen föreskriver exempelvis att vissa dokument måste sparas en viss tid och arkivlagen föreskriver att vissa dokument måste sparas för alltid.
Konfidentialitet som ledstjärna
Endast de personalgrupper som behöver tillgång till en viss typ av personuppgifter i verksamheten ska ha det. Det gäller särskilt de uppgifter som räknas som känsliga enligt GDPR, till exempel uppgifter om hälsa eller politisk, religiös och etnisk tillhörighet. Men även helt harmlösa personuppgifter, till exempel namn och adressuppgifter, ska behandlas konfidentiellt och inte spridas i onödan mellan olika personalgrupper.
De registrerades rätt till insyn
De registrerade (personer vars uppgifter vi behandlar) har enligt GDPR rätt till information och insyn. De har rätt att få veta hur deras personuppgifter hanteras när de kontaktar oss i ett ärende eller när vi samlar in information om dem i ett visst syfte. De har också rätt att få ett så kallat registerutdrag, alltså en sammanställning över alla de uppgifter om dem som kommunen hanterar. För att möjliggöra insyn måste kommunen ha kontroll över sina personregister. Därför måste alla personregister registreras i en särskild kommungemensam förteckning, i datasystemet Integrity
Ge akt på personuppgiftsincidenter
Om de registrerades rätt till personlig integritet hotas genom ett olagligt dataintrång, ett tekniskt misstag eller ett missöde i arbetsrutinerna är det viktigt att vi hanterar det som en personuppgiftsincident, i enlighet med GDPR. Alla anställda vid kommunen uppmanas att vara vaksamma och informera förvaltningschefen om de misstänker att en incident har inträffat. Även kommunens dataskyddsombud kan kontaktas. Det är viktigt att agera skyndsamt. Allvarligare personuppgiftsincidenter ska nämligen rapporteras till Integritetsskyddsmyndigheten senast 72 timmar efter upptäckt.
Juridiskt och praktiskt ansvar
De kommunala nämnderna är juridisk ansvariga; de är personuppgiftsansvariga. Men i praktiken vilar ansvaret för att leva upp till GDPR på verksamheterna. Alla enheter inom verksamheterna måste utforma arbetssätt och rutiner i enlighet med lagens grundläggande principer. De måste också vaka över att de registrerades rätt till information och insyn tillgodoses och att de registrerades rätt till integritet inte hotas genom incidenter av olika slag.
GDPR-organisationen
Kontorschefen har ett ansvar för kontorets behandling av personuppgifter under nämnden.. I Östhammars kommun finns en GDPR-samordnare och kontaktpersoner på varje kontor. Dessa utgör kommunens GDPR-funktionärer och har till uppgift att stödja verksamheterna i GDPR-arbetet. Varje kontor l kommunens kan vända sig till dataskyddssamordnaren för frågor som rör det förvaltningsspecifika GDPR-arbetet. Dataskyddsombudet har en kommunövergripande roll när det gäller uppgift att utöva tillsyn och fungera som kommunens länk till Integritetsskyddsmyndigheten. Aktuella namn och kontaktuppgifter finns på kommunens intranät.
Kunskap är en förutsättning
För att GDPR-arbetet i kommunen ska fungera måste alla anställda ha grundläggande kunskaper om lagens innebörd. De måste också ha goda kunskaper om hur GDPR-arbetet bedrivs i Östhammars kommun och vilka rutiner som gäller. Varje chef har en skyldighet att hålla sig informerad och se till att de anställda får den kunskap som de behöver. Varje anställd har en skyldighet att beakta denna kunskap i sitt arbete.