Frågor och svar om GDPR

Rättslig förpliktelse innebär att det finns författningar som gör att den personuppgiftsansvariga måste behandla vissa personuppgifter i sin verksamhet. Behandlingen sker för att kunna uppfylla krav som nationell lagstiftning kräver, som till exempel kraven i arkivlagen, bokföringslagen, skollagen, etc.

Myndighetsutövning innebär att en myndighet har statens uppdrag att bestämma över enskilda medborgare. Det kan vara beslut som ger den enskilda en viss förmån eller rättighet eller ett beslut som är betungande, kanske ett straff.

All myndighetsutövning ska grundas på lagar, förordningar eller andra författningar, det vill säga EU-rätt eller svensk rätt.

Rättslig förpliktelse, IMY

Myndighetsutövning, IMY

I dataskyddsförordningen anges att intresseavvägning inte gäller som laglig grund vid behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Detta kan tolkas som att intresseavvägning aldrig kan tillämpas av kommuner, men det finns olika uppfattningar.

SKR:s bedömning är att intresseavvägning inte kan tillämpas av myndigheter i myndighetsutövningen. Frågan inte är dock inte prövad av någon domstol än.

Däremot kan den rättsliga grunden uppgifter av allmänt intresse nyttjas som rättslig grund för dagliga administrativa sysslor inom en myndighet, som personaladministration och andra HR-frågor, som inte utgör myndighetens kärnverksamhet.

Intresseavvägning, IMY

Om det finns en sannolik hög risk för enskildas fri- och rättigheter ska en konsekvensbedömning av dataskyddet genomföras enligt dataskyddsförordningen. Syftet är att identifiera och förebygga risker med behandlingar av personuppgifter innan de uppkommer. Det kan röra sig om brister i skyddet för enskildas personliga integritet enligt dataskyddsförordningen eller annan registerlagstiftning.

Konsekvensbedömningar, mall med mera

Förteckning över när en konsekvensbedömning bör göras, IMY

E-post är en personuppgiftsbehandling som det krävs en laglig grund för behandling för. En stor del av den personuppgiftsbehandling som förekommer i en kommunal myndighets e-post kan hänföras till den lagliga grunden arbetsuppgifter av allmänt intresse (art. 6.1 e). Den gäller när innehållet eller ämnet berör de arbetsuppgifter myndigheten har inom ramen för den kommunala kompetensen, till exempel e-post i bygglovsärenden med invånare.

Även den lagliga grunden rättslig skyldighet kan vara grund för behandling av personuppgifter i sådan e-post, till exempel enligt dokumentationskrav i förvaltningslagen eller annan speciallagstiftning. Regeringen har därför ansett att begreppet uppgifter av allmänt intresse ska ges en vidare betydelse (prop. 2017/18:105 s. 56).

Med stöd av den lagliga grunden uppgifter av allmänt intresse kan myndighet således behandla personuppgifter inom den frivilliga verksamheten om behandlingen är nödvändig, som e-post inom kultur- och idrottsförvaltningen. Likaså stöds dagliga administrativa funktioner och åtgärder i den kommunala förvaltningen (prop. 2017/18:105 s. 61), till exempel e-post till och från kontaktpersoner hos leverantörer eller liknande.

Personuppgifter som inkommit via ett e-post bör överföras till ett system för ärendehantering för vidare hantering. E-postmededdelandet raderas sedan. Ett e-postsystem är inget ärendehanteringssystem.

Det finns ofta behov av att kunna registrera kontaktuppgifter till anställdas närstående, för att kunna kontakta dem om något skulle inträffa med den anställde under arbetstid.

IMY anser att arbetsgivaren för det ändamålet får behandla kontaktuppgifter till anhöriga med stöd av en intresseavvägning, eller, om arbetsgivaren är en myndighet, ett allmänt intresse.

En arbetsgivaren bör dock undvika att samla in uppgifter om vilken relation den anhöriga har till den anställda, eftersom detta kan utgöra känsliga personuppgifter.

Personuppgifter om enskilda, till exempel anställda och förtroendevalda, får endast publiceras på webbplatsen om det finns rättslig grund för publiceringen. Personuppgifter som enskilt betraktas som harmlösa kan anses vara kränkande beroende på sammanhanget de publiceras i.

Känsliga eller extra skyddsvärda personuppgifter får aldrig publiceras på webben.

