IT-POLICY FÖR ÖVERTORNEÅ KOMMUN

Transkript

1 IT-POLICY FÖR ÖVERTORNEÅ KOMMUN Fastställd i februari

2 0. INLEDNING De regler och riktlinjer som anges i denna, eller användarmanual, tjänar tre huvudsakliga syften. Den är till för att skydda nätverk, arbetsstationer, system och arbetsmaterial från otillbörlig åtkomst, påverkan och förstörelse, för att skydda sekretessbelagt och annat känsligt material från obehörig tillgång eller spridning samt för att skapa ett etiskt samt formellt och tekniskt korrekt bruk av kommunens IT-utrustning. Övertorneå kommun är en offentlig myndighet, och delar av kommunens datorhantering är lagreglerad. Policyn innehåller kortfattade redogörelser för vissa av dessa lagar och förordningar främst reglerna om handlingsoffentlighet och sekretess och anger hur dessa bör tolkas och tillämpas. Policyn är även framtagen för att organisationen ska kunna upprätthålla en så driftsäker datormiljö som möjligt. Ibland kan riktlinjerna i policyn kanske kännas överdrivet petiga och rigida, men även små avsteg från riktlinjerna kan få stora konsekvenser för den tekniska miljön, för det dagliga arbetet eller för enskilda personer i och utom organisationen. Säkerhetsansvarig för kommunens IT-verksamhet är IT-samordnaren. Kontakta alltid denne om du är osäker på hur du ska tillämpa reglerna i denna policy, eller hur du i övrigt ska hantera den IT-utrustning du genom din anställning har tillgång till. 1. ETISKA REGLER Du är aldrig inloggad som privatperson när du använder kommunens IT-utrustning och internet, utan ska i alla situationer betrakta dig som en representant för kommunen och för dina medarbetare. Det är därför av vikt att du upprätthåller ett korrekt och etiskt accepterat förhållningssätt, när du arbetar med nätverk och arbetsstationer. Kom ihåg att olämplig användning kan skada kommunens anseende. 1.1 Otillåten information Kommunen tillhörigt lagringsmedium får inte i någon form användas för lagring av sådan information, som ger uttryck för missaktning mot folkgrupp eller annan sådan grupp av personer eller enskilda med anspelning på t ex ras, kön, hudfärg, nationellt eller etniskt ursprung, trosbekännelse eller sexuell läggning. Detsamma gäller för lagring av pornografiska texter eller bilder. Anslutning till kommunens nät får inte användas för spridning av sådan information som avses i denna punkt. 1.2 Otillåten användning Kommunens webbsidor, och de sidor som dessa är länkade till, får inte innehålla information av det slag som anges i punkt 1.1. Sådan information får inte heller plockas upp på datorskärm, eller via kommunens nät överföras till annat medium, oavsett om så sker på egen eller på kommunen tillhörig dator eller datormedium. Det är heller inte tillåtet att besöka webbplatser som innehåller sådan information som anges i punkt 1.1. Den som av misstag får upp information av angivet slag ska omedelbart koppla ned anknytningen i fråga. 2

