All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas som personuppgifter.

En direkt personuppgift är information som utan kompletterande information eller sammanhang kan identifiera en individ. Exempelvis namn, personnummer eller foton.

En indirekt personuppgift är information som med stöd av kompletterande information eller ett visst sammanhang bildar en helhet där en person kan identifieras, till exempel en fastighetsbeteckning eller en IP-adress. 

Även uppgifter som inte är identifierande kan vara personuppgifter om de kan relateras till en identifierbar fysisk person.

Fler exempel på personuppgifter:

• Bild, video eller ljudupptagning av en röst som är identifierbar.
• Användarnamn, id-nummer eller onlineidentitet som kan knytas till en individ.
• Pseudonymisering där en individ får ett nummer, eller krypterad informationen som kan kopplas samman med en individ är också personuppgifter.
• Indirekta personuppgifter som exempelvis GPS-logg, mobilnummer, e-postadresser, patientID, lägenhetsbeteckning, kundnummer, anställningsnummer, diarienummer, löpnummer, användarID, omdömen eller annan värderande information.

Känsliga personuppgifter

Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd. De kallas för känsliga personuppgifter. Det är som huvudregel förbjudet att behandla känsliga personuppgifter, men det finns undantag. Till exempel om det framgår i lag att känsliga personuppgifter får behandlas vilket bland annat gäller på hälso- och sjukvårdsområdet. Innan ni behandlar känsliga personuppgifter måste ni ha klart för er vilket stöd ni har för behandlingen. Det ställs också särskilt höga krav på säkerheten när känsliga personuppgifter behandlas.

Personnummer och samordningsnummer anses också särskild skyddsvärda även om de inte omfattas av begreppet "känsliga personuppgifter". Behandling av dessa personuppgifter får endast ske om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av säker identifiering eller annat beaktansvärt skäl.

Känsliga personuppgifter är uppgifter om:

• etniskt ursprung
• politiska åsikter
• religiös eller filosofisk övertygelse
• medlemskap i en fackförening
• hälsa
• en persons sexualliv eller sexuella läggning
• genetiska uppgifter
• biometriska uppgifter som entydigt identifierar en person.

Dataskyddsförordningens artikel 9 innehåller bestämmelser om känsliga personuppgifter. 

De organisationer (i fallet kommuner är det oftast nämnder) som behandlar personuppgifter är antingen personuppgiftsansvariga eller personuppgiftsbiträden med avseende på behandlingen. Personuppgiftsansvarig är den nämnd som bestämmer medel och ändamål för personuppgiftsbehandlingen. Ett personuppgiftsbiträde behandlar personuppgifter på uppdrag av personuppgiftsansvarig. Även personuppgiftsbiträden har en skyldighet att följa GDPR enligt de bestämmelserna som berör dem i föreskriften. Se även avsnitt Personuppgiftsbiträdesavtal (PUB-avtal). 

Enligt GDPR är personuppgiftsansvarig (nämnd) ansvarig för behandlingar av personuppgifter som utförs inom sin verksamhet. Även om det inte är den personuppgiftsansvarige som i praktiken utför det dagliga arbetet med GDPR, har den personuppgiftsansvarige skyldighet att tillse att verksamheterna har resurser till att arbeta med GDPR, och ska också ta till sig rapportering från både verksamhet och dataskyddsombud för att hålla sig underrättade om verksamheternas efterlevnad av förordningen. Enligt GDPR har personuppgiftsansvariga en skyldighet att se till att behandlingarna sker enligt GDPR och att visa att GDPR efterlevs på olika sätt (se avsnittet Efterlevnad).

Notera att samma nämnd kan vara både personuppgiftsansvarig och personuppgiftsbiträde. För de behandlingar som nämnden själv är ansvariga för är de personuppgiftsansvarig, medan för de behandlingar som nämnden utför på uppdrag av andra personuppgiftsansvariga är de personuppgiftsbiträde. 

