Frågor och svar om GDPR

Myndighetsutövning är en myndighetsutövning. Rättslig förpliktelse däremot en behandling för att uppfylla krav som nationell lagstiftning kräver, som till exempel kraven i arkivlagen, bokföringslagen, skollagen.

Myndighetsutövning, IMY

I dataskyddsförordningen anges att intresseavvägning inte gäller som laglig grund vid ”behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter”. Detta tolkas av vissa som att intresseavvägning aldrig kan tillämpas av kommuner, men exakt hur det ska tolkas är inte klart och det finns olika uppfattningar.

SKR:s bedömning är att intresseavvägning inte kan åberopas av myndigheter. Men vi vill också tillägga att den frågan inte är prövad av någon domstol än eftersom lagstiftningen inte börjat gälla än.

I betänkandet Ny dataskyddslag SOU 2017: 39, särskilt sid 128-129, har den svenska utredaren i sina lagförslag utgått från att myndigheter generellt ska åberopa någon av de övriga grunderna i artikel 6 och att möjligheten att använda intresseavvägning sannolikt fallerbort. Eftersom detta är en EU-lagstiftning som ska tolkas och tillämpas konformt i alla medlemsländer så kan vi ännu inte säga säkert om det finns något utrymme eller inte vad gäller grunden ”intresseavvägning” i myndigheters behandling av personuppgifter.

Den rättsliga grunden "uppgifter av allmänt intresse" kan således nyttjas som rättslig grund för till exempel dagliga administrativa sysslor inom en myndighet, inklusive personaladministration och andra HR-frågor. Dessa frågor (HR-frågor) är inte myndighetens kärnverksamhet.

Intresseavvägning, IMY

Om någon begär ut personuppgifter via mejl, till exempel journalister, vad ska kommunen göra?

Att begära ut personuppgifter på detta sätt är att begära ut uppgifter med hänvisning till allmänna handlingar. Det ska prövas på vanligt sätt; är det en allmän handling och det inte finns någon sekretess för uppgifterna, då ska det lämnas ut i enlighet med Offentlighetsprincipen.

Om begäran om allmän handling kom in via e-post väljer myndigheten själv om handlingen ska lämnas ut elektroniskt eller på papper via pappers post. Den enskilde har bara rätt att få papperskopia.

Hur vet man vilken praxis för GDPR som gäller på vad som får lämnas ut? Har man rätt att skicka info via brev även om handlingen begärs ut via mejl?

Om begäran om allmän handling kom in via mejl så väljer myndigheten själv om handlingen ska lämnas ut elektroniskt eller på papper via pappers post. Den enskilde har bara rätt att få papperskopia.

Exempel på frågeställning

Vi är en kommun som undrar över om det går att specificera en begäran om registerutdrag.

Den som söker om registerutdrag hos oss idag behöver ange förnamn, efternamn, personnummer, hur den vill få sitt registerutdrag (via Mina Sidor eller rekommenderad post) samt så ber vi sökande att skriva under sin begäran. Vi ber den också precisera vilka förvaltningar i kommunen som dess ansökan avser, och den kan då välja en eller flera förvaltningar. Vi undrar om vi kan fråga om mer information om den som söker, om vi kan be den sökande att vara mer precis och om vi kan be om kompletterande personuppgifter för att lättare hitta i systemen (till exempel e-postadress)?

Svar

Det är ok som ni gör idag. Det nya i GDPR vad är att man har rätt att lämna in sin begäran elektroniskt och få ett svar elektroniskt om man begär. För att kunna använda elektroniskt förfarande fullt ut så krävs elektronisk identifiering i e-tjänst eller via mina meddelanden.

Man har ju som sökande ingen skyldighet att svara på en sådan begäran från kommunens sida, utdraget ska ändå levereras inom den tid som lagen ställer upp, en månad, oavsett vilka frågor man ställer. Om det är en komplicerad begäran där det finns mycket information om personen så är svarstiden max 3 månader (artikel 12. 3p.), annars gäller svarstiden en månad. NI kan ju inte använda det som ett krav för att leverera utdraget, det får inte framställas så att det kan tolkas som ett krav. Ni kan inte heller kräva att få e-postadress om den enskilde har valt att ge in begäran med papperspost.

Ni kan skriva och fråga om vilka nämnder i kommunen som begäran gäller . Varje nämnd är en personuppgiftsansvarig. Skriver man bara kommunen i sin begäran så får det anses som alla nämnder, om man inte får ngt annat besked från sökanden.

SKR:s uppfattning är att man inte ska fråga om man varit elev, anställd, klient patient, förälder el. liknande. Detta är inte jämförbart med offentlighetsprincipen.

Undantagen i 5 kap 2 § dataskyddslagen gäller också, arbetsmaterial som behandlats kortare tid än ett år , behöver ej ingå. SE vidare i 5 kap 1-2 §§ dataskyddslagen, som trätt ikraft nu.