Med detta sagt: personuppgifter om tjänstemän och förtroendevalda får publiceras när uppgifterna har anknytning till deras tjänsteutövning eller uppdrag, till exempel yrkestitel. Namn på ledamot i en nämnd får publiceras, liksom partitillhörighet, eftersom det avser hens politiska uppdrag i nämnden.

Känsliga personuppgifter, IMY

Kost går att koppla till hälsa eller religiös eller filosofisk övertygelse. Dessa utgör känsliga personuppgifter. För att kunna begära in uppgifter om kost, till exempel via ett webbformulär för anmälan till evenemang, krävs att det finns en särskild kryssruta för samtycke.

Känsliga personuppgifter, IMY

Arbetsgivaren behöver veta vad medarbetarna har för facklig tillhörighet för att kunna fullgöra sina skyldigheter enligt kollektivavtalet och hantera den årliga löneöversynen. De fackliga organisationer som är kollektivavtalsbärande part kan tillhandahålla denna uppgift.

SKR:s och Sobonas uppfattning är att en arbetsgivare som tar emot uppgifter om de anställdas fackliga medlemskap är personuppgiftsansvarig för de uppgifterna. Arbetsgivaren är inte personuppgiftsbiträde, även om uppgifterna utlämnas från en facklig organisation. Därför krävs det inte något personuppgiftsbiträdesavtal mellan arbetsgivaren och de fackliga organisationerna.

SKR:s och Sobonas uppfattning är att utgångspunkten är att fackförbunden lämnar uppgift till arbetsgivaren om vilka de företräder i samband med löneöversynen.

Medlemskap i fackförening är en känslig personuppgift. Sådana får behandlas när det är nödvändigt för att den personuppgiftsansvarige (arbetsgivaren) eller den registrerade (arbetstagaren) ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd.

Laglig grund för behandlingen finns i artikel 9.2 b i Dataskyddsförordningen som kompletteras av 3 kap 2 § i lag med kompletterande bestämmelser till EU:s dataskyddsförordning (2018:218).

Ja.

Publicera bilder, filmer och ljud på internet, Integritetsskyddsmyndigheten

Personuppgiftshantering gäller om bilden, filmen, texten eller ljudet innehåller personuppgifter.

GDPR har vissa generella undantag för tryckfrihet och yttrandefriheten med stöd av artikel 85 i förordningen. Framställning och publicering på papper av en personaltidning omfattas av det undantaget utifrån GDPR och samtycke behövs inte.

De anställda behöver normalt inte samtycka till att få en personaltidning – det får ses som en del av anställningen. Om personuppgifterna som lämnas till tryckeriet omfattar hemadresser så ska det finnas ett biträdesavtal mellan er och tryckeriet. Avtalet ska innehålla tystnadspliktsbestämmelser för tryckeriets medarbetare.

Att begära ut personuppgifter, via mejl eller på annat sätt, från en kommun eller annan myndighet är att begära ut uppgifter med hänvisning till allmänna handlingar. Begäran ska prövas på vanligt sätt: är det en allmän handling och det inte finns någon sekretess för uppgifterna, då ska de lämnas ut i enlighet med Offentlighetsprincipen.

Enligt 21 kap. 7 § gäller sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med GDPR. Den som begär ut personuppgifter måste ha en laglig grund att behandla uppgifterna.

Det spelar ingen roll vem som begär ut handlingen. Om begäran kommer in via e-post väljer myndigheten själv om handlingen ska lämnas ut elektroniskt eller på papper via post. Den enskilde har bara rätt att få papperskopia.

Elektroniskt eller via papper

Den som begär ut ett registerutdrag elektroniskt har rätt att få ett svar elektroniskt om hen begär det. För att kunna använda elektroniskt förfarande fullt ut så krävs elektronisk identifiering i e-tjänst eller via Mina meddelanden.

Det går inte att kräva att få e-postadress till den enskilde om hen har valt att lämna in begäran med papperspost.

Be om specificering

Kommunen/myndigheten kan be den som gjort begäran att specificera sin begäran, till exempel att ange vem begäran avser om det är oklart eller att ange vilka nämnder begäran gäller. Men specificeringen får inte framställas som ett krav, och den sökande har ingen skyldighet att svara på en begäran om specificering. Anges bara kommunen i begäran så får det anses som alla nämnder, om det inte går att få ett annat besked från sökanden.

SKR:s uppfattning är att kommunen/myndigheten inte bör fråga den som söker om hen har varit elev, anställd, klient patient, förälder eller liknande.

