Informationsklassificering i e-arkiv Stockholm utifrån dataskyddsförordningen. och Offentlighets- och sekretesslagen

Transkript

1 Stockholms stadsarkiv Dnr /08 Vers. 3.0 Sida 1 (9) Informationsklassificering i e-arkiv Stockholm utifrån dataskyddsförordningen (GDPR), dataskyddslagen och Offentlighets- och sekretesslagen 1. Inledning 2 2. Hur redovisas informationen i e-arkivet? På vilka nivåer sker klassificeringen? 3 3. Informationsklassificering i e-arkivet Klassificering med hänsyn till personuppgifter Klassificering med hänsyn till sekretess Klassificering med hänsyn till övrigt skydd 4 4. Så klassar du informationen Inga personuppgifter Harmlösa publicerbara personuppgifter Känsliga ej publicerbara personuppgifter Ingen sekretess Svag sekretess rakt skaderekvisit Stark sekretess omvänt skaderekvisit Inget övrigt skydd Övrigt skydd visa endast förekomst Övrigt skydd visa ej förekomst 7 5. Hur påverkar klassningen publicering? Publicering med hänsyn till personuppgifter Publicering med hänsyn till sekretess och övrigt skydd 9 Stockholms stadsarkiv 6. Versionshantering 9 Kungsklippan 6 Box Stockholm Växel stadsarkivet@stockholm.se

2 Sida 2 (9) 1. Inledning Detta dokument beskriver hur information som ska levereras till e-arkiv Stockholm ska klassificeras för att möjliggöra behandling, publicering och utlämnande i enlighet med EU:s nya dataskyddsförordning (GDPR) och den svenska kompletterande dataskyddslagen (SFS 2018:218) samt Offentlighets- och sekretesslagen OSL (SFS 2009:400). Informationen i e- arkivet kan även klassificeras med övrigt skydd, t.ex. vid upphovsrätt. Klassificeringen styr om informationen är tillgänglig och kan lämnas ut automatiskt via e- eller om en manuell prövning av handläggare måste ske. Det är levererande förvaltning/bolag/stiftelse som ansvarar för att en informationsklassificering enligt denna anvisning görs och det är Stadsarkivets ansvar att beskriva hur informationsklassningen går till i e- arkiv Stockholm. Detta regleras och genomförs inom anslutningsprojekten och dokumenteras i leveransöverenskommelse respektive leveransavtal. 2. Hur redovisas informationen i e-arkivet? Informationen i e-arkivet ska kunna återsökas och förstås över tid. Leveransens innehåll beskrivs med obligatoriska och valbara metadata för både redovisningsstrukturen och arkivobjektsstrukturen. Informationen kan vara redovisad enligt processredovisning, allmänna arkivschemat eller ett bestånd. på bestånd är en fotosamling som löper över flera klassificeringsstrukturer. Informationsredovisning sker på flera nivåer: - Nivå Redovisningsstruktur o beskriver leveransen o beskriver arkivbildaren och dess verksamhet - Nivå Arkivobjektsstruktur o beskriver informationen o beskriver hur informationen ska struktureras och sammanställas o påverkas av klassificeringen samt sökbehov Arkivobjekt kan bestå av huvudobjekt (HO), underobjekt (UO) och fil, som struktureras på två sätt: 1) En nivå, en huvudnivå (HO) 2) Två nivåer, med ett underliggande objekt (HO, UO)

3 Sida 3 (9) Huvudobjekt (HO) och Underobjekt (UO) är egentligen nivåer av metadata. Den egentliga handlingen (dokument/foto/film etc.) utgörs av filen. Filen kan kopplas antingen till ett huvud- eller underobjekt. 2.1 På vilka nivåer sker klassificeringen? Klassificering för personuppgifter, sekretess och övrigt skydd ska göras på någon, alternativt samtliga nivåer: - Huvudobjekt - Underobjekt - Fil Underobjekt får inte ges en lägre klassning än sitt huvudobjekt. Filen får inte ges en lägre klassning än sitt huvudobjekt och underobjekt. Det är alltså det övre objektet som styr klassningen nedåt (underobjekt, fil). Klassificeringen ska beskrivas och vid sekretessreglerad information ska lagrum anges per processnivå. Det skrivs in under attribut Åtkomstregler med lagrum enligt (OSL kap. ). Lagrum ska också anges på arkivobjektsnivå under Skäl sekretess / paragraf. 3. Informationsklassificering i e-arkivet 3.1 Klassificering med hänsyn till personuppgifter Information som överlämnas till e-arkiv Stockholm klassificeras i någon av följande klasser med hänsyn till dataskyddsförordningen (GDPR) och den svenska kompletterande dataskyddslagen: 0 Inga personuppgifter 10 Harmlösa publicerbara personuppgifter 20 Känsliga ej publicerbara personuppgifter 99 Betyder att informationen är oklassad och inte ännu getts en klassificering i någon av klasserna 0, 10 eller 20. Klass 99 används i undantagsfall. 3.2 Klassificering med hänsyn till sekretess Information som överlämnas till e-arkiv Stockholm klassificeras i någon av följande klasser med hänsyn till sekretess. Kapitel och paragraf/er i Offentlighets- och sekretesslagen OSL ska anges via fördefinierade val eller via fritext. 0 Ingen sekretess 10 Svag sekretess (rakt skaderekvisit) 20 Stark sekretess (omvänt skaderekvisit)