Vad ska ett registerutdrag innehålla? Är det vilka it-system man finns i, vilka personuppgifterna är, eller är det all information om mig som finns?

Detta finns reglerat i Dataskyddsförordningen, artikel 15. Den registrerade har rätt att få information om bland annat om vilka personuppgifterna är, ändamålen med behandlingen, varifrån uppgifterna kommer, till vilka mottagare som uppgifterna har eller kommer att lämnas ut, rätten att begära rättelse eller radering av personuppgifter, rätten att inge klagomål till en tillsynsmyndighet.

Mer information hos Integritetsskyddsmyndigheten

Den registrerade har rätt att få informationen “utan onödigt dröjsmål” (art. 12.3) och i vart fall senast en månad efter det att begäran kom in. I vissa fall - beroende på hur komplicerad begäran är eller om det rör sig om en stor mängd inkomna önskemål om registerutdrag - så kan tiden förlängas med två månader. I så fall ska den registrerade få information om detta samt om anledningen till förseningen.

Vad händer om någon hör av sig till exempel varje vecka och vill ha ett registerutdrag?

Detta är inte helt tydligt reglerat men däremot ges det ett visst utrymme för den personuppgiftsansvarige att säga nej. Det finns en bestämmelse (art. 12.5 b) som innebär att den registrerade kan nekas att få ett registerutdrag om begäran är “uppenbart ogrundad eller orimlig”. Som exempel nämns särskilt om det rör sig om upprepade förfrågningar av samma slag (där man redan har lämnat ut uppgifter).

Nej, huvudregeln är att informationen ska tillhandahållas kostnadsfritt. Men det står också att om det rör sig om “uppenbart ogrundad eller orimlig begäran”, till exempel om den registrerade nyss har fått ett registerutdrag, så får den personuppgiftsansvarige antingen ta ut en rimlig avgift (som täcker de administrativa kostnaderna) eller vägra att tillmötesgå begäran.

Den registrerade har rätt att begära utdraget elektroniskt och att få det levererat elektroniskt också. Den personuppgiftsansvarige måste kunna vara säker på att det är den registrerade man skickar utdraget till. Om den registrerade har identifierat sig med elektronisk signatur vid sin begäran, så kan man vara tillräckligt säker på att det är rätt person. Samma sak om det är en egenhändigt undertecknad pappersansökan. Är det ett vanligt inkommet mejl utan e-signatur så måste man innan man skickar ut känsliga eller sekretessbelagda personuppgifter på något annat sätt försäkra sig om att det är rätt person man har att göra med.

När det gäller utskicket så ska man inte skicka känsliga personuppgifter med vanlig okrypterad e-post.

Enstaka fristående skolor har ett DSO. Men det behövs bara om de behandlar känsliga personuppgifter i stor omfattning.

Med kommunförbund menas inte kommunalförbund, utan gemensam kommunal samverkansorganisation driven i föreningsform.

• Kommunförbund bedömer SKR ha den juridiska formen Ideell förening. Det är inte solklart men vår bedömning att de inte är "myndighet eller offentligt organ".
• Kommunalförbund däremot är en myndighet ur juridisk synpunkt.

Exempelfråga

Kan man använda en öppen webbsida för att registrera anmälningar till kurser och samtidigt be personen registrera att den behöver särskild kost?

Svar

Det är en känslig uppgift och kräver en särskild kryssruta för samtycke.

E-post är en av flera typer av personuppgiftsbehandlingar. Enligt gamla person-uppgiftslagen föll e-post under undantaget för ostrukturerade personuppgifter (5 a §). Någon laglig grund behövdes tidigare inte för att behandla personuppgifter i e-post.

Undantaget upphörde emellertid den 25 maj 2018. Det krävs således en laglig grund för behandling av personuppgifter i e-post. En stor del av den personuppgiftsbehandling som förekommer i en kommunal myndighets e-post kan hänföras till den lagliga grunden ”arbetsuppgifter av allmänt intresse” (art. 6.1 e) såvida innehållet eller ämnet berör de arbetsuppgifter myndigheten har att fullgöra inom ramen för den kommunala kompetensen, till exempel e-post i bygglovsärenden med invånare.

Även den lagliga grunden ”rättslig skyldighet” kan läggas till grund för behandling av personuppgifter i sådan e-post, t.ex. enligt dokumentationskrav i förvaltningslagen eller annan speciallagstiftning.

Regeringen har därför ansett att begreppet uppgifter av allmänt intresse ska ges en vidare betydelse (prop. 2017/18:105 s. 56). Med stöd av den lagliga grunden uppgifter av allmänt intresse kan myndighet således behandla personuppgifter inom den frivilliga verksamheten, om behandlingen är nödvändig, till exempel e-post inom kultur- och idrottsförvaltningen. Likaså för dagliga administrativa funktioner och åtgärder i den kommunala förvaltningen (prop. 2017/18:105 s. 61), till exempel e-post till och från kontaktpersoner hos leverantörer eller liknande.