Svarstid

Utdraget ska levereras inom den tid som lagen ställer upp – en månad – oavsett vilka frågor som ställts i begäran eller vilka specificeringar kommunen/myndigheten begärt. Om det är en komplicerad begäran där det finns mycket information om personen så är svarstiden max 3 månader (artikel 12. 3p.).

Arbetsmaterial

Undantagen i 5 kap 2 § dataskyddslagen gäller, arbetsmaterial som behandlats kortare tid än ett år behöver ej ingå. Se vidare i 5 kap 1-2 §§ dataskyddslagen.

Ja. Om begäran om allmän handling kom in via mejl så väljer myndigheten själv om handlingen ska lämnas ut elektroniskt eller på papper via post. Den enskilde har dock bara rätt att få papperskopia.

Detta finns reglerat i Dataskyddsförordningen, artikel 15. Den registrerade har rätt att få information om

• vilka personuppgifterna är,
• ändamålen med behandlingen,
• varifrån uppgifterna kommer,
• till vilka mottagare som uppgifterna har eller kommer att lämnas ut,
• rätten att begära rättelse eller radering av personuppgifter,
• rätten att inge klagomål till en tillsynsmyndighet,
• med mera.

Mer information hos IMY

Den registrerade har rätt att få informationen “utan onödigt dröjsmål” (art. 12.3) och i vart fall senast en månad efter det att begäran kom in. I vissa fall – beroende på hur komplicerad begäran är eller om det rör sig om en stor mängd inkomna önskemål om registerutdrag – så kan tiden förlängas med två månader. I så fall ska den registrerade få information om detta samt om anledningen till förseningen.

Detta är inte helt tydligt reglerat. IMY anser att det ges ett visst utrymme för den personuppgiftsansvarige att säga nej. Det finns en bestämmelse (art. 12.5 b) som innebär att den registrerade kan nekas att få ett registerutdrag om begäran är “uppenbart ogrundad eller orimlig”. Som exempel nämns särskilt om det rör sig om upprepade förfrågningar av samma slag, där man redan har lämnat ut uppgifter.

Nekad begäran, IMY

Nej, huvudregeln är att informationen ska tillhandahållas kostnadsfritt. Men det står också att om det rör sig om “uppenbart ogrundad eller orimlig begäran”, till exempel om den registrerade nyss har fått ett registerutdrag, så får den personuppgiftsansvarige antingen ta ut en rimlig avgift (som täcker de administrativa kostnaderna) eller vägra att tillmötesgå begäran.

Nekad begäran, IMY

Den som är registrerad i ett register har rätt att begära utdraget elektroniskt och att få det levererat elektroniskt. Den personuppgiftsansvarige måste kunna vara säker på att det är den registrerade som utdraget skickas till. Om den registrerade har identifierat sig med elektronisk signatur vid sin begäran, så kan man vara tillräckligt säker på att det är rätt person. Det gäller även en egenhändigt undertecknad pappersansökan.

Om begäran utgörs av ett vanligt e-postmeddelande utan e-signatur måste du på något annat sätt försäkra dig om att det är rätt person du har att göra med, innan du skickar ut känsliga eller sekretessbelagda personuppgifter.

Det är olämlpigt att distribuera känsliga personuppgifter med vanlig okrypterad e-post.

En myndighet bör som huvudregel inte använda samtycke som rättslig grund för sin personuppgiftsbehandling.

God man med rätt uppdrag, eller förvaltare, kan samtycka i den registrerades ställe. God mans-förordandet anger vilket uppdrag hen har fått av domstolen.

Giltighetstid ska anges i den information som föregår samtycket, liksom omfattning. Gäller det till exempel bara en bild eller alla bilder under en elevs hela skoltid? Kom även ihåg att samtycket kan återkallas.

I en vägledning från EU om samtycke sägs även bland annat att det är god sed att då och då påminna om samtycket. Det är oklart vad vägledningen innebär i praktiken.

Nej. Den lagliga grunden bör vara anställningsavtalet så samtycke är inte aktuellt. I artikel 13-14 GDPR räknas de uppgifter upp som arbetsgivaren självmant ska informera de registrerade om.

Arbetsgivaren måste dokumentera för vilka behandlingsändamål i sina verksamheter som personuppgifterna behövs.

Det krävs samtycke för att använda bilder där en eller flera personer kan identifieras (om det inte är bilder med avtal). Om du har samlat in samtycke för ett användningsområde, och sedan kommer på att du vill använda bilden till något annat också, så måste du be om ett nytt samtycke.