3 När dokument som innehåller uppgifter eller information som anges i punkt 1.1 upptäcks, eller om medarbetare använder kommunens datormedia på ett sätt som i övrigt strider mot dessa regler, ska detta omgående följas upp. Vid sådan upptäckt ska medarbetarens närmast överställde chef/ansvarig vidtalas. Denne chef/ansvarig ska härvid omedelbart ta kontakt med medarbetaren och ge denne möjlighet att förklara sig, innan ytterligare åtgärder vidtas. 1.3 Information på kommunens webbsidor mm Pressetiska regler ska i tillämpliga delar tillämpas i fråga om vad som får presenteras inom ramen för kommunens anslutning till nätet genom e-post, webbsidor eller på annat sätt. Pressetiska regler återfinns i bilaga Kommersiell reklam och annat enskilt nyttjande Kommunens nätverk får inte utnyttjas för spridande av kommersiell reklam genom e-post till samtliga anslutna, till grupper av mottagare eller till enskilda personer eller organisationer. Nätverket får inte heller användas för privat vinning eller för andra privata syften, som står i strid med kommunens intressen. 2. GRUNDREGLER FÖR DATORANVÄNDNINGEN 2.1 Allmänt Kommunens datorutrustning är ett arbetsredskap för effektivisering av arbetet. Ändringar av inställningar i utrustningen och installation av program- eller hårdvara kan medföra driftsstörningar i arbetsstationer och närverk. Du är som användare själv ansvarig för din arbetsstation och för alla åtgärder som vidtas med användning av ditt användar-id och ditt lösenord. Det innebär att du omedelbart ska rapportera fel och onormala händelser till kommunens IT-enhet (t ex vid driftstörningar eller om någon försökt ta sig in på din dator). Du får inte söka tillgång till nätverksresurser du inte har behörighet till, inte ändra i andra mappar och dokument i servern än dina egna eller göra intrång i andra användares konton, mappar och dokument. Du får heller inte, utan medgivande från ITenheten, installera program- eller hårdvara i din arbetsstation. Du förbinder dig som anställd att följa kommunens säkerhetsregler för IT-verksamheten. Använd blankett Spara dokument Normalt ska du spara dina dokument på servern. På den tas säkerhetskopia varje dygn. Om du sparar dokument på din egen hårddisk bör du regelbundet ta egna säkerhetskopior, t ex på diskett. Förvara sedan disketten på säker plats. Din mapp på servern har bara du och nätverksadministrationen tillgång till, om du inte meddelat att även andra ska ha tillgång till uppgifterna. 3

4 2.3 Portabla datorer Tänk på hur du förvarar din bärbara dator. Det är absolut förbjudet att t ex lämna den obevakad i bilen. Före återanslutning till kommunens datornät ska en portabel dator vara kontrollerad så att inga datavirus finns. I övrigt samma regler för portabla datorer som för fasta arbetsstationer. 2.4 Programinstallation och förvaring av originalprogram Behöver du installera programvara på din arbetsstation ska du samråda med IT-samordnaren innan du installerar programmet. Kom ihåg att icke licensierad programvara inte får användas! Originalskivor av datorprogram bör förvaras i säkerhetsskåp. Observera att datormedia kräver speciell förvaring de riskerar att förstöras vid en lägre temperatur än vad som gäller för t ex förvaring av pappersdokument. Lämpligt är att skivorna förvaras hos systemansvarig eller nätverkstekniker samt, om möjligt, i annan lokal än där programmen är installerade. 2.5 Manuella rutiner Varje verksamhet bör utarbeta egna rutiner för att minska sårbarheten ( beroendet av datorerna ), bl a genom att viss kunskap i felsökning finns hos någon medarbetare på avdelningen. Hur mycket vi än jobbar för att få till stånd driftsäkra system får vi aldrig glömma Murphys lag allt som kan gå åt skogen gör det förr eller senare! Det är därför väsentligt att varje verksamhet också utarbetar alternativa, manuella rutiner för att säkerställa att de uppgifter som åligger verksamheten kan fullgöras oberoende av datorhaveri och liknande. 3. BEHÖRIGHETER Varje förvaltnings- och enhetsledning ansvarar för att de egna medarbetarna har de behörigheter de är berättigade till för respektive verksamhetssystem, och för att alla medarbetare har informerats om användarregler och om innebörden i förevarande. Varje förvaltnings- och enhetsledning ansvarar även för skriftlig ansökan om eller avbeställning av medarbetares tillgång till kommunens gemensamma infrastruktur samt e-post. Därvid ska blankett 3 användas. Varje förvaltnings- och enhetsledning ska utse behörig beställare av användarkonton till datorsystemen. 4 LÖSENORD OCH ANVÄNDAR-ID 4.1 Lösenord och användar-id För att skydda dina data från obehörig åtkomst och förvanskning måste du ansluta din arbetsstation till nätverket med det användar-id du tilldelats samt med det lösenord du själv valt och angivit. Du får inte låna ut ditt användar-id och lösenord till annan medarbetare, annat än i undantagssituationer. Du får heller inte ha sådan 4