Gemensamt personuppgiftsansvar

I vissa fall där flera aktörer är involverade i en personuppgiftsbehandling kan det handla om ett gemensamt personuppgiftsansvar. Om gemensamt personuppgiftsansvar ska gälla ska alla de inblandade personuppgiftsansvariga delta aktivt i fastställandet av ändamål och medel för behandlingen. Ett arrangemang ska finnas, i vilket det tydliggörs för varje personuppgiftsansvarig vilket ansvar denne har i behandlingen, särskilt gentemot de registrerade, för att de registrerades rättigheter ska kunna tillgodogöras enligt GDPR.  

Det är alltid av vikt att reda ut vilka faktiska omständigheter som gäller vad gäller olika aktörers personuppgiftsansvar. För en situation där flera organisationer är inblandade i en behandling behövs det därför en utredning för att kunna avgöra var personuppgiftsansvaret faktiskt ligger. Det är inte alltid de formellt utsedda ansvarsfördelningarna som råder. 

Vid ett gemensamt personuppgiftsansvar kan situationen vara sådan att beslut om ändamål och medel sker genom att de personuppgiftsansvariga gemensamt beslutar om en behandlings ändamål och medel. Det kan även vara en situation då olika personuppgiftsansvariga beslutar om olika behandlingar vars ändamål och medel på något essentiellt sätt påverkar varandra. Ett avgörande kriterium är att den ena behandlingen inte är genomförbar om den andra inte existerar. 

Varje personuppgiftsansvarig behöver inte ha rätt till åtkomst till någon av de andra personuppgiftsansvarigas personuppgifter vid ett gemensamt personuppgiftsansvar. Det kan räcka med ett generellt beslut om ändamål och medel för personuppgiftsbehandlingen. 

Vid gemensamt personuppgiftsansvar är det krav på att två eller flera aktörer har inflytande över medlen för behandlingen. Varje personuppgiftsansvarig behöver inte vara med och besluta alla medlen. Olika personuppgiftsansvariga kan vara involverade i beslutandet för olika delar av behandlingen till olika grad, beroende på vilken som bäst är lämpad att ta beslut för varje del ifråga.  

Inom GDPR finns det grundläggande principer för behandling av personuppgifter. Personuppgiftsansvarig ansvarar för att principerna följs. I övriga avsnitt i handboken finns referenser till principerna på olika ställen. De grundläggande principerna genomsyrar alla delar av GDPR.  

Laglighet, korrekthet (rättvist), öppenhet
Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

Ändamålsbegränsning
Personuppgifter ska samlas in för särskilda ändamål. Om ändamålen beskrivs för generellt är det svårt att bedöma exempelvis om de personuppgifter som behandlas är relevanta för ändamålet. Personuppgifterna får inte vid något senare tillfälle behandlas på ett för ändamålen oförenligt sätt. Ändamålen ska vara uttryckligt angivna och berättigade redan vid insamlingen. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (dessa ändamål beskrivs i artikel 89.1) är aldrig oförenlig med de ursprungliga ändamålen.

Uppgiftsminimering
Personuppgifterna ska vara adekvata och relevanta för ändamålet, och inte för omfattande. Personuppgifter som inte behövs för ändamålet ska inte behandlas.

Lagringsminimering
Personuppgifter ska inte lagras längre tid än nödvändigt för ändamålet. Lagring får ske för längre perioder om behandling sker enbart för arkivändamål för allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, om tekniska och organisatoriska åtgärder genomförs för att säkerställa den registrerades rättigheter och friheter.

Korrekthet (Riktighet)
Personuppgifterna ska vara korrekta och "om nödvändigt" uppdaterade. Rimliga åtgärder ska vidtas för att radera eller rätta felaktigheter, i förhållande till behandlingens ändamål.

Integritet, Konfidentialitet
Lämpliga säkerhet ska säkerställas vid behandling av personuppgifterna. De ska i behandlingen vara skyddade mot: obehörig eller otillåten behandling, förlust, förstöring eller skada genom olyckshändelse. Lämpliga åtgärder (tekniska och organisatoriska) ska vidtas för att uppnå skyddet.