Notera också att ett samtycke till bildpublicering när som helst kan tas tillbaka. Då får inga fler bilder på personen publiceras utan att ett nytt samtycke lämnats.

Det här gäller såväl på webbplatser som i andra kanaler och format.

I Sverige är åldersgränsen för samtycke vid erbjudande av informationssamhällets tjänster direkt till barn satt till 13 år.

Handlar det till exempel om att en elev ska godkänna att skolan lägger upp bilder på eleven på skolans eller kommunens sida i den sociala medietjänsten, så är det en del av skolans verksamhet. Krävs samtycke för publiceringen så är det istället huvudregeln som gäller, det vill säga 14 eller 15 år, beroende på sammanhang och typ av uppgifter.

Notera att det kan finnas annan rättslig grund för behandlingen. Till exempel kan behandlingen vara nödvändig för utförande av en arbetsuppgift grundat på allmänt intresse och ha stöd i lag, förordning, eller beslut meddelat med stöd av lag eller författning (art 6 och 2 kap 2 § DSL).

Gränsen är inte glasklar mellan behandling av uppgifter för erbjudande av informationssamhällets tjänster direkt till ett barn och annan behandling av personuppgifter. Det finns skrivningar om vad detta kan omfatta i de svenska förarbetena till den nationella implementeringsbestämmelse där Sverige bestämde att 13 år ska gälla. Se prop 2017/18:105 sid 67.

För att det ska vara fråga om allmänt intresse ska det allmänna intresset följa av lag eller annan författning (till exempel förordning), av kollektivavtal eller av beslut som har meddelats med stöd av lag (till exempel myndigheters föreskrifter).

Det är svårt att avgöra var gränsen går mellan samtycke och allmänt intresse. Enligt Integritetsskyddsmyndigheten kan du använda allmänt intresse vid event för att marknadsföra din kommun. Det är viktigt att bilden är neutral, det vill säga inte är kränkande eller pinsam för den enskilde.

Nej, ett samtycke behöver inte alltid vara skriftligt men det måste finnas dokumenterat i verksamheten, till exempel antecknat i ett ärende som är sökbart i ett ärendehanteringssystem.

Nej, men det måste vara avgränsat för ett eller flera specifika ändamål.

I detta exempel bör publiceringen omfattas av undantaget för tryckfrihet och yttrandefrihet, det vill säga det omfattas inte dataskyddsförordningen.

E-post omfattas av GDPR, såväl innehållet i själva meddelandena som registrering i inkorg och e-postmeddelandenas metadata. E-post måste tas upp i kommunens registerförteckning och ett avgränsat ändamål ska anges. Alla som använder organisationens e-post måste göra det inom ramen för det ändamål som verksamheten bestämt och inget annat.

Samma regler gäller för alla anställda om hur e-posten får hanteras och när e-postmeddelanden ska gallras. E-posten är också underkastad arkivlagen och kommunens gallringsbeslut. E-posten är en kanal för kommunikation, inte ett diarium för återsökning av gamla beslut.

Känsliga personuppgifter krypteras innan de skickas med e-post. Om någon skickar in känsliga personuppgifter via e-post utan kryptering så bör meddelandet plockas bort från e-posten och hanteras i särskild ordning i system för ärendehantering eller system som har högre skydd är e-postsystem.

När det gäller kommunikation med e-post med länder utanför EU och EES så är reglerna i GDPR om överföring till tredje land tillämpliga. De innebär inget absolut förbud men det finns såväl hinder och begränsningar som undantag, vilket medför att särskild kartläggning behövs för olika enskilda fall.

All behandling av personuppgifter är underkastade samma regelverk i och med dataskyddsförordningen. Varje myndighet eller kommun måste ha ett avgränsat ändamål med sin e-posthantering, och ett gallringsbeslut som reglerar hur länge meddelandena ska sparas i e-postsystemet. Den enskilde handläggaren kan inte själv välja att spara det som hen tycker är bra att ha kvar utifrån sina egna behov.

Gallringsråd för e-post finns i Bevara och gallra nr 1.

Bevara eller gallra nr 1

Som privatperson har du enligt GDPR rätt att begära att dina personuppgifter blir raderade. Det gäller bland annat om uppgifterna inte längre är nödvändiga utifrån det syfte som de samlades in i, om uppgifterna behandlats olagligt eller om du har tagit tillbaka ditt samtycke och den personuppgiftsansvarige inte har någon annan rättslig grund att behålla uppgifterna.