5 funktion aktiverad, som gör att din dator kommer ihåg ditt lösenord och loggar in dig automatiskt när du slår på datorn. Lösenordet består av tecken och kan vara en kombination av siffror och bokstäver, och du ska av säkerhetsskäl byta lösenord med jämna mellanrum. När tiden för ditt gamla lösenord gått ut får du en automatisk påminnelse om förnyelse du ska då byta till ett nytt lösenord. Måste du av någon anledning skriva upp ditt lösenord får du inte förvara det i direkt anslutning till din arbetsstation. 4.2 Loggfiler All e-posttrafik och de olika verksamhetssystemen loggas. Utifrån dessa s k loggfiler kan utläsas vilka åtgärder varje enskild medarbetare har vidtagit, t ex till vem du skickat och från vem du mottagit ett e-postmeddelande eller vilka åtgärder du vidtagit i verksamhetssystemen. Därför är det viktigt att du betraktar dina användaruppgifter (namn och lösenord) som strängt personliga. 4.3 In- och utloggning Vid inloggning kan du bli uppmanad att ange flera användarnamn och lösenord, beroende på vilka resurser du har fått behörighet till. Lämnar du rummet bör du av säkerhetsskäl logga ut eller låsa datorn. Vid luncher och kaffepauser ska du alltid logga ut från datorsystemen. Var också medveten om att det under pauserna kan förekomma servicearbeten på servrarna, för att minimera tiden för driftavbrott. 5. VIRUSSKYDD Arbetsstationer som är anslutna till nätverket uppdateras kontinuerligt med nytt virusskydd. Fristående datorer skall förses med virusskydd. Kontakta IT-samordnaren eller nätverksteknikern om du är osäker. De flesta virus sprids i dag via Internet. TÄNK PÅ VAD DU LADDAR NER! Filer med prefixet.exe är särskilt farliga i detta sammanhang innan plockar hem sådana filer skall du alltid förvissa dig om vad de innehåller. Skicka inte heller filer vidare, om du inte vet vad de innehåller. 6. INKÖP AV DATORER OCH KRINGUTRUSTNING Datorer och kringutrustning till arbetsplatser ska som regel beställas av IT-enheten. Köper du utrustning själv ska du alltid först samråda med IT-enheten, för att minimera risken för anpassningsproblem till kommunens datorsystem. Byte av utrustning inom eller mellan kontor bör också anmälas till IT-enheten. 5

6 7. OFFENTLIGHET & IT Vi jobbar på en offentlig förvaltning. Merparten av de handlingar och uppgifter vi hanterar är därmed att betrakta som allmänna handlingar i tryckfrihetsförordningens mening, oavsett i vilken form vi bearbetar dem på papper, på ljud eller bildmedia, elektroniskt eller på annat sätt. I det följande beskrivs kortfattat huvudreglerna för offentlighetsprincipens tillämpning, med särskild inriktning mot sådana uppgifter eller information som finns lagrad på tekniskt medium, t ex i databaser, på arbetsdatorer mm. 7.1 Begreppet allmän handling Med handling förstås en framställning i skrift eller bild, eller en upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med ett tekniskt hjälpmedel. En handling är allmän om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten. Det är själva informations- eller betydelseinnehållet som betraktas som en handling, inte den fysiska bäraren av informationen. Dock måste informationen vara fixerad på ett medium av något slag, så att informationen kan studeras upprepade gånger. För upptagningar är det logiska sambandet mellan den lagrade uppgiften och dess läsbarhet avgörande för om uppgiften ska betraktas som en handling eller inte. 7.2 Allmänna handlingar och IT Merparten av de uppgifter som finns lagrade i kommunens databaser blir aldrig överförda till pappersform, utan förblir dolda i hårddiskar, servrar mm. Trots detta kan uppgifterna mycket väl vara att anse som handlingar i tryckfrihetsförordningens mening; går en uppgift att läsa med ett tekniskt hjälpmedel, t ex på en dator via en bildskärm, är uppgiften att betrakta som en handling. När du arbetar med din dator är det särskilt viktigt att du kommer ihåg, att det är uppgifterna i sig som utgör handlingar inte den fysiska bäraren av uppgifterna. Du måste med andra ord tänka i vidare banor än när du jobbar med pappersbaserad information, där ju den allmänna handlingen i princip utgörs av det pappersark på vilket uppgifterna är fästade. Den information som finns lagrad i kommunens olika databaser anses förvarad hos kommunen, om den med rutinbetonade åtgärder är tillgänglig för myndigheten. Det innebär att om du via din dator har åtkomst till en uppgift, oberoende av vem som faktiskt förfogar över ( äger ) uppgiften, är denna som regel att betrakta som en handling. Arbetar du med ett material på din arbetsstation blir de uppgifter du löpande för in i vanlig ordning att betrakta som allmänna handlingar när du expedierat handlingen eller när det ärende till vilket uppgifterna hör har slutbehandlats. Här skiljer sig reglerna om handlingsoffentlighet inte från de som gäller för pappersbaserad information. IT-baserade uppgifter som kommer utifrån blir allmänna handlingar så fort de blivit tillgängliga för kommunen (jfr inkommen till kommunen). 6

