Vanliga frågor

Förordningen har tagits fram för att stärka skyddet och spridningen av personuppgifter inom EU och tredje land. Den ger dig en större möjlighet kunna kontrollera och godkänna hur dina personuppgifter behandlas. 

Som personuppgifter räknas all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det kan till exempel vara, namn, personnummer, adress, e-postadress, IP-adress, bilder, filmer och registreringsnummer på bilen.

En behandling av en personuppgift innebär en insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller ett tillhandahållande på annat sätt.

Ett register är en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden som till exempel verktyg som tillhandahålls av Google, Facebook och andra sociala media. 

I Dataskyddsförordningen har kraven ökat på personuppgiftsansvarigs skyldigheter. En personuppgiftsansvarig kan till exempel vara en offentlig myndighet, institution eller annat organ.

När det gäller Malmö stad är varje nämnd en personuppgiftsansvarig. Det innebär att varje nämnd med sin förvaltning ansvarar för all behandling av personuppgifter inom förvaltningen och förvaltningen måste informera medborgaren om vilka behandlingar som görs. Vid överträdelser kan en personuppgiftsansvarig beläggas med vite och i Sverige föreslås ett vite för offentliga myndigheter uppgå till 20 miljoner kronor. 

Ett personuppgiftsbiträde är till exempel ett företag, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för personuppgiftsansvariges räkning. Det kan vara ett It-företag som levererar ett systemstöd för digital behandling av personuppgifter. 

Varje personuppgiftsansvarig och personuppgiftsombud ska utse ett dataskyddsombud som har en inspektions- och rapporteringsskyldighet till Datainspektionen. Dataskyddsombudet ska vara fristående och får enligt Dataskyddsförordningen inte utsättas för sanktioner eller avsättas av PuA eller PuB för att den har utfört sina lagstadgade uppgifter. 

Enligt dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt. De får inte användas i andra ändamål än vad som uttryckligen är angivna och berättigade dvs med ändamålsbegränsning. Man ska inte behandla personuppgifter som inte är relevanta för ändamålet och uppgifterna ska vara korrekta och uppdaterade. Personuppgifter ska inte förvaras längre än nödvändigt och ska hanteras på ett säkert sätt. 

En behandling är laglig när den personuppgiftsansvarige till exempel måste behandla personuppgifter för att fullgöra en rättslig förpliktelse, myndighetsutövning, eller nödvändig för att utföra en uppgift av allmänt intresse. 

Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap I fackförening, genetiska uppgifter, biometriska uppgifter (tex fingeravtryck), sexualliv, sexuell läggning, uppgifter om hälsa anses som känslig och anges i förordningen som särskilda kategorier av personuppgifter. Dessa får inte behandlas om de inte finns ett lagstadgat undantag för behandlingen. 

Den nya Dataskyddsförordningen stärker den registrerades rättigheter att bli informerad om behandlingen i en koncis, klar och tydlig, begriplig och lätt tillgänglig form. Informationen ska vara kostnadsfri.

Den registrerade har rätt att begära ut registerutdrag, rätt till rättelse, rätt till radering ("rätten att bli bortglömd") men rätten till radering gäller inte när den personuppgiftsansvarige måste behandla uppgifterna för att uppfylla en rättslig förpliktelse som till exempel arkivering av betyg. Rätt till begränsning, rätt till att göra invändningar, rätt till dataportabilitet det vill säga den registrerade har rätt att begära att samtliga personuppgifter flyttas från en personuppgiftsansvarig till en annan personuppgiftsansvarig. 

Du tänker kanske inte på det men när du som tjänsteperson tar ett foto där någon kommer med i bild – då samlar du in en personuppgift till en myndighet.

• Det ska finnas ett syfte till fotograferingen kopplat till tjänsteuppdraget.
• Det ska finnas skriftligt samtycke från alla som är identifierbara i bilden (om inte någon av de andra fem lagliga grunderna för personuppgiftsinsamling ger stöd för insamlingen).
• Tidigare samtycken är inte tillräckliga då GDPR har hårdare krav (stadskontoret håller på att ta fram mallar för GDPR-samtycken). 
• Om bilden ska publiceras i tryck räcker inte skriftligt samtycke från alla i bild utan avtal måste upprättas med dem. För att skriva på avtal måste personen ha fyllt 18 år (stadskontoret tar också fram riktlinjer och mallar för fotoavtal enligt GDPR).
• Personuppgiftsbehandlingen (= hur bilden förvaras med mera) ska registreras i förvaltningens centrala registerförteckning.
• Bilderna måste lagras på ett säkert sätt. De ska exempelvis inte vara kvar i mobilen, på minneskort eller förvaras på MaApps.
• En gallringsplan ska finnas för bilderna (=personuppgifterna). 

Beslut om hur vi ska hantera den registrerades rättigheter ska tas på förvaltningsnivå, av servicedirektör eller avdelningschef. Men, det krävs endast beslut när vi sekretessprövar vissa uppgifter i en handling eller när vi beslutar att inte lämna ut en handling.

Delegerade beslut till avdelningschef eller servicedirektören

• Teckna personuppgiftsbiträdesavtal.
• Beslut att ta ut en avgift eller neka en enskild begäran enligt dataskyddsförordningen (om inte begäran regleras enligt annan punkt i delegationsordningen).
• Beslut rörande rätt till begränsning av behandling under vissa förutsättningar enligt artikel 18 i dataskyddsförordningen.
• Beslut rörande rätt till dataportabilitet enligt artikel 20 i dataskyddsförordningen. 
• Beslut rörande rätt att göra invändningar enligt enligt artikel 21 i dataskyddsförordningen.