Personuppgifter – så behandlar vi dem

Från och med den 25 maj 2018 gäller en ny dataskyddslagstiftning (GDPR, General Data Protection Regulation)  i Sverige och resten av EU. Lagstiftningen ersätter personuppgiftslagen och är till för att skydda enskildas personliga integritet.

Ändamål med behandlingen

Personuppgifterna används som underlag för ärende­hand­läggning, admi­nistra­tion, tillsyn, fakturering och framtagande av statistik. Det är också nödvändigt för att den svenska offentlighetsprincipen fullt ska kunna fylla sin funktion.

Rättslig grund för lagring av personlig data

Vi behandlar bara dina personuppgifter om det finns stöd i dataskyddsförordningen (GDPR) eller annan lagstiftning. Följande lagliga grunder stödjer sig kommunen på för att behandla dina personuppgifter:,

• Myndighetsutövning (ex. bygglov eller ekonomiskt bistånd)
• Avtalssituation (ex. anställningsavtal, avtal med kund)
• Rättslig förpliktelse (ex. bokföringsskyldighet, offentlighet- och sekretesslagstiftning)
• Allmänt intresse (ex. forskning, statistik, arkiv)
• Intresseavvägning (ex. kameraövervakning)
• Samtycke (ex. vid publicering av personuppgifter på webb och sociala medier).

Du har rätt att få information om vilken rättslig grund som gäller vid behandling av just dina personuppgifter.

Vem är ansvarig för dina personuppgifter?

Det är den nämnd som handlägger ditt ärende som har ansvar för att dina personuppgifter behandlas korrekt. I Kristinehamns kommun finns följande nämnder:

Kommunstyrelsen

Skolnämnden

Socialnämnden

Tekniska nämnden

Kulturnämnden

Miljö- och byggnadsnämnden

Administrativa nämnden

Överförmyndarnämnden

Valnämnden

Adressen till respektive nämnd är:

Kristinehamns kommun

Namnet på nämnden ifråga

68184 Kristinehamn

Du kan också kontakta nämnden via kommunens telefonväxel 0550-880 00

Dina rättigheter

Om du anser att person­uppgifter om dig är felaktiga, ofull­ständiga eller irrelevanta har du rätt att begära att upp­gifterna rättas eller raderas. Du har också rätt att återkalla ett samtycke och rätt att klaga till tillsynsmyndigheten Datainspektionen om du anser att dina personuppgifter behandlas felaktigt.

Du har också rätt att en gång per kalen­derår utan kostnad få information om vilka av dina person­uppgifter som behandlas (register­utdrag). En begäran om register­utdrag kan göras via våra e-tjänster. Länken hittar du nedan:

Begäran om registerutdrag

Du kan även kontakta kommunens dataskyddsombud e-post: dataskyddsombud@kristinehamn.se eller via kommunens telefon­växel 0550-880 00.

Hur vi delar personuppgifter med andra

Personuppgifterna kan komma att lämnas ut till andra myndigheter till exempel i samband med överklagande av beslut. Uppgifter som är allmänna och offentliga kan komma att lämnas ut i enlighet med tryck­frihets­för­ord­ningens och offent­lighets- och sekretess­lagens regler om utlämnande av allmänna handlingar.

För att vi ska kunna utföra våra uppdrag kan vi behöva dela och samköra dina personuppgifter med andra företag. När vi delar dina uppgifter med någon annan har vi avtal och rutiner hur det ska gå till för att skydda dina personuppgifter.

Våra sociala medier

Om du kontaktar oss på våra sociala medier, till exempel Facebook eller Instagram överförs informationen och personuppgifterna alltid till tredje part (företaget eller organisationen som driver det sociala mediet). För din egen skull rekommenderar vi dig att inte skicka känslig information till oss via sociala medier.

Så jobbar vi med bilder i sociala medier

Med anledning av EU-domstolens dom i fallet Schrems II anpassar Kristinehamns kommun sitt arbete med sociala medier. Det var den 16 juli 2020 som domstolen slog fast att det avtal som finns mellan EU och USA som gäller personuppgiftsöverföring inte är tillräcklig. På grund av detta rekommenderar ansvariga myndigheter organisationer att se över sina flöden av personuppgifter och anpassa sitt arbete med sociala medier.

Vad är GDPR?