7 När det gäller IT-baserade uppgifter sträcker sig offentlighetsprincipen i ett avseende längre än vad som gäller pappersbaserad information. Har du via din arbetsstation tillgång till uppgifter är du sålunda att skyldig att i viss utsträckning till och med göra vissa sammanställningar av uppgifter, om någon ber att få ta del av uppgifterna i sammanställd form. Du är dock inte skyldig att göra en sådan sammanställning, om det inte kan ske med rutinbetonade åtgärder. 7.4 Utlämnande av handling Utgångspunkten är att den som vill ta del av en allmän handling i våra datorsystem har rätt att göra det på stället i form av utskrift på papper. I den mån det är möjligt bör sökande också ges möjlighet att studera handlingar på bildskärm. Du är dock inte skyldig att lämna ut en kopia i annan form än genom pappersutskrift, dvs den sökande kan inte begära att få uppgifterna överförda på diskett, via e-post eller liknande. En annan sak är vi så långt det går bör bistå också med denna service. Är uppgifterna av känslig natur, och om det kan föreligga risk för att uppgifterna användas för olaglig dataregistrering, bör du dock endast lämna ut dem i form av pappersutskrift. 7.5 Några viktiga undantag På motsvarande sätt som gäller för pappersbaserad information är sådana uppgifter som finns i IT-baserade bibliotek, referensdatabaser mm undantagna från handlingsoffentlighet (den s k biblioteksreglen). Dessa uppgifter är i princip inte att betrakta som allmänna handlingar, och behöver inte lämnas ut vid förfrågan. Uppgifter i kartdatabaser, och ritningar och bilder lagrade på IT, utgör också undantag i den meningen, att de som regel inte behöver lämnas som kopia utan endast tillhandahållas i utskrift eller på bildskärm. 7.6 IT och sekretess Reglerna om sekretess tar till skillnad från reglerna om handlingsoffentlig sin utgångspunkt i uppgifter, inte handlingar. Det innebär att de regler om sekretess som gäller för uppgifter i allmänhet, äger motsvarande tillämpning på sådana uppgifter som finns lagrade i IT-baserade register och system. Det innebär också att du i ett sekretesshänseende inte ska göra någon skillnad mellan pappersbaserade uppgifter, uppgifter i IT-system eller uppgifter som bara finns i muntlig form. Föreligger en tillämpbar sekretessbestämmelse, ska du alltid tillämpa den! Genom IT-systemen har du som medarbetare ofta en snabb tillgång till en mängd uppgifter av sekretessbelagd eller annars känslig natur. För att minimera risken för att hemliga uppgifter kommer i fel händer, ska du dels känna till vissa behörighetsregler och dels underteckna en s k sekretessförbindelse (blankett 2). En sådan förbindelse visar att du tagit del av de behörighetsregler som gäller och att du känner till att du ska handskas försiktigt med sådana hemliga uppgifter som du får tillgång till i ditt arbete, men har egentligen ingen rättslig verkan i övrigt. En sekretessförbindelse hindrar dig t ex inte från att utnyttja din grundlagsskyddade meddelarfrihet, dvs rätten att röja vissa sekretessbelagda uppgifter till massmedia. 7

