GDPR - det här gäller för APSIS

Principen är att hålla det på en miniminivå, det vill
säga så få uppgifter som möjligt. I de allra flesta fall räcker det att samla
in epost-adresser i våra mottagarlistor i Apsis.

När du skapar nya mottagarlistor är du ansvarig för att:

- besluta vad listan ska användas till
- besluta av vilken rättslig grund personuppgifterna behandlas
- om samtycke krävs - inhämta detta
- ta fram tydliga gallringsrutiner
- ha koll på vilka personuppgifter ni sparar
- besluta vem som ansvarar för listan
- dokumentera vilka listor du har

Alla som skapar en lista för utskick (nyhetsbrev, SMS eller Event) måste göra en registerförteckning på detta. Registerförteckningen ska berätta vad syftet med utskickat är, vilken laglig grund som gäller, vilka personuppgifter som sparas och hur länge sändlistan ska sparas innan den plockas bort.

Det finns en ansvarig för registerförteckningarna på repektive förvaltning.

Du måste tydligt kunna peka på vilken laglig grund du behandlar personuppgifter (ett val). De lagliga grunderna är:

- Ni har fått ett tydligt samtycke
- För att uppfylla ett avtal
- För att uppfylla en rättslig förpliktelse
- För att skydda vitala (livsavgörande) intressen
- För att utföra en uppgift av allmänt intresse eller myndighetsutövning
- Ni har ett berättigat intresse som väger tyngre än individens behov av skydd

När det gäller utskick från Apsis (nyhetsbrev och SMS) så handlar det oftast om de lagliga grunderna avtal eller samtycke, och i några fall allmänt intresse. Det skiljer sig beroende på om målgrupperna är interna eller externa.

Internt

När du skickar utskick internt så är det den rättsliga grunden avtal som gäller. Som en del i anställningsförhållandet ingår att ta emot information som arbetsgivaren anser att de anställda behöver. Här behövs alltså inget samtycke.

Externt

När det gäller externa utskick så är det i de allra flesta fall samtycke som tillämpas, och i enstaka fall allmänt intresse. 

Vid utskick från Apsis i samband med kris kan vi använda oss av den rättsliga grunden allmänt intresse. Det skulle också kunna vara aktuellt om det skickas ett nyhetsbrev till boende som påverkas av ett större vägarbete. Tänk ”need to know”. Innan allmänt intresse ska användas som laglig grund måste det göras en bedömning i det specifika fallet. Denna bedömning görs av respektive verksamhet.

Den information som hanteras i utskicken hamnar i kategorin "ringa betydelse för verksamheten" vilket betyder att de inte behöver diarieföras eller postregistreras.

När det gäller externa utskick så behöver vi i de allra flesta fall mottagarens samtycke till utskicket och att hens personuppgifter behandlas av Malmö stad. Det gäller vid all information som bygger på frivillighet (t.ex. info om stadsbibliotekets aktiviteter, kulturevenemang, Malmö stads hållbarhetsarbete, etc).

När du hämtar in ett samtycke så behöver du informera klart och tydligt om hur personuppgifterna ska användas.

Informationstext för inhämtning av samtycke finns framtagen, du hittar den längst ner på den här sidan. Samtyckestexten läggs på malmo.se precis i anslutning till att personen registrerar sig till nyhetsbrevet, alternativt som ett personligt mejl via Outlook. Om prenumeranter registrerar sig på andra sätt, exempelvis via en lista i samband med en konferens, så måste samtyckestexten finnas med tydligt i anslutning till där mottagaren skriver upp sig.

Nej, de samtycken vi hämtat in sedan tidigare gäller inte. För att ett samtycke ska anses giltigt, ställer GDPR en del krav på hur det ska formuleras. Ett samtycke enligt GDPR ska vara tydligt uttryckt, välinformerat, frivilligt och dokumenterat.

En mottagare av ett nyhetsbrev, sms eller event ska alltid kunna ta tillbaka sitt samtycke. Det gör mottagaren genom att avanmäla sig till nyhetsbrevet, sms:et eller eventet. Då raderas också den personens uppgifter från den specifika mottagarlistan i APSIS.

Du behöver skapa nya mottagarlistor genom att hämta in samtycke från mottagarna. Enklast löser du det genom att skicka ut ett nyhetsbrev till nuvarande mottagare och be alla förnya sin prenumeration om de fortfarande vill ha nyhetsbrevet. I utskicket berättar du om GDPR och att det behövs ett samtycke från personen för att hen ska kunna fortsätta vara prenumerant. Förslag på text som kan användas i ett sådant utskick finns framtaget (se längst ner på sidan).

Nya listor skapas med de som aktivt väljer att lämna sitt samtycke och bli prenumeranter.

Därefter, glöm inte att radera den gamla mottagarlistan. Vi har också massor av mottagarlistor i Apsis som aldrig används, se till att ta bort dem.

Det finns ingen tidsgräns på hur länge samtycket varar, men rekommendation är att förnya samtyckena vartannat år. Någon kan ha lämnat sitt samtycke, men glömt att de gett det och ändrat uppfattning.

Nej. Om du har samlat in uppgifter för ett användningsområde, och sen kommer på att du vill använda uppgifterna till något annat också, måste du be om ett nytt samtycke.

Här kan du läsa om Malmö stads förhållningssätt till GDPR vad gäller bild och film.

Alla gamla bilder i Apsis bildbank med identifierbara personer ska raderas. Vid uppladdning av nya följ de riktlinjer som finns kring Malmö stads förhållningssätt till GDPR vad gäller bild och film. Läs mer om det här.

Ni behöver se över gamla nyhetsbrev, sms och eventinbjudningar i Apsis och ta bort utskick med identifierbara personer. Men rekommendationen är att ta bort alla gamla nyhetsbrev, sms-utskick och eventinbjudningar. Se det som en chans att rensa i systemet.

Förvaltaren för Apsis kontaktar varje förvaltnings kontaktperson och ber att de plockar bort personerna från sändlistorna på deras förvaltning. Detta gäller även OPTOUT sändlistorna, de ska bort även från dessa. När medborgaren plockats bort från alla sändlistor meddelar kontaktpersonen Apsis förvaltning och verifierar att detta är klart.

Du når Malmö stads dataskyddsombud på: dataskyddsombud@malmo.se.