Ansvarsskyldighet hos personuppgiftsansvarig
Det är den personuppgiftsansvariges skyldighet att ansvara för och kunna visa att alla punkter i ovan efterlevs.

Det måste finnas ett tydligt ändamål och en rättslig grund för att vi ska få behandla personuppgifter.

De rättsliga grunderna är:

• Utföra uppgift av allmänt intresse eller myndighetsutövning
• Rättslig förpliktelse
• Avtal
• Skydda grundläggande intressen
• Intresseavvägning
• Samtycke

Nedan finns texten ur GDPR för varje rättslig grund. Notera att i alla rättsliga grunder, förutom för samtycke, är det krav på att behandlingen ska vara nödvändig.

Utföra uppgift av allmänt intresse eller myndighetsutövning  "Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning." (artikel 6.1e) 

Rättslig förpliktelse
"Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige." (artikel 6.1c). 

Avtal
"Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås." (artikel 6.1b).

Skydda grundläggande intressen
" Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person." (artikel 6.1d). 

Intresseavvägning
"Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn." (artikel 6.1f). 

Samtycke
"Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål." (artikel 6.1a). 

Den vanligaste rättsliga grunden inom offentlig verksamhet är allmänt intresse eller myndighetsutövning, tillexempel vid handläggning av bygglov, försörjningsstöd eller annat ärende som påverkar en individ. När kommunen ska uppfylla sitt arbetsgivaransvar kan personuppgifter få behandlas med stöd av rättslig förpliktelse eller avtal. Kommunen kan i regel inte använda sig av intresseavvägning. Skydda grundläggande intressen kan till exempel användas när det föreligger en nödsituation inom vården. 

För att det ska finnas rättsligt stöd för behandling av känsliga personuppgifter krävs det ytterligare stöd (se avsnitt Vad är en personuppgift?).

Mer om den rättsliga grunden samtycke

Samtycke kan bara användas när det verkligen föreligger ett fritt val för den registrerade. Till exempel kan vi i regel inte använda samtycke som rättslig grund mellan skola och elev eftersom de inte är jämbördiga parter.

Kommunen ansvarar för att visa att den registrerade har fått tydlig information och gjort ett fritt och aktivt val att samtycka. Det ska vara lätt för en medborgare att kunna ta tillbaka ett samtycke. Tydlig kontaktväg måste finnas.

Se över de blanketter och de sätt som samtycke ges på idag. Se över och justera era samtycken så de följer dataskyddsförordningen. De samtycken som tillkommit innan den 25 maj 2018 är endast giltiga om de följer kraven i dataskyddsförordningen.

Se över om det finns några samtycken, både blanketter och i system, som kan tas bort. Principen är att inte begära in samtycke om man redan har en rättslig grund för behandling.

Tänk på att skilja mellan samtyckesblankett för överföring av sekretessuppgifter mellan myndigheter och samtyckesblankett för GDPR. Det är två olika saker.

Samtyckesblankett GDPR för publicering av bilder, filmer och ljudupptagningar

Alla personuppgiftsansvariga och personuppgiftsbiträden är enligt GDPR skyldiga att upprätthålla ett register över pågående och genomförda personuppgiftsbehandlingar. Registerförteckningen ska alltid finnas uppdaterad och tillgänglig i digital form, och kan komma att efterfrågas av Integritetsskyddsmyndigheten. Kravet på registret finns i artikel 30 i GDPR, där det också framkommer vilken information som ska finnas med i registret om varje behandling. 

Nämnden som personuppgiftsansvarig

Varje nämnd ansvarar för alla de personuppgiftsbehandlingar som sker inom nämndens verksamhetsområden. Alla behandlingar ska finnas i ett gemensamt register och de olika enheterna/verksamheterna behöver ha tillräckliga resurser för att hålla registret kvalitetssäkrat och uppdaterat.