Hantera personuppgifter i e-post, IMY

Vilka personuppgifter om anställda och förtroendevalda kan publiceras på webben?

Personuppgifter om enskilda får endast publiceras på hemsidan om det finns rättslig grund för publiceringen. Att tänk på att är personuppgifter som enskilt betraktas som harmlösa kan anses vara kränkande beroende på sammanhanget de publiceras i. När det gäller känsliga eller extra skyddsvärda personuppgifter får de aldrig publiceras på webben.

På webbsidan får man publicera personuppgifter om tjänstemän och förtroendevalda som har anknytning till deras tjänsteutövning eller uppdrag som till exempel yrkestitel.

Exempelvis: Namn på ledamot i miljö- och stadsbyggnadsnämnden får publiceras på hemsida. Även partitillhörighet eftersom det avser hens politiska uppdrag i nämnden.

Exempelfråga

Vi har ett behov av att kunna registrera kontaktuppgifter till våra anställdas närstående, för att kunna kontakta dem om något skulle inträffa med den anställde under arbetstid. Vi är dock osäkra på vilken laglig grund vi kan stötta oss på, och om det finns någon laglig grund?

Svar

Det är tämligen osäkert. SKR kan inte avgöra om det kan vara ett allmänt intresse. Men om ni redan har uppgifterna idag och den finns i HR-register måste det finnas en laglig grund redan enligt den lagstiftning som upphör nu den 25/5 . Nödvändigt för fullgörande av avtal med den anställde är det sannolikt inte. Det faller inom Allmänt intresse möjligen?

När det gäller intresseavvägning så har det funnits en diskussion om huruvida den bortfaller helt (som regeringen tycks anse när men läser prop:en till dataskyddslagen) eller om det kan finnas ett utrymme för det vad gäller administrativt stöd av olika slag till exempel HR-verksamhet, vilket har hävdats av en del jurister som föreläser inom området.

Exempelfråga

Vi går nu in i en lönerevision och har (som vanligt) kontaktat de aktuella facken för att få uppgift om vilka medarbetare de representerar. Budskapet från ett av facken är att de inte kan lämna ut dessa uppgifter med hänvisning till GDPR. De uppmanar oss istället att inhämta informationen från individen - något som är en smula ogörligt. Hur ser ni på detta?

Svar

En arbetsgivare är personuppgiftsansvarig för behandlingen av anställdas personuppgifter i verksamheten, och bestämmer ändamålen och medlen för personuppgiftsbehandlingen. Känsliga personuppgifter, såsom medlemskap i fackförening, får behandlas om det är nödvändigt för att den personuppgiftsansvarige (arbetsgivaren) eller den registrerade (arbetstagaren) ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd. Laglig grund för behandlingen finns i artikel 9.2 b i Dataskyddsförordningen som kompletteras av 3 kap 2 § i lag med kompletterande bestämmelser till EU:s dataskyddsförordning (2018:218).

För att en arbetsgivare ska kunna fullgöra sina skyldigheter enligt kollektivavtalet och hantera den årliga löneöversynen behöver arbetsgivaren veta vad medarbetarna har för facklig tillhörighet. Denna uppgift kan tillhandahållas från de fackliga organisationer som är kollektivavtalsbärande part.

SKR och Sobonas uppfattning är att en arbetsgivare som tar emot uppgifter om de anställdas fackliga medlemskap är personuppgiftsansvarig för de uppgifterna och inte personuppgiftsbiträde, oavsett om uppgifterna erhålls från en facklig organisation. Det krävs därför inte något personuppgiftsbiträdesavtal mellan arbetsgivaren och de fackliga organisationerna.

SKR och Sobonas uppfattning är att utgångspunkten är att fackförbunden lämnar uppgift till arbetsgivaren om vilka de företräder i samband med löneöversynen.

På grundval av lagstiftning och praxis gällande offentlighet och sekretess, samt med beaktande av utanförstående arbetstagares intresse av integritet gentemot de fackliga organisationerna, bör arbetsgivare inte lämna ut listor på samtliga anställda till de fackliga organisationerna.

Exempelfråga

Vi har ett inkassoföretag som hanterar krav-ärenden. De sköter inkassoärendena självständigt och tar in uppgifter från andra myndigheter för att kunna utföra sitt uppdrag. Dessa uppgifter kommer inte till kommunen. De anser sig inte vara personuppgiftsbiträden utan personuppgiftsansvariga.

Men jag skulle vilja säga att en leverantör kan vara både personuppgiftebiträde och personuppgiftsansvarig, men för olika uppgifter. Vi ska ju tala om i PuB-avtalet vad som är föremålet för behandlingen. Hur ska vi tänka?