8 7.7 IT och arkiv Arkivlagens regler är medieneutrala, dvs är direkt tillämplig på både sådan information som finns lagrad i IT-systemen och sådan information som är pappersbaserad. Det innebär att de vanliga arkivreglerna kan tillämpas även på IT-baserad information (s k elektronisk arkivering). Kommunen har dock som regel att arkivföring sker på traditionellt sätt, dvs vi arkiverar endast (eller i huvudsak) pappersbaserat. Det innebär att sådana uppgifter du lagrar i din arbetsstation eller i servern måste skrivas ut på papper om den ska arkiveras. Är du osäker på hanteringen kan du rådfråga förvaltningens arkivansvarige eller kommunens arkivansvarige. 8. SÄRSKILT OM E-POST Vid användning av elektronisk post skall sedvanliga umgängesregler alltid iakttas. Förvaltningshuset använder sig av e-postsystemet Group Wise. Användarkonton utdelas och avbeställs med särskild blankett (bilaga 3). Beställning görs från respektive förvaltning. Tänk på att även meddelanden i e-postlådor i princip är att betrakta som allmänna handlingar. Undvik för din egen skull att ha personliga (privata) meddelanden i din e-postlåda, då all din e-postkommunikation är tillgänglig för systemadministratören. Glöm inte att samma lösenordsregler gäller för e-postlådorna som för nätverksuppkopplingen. 8.1 E-postadresser och användarkonton Med ditt e-postkonto får du en arbetsadress för e-post. Den är konstruerad enligt principen fornamn.efternamn@overtornea.se för personal i förvaltningshuset, och enligt principen fornamn.efternamn@edu.overtornea.se för personal inom skolan och för skolelever. Kom ihåg att bokstäverna å, ä och ö i e-postadresser ersätts med bokstäverna a, a och o. 8.2 Öppnande av annans e-postlåda Ibland måste kanske någon annan på kontoret eller avdelningen, t ex medan du är frånvarande, kunna öppna din brevlåda för att få fram meddelanden som rör ett särskilt ärende. Eftersom post adresserad direkt till dig i princip inte får öppnas av annan, måste du lämna en fullmakt där du godkänner att någon annan öppnar din e-postlåda. Sådan fullmakt lämnas på särskild blankett (bilaga 3). Kommunen kontrollerar inte den e-post du skickar eller mottar på din arbetsdator, inte heller hur du använder internet via din arbetsdator! Arbetsgivaren har dock en sådan möjlighet om han bedömer att det föreligger särskilda skäl för en sådan kontroll, t ex om arbetsgivaren på goda grunder har skäl att misstänka missbruk av 8