GDPR är dataskyddsförordningen som alla verksamheter måste följa. Dataskyddsförordningen innebär att all personuppgiftsbehandling måste ha en laglig grund, att den registrerade ska informeras om hur organisationen behandlar personuppgifter och att personuppgiftsbehandlingen ska följa ett antal grundläggande principer. GDPR blev lag i Sverige 2018 och grundar sig i de mänskliga rättigheterna. GDPR gäller i hela EU. 

Schrems II

Privacy shield var ett avtal mellan EU och USA som enligt GDPR fungerat som en laglig grund vid personuppgiftsöverföring till tredje land. Den 16 juli 2020 meddelade EU-domstolen domen i det så kallade Schrems II-målet. Domstolen slog fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA. Vissa undantag inom ramarna för GDPR kan tillämpas, men reglerna för så kallad tredjelandsöverföring är strikta och personuppgifter bör därför hanteras med största möjliga försiktighet.

Med anledning av utfallet i Schrems II-målet anpassar Kristinehamns kommun arbetet med personuppgifter i sociala medier. Det gäller i första hand bilder, men även andra typer av personuppgifter kan vara aktuella. Några exempel är namn och röst.

Frågan om hantering av personuppgifter efter Schrems II-domen är högst aktuell och prioriterad på internationell nivå. Diskussioner mellan EU och USA pågår och målet är att möjliggöra förutsägbara, pålitliga dataflöden samtidigt som man skyddar människors integritet.

Vad innebär överföring till tredje land?

Överföring av personuppgifter till tredje land är när personuppgifter blir tillgängliga för någon i ett land utanför EU/EES-området.

Att publicera något på internet är inte tredjelandsöverföring förutsatt att webbplatsen lagras hos en internetleverantör som är etablerad inom EU/EES. Om leverantören däremot finns i till exempel USA är överföringen av personuppgifter enligt Schrems II olaglig.

Räcker inte samtycke?

För att använda personuppgifter vid en bildpublicering krävs samtycke. Samtycke används för att du som syns på bild ska veta vad dina personuppgifter kommer att användas till och att du godkänner användningen. Samtycken för bildpublicering bör hämtas in vid varje publiceringstillfälle. Dessa samtycken regleras via GDPR. GDPR reglerar däremot inte tredjelandsöverföring, utan enbart tillåtelse att publicera en personuppgift i en viss kanal vid ett givet tillfälle. Enligt GDPR kan du när som helst få din bild bortplockad från digitala publiceringar. Överföringen till tredjeland kan däremot inte återkallas och det är den överföringen som Schrems II-domen reglerar. Därför är vi restriktiva med dina personuppgifter i sociala medier.

Beslut om restriktivitet

I december 2021 fattade kommunstyrelsen i Kristinehamns kommun beslut om en restriktiv hållning till personuppgifter i sociala medier. Bedömningen om restriktivitet baseras på juridiska bedömningar av Schrems II och SKR:s förslag om anpassningar till myndigheter, kommuner och organisationer.

Vilka blir konsekvenserna vid en fällande dom?

Ibland kan en personuppgiftsöverföring i sociala medier ske baserat på något av undantagen i GDPR, dock ska inte personuppgiftsöverföringar ske systematiskt och en bedömning ska göras från fall till fall. Målet är alltid att riskreducera den eventuella personuppgiftsöverföringen. Alla undantag ska dokumenteras och ska kunna motiveras vid en eventuell granskning. 

Ansvarig myndighet för frågor som rör tredjelandsöverföring är Integritetsskyddsmyndigheten, IMY. De verktyg som IMY kan använda mot organisationer som inte följer lagstiftning kring personuppgifter är bland annat förelägganden, begränsning, förbud eller sanktionsavgifter. När IMY bedömer hur hög en sanktionsavgift ska vara tar myndigheten bland annat hänsyn till om överträdelsen skett med uppsåt eller oaktsamhet. Att fortsätta användningen som vanligt trots att vi efter Schrems II-domen ser risker med att fortsätta, kan bedömas som att kommunen agerat med uppsåt eller åtminstone oaktsamhet.

En fällande dom kan innebär höga bötesbelopp och ansvaret för frågan om tredjelandsöverföring av personuppgifter ligger på politiska nivån i den kommunala organisationen.