Registret hjälper oss ha kontroll över vilka personuppgiftsbehandlingar vi utför i kommunen. Det hjälper oss också att, på ett systematiskt sätt, dokumentera och kontrollera att vi till exempel har en rättslig grund att behandla uppgifterna.

Registret är en total kartläggning av alla behandlingar av personuppgifter som utförs inom respektive nämnd. Det ger en översikt över alla register, system och dokument där personuppgifter förekommer. Registerförteckningen är även till hjälp för att kunna ta fram ett registerutdrag när någon begär det. (Se mer under avsnitt Registerutdrag).

Nämnden som personuppgiftsbiträde

Om nämnden behandlar personuppgifter på uppdrag av någon annan personuppgiftsansvarig, och då är ett personuppgiftsbiträde, ska även de behandlingarna registreras, men då är det lite annan uppsättning av information som ska registreras för behandlingarna.

Vad ska registerförteckningen innehålla enligt artikel 30? 

För personuppgiftsansvariga finns informationen i artikel 30.1, och för personuppgiftsbiträde finns informationen i artikel 30.2.

I personuppgiftsansvariges registerförteckning ska följande uppgifter anges:

• Namn och kontaktuppgifter för personuppgiftsansvarig.
• Namn och kontaktuppgifter till dataskyddsombud.
• Ändamålen med behandlingen.
• Beskrivning av kategorierna av registrerade.
• Beskrivning av kategorierna av personuppgifter.
• Om möjligt, förutsedda tidsfrister för radering av de olika kategorierna av uppgifter.
• Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder. 
• Kategorier av mottagare till vilka personuppgifterna har lämnats ut till eller ska lämnas ut, inklusive mottagare i tredjeländer eller i internationella organisationer. Även personuppgiftsbiträden räknas om mottagare.
• Identifiering av land eller internationell organisation om det förekommer överföring av personuppgifter sker till tredjeländer eller internationella organisationer. Om överföring sker i undantagsfall ska det finnas dokumentation av bedömning av omständigheter kring överföringen och lämpliga säkerhetsåtgärder.

I personuppgiftsbiträdes registerförteckning:

• Namn och kontaktuppgifter för personuppgiftsansvarig.
• Namn och kontaktuppgifter till dataskyddsombud.
• Kategorier av behandling som har utförts för varje personuppgiftsansvarigs räkning.
• Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.

Verktyg för registerförteckning

Tibro kommuns register finns hos respektive nämnd. Registret förs i Excel enligt en kommungemensam mall. Här ska all behandling av personuppgifter som sker i verksamheten finnas med, oavsett om det sker i system eller manuellt.

På varje förvaltning finns utsedda kontaktpersoner för GDPR-frågor som har det övergripande ansvaret för arbetet med nämndens registerförteckning. Men det är var och en som är ansvarig för att informationen i registerförteckningen är aktuell vad gäller de personuppgiftsbehandlingar som utförs i det egna dagliga arbetet.

Den registrerade har rätt att få information när hens personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige både när uppgifterna samlas in och när den registrerade annars begär det. Därutöver finns det vissa tillfällen när särskild information ska ges till den registrerade, till exempel om det inträffar ett dataintrång eller liknande (en allvarlig personuppgiftsincident) hos den personuppgiftsansvarige och det finns risk för till exempel identitetsstöld eller bedrägeri.

Informationen ska tillhandahållas den registrerade kostnadsfritt i en lättillgänglig, skriftlig form (till exempel elektronisk form) och med ett tydligt och enkelt språk. I dataskyddsförordningen anges vilken information som ska ges.

Om personuppgifter samlas in ska vi bland annat lämna följande information;

• Identitet och kontaktuppgifter för den ansvariga nämnden
• Ändamålen med behandlingen
• Den rättsliga grunden för behandlingen
• Den period personuppgifterna kommer att lagras eller de kriterier som används för att fastställa lagringsperioden
• Den registrerades rättigheter (bland annat rätt till rättelse och tillgång)