4 Sida 4 (9) 3.3 Klassificering med hänsyn till övrigt skydd Information som överlämnas till e-arkiv Stockholm klassificeras i någon av följande klasser med hänsyn till övrigt skydd. Med klassificeringen övrigt skydd kan Stadsarkivet undanta information från publicering på grund av upphovsrätt, etiska avvägningar och tekniska begränsningar. Orsak till övrigt skydd ska anges via fördefinierade val eller via fritext. 0 Inget skydd 10 Visa endas förekomst 20 Visa ej förekomst 4. Så klassar du informationen 4.1 Inga personuppgifter Denna klassificering sätts på information som inte innehåller personuppgifter. Med personuppgift menas information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Har denna klassificering markerats på ett arkivobjekt kommer det att visas i sin helhet via publikt sökgränssnitt, såvida inte sekretess eller övrigt skydd föreligger. - Ritningar och annan teknisk dokumentation utan noteringar om personnamn såsom arkitekt eller handläggare - Ritningar och annan teknisk dokumentation som är minst 80 år gammal - Foton som inte avbildar personer - Foton som är över 100 år gamla - Budget och Årsredovisning för Stockholms stad - Fartygsanlöp - Rapporter och statistik över förmedlade lägenheter 4.2 Harmlösa publicerbara personuppgifter Denna klassificering sätts på information som bedöms harmlös och som kan publiceras, sökas och spridas via internet. Har denna klassificering markerats på ett arkivobjekt kommer det att visas i sin helhet via publikt sökgränssnitt, såvida inte sekretess eller övrigt skydd föreligger, på samma sätt som den information som klassificerats med inga personuppgifter. - Namn, arbetstelefon till tjänsteman/handläggare - Namn, arbetstelefon till förtroendevald - Namn på tjänsteman på annan myndighet - Namn på person i egenskap av representant för organisation eller företag

5 Sida 5 (9) - Förfrågningar/ärenden rörande privatperson som bara innehåller harmlösa uppgifter om egna personliga förhållanden t ex: o Förfrågan om öppettider o Fråga om skolupptagningsområde utifrån hemadress 4.3 Känsliga ej publicerbara personuppgifter Denna klassificering sätts på information som bedöms innehålla integritetskänsliga personuppgifter och där publicering på internet är oskälig i förhållande till den registrerades rätt till skydd av sina personuppgifter. De handlingar som klassas som ej publicerbara på internet är handlingar som innehåller: Personnummer, till exempel: - Skolbetyg - Klasslistor - Anställningsavtal Känsliga uppgifter enligt GDPR artikel 9. Känsliga uppgifter är uppgifter om: - Ras eller etniskt ursprung - Politiska åsikter - Religiös eller filosofisk övertygelse - Medlemskap i fackförening - Genetiska och biometriska uppgifter för identifiering - Uppgifter om hälsa och sexualitet (sexualliv, sexuell läggning) Vissa uppgifter om hälsa kan t ex finnas i - Sjukintyg - Rehabiliteringsärenden Andra uppgifter som innebär kränkning av den personliga integriteten: Denna punkt omfattar uppgifter där det bedöms att risken för en kränkning av personlig integritet väger tyngre än intresset av att informationen publiceras och görs tillgänglig via internet. Bedömning och gränsdragning måste göras från fall till fall. Nedanstående exempel ska tjäna som vägledning vid bedömningar. - Skadeståndsanspråk från privatpersoner - Avtal med privatpersoner som part - Klagomål från privatpersoner - Klagomål/synpunkter på stadens verksamhet från privatperson där icke harmlösa personliga förhållanden framgår, t ex särskilda behov hos förskolebarn - Uppgifter som pekar ut en person med negativa upplysningar eller värderande omdömen - Tjänsteansökningar