9 ditt nyttjande av e-post eller internet. Sådan kontroll från arbetsgivarens sida sker dock först efter det att berörd arbetstagare och fackliga företrädare kontaktats och informerats. 8.3 Hanteringen av e-post i ett offentlighetsperspektiv Mottagna och skickade e-postmeddelanden är, om de berör den verksamhet du ansvarar för eller kommunens verksamhet i allmänhet, att betrakta som allmänna handlingar. De ska därför också hanteras på motsvarande grunder som vanliga, inkomna eller expedierade pappershandlingar. I likhet med papperspost är det innehållet i meddelandet som avgör dels om meddelandet är en allmän handling, och dels om uppgifterna i meddelandet är offentliga eller ska vara föremål för sekretess. Det är viktigt att komma ihåg att det som kommer till våra e-postlådor i regel är allmänna och offentliga handlingar, som ska lämnas ut om någon begär det. Uppenbart privata e-postmeddelanden är däremot inte att betrakta som allmänna handlingar. Å andra sidan bör du undvika att styra din privata post, e-post eller annan privat kommunikation via kommunens olika system, eftersom misstag kan ske och din post blir tillgänglig för annan eller i ytterlighetsfallet rent av lämnas ut. 8.4 Hanteringen av e-post i ett arkivperspektiv E-post ska i ett diarie- och arkivperspektiv hanteras på samma sätt som pappersbaserade handlingar eller meddelanden. Det innebär i princip att varje inkommet e-postmeddelande ska diarieföras, för att sedermera gallras eller tas om hand för arkivering. Meddelanden som du får i e-postlådan, och som antingen tillhör ett befintligt ärende eller som innebär att ett nytt ärende initieras, ska ovillkorligen skrivas ut på skrivare och diarieföras i vanlig ordning. Arbetsmaterial eller meddelanden som uppenbart inte tillhör ett ärenden behöver dock inte utskrivas eller diarieföras. Enligt bestämmelserna om arkivering av allmänna handlingar får i princip inte e-postmeddelanden rensas (tas bort) om inte stöd härför finns i kommunens arkivreglemente. Av praktiska skäl måste dock rensning tillåtas i viss grad våra datorsystem har helt enkelt inte kapacitet att lagra en obegränsad mängd information. Nedan redovisas några exempel på sådan information som generellt sett bör kunna rensas utan diarieföring och arkivering: e-post som innehåller meddelanden som inte hör till något ärende, inte tillför något nytt till ett ärende eller som inte innebär att ett nytt ärende initieras dubbletter och kopior på redan diarieföra och/eller aktförda handlingar. tillfälliga listor och register samt enkäter, rapporter, förfrågningar, som du använt i ditt arbete och som inte längre behövs, under förutsättning att de inte tillför information som inte finns sparat på annat sätt reklam, allmän information och inbjudningar till kurser och seminarier mm information som inte berör kommunens verksamhet (som uppenbart är av privat karaktär) 9

10 loggar för e-post (personliga brevlådor etc) och webbsidor får rensas från meddelanden, liksom cookiefiler som inte behövs för att ta fram meddelanden med anknytning till ett ärende arbetskopior, idéskisser, ej färdiga skrivelser (s k arbetsmaterial) när de inte längre behövs ( slutdokument får däremot inte rensas) information som skrivits ut och diarieförts eller lagrats på annat sätt. inaktuell information säkerhetskopior som ersatts av nya kopior 8.5 Talsvar (telefonsvarare) Reglerna om handlingsoffentlighet och arkivering äger motsvarande tillämpning på sådana meddelanden som inkommer till talsvarsfunktioner på mobiltelefoner och på fasta telefonsvarare. Det innebär att varje inkommet talsvarsmeddelande på de mobiltelefoner som tillhandahålls av kommunen i princip är att betrakta som allmänna handlingar, vilka efter förfrågan ska utlämnas till enskild samt diarieföras och arkiveras på motsvarande sätt som gäller för pappershandlingar. Teleoperatörerna, eller kommunen, saknar dock möjligheter att tillhandahålla sådan service som möjliggör ett uppfyllande av dessa krav. Kommunen uppställer därför inget krav på att talsvarsmeddelanden ska diarieföras eller arkiveras. Med hänvisning till ovanstående bör dock sådana talsvarsmeddelanden som antingen tillför nya uppgifter till ett befintligt ärende, eller initierar ett nytt ärende hos förvaltningen, nedtecknas på papper och diarieföras i vederbörlig ordning. I likhet med vad som gäller för pappersbaserad information, är dock uppgifter av uppenbart privat karaktär som mottas på talsvarsfunktioner inte att betrakta som allmänna handlingar. Det finns följaktligen inte heller något krav på diarieföring och arkivering av sådan information. 8.6 Faxmeddelanden Meddelanden som befordras via fax är på samma sätt som traditionella, pappersbaserade handlingar att betrakta som allmänna i ordinär mening, och ska därför hanteras på motsvarande sätt. Kom ihåg att risken är stor för att obehöriga kan komma åt de handlingar som du skickar eller tar emot via fax du vet inte vem som står vid den andra maskinen. När du avser att skicka eller förväntar dig att motta ett faxmeddelande som innehåller uppgifter av hemlig karaktär, ska du alltid förvissa dig om att uppgifterna inte blir tillgängliga för utomstående. 9. DATORANVÄNDNING OCH PERSONUPPGIFTSLAGEN Personuppgiftslagen syftar till att skydda enskilda mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen omfattar både automatiserad behandling och manuell behandling av sådana uppgifter, och uppställer vissa grundläggande krav på behandlingen av uppgifterna. Dessa krav innebär bl a att 10

