Det är EU:s dataskyddsförordning, GDPR, och kompletterande svensk lagstiftning om dataskydd och personuppgiftsbehandling som reglerar hur Tibro kommun som myndighet får hantera personuppgifter.

GDPR är den engelska förkortningen för General Data Protection Regulation, som är en europeiska dataskyddsförordningen som trädde i kraft den 25 maj 2018. 

Dataskyddsförordningen är i många delar lik den tidigare personuppgiftslagen (PuL) men är mer fokuserad på den registrerades integritet. Det innebär att vi som kommun måste förbättra vårt dataskydd och våra rutiner för hur vi behandlar personuppgifter.

Personuppgifter är all information som direkt eller indirekt kan knytas till en person som är i livet. Typiska personuppgifter är personnummer, namn och adress, men även bilder och filmer med identifierbara personer eller föremål som kan kopplas till en enskild person är en personuppgift. I vissa fall räknas även olika slags elektroniska identiteter, som exempelvis ip-nummer, som personuppgifter om de kan kopplas till en viss person.

Lagstiftningen talar om vilka rättigheter den registrerade har. Dessa rättigheter innebär i korthet att den registrerade har rätt att veta vilka personuppgifter kommunen behandlar om den registrerade själv och varför. En registrerad har också rätt att få sina uppgifter rättade eller i enstaka fall raderade.

• Läs mer i Tibro kommuns policy för behandling av personuppgifter 
  (fastställd av kommunfullmäktige 2018-05-28)

Begrepp att känna till 

Registrerad

Den person vars personuppgifter kommunen behandlar.

Personuppgift         

Information som kan identifiera en levande person direkt eller indirekt.

Känslig personuppgift

Information som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter om hälsa och sexualliv.

Behandling av personuppgift               

"Behandla" är ett brett begrepp och omfattar i stort sett allt som görs med personuppgifter. Exempelvis samla in, läsa, lagra, gallra, sprida, arkivera, kopiera.

Personuppgiftsansvarig (PUA)

Juridisk person som ansvarar för personuppgifter och som bestämmer ändamålen och medlen för behandlingen. I kommunen är det alltid kommunstyrelsen eller en nämnd.

Personuppgiftsbiträde  

Företag eller organisationer som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige.

Personuppgiftsbiträdesavtal                 

Avtal mellan den personuppgiftsansvarige och biträdet som reglerar vad personuppgiftsbiträdet ska/får göra med personuppgifterna på uppdrag av den personuppgiftsansvarige.

 Vad sker i kommunen just nu?

• Fortsatt arbete med inventering av personuppgifter, vilket leder till att vi får en registerförteckning som är ett uttryckligt krav i dataskyddsförordningen.
• Det arbetas fram rutiner för att hantera personuppgifter i enlighet med dataskyddsförordningen. Kommunövergripande rutiner beslutas av kommunens ledningsgrupp, enligt uppdrag från kommunstyrelsen.
• Upprättande av personuppgiftsbiträdesavtal med kommunens leverantörer. Det är viktigt att alla avtalsförslag först skickas till IT-chef Peter Legendi för påseende, innan avtal tecknas av respektive personuppgiftsansvarig.

Att tänka på vad gäller personuppgifter

Personuppgifter ska hanteras varsamt och med omtanke om integritet för den vars personuppgifter vi behandlar. Känsliga personuppgifter såsom medicinska, politiska, religiösa etc. ska hanteras extra varsamt och endast hanteras om vi måste hantera dessa.

Publicering av personuppgifter på Internet ska göras med återhållsamhet

Hantering av bilder och filmer med identifierbara personer

Vid hantering av bilder och filmer med identifierbara personer eller föremål som kan kopplas till en enskild person ställs krav på samtycke alternativt att det föreligger ett så kallat allmänt intresse. Allmänt intresse för bildpublicering är aktuellt i samband med publika arrangemang med ett större antal människor samt vid publicering av bilder på politiker och tjänstepersoner i ledande befattningar och kommunanställda med publika roller.

Observera att bilder som omfattas av bestämmelserna i dataskyddsförordningen endast ska lagras i kommunens fastställda bildlagringsytor, att bilder som inte används ska gallras eller arkiveras och att användningen av bilder med identifierbara personer ska dokumenteras, så att de är sökbara.

• Rutin för behandling av bilder enligt dataskyddsförordningen 
• Samtyckesblankett  

Kommungemensamt projekt om GDPR och informationssäkerhet

Tibro samarbetar med Skövde och Hjo när det gäller dataskyddsfrågor och under 2018-20 samverkar vi i ett treårigt projekt när det gäller både GDPR och informationssäkerhet. Tibro har också ingått ett samarbete med Skövde kommun gällande funktionen dataskyddsombud. GDPR-frågorna i Tibro kommun leds av Frida Blomqvist och Peter Legendi.

Detta är GDPR i Tibro! Presentation på Ledarforum 2018-02-28.

Ta del av heldagsutbildning i Dataskyddsförordningen (GDPR) som genomfördes i Skövde 2018-03-23 med IT-advokat Agnes Hammarstrand, och presentationen från utbildningsdagen.

Lokal projektgrupp i Tibro
Delprojektledare - Frida Blomqvist och Peter Legendi

Projektdeltagare
BUN - Malena Lundberg, Marie Ahlander och Tommy Hallgren 
KS - Ann-Louise Hedberg och Susanne Nilsson 
SOC - Elin Zell och Thomas Gardell 
BTN - Evelina Zetterljung 
SHBN - Elisabeth Ransveden 
KFN - Marie Wickman

Dessutom ingår representanter för de kommunägda bolagen Tibro Energi och Tibrobyggen.

Projektledare är Skövdes Jimmy Palmqvist och Ann-Louise Hult. Totalt finns 13 delprojekt, som involverar ett 90-tal medarbetare i de tre kommunerna. En gemensam projektyta finns tillgänglig för dem som ingår i delprojekten exklusive de kommunala bolagen i Tibro eftersom de inte ingår i datanätet.