Svar

Komplex fråga. Men inkassoföretag som hanterar kommunens inkassoärenden för indrivning är normalt personuppgiftsansvarig för det de gör i sin verksamhet. Kommunen lämnar över sina ärenden som innehåller personuppgifter, för behandling hos inkassoföretaget för detta ändamål (driva inkassoärenden). Uppdraget från kommunen gäller ju inte behandling av personuppgifter här utan inkassoverksamhet.

Det är samma situation som för revisionsföretag, advokatbyråer, rekryteringsföretag m.fl som sköter uppdrag för kommunens räkning. Det vore en annan sak om inkassoföretaget fick åtkomst till kommunens ekonomisystem, då vore det såklart en biträdessituation.

Patientdatalagen (PDL) och Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården vilka styr hur alla vårdgivare ska hantera personuppgifter i samband med journalföring. Dessutom gäller GDPR och lag med kompletterande bestämmelser till EU:s dataskyddsförordning. Privata vårdgivare måste även arbeta i enlighet med aktuella regler för tystnadsplikt patientsäkerhetslagen. Den privata vårdgivaren är normalt PUA för den behandling av personuppgifter som sker i dennes verksamhet.

När en privat utförare bedriver socialtjänstverksamhet enligt socialtjänstlagen (SoL) eller lag om stöd och service till vissa funktionshindrade (LSS) finns specialreglering kring hur utförare ska hantera personuppgifter i lag om behandling av personuppgifter inom socialtjänsten och lagens tillhörande förordning om behandling av personuppgifter inom socialtjänsten. Dessutom gäller GDPR och lag med kompletterande bestämmelser till EU:s dataskyddsförordning. Privata utförare som bedriver socialtjänstverksamhet måste också arbeta i enlighet med aktuella regler för tystnadsplikt och behörighetsgränser i offentlighets- och sekretesslag.

I vissa fall använder privata vårdgivare journalsystem som tillhandahålls av kommunen. Är det i dessa fall kommunen eller den privata vårdgivaren som är personuppgiftsansvarig för den privata vårdgivarens uppgifter som förvaras i det journalsystem som kommunen tillhandahåller?

Som huvudregel är det den privata vårdgivaren som är personuppgiftsansvarig. Om en kommun tillhandhåller ett system för journalföring till en privat vårdgivare, ungefär på samma sätt som en vanlig it-leverantör kan tillhandahålla ett it-system, så är den privata vårdgivaren personuppgiftsansvarig för de uppgifter som den privata vårdgivaren själv, i egenskap av vårdgivare, för in i systemet.

Att kommunen tillhandahåller ett system för journalhantering som används av en privat vårdgivare innebär med andra ord inte att kommunen blir personuppgiftsansvarig för de uppgifter som den privata vårdgivaren för in. Kommunen är normalt bara personuppgiftsansvarig för de uppgifter som kommunen själv för in i systemet i egenskap av vårdgivare.

Kan en anställd i kommunen, till exempel chefen för intern it, ges ansvar för att för kommunens räkning ingå personuppgiftsbiträdesavtal för alla verksamheter i kommunen och för alla kommunens nämnders räkning?

Varje nämnd är ju personuppgiftsansvarig för den behandling av personuppgifter som sker i nämndens verksamhet. (KS kan i och för sig vara personuppgiftsansvarig för vissa kommunövergripande system som e-posten). I artikel 28 sägs att det är den personuppgiftsansvarige som ska anlita personuppgiftsbiträden. Om varje nämnd, till den i kommunen anställde it-chefen, delegerar rätten att ingå biträdesavtal så blir det lagligt och korrekt.

Exempelfråga

Vi är med i ett kommunalförbund som hanterar våra it-frågor, upphandlarsystem. Vi har biträdesavtal med dem, behöver vi ha biträdesavtal även med systemleverantörerna (där förbundet varit upphandlad myndighet) om dessa hanterar personuppgifter?

Svar

Om det är kommunalförbundet som har handlat upp och tecknat avtal med dessa systemleverantörer så är det kommunalförbundet som ska ha biträdesavtal med dessa.

Ja.

Om fotograferingen sker på skolans uppdrag för dess pedagogiska verksamhet bör ett PUB-avtal upprättas. De företag som är anslutna till branschföreningen SER (Sveriges Elevfotografers Riksförbund) använder sig av SKR:s mall.

Om det inte är kommunen som tar initiativ och beställer/köper in fotograferingen och. bilderna inte används i skolans verksamhet så uppstår inte ett PUA-/PUB-förhållande. Istället är det ofta det fotograferande företaget som erbjuder vårdnadshavare att köpa bilderna/skolfotokatalogen.