6 Sida 6 (9) Bra att ha i åtanke är att information i e-arkiv Stockholm kommer att kunna sökas tillsammans med information som levererats från andra förvaltningar och bolag. Har denna klass markerats på ett arkivobjekt kommer endast en begränsad mängd information, så kallad metadata, visas i träfflistan, såvida inte stark sekretess eller övrigt skydd visa ej förekomst föreligger. 4.4 Ingen sekretess Denna klassificering sätts på information som inte begränsas av sekretess och som kan sökas från e-arkiv Stockholm via internet. Har denna klassificering markerats på ett arkivobjekt kommer det att visas i sin helhet via publikt sökgränssnitt, såvida inte känsliga personuppgifter eller övrigt skydd föreligger. 4.5 Svag sekretess rakt skaderekvisit Denna klassificering sätts på information som begränsas av svag sekretess. Har denna klass markerats på ett arkivobjekt kommer endast en begränsad mängd information, så kallad metadata, visas i träfflistan, såvida inte övrigt skydd visa ej förekomst föreligger. Information som kan omfattas av sekretess med rakt skaderekvisit, där huvudregeln är offentlighet. - Affärssekretess OSL 19 kap - Bostadsförmedling OSL 26 kap 11 och 12 - Viss utbildningssekretess OSL 23 kap - Specifika uppgifter inom insatsrapporter Brandförsvaret OSL 32 kap Stark sekretess omvänt skaderekvisit Denna klassificering sätts på information som begränsas av stark sekretess. Har denna klassificering markerats på ett arkivobjekt ges inget resultat i träfflistan vid sökningar. Begäran om utlämning av information med stark sekretess kan inte göras via e- utan förfrågan ställs till Stadsarkivet via e-post, brev eller telefon. Däremot ges generell information om allt material som förvaras i e-arkivet med upplysning om att enskilda sökningar inte ger träff. Information som kan omfattas av sekretess med omvänt skaderekvisit, där sekretess är huvudregeln. - Socialtjänstakter OSL 26 kap - Elevhälsovårdsjournaler OSL 25 kap - LSS-akter OSL 26 kap - Viss utbildningssekretess OSL 23 kap

7 Sida 7 (9) 4.7 Inget övrigt skydd Denna klassificering sätts på information som kan publiceras, sökas och spridas via internet. Har denna klassificering markerats på ett arkivobjekt kommer det att visas i sin helhet via publikt sökgränssnitt, såvida inte känsliga personuppgifter eller sekretess föreligger. 4.8 Övrigt skydd visa endast förekomst Denna klassificering sätts på information som inte är lämplig att publiceras, exempelvis på grund av upphovsrätt, etiska skäl eller tekniska hinder (orsak ska anges). Har denna klass markerats på ett arkivobjekt kommer endast en begränsad mängd information, så kallad metadata, visas i träfflistan, såvida inte stark sekretess föreligger. 4.9 Övrigt skydd visa ej förekomst Denna klassificering sätts på information som begränsas av övrigt skydd. Har denna klassificering markerats på ett arkivobjekt ges inget resultat i träfflistan vid sökningar. Begäran om utlämning av information med övrigt skydd visa ej förekomst kan inte göras via e- utan förfrågan ställs till Stadsarkivet via e-post, brev eller telefon. Däremot ges generell information om allt material som förvaras i e-arkivet med upplysning om att enskilda sökningar inte ger träff.

8 Sida 8 (9) 5. Hur påverkar klassningen publicering? Det är den sammanvägda klassificeringen som styr den slutgiltiga åtkomsten av informationen. 5.1 Publicering med hänsyn till personuppgifter Klass Förklaring Publicering Internet Publicering Stadsarkivet läsesal 0 Inga personuppgifter 10 Harmlösa publicerbara personuppgifter 20 Känsliga ej publicerbara personuppgifter Information om förekomst publiceras. Utlämning kan begäras. Information om förekomst publiceras betyder att bara en begränsad mängd information, så kallad metadata, visas i träfflistan. - Arkivbildare (Engelska skolan, Katarina-Sofia stadsdelsförvaltning) - Original ID (Namn, födelsedatum, diarienummer) - Beskrivning av informationen (Betyg, ansökan, diarieplan) - Datum (Start- och/eller slutdatum för ärende) Träffen/svaret ska ta hänsyn till: - Information om ärendetyp

9 Sida 9 (9) 5.2 Publicering med hänsyn till sekretess och övrigt skydd Klass Förklaring Publicering Internet Publicering Stadsarkivets läsesal 0 Ingen sekretess Publiceras i sin helhet via e- Publiceras i sin helhet via e- Inget övrigt skydd 10 Svag sekretess rakt skaderekvisit Övrigt skydd visa endast förekomst 20 Stark sekretess omvänt skaderekvisit Uppgiften har prövats Övrigt skydd visa ej förekomst Information om förekomst publiceras. Utlämning kan begäras. Publiceras inte Information om förekomst publiceras. Utlämning kan begäras. Publiceras inte Information om förekomst publiceras betyder att bara en begränsad mängd information, så kallad metadata, visas i träfflistan. Publiceras inte betyder att inget resultat ges i träfflistan, även om information som matchar sökningen finns i e-arkivet. - Arkivbildare (Engelska skolan, Katarina-Sofia stadsdelsförvaltning) - Original ID (Namn, födelsedatum, diarienummer) - Beskrivning av informationen (Betyg, ansökan, diarieplan) - Datum (Start- och/eller slutdatum för ärende) Träffen/svaret ska ta hänsyn till: - Information om ärendetyp 6. Versionshantering Version Kommentar Ansvarig Datum 1.0 Slutversion CJ/JE Reviderad och fastställd i styrgrupp CJ Reviderad i samband med EU:s nya dataskyddsförordning (GDPR) och dataskyddslagen (SFS 2018:218) CJ