11 personuppgifter får behandlas bara för vissa särskilda, uttryckligt angivna och berättigade ändamål, och i princip bara om den enskilde givit sitt samtycke till behandlingen. För de flesta behandlingar av personuppgifter i den kommunala verksamheten krävs ej samtycke. Kommunen hanterar och behandlar dagligen en mängd olika personuppgifter. Det är därför angeläget att medarbetarna känner till lagstiftningen i sina huvuddrag, för att minska risken för att kommunens behandling av personuppgifter sker i strid med lagens bestämmelser. Nedan redogörs kortfattat för hur vi bör hantera personuppgifter. 9.1 Registrering av personuppgifter Enligt personuppgiftslagen är de kommunala nämnderna/styrelserna personuppgiftsansvariga för de behandlingar av personuppgifter som förekommer inom nämndens/styrelsens verksamhetsområde. För att en behandling skall vara tillåten krävs att det finns ett klart och tydligt ändamål med behandlingen. Samtycke behöver ej inhämtas om behandlingen är nödvändig för att fullfölja ett avtal med den registrerade, för att kunna fullgöra en rättslig skyldighet, för att skydda vitala intressen för den registrerade, för att utföra en arbetsuppgift av allmänt intresse eller arbetsuppgifter vid myndighetsutövning. För de flesta behandlingar av personuppgifter i den kommunala verksamheten krävs ej samtycke. Behandling av känsliga uppgifter eller personnummer är tillåten endast i vissa fall. Vid osäkerhet om en behandling av personuppgifter är tillåten skall kommunens webbmaster/personuppgiftsombud kontaktas. Alla behandlingar av personuppgifter skall anmälas till personuppgiftsombudet. De personer som förekommer i våra register har rätt att få information om vad personuppgifterna används till och vart de skall vända sig för att få information och rättelse av uppgifterna. Informationen skall om möjligt ske i samband med insamlingen av personuppgifterna, t ex på ansökningsblanketter. Medborgare har rätt att, vid begäran, få utdrag ur registren en gång per år. 9.2 Publicering på internet Personuppgiftslagen tillåter att uppgifter om förtroendevalda i denna sin funktion läggs ut på kommunens webbsidor utan dennes särskilda samtycke, liksom att harmlösa uppgifter om enskilda personer (även anställda vid kommunen) läggs ut. Som harmlösa uppgifter eller information betraktas uppgifter som är kopplade till arbetsplatsen t ex namn, befattning, telefonnummer till arbetsplatsen och e-postadress. För publicering av hemadress, hemtelefonnummer eller foto ska personen regelmässigt tillfrågas och lämna sitt samtycke. Vad som kan anses som harmlös information i övrigt måste bedömas från fall till fall. Utgångspunkten bör kunna vara att informationen inte är att betrakta som harmlös, om den registrerade objektiv sett kan antas uppleva publiceringen som besvärande eller kränkande i någon mening. Om någon invänder mot att uppgifter om honom eller henne har publicerats på kommunens webbsidor, bör som regel uppgifterna tas bort även om de för utomstående kan tyckas harmlösa. 11

12 9.3 Personuppgiftsombud Om personuppgiftsombud utses behöver inte behandlingar av personuppgifter anmälas till datainspektionen. Personuppgiftsombudets uppgift är bl. a att kartlägga behandlingar av personuppgifter, granskning/kontroll, rådgivning och att hjälpa registrerade att få rättelse av personuppgifterna. Alla nämnder och styrelser i kommunen har utsett personuppgiftsombud. Kontakta respektive verksamhetsansvarig för ytterligare information. 12