Avtalsförhållandet är så att säga mellan dessa två parter. Skolan/kommunens roll blir då enbart att upplåta plats för själva fotograferingen i sina lokaler, och möjligen att lämna ut en klasslista eller motsvarande med nödvändiga uppgifter inför fotograferingen – ett utlämnande från kommunen till extern part enligt offentlighetsprincipen. Vi uppfattar med andra ord att det i de flesta fall är skolfotografen själv som är personuppgiftsansvarig, och då behövs inget biträdesavtal.

Som huvudregel behövs inget personuppgiftsbiträdesavtal på grund av att en privat vårdgivare behandlar personuppgifter om en kommuns medborgare. Den privata vårdgivaren är nämligen självständigt personuppgiftsansvarig för de uppgifter som den privata vårdgivaren behandlar. En vårdgivare är aldrig personuppgiftsbiträde rörande de personuppgifter som behandlas som en del i hälso- och sjukvården.

Personuppgiftsbiträdesavtal behövs dock i de fall där en kommun tillhandahåller ett system till den privata vårdgivaren såsom en tjänst. I dessa fall är kommunen att jämföra med en IT-leverantör. Detta innebär att ett personuppgiftsbiträdesavtal ska ingås där kommunen är personuppgiftsbiträde åt den privata vårdgivaren.

Notera att det ibland istället kan vara så att den privata vårdgivaren bör ingå personuppgiftsbiträdesavtalet med kommunens it-leverantör, om det i själva verket är så att det är en it-leverantör som behandlar (t.ex. lagrar) personuppgifterna åt den privata vårdgivaren. Endast det faktum att en privat vårdgivare använder samma system som en kommun innebär inte att kommunen är personuppgiftsbiträde åt den privata vårdgivaren, om den privata vårdgivaren har installerat systemet på plats hos sig själv.

Som huvudregel behövs inget personuppgiftsbiträdesavtal på grund av att en privat utförare som bedriver socialtjänstverksamhet behandlar personuppgifter om en kommuns medborgare. Den privata utförare är nämligen självständigt personuppgiftsansvarig för de uppgifter som den privata en behandlar. En privat utförare som bedriver socialtjänst är aldrig personuppgiftsbiträde rörande de personuppgifter som behandlas som en del i den privata utförarens socialtjänstverksamhet.

Personuppgiftsbiträdesavtal behövs dock i de fall där en kommun tillhandahåller ett system till den privata utföraren såsom en tjänst. I dessa fall är kommunen att jämföra med en it-leverantör. Detta innebär att ett personuppgiftsbiträdesavtal ska ingås där kommunen är personuppgiftsbiträde åt den privata utförare.

Notera att det ibland istället kan vara så att den privata en bör ingå personuppgiftsbiträdesavtalet med kommunens it-leverantör, om det i själva verket är så att det är en it-leverantör som behandlar (t.ex. lagrar) personuppgifterna åt den privata utföraren. Endast det faktum att en privat utförare använder samma system som en kommun innebär inte att kommunen är personuppgiftsbiträde åt den privata utföraren, om den privata en har installerat systemet på plats hos sig själv.

I vissa fall tillhandahåller en kommun ett system för journalföring till en privat vårdgivare. Är kommunen i dessa fall personuppgiftsbiträde till den privata vårdgivaren? Behövs i så fall ett personuppgiftsbiträdesavtal mellan kommunen och den privata vårdgivaren?

Om journalföringssystemet tillhandhålls på ett sådant sätt att kommunen tillhandahåller systemet, lagrar eller på annat sätt behandlar personuppgifter för den privata vårdgivarens räkning är kommunen biträde åt den privata vårdgivaren vad gäller dessa personuppgifter. Då behövs ett personuppgiftsbiträdesavtal mellan kommunen och den privata vårdgivaren. Detta är att jämställa med att kommunen agerar it-leverantör åt den privata vårdgivaren. Notera att kommunen alltså inte är personuppgiftsbiträde endast på grund av en kommun och en privat vårdgivare arbetar i samma system.

När kommunen är biträde åt den privata vårdgivaren ska den privata vårdgivaren kunna styra ändamålen och medlen med behandlingen och kan ge kommunen instruktioner för personuppgiftsbehandlingen.

I andra situationer, det vill säga om kommunen intebehandlar personuppgifter för den privata vårdgivarens räkning, behövs inget biträdesavtal eftersom kommunen inte är biträde åt den privata vårdgivaren. Så är till exempel fallet om kommunen inte själv tillhandahåller systemet utan en utomstående leverantör gör det. Då är den utomstående leverantören personuppgiftsbiträde.

Notera att endast det faktum att en kommun och en privat vårdgivare arbetar i samma system inte innebär att det föreligger ett personuppgiftsbiträdesförhållande. Vardera part som är vårdgivare ansvarar för sina egna behandlingar i systemet.