Det finns dock flera undantag.

Myndigheter är enligt bland annat arkivlagen skyldiga att bevara sina handlingar. Därför finns ingen generell rätt att kräva radering när det gäller myndigheters hantering av personuppgifter.

Även andra personuppgiftsansvariga kan behöva ha kvar dina uppgifter för att kunna säkra eller försvara något som de har rätt till enligt lag. Personuppgiftsansvariga kan också behöva ha kvar uppgifter för att uppfylla lagkrav, som att vissa uppgifter som är nödvändiga för ett företags bokföring.

Denna rätt att bli glömd som den ibland kallas, är med andra ord ganska smal.

Inom GDPR finns regler om att personuppgifter inte ska bevaras längre än nödvändigt med hänsyn till ändamålen med behandlingen av uppgifterna. Två olika frågor diskuteras ofta, dels när den personuppgiftsansvariga myndigheten ska radera och gallra uppgifter ur systemen på eget initiativ, och dels när en registrerad ber om att uppgifterna ska raderas.

Den svenska arkivlagen är överordnad GDPR vad gäller myndigheter och kommunala bolag, och reglerar hur den personuppgiftsansvarige ska gallra i sina system. Kommuner och regioner ska ha gallringsbeslut och arkivföreskrifter som styr när och hur gallring ska ske. Det gäller allmänna handlingar generellt, inte bara personuppgifter.

Som privatperson har du enligt GDPR alltid rätt att begära att dina personuppgifter blir raderade. Men undantagen är många och för myndigheter och kommunala bolag är huvudregeln att det i princip inte finns någon sådan rätt till radering eftersom arkivlagstiftningen är överordnad.

Om behandlingen grundas endast på samtycke, och den registrerade återkallar samtycket så blir konsekvensen att uppgifterna inte längre får behandlas för det ändamål för vilket de samlades in. Däremot kan uppgifterna få finnas kvar för arkivändamål.

Kommuner och andra myndigheter kan vara skyldiga att spara till exempel ett foto enligt arkivlagen, även om den inte får användas för bildpublicering. Av denna anledning är samtycke inte en lämplig grund att använda för publicering av bilder på till exempel sociala medier och webb.

Man får normalt spara uppgifter eftersom de är en inkommen handling. Däremot är det inte säkert att uppgifterna får ligga kvar på det sociala mediet. Om det till exempel är en sekretessbelagd uppgift så måste den tas bort från kommunens sociala mediekonto.

Om uppgiften/bilden ska raderas totalt eller ej beror på hur kommunens gallringsregler med stöd av arkivlagen ser ut. Det beror också på vilken relevans uppgiften har för kommunens verksamhet.

Om du inte kan inhämta samtycke för publicering av bilderna så måste du antingen hitta en annan laglig grund eller gallra. När en myndighet raderar bilder i ett bildarkiv så är det gallring enligt arkivlagen och du måste ha stöd i gallringsbeslutet i din verksamhet för att få gallra.

Det är inte säkert att bilderna måste gallras. Däremot kan det vara stopp att använda bilden i publiceringar på webben om det inte finns samtycke.

Frågan är komplex och det är svårt att ge ett uttömmande svar.

Materialet får ligga kvar så länge som samtycket tillåter, för det mesta så länge som kampanjen pågår. Däremot kan ni ha rätt att spara filmen i ert arkiv i kommunen. En film som produceras för en kampanj får ses som en allmän handling som kan gallras med stöd av arkivlagen och ett gallringsbeslut i verksamheten. Den får dock inte raderas enbart med stöd av dataskyddsförordningens regler.

Det som styr hur alla vårdgivare ska hantera personuppgifter i samband med journalföring är

• patientdatalagen (PDL),
• lag om sammanhållen vård- och omsorgsdokumentation (SVOD),
• offentlighets- och sekretesslag (OSL),
• Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården.

Dessutom gäller GDPR och lag med kompletterande bestämmelser till EU:s dataskyddsförordning.

En privat vårdgivare är PUA för den behandling av personuppgifter som sker i dennes verksamhet. Privata vårdgivare har tystnadsplikt i enlighet med i patientsäkerhetslagen.

När en privat utförare bedriver socialtjänstverksamhet enligt socialtjänstlagen (SoL) eller lag om stöd och service till vissa funktionshindrade (LSS), finns specialreglering om hur utföraren ska hantera personuppgifter.

Regleringen finns i lagen om behandling av personuppgifter inom socialtjänsten och förordning om behandling av personuppgifter inom socialtjänsten.

