Göran Rydeberg, Stockholms universitet

Transkript

1 Göran Rydeberg, Stockholms universitet.

2 Göran Rydeberg Disputerad historiker och arkivarie Avdelningschef vid Stockholms universitet Lång erfarenhet från offentlig arkivverksamhet

3 Något om dagens presentation Offentlighetsprincipen och allmänna handlingar vad innebär detta i det nya digitala samhället? Hur ska du hantera nya elektroniska format som sms, mms, och sociala medier? Vad är en allmän handling och hur ska utlämnandet hanteras? Hur du gör en sekretessprövning? Sekretessregler och sekretessbrytande regler Ökad öppenhet och insyn för allmänheten hur lever du upp till en rättssäker offentlighetsstruktur? Offentlighetsprincipen och Dataskyddsförordningen vad betyder det?

4 Offentlighetsprincipen Medvetandegöring om medieoberoende för allmänna handlingar måste