Huvudregeln är att annan än vårdgivaren själv inte kan ta del av en privat vårdgivares journaler. Det spelar här ingen roll om journalerna t.ex. lagras i kommunens upphandlade system eller om de förvaras hos en av utföraren anlitad it-leverantör . För privata vårdgivare inom hälso- och sjukvården samt privata verksamheter inom socialtjänst gäller regler om tystnadsplikt. Tystnadsplikten bildar en slags ”gräns” runt den privata vårdgivaren eller verksamheten. Uppgifter som omfattas av tystnadsplikt (t.ex. uppgifter om en patients hälsotillstånd) får som utgångspunkt inte lämnas ut utanför den gränsen. Detta följer även indirekt av patientdatalagen och GDPR.

En kommun (eller annan utförare) kan dock under vissa förutsättningar ändå få ta del av en privat vårdgivares journaler. Detta får då endast ske enligt reglerna om s.k. sammanhållen journalföring. Reglerna kring sammanhållen journalföring möjliggör för en vårdgivare(t.ex. kommunen) att få direktåtkomst till en annan vårdgivares (t.ex. en privat vårdgivares) journaler. Att en kommun får direktåtkomst till en privat vårdgivares journaler innebär att kommunen kan sedet innehåll i den privata vårdgivarens journaler som kommunen fått direktåtkomst till (i en elektronisk patientjournal). Kommunen kan dock inte göra några ändringar eller tillföra någon ny information i de journalhandlingar som kommunen kan se.

Sammanhållen journalföring innebär med andra ord inte att flera vårdgivare (t.ex. en privat vårdgivare och kommunen) ansvarar gemensamt för de uppgifter som syns i den samlade elektroniska patientjournalen.

Vid sammanhållen journalföring kan en vårdgivare under vissa förutsättningar få se uppgifter i en annan vårdgivares journaler. Vilken av vårdgivarna är då personuppgiftsansvarig för uppgifterna i journalerna?

En vårdgivare är alltid personuppgiftsansvarig för de uppgifter som vårdgivaren själv har fört in i sina journaler. Det gäller även om uppgifterna görs tillgängliga för andra vårdgivare genom sammanhållen journalföring. Sammanhållen journalföring innebär inte att flera vårdgivare (t.ex. en privat vårdgivare och kommunen) ansvarar gemensamt för de uppgifter som syns i den samlade elektroniska patientjournalen.

Reglerna om sammanhållen journalföring gäller bara under vissa förutsättningar. För att en kommun ska få se en privat vårdgivares journalhandlingar genom sammanhållen journalföring krävs att kommunen

1. har en aktuell patientrelation med den patient som uppgifterna som kommunen vill se rör,
2. att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, och
3. att patienten samtycker till det.

En kommun kan även få se en patients uppgifter genom sammanhållen journalföring om

1. uppgifterna rör en patient som kommunen har eller har haft en patientrelation med,
2. uppgifterna behövs för att kommunen ska kunna utfärda ett intyg om vård, och
3. patienten samtycker till det.

Under särskilda omständigheter kan en kommun få se en patients uppgifter (och att en specifik privat vårdgivare är den vårdgivare som spärrat dem) även om uppgifterna är spärrade. Det gäller t.ex. om det föreligger fara för patientens liv och de spärrade uppgifterna kan antas ha betydelse för patientens vård. Detta fenomen kallas ”nödöppning”.

Sammanfattningsvis kan en kommun som huvudregel inte ta del av uppgifter som ingår i den journal en privat vårdgivare för – även om det är en kommuns system. Vissa undantag finns.

I vissa fall kan en kommun även vilja ta del av uppgifter om en person som finns i personakter som förs av en privat utförare som bedriver socialtjänstverksamhet. Kan en kommun genom reglerna för sammanhållen journalföring även ta del av uppgifter i personakter inom socialtjänsten?

Reglerna för sammanhållen journalföring gäller inte inom socialtjänstens verksamhet. Inom socialtjänstens område finns ingen specialreglering likt reglerna för sammanhållen journalföring som finns inom sjukvården.

Om en privat vårdgivares uppdrag för kommunen upphör så ska den privata vårdgivaren som utgångspunkt

1. fortsatt förvara patientjournalerna enligt de regler som gäller för bevarande av journaler under minst 10 år från det att den sista uppgiften fördes in i journalen och
2. pröva patienters och närståendes begäran om att få ta del av patientjournalerna under denna tid.

Journalerna ska alltså inte lämnas till kommunen och kommunen får inte tillgång till journalerna även om de finns i kommunernas system.

Om en privat vårdgivare inte kan bevara patientjournalerna enligt de regler som gäller för bevarande av journaler kan den privata vårdgivaren ansöka om omhändertagande av journalerna hos Inspektionen för vård och omsorg (IVO).

Om en privat utförares uppdrag för kommunen avseende verksamhet inom socialtjänst upphör så ska den privata utföraren som utgångspunkt fortsatt förvara personakterna enligt de regler som gäller för bevarande av personakter under 2 år.

Om den privata en inte kan bevara personakterna enligt gällande regler finns möjligheter även inom socialtjänsten att begära omhändertagande av personakter då verksamhet upphör.