Dessutom gäller GDPR och lag med kompletterande bestämmelser till EU:s dataskyddsförordning. Privata utförare som bedriver socialtjänstverksamhet måste också arbeta i enlighet med aktuella regler för tystnadsplikt i SoL och LSS.

Ett inkassoföretag som hanterar en kommuns inkassoärenden för indrivning är normalt personuppgiftsansvarig för vad det gör inom sin verksamhet. Inkassoföretaget är därmed skyldigt att se till att personuppgiftsbehandlingen i varje enskilt fall har stöd i en rättslig grund och följer övriga krav i dataskyddsförordningen.

Situationen är i princip densamma för revisionsföretag, advokatbyråer, rekryteringsföretag med flera som sköter uppdrag för kommunens räkning. Om en leverantör får åtkomst till exempelvis kommunens ekonomisystem är det dock en biträdessituation.

Dataskydd i inkassoverksamhet

Som huvudregel är den privata vårdgivaren personuppgiftsansvarig. En kommun kan tillhandahålla den privata vårdgivaren ett system för journalföring, ungefär på samma sätt som en vanlig IT-leverantör kan tillhandahålla IT-system.

Den privata vårdgivaren är då personuppgiftsansvarig för de uppgifter som den i egenskap av vårdgivare för in i patientjournalsystemet.

Kommunen är normalt personuppgiftsansvarig enbart för de uppgifter som kommunen själv i egenskap av vårdgivare för in i dokument.

Traditionella skolfoton

SKR:s bedömning är att när det gäller traditionella skolfoton så är det fotograferande företaget i det flesta fall personuppgiftsansvarig. Då behövs inget personuppgiftsbiträdesavtal.

Det vanligaste är att det fotograferande företaget erbjuder vårdnadshavare att köpa porträttbilder, skolfotokatalog och liknande. Avtalsförhållandet är då mellan de två parterna fotograferande företag och vårdnadshavare. Skolans eller kommunens roll blir enbart att upplåta plats för själva fotograferingen i sina lokaler, möjligen också lämna ut en klasslista eller motsvarande om en sådan begärs av det fotograferande företaget inför fotograferingen – ett utlämnande från kommunen till extern part med stöd av offentlighetsprincipen.

Utgångspunkten är att uppgifter om elevers namn, adresser och telefonnummer klasslistor inte omfattas av sekretess. Men det finns undantag om det finns särskild anledning att anta att den enskilde eleven eller någon närstående till denne lider men om uppgiften röjs.

Fotografering på skolans uppdrag

När en fotografering sker på skolans uppdrag för dess pedagogiska verksamhet bör skolan upprätta ett personuppgiftsbiträdesavtal med det fotograferande företaget. De företag som är anslutna till branschföreningen Sveriges Elevfotografers Riksförbund, SER, använder sig av SKR:s mall.

Varje nämnd är personuppgiftsansvarig för den behandling av personuppgifter som sker i nämndens verksamhet. Den som är personuppgiftsansvarig har rätt att anlita och ingå avtal med personuppgiftsbiträden (artikel 28).

Om varje nämnd i en kommun delegerar rätten att ingå biträdesavtal till en anställd i kommunen, till exempel IT-chefen, så blir det lagligt och korrekt för hen att hantera samtliga PUB-avtal för kommunens räkning.

Ibland är kommunstyrelsen personuppgiftsansvarig för vissa kommunövergripande system, som exempelvis e-post. Kommunstyrelsen kan i sådana fall också välja att delegera rätten att ingå biträdesavtal.

Den som är personuppgiftsansvarig för en behandling av personuppgifter ska ha ett biträdesavtal med systemleverantören. Vid upphandling av systemleverantör bör ett förslag på biträdesavtal skickas med förfrågningsunderlaget. Biträdesavtalet med tillhörande instruktion undertecknas sedan av den personuppgiftsansvariga och biträdet.

Som huvudregel behövs inget personuppgiftsbiträdesavtal på grund av att en privat vårdgivare behandlar personuppgifter om en kommuns medborgare. Den privata vårdgivaren är nämligen självständigt personuppgiftsansvarig för de uppgifter som den privata vårdgivaren behandlar. En vårdgivare är aldrig personuppgiftsbiträde rörande de personuppgifter som behandlas som en del i hälso- och sjukvården.

Personuppgiftsbiträdesavtal behövs dock i de fall där en kommun tillhandahåller ett system till den privata vårdgivaren såsom en tjänst. I dessa fall är kommunen att jämföra med en IT-leverantör. Detta innebär att ett personuppgiftsbiträdesavtal ska ingås där kommunen är personuppgiftsbiträde åt den privata vårdgivaren.

Notera att det ibland istället kan vara så att den privata vårdgivaren bör ingå personuppgiftsbiträdesavtalet med kommunens it-leverantör, om det i själva verket är så att det är en it-leverantör som behandlar (till exempel lagrar) personuppgifterna åt den privata vårdgivaren. Endast det faktum att en privat vårdgivare använder samma system som en kommun innebär inte att kommunen är personuppgiftsbiträde åt den privata vårdgivaren, om den privata vårdgivaren har installerat systemet på plats hos sig själv.

Som huvudregel behövs inget personuppgiftsbiträdesavtal på grund av att en privat utförare som bedriver socialtjänstverksamhet behandlar personuppgifter om en kommuns medborgare. Den privata utföraren är nämligen självständigt personuppgiftsansvarig för de uppgifter som den privata utföraren behandlar. En privat utförare som bedriver socialtjänst är aldrig personuppgiftsbiträde rörande de personuppgifter som behandlas som en del i den privata utförarens socialtjänstverksamhet.

Personuppgiftsbiträdesavtal behövs dock i de fall där en kommun tillhandahåller ett system till den privata utföraren såsom en tjänst. I dessa fall är kommunen att jämföra med en it-leverantör. Detta innebär att ett personuppgiftsbiträdesavtal ska ingås där kommunen är personuppgiftsbiträde åt den privata utföraren.

Notera att det ibland istället kan vara så att den privata utföraren bör ingå personuppgiftsbiträdesavtalet med kommunens it-leverantör, om det i själva verket är så att det är en it-leverantör som behandlar (till exempel lagrar) personuppgifterna åt den privata utföraren. Endast det faktum att en privat utförare använder samma system som en kommun innebär inte att kommunen är personuppgiftsbiträde åt den privata utföraren, om den privata utföraren har installerat systemet på plats hos sig själv.

Om kommunen tillhandahåller journalföringssystemet och lagrar eller på annat sätt behandlar personuppgifter för den privata vårdgivarens räkning, då är kommunen biträde åt den privata vårdgivaren vad gäller dessa personuppgifter. Detta är att jämställa med att kommunen agerar it-leverantör åt den privata vårdgivaren, och då behövs ett personuppgiftsbiträdesavtal mellan kommunen och den privata vårdgivaren.

När kommunen är biträde åt den privata vårdgivaren ska den privata vårdgivaren kunna styra ändamålen och medlen med behandlingen och kan ge kommunen instruktioner för personuppgiftsbehandlingen.

Om kommunen inte tillhandahåller systemet själv utan en utomstående leverantör gör det, så är den utomstående leverantören personuppgiftsbiträde. Kommun och en privat vårdgivare kan alltså arbeta i samma system utan att ett personuppgiftsbiträdesförhållande finns mellan dem. Vardera part som är vårdgivare ansvarar för sina egna behandlingar i systemet.

Huvudregeln är att annan än vårdgivaren själv kan ta del av en vårdgivarens journaler för att ge hälso- och sjukvård om båda vårdgivare är del av sammanhållenjournalföring. Det spelar här ingen roll om journalerna lagras i kommunens upphandlade system, om de förvaras hos en av utföraren anlitad iIT-leverantör eller något annat.

För privata vårdgivare inom hälso- och sjukvården samt privata verksamheter inom socialtjänst gäller regler om tystnadsplikt. Tystnadsplikten bildar en slags gräns runt den privata vårdgivaren eller verksamheten. Uppgifter som omfattas av tystnadsplikt (som uppgifter om en patients hälsotillstånd) får som utgångspunkt inte lämnas ut utanför den gränsen. Detta följer även indirekt av patientdatalagen och GDPR.

En kommun eller annan utförare kan dock under vissa förutsättningar ändå få ta del av en privat vårdgivares journaler. Detta får då endast ske enligt reglerna om sammanhållen journalföring. Dessa regler möjliggör för en vårdgivare (till exempel kommunen) att få direktåtkomst till en annan vårdgivares (till exempel en privat vårdgivares) journaler. Kommunen kan då se det innehåll i den privata vårdgivarens journaler som kommunen fått direktåtkomst till i en elektronisk patientjournal, men inte göra några ändringar eller tillföra någon ny information i dessa journalhandlingar.

Sammanhållen journalföring innebär med andra ord inte att flera vårdgivare ansvarar gemensamt för de uppgifter som syns i den samlade elektroniska patientjournalen.

Sammanhållen journalföring heter numera sammanhållen vård- och omsorgsdokumentation enligt den nya lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation (SVOD).

En vårdgivare eller omsorgsgivare är alltid personuppgiftsansvarig för de uppgifter som de själva har fört in i sina journaler eller annan dokumentation. SVOD kompletterar PDL och lagen om behandling av personuppgifter inom socialtjänsten (SoLPUL).

Det gäller även om uppgifterna görs tillgängliga för andra vårdgivare eller omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation.

Sammanhållen vård- och omsorgsdokumentation innebär inte att flera vårdgivare eller omsorgsgivare, till exempel en privat och kommunen, ansvarar gemensamt för de uppgifter som syns i den samlade vård- och omsorgsdokumentation.

Nej, för inköpta bilder är modellavtal bättre.

Om bilden är köpt direkt av en modell ska ett modellavtal upprättas. SKR har tagit fram en mall.

Om bilden är köpt av en bildbyrå ska ett avtal upprättas mellan kommunen/regionen och bildbyrån. Bildbyrån ansvarar för att modellavtal finns upprättat mellan dem och modellen.

Samtycke och modellavtal (mall, vägledning)

Rätten att bli glömd innehåller så många undantag för myndigheter att det nästan går att säga att den inte gäller myndigheter, som ju även har arkivlagen att ta hänsyn till.

Modellavtalen i sig behöver inte vara begränsade till ett visst antal år. Men i GDPR gäller alltid som princip att uppgifterna inte ska sparas längre än vad som är nödvändigt med hänsyn till det ändamål som gäller när uppgifterna samlas in.

När en personuppgiftsansvarig samlar in uppgifter direkt från den registrerade så ska denne alltid informera om behandlingen enligt artikel 13. Det innebär bland annat att ”… den period under vilken uppgifterna kommer att lagras eller om detta inte är möjligt, de kriterier som används för att fastställa denna period” alltid ska anges.

När modellen får betalt för att bilden tas. Modellen går med på att bilden får användas för publicering på de sätt och i de kanaler som anges i modellavtalet. Det är det som ersättningen avser.

När det inte utgår någon ersättning så är det inte ett avtal utan då handlar det om samtycke enligt GDPR.

När bilden används enbart i grundlagsskyddade medier (exempelvis publicering i en bok eller tidning som utges) så faller hela hanteringen under undantaget som gäller grundlagsskyddade medier. Se art 1 kap. 7 § i dataskyddslagen.

Samtycke och modellavtal (mall, vägledning)

Inte hur som helst. För att en publicering på myndighetens webbplats ska falla under något undantag från GDPR krävs ett frivilligt utgivningsbevis. Det finns nackdelar med utgivningsbevis och Integritetsskyddsmyndigheten har ifrågasatt om det är lagligt att myndigheter gör så. Men det finns möjlighet för en myndighet att skaffa frivilligt utgivningsbevis hos Myndigheten för radio, tv och media, MPRT.

Notera att utgivningsbevis för tidning och utgivningsbevis för databas är två olika saker, och vill man ha utgivningsbevis för båda krävs två ansökningar.

Utgivningsbevis, MPRT

Nej.

Det är oklart om myndigheter har möjlighet att använda frivilligt utgivningsbevis för en webbplats eller del därav. Men det förekommer att kommuner ansöker om utgivningsbevis hos Myndigheten för radio, tv och media, MPRT.

Det är också oklart om myndigheter kan åberopa undantag från GDPR vid behandling för så kallat journalistiskt ändamål när det gäller publicering av artiklar och redaktionellt material på en webbplats.

Har man inte frivilligt utgivningsbevis så rekommenderar SKR samtycke som huvudregel.

Utgångspunkten är att DSO bara behövs om de behandlar känsliga personuppgifter i stor omfattning. Enstaka friskolor har ett DSO.

Ett kommunförbund är en gemensam kommunal samverkansorganisation driven i föreningsform. SKR: bedömning är att en ideell förening inte behöver ha ett DSO. Om kommunförbundet har som kärnverksamhet att behandla personuppgifter bör dock ett DSO utses.

Ett kommunalförbund däremot är en myndighet och ska ha ett DSO.

Måste ni utse ett dataskyddsombud, IMY