I vissa fall kan det hända att en privat vårdgivares uppdrag för kommunen upphör och kommunen istället övertar verksamheten. Får kommunen i dessa fall ta del av den privata tidigare vårdgivarens journaler? Vad händer om kommunen istället bestämt att en annan privat vårdgivare ska ta över verksamheten? Får den nya privata vårdgivaren ta del av den tidigare privata vårdgivarens journaler då?

Om en privat vårdgivares uppdrag för kommunen upphör och kommunen själv ska ta över verksamheten så måste patientens samtycke inhämtas för att kopior av den tidigare vårdgivarens journaler ska kunna överföras till kommunen. Att samtycke behöver inhämtas följer av reglerna om tystnadsplikt. Samma sak gäller i de fall kommunen har utsett en annan privat vårdgivare som ska ta över verksamheten. Även då behöver patientens samtycke inhämtas innan kopior av den privata tidigare vårdgivarens journaler överförs till den nya privata vårdgivaren enligt reglerna om tystnadsplikt.

Kan kommunen ta del av personakter från en privat som bedrivit socialtjänstverksamhet på uppdrag av kommunen om uppdraget upphör och kommunen ska överta verksamheten igen? Vad händer om en annan privat utförare istället ska ta över verksamheten? Får den nya privata utföraren ta del av den tidigare privata ens personakter då?

Om en privat utförare som bedrivit socialtjänstverksamhet ska upphöra med sin verksamhet och kommunen istället ska ta över verksamheten så måste individernas samtycke inhämtas för att kopior av den privata utförarens personakter ska kunna överföras till kommunen. Att samtycke behöver inhämtas följer av reglerna om tystnadsplikt. Om en annan privat istället ska ta över verksamheten gäller samma sak. Även då behöver individernas samtycke inhämtas för att kopior av den privata tidigare utförarens personakter ska kunna överföras.

Enligt GDPR har en person rätt att få sina personuppgifter raderade, Gäller detta även en kommuns socialregister?

Rätten att bli glömd är väldigt överdriven i media, det är en väldigt smal rätt som bland annat inte gäller inom socialtjänsten, hälso- och sjukvården, skolan, kreditupplysningsregister och så vidare.

Som privatperson har du rätt att begära att dina personuppgifter blir raderade. Det gäller bland annat om uppgifterna inte längre är nödvändiga utifrån varför de samlades in, om uppgifterna behandlats olagligt eller om har tagit tillbaka ditt samtycke och den personuppgiftsansvarige inte har någon annan rättslig grund att behålla uppgifterna.

Det finns dock undantag till denna rätt. Exempelvis kan den personuppgiftsansvarige behöva ha kvar dina personuppgifter för att uppfylla ett krav i lagen, som om vissa uppgifter är nödvändiga för ett företags bokföring. Likaså kan organisationen behöva ha kvar dina uppgifter för att kunna säkra eller försvara något som den kan ha rätt till enligt lag.

I diskussioner om GDPR nämns radering och gallring väldigt ofta. Det är två olika frågor, dels när den personuppgiftsansvariga myndigheten ska radera och gallra uppgifter ur systemen på eget initiativ, dels när en registrerad ber om att uppgifterna ska raderas. GDPR har regler om att personuppgifter inte ska bevaras längre än nödvändigt med hänsyn till behandlingsändamålen.

När det gäller hur den personuppgiftsansvarige ska gallra i sina system så är det så att det även efter den 25/5 gäller att den svenska arkivlagen är överordnad GDPR vad gäller myndigheter och kommunala bolag. Kommuner och regioner ska ha gallringsbeslut och arkivföreskrifter som styr när och hur gallring ska ske, det gäller ju allmänna handlingar generellt inte bara personuppgifter.

Den andra frågan om den registrerade har rätt att begära att dennes personuppgifter ska raderas. Det finns en sådan rätt i GDPR men undantagen är många och för myndigheter och kommunala bolag är huvudregeln att det inte finns någon sådan rätt till radering eftersom arkivlagstiftningen är överordnad. Om behandlingen grundas endast på samtycke, och den registrerade återkallar samtycket så blir konsekvensen att uppgifterna får inte behandlas för det ändamål för vilket de samlades in, t ex webbpublicering, däremot kan de få de finnas kvar för arkivändamål.

E-post har tidigare haft undantag från PUL genom den så kallade missbruksregeln, men med GDPR kommer detta försvinna. E-posten omfattas alltså av GDPR, dels innehållet i själva breven och dels registreringen i inkorg och metadata. Det man ska tänka på är bland annat att e-posten från 25/5 måste tas upp i kommunens registerförteckning, det ska ges ett avgränsat ändamål, alla som använder e-posten måste göra det inom ramen för det ändamål som verksamheten bestämt och inget annat.

E-posten är en kanal för kommunikation och inget diarium för återsökning av gamla beslut. E-posten är också underkastad arkivlagen och kommunens gallringsbeslut. Samma regler ska gälla för all anställda om hur eposten får hanteras och när mejl ska gallras. Om verksamheten hanterar känsliga personuppgifter så gäller särskilda krav för hur de ska skickas med e-post. De ska krypteras först.

Om någon skickar in känsliga personuppgifter via mejl utan kryptering så ska det förmodligen plockas bort från e-posten och hanteras i särskild ordning i system som har högre skydd.

När det gäller mejlkommunikation med länder utanför EU EES så innebär det att reglerna i GDPR om överföring till tredje land blir tillämpliga. Det är inget absolut förbud för det men det finns olika hinder och olika begränsningar gäller men det finns också undantag. Svårt att ge ett kortfattat svara om hur man ska hantera hela den frågan.

Frågan om hur länge det ska sparas i e-postsystemen bestäms av kommunens gallringsbeslut för e-posten. Eftersom all behandling av personuppgifter i och med dataskyddsförordningen är underkastad samma regelverk innebär det att varje myndighet måste ha ett avgränsat ändamål med sin eposthantering, vilken också påverkar hur långa bevarandetider som kan bli aktuella och gallringsbesluten. Det går inte längre med att varje handläggare själv väljer att spara det som är bra att ha utifrån sina egna behov.

Ostrukturerad behandling?

E-post är både ostrukturerad behandling och strukturerad behandling, allt ska inordnas under samma ändamål

Riktlinjer – hur länge ska e-post sparas?

När ska e-posten gallras, SKR har rekommendationer och vägledning genom Samrådsgruppen för kommunala arkivfrågor. Alla deras vägledningar finns på samrådsgruppens hemsida. Gallringsråd för eposten finns i ”Bevara och gallra nr 1, som gäller lednings och stödprocesser” som gäller en lång katalog av handlingsslag och bland annat e-post . En del ska bevaras i annan form än e-post en del kan gallras direkt för att det inte berör myndighetens verksamhet och en del kan gallras när en kopia har förts över till diariet eller annat system.

God man med "rätt" uppdrag, eller förvaltare, kan samtycka i den registrerades ställe. Är någon annan grund tillämplig så ska man aldrig använda samtycket.

Ett samtycke gäller så länge man har sagt att det ska gälla, i information som ska föregå samtycket. Till exempel bara en bild eller alla bilder under hela elevens tid i skolan. Kom dock ihåg att det går att återkalla.

Dessutom har det nyligen kommit en vägledning från EU om samtycke, som bland annat säger att de menar att det är "god sed" att då och då "påminna" om samtycket. Vad det kommer att innebära i praktiken återstår att se.

Om den som är på bilden ska samtycka så måste det gälla att personen samtycker till att bilden ska publiceras till exempel på en viss webbplats. Det räcker inte med att får jag använda bilden.

Nej, den lagliga grunden är anställningsavtalet, så samtycke är inte aktuellt. I artikel 13-14 GDPR räknas de uppgifter upp som ni självmant ska informera de registrerade om. NI måste ha koll på vilka behandlingsändamål som gäller i era olika verksamheter. Man kan göra en standardmall för detta men det är inte säkert att det omfattar det ni gör.

Villkoren för barns samtycke är satt till 13 år i Sverige vid erbjudandet av informationssamhällets tjänster direkt till barn. Vad innebär detta i praktiken?

Om det handlar om att eleven ska öppna ett konto hos den sociala medieleverantören så är det sannolikt 13 år som gäller (exempel Facebook, Instagram), det finns kommersiella inslag typ reklam och tjänsten riktar sig direkt till den unge när man skaffar konto och lämnar sina uppgifter till tjänsteleverantören .

När det i nästa led handlar om att eleven ska godkänna att skolan lägger upp bilder på eleven på skolans/kommunens sida i den sociala medietjänsten, så håller jag med dig, där är det en del av skolans verksamhet.

Om det krävs samtycke för publiceringen så är det istället huvudregeln som gäller, det vill säga normalt 14-15 år, allt beroende på sammanhang och typ av uppgifter. Gränsen mellan behandling av uppgifter för erbjudande av informationssamhällets tjänster direkt till ett barn och annan behandling av personuppgifter är inte glasklar. Men om man läser i de svenska förarbetena till den nationella implementeringsbestämmelse där Sverige har bestämt att 13 år ska gälla , så finns skrivningar om vad detta kan omfatta. Se prop 2017/18:105 sid 67.

Ytterligare en fråga är om det kan finnas någon annan rättslig grund för behandlingen, t ex att behandlingen är nödvändig för utförande av en arbetsuppgift grundat på allmänt intresse och som har stöd i lag, förordning, eller beslut meddelat med stöd av lag eller författning (art 6 och 2 kap 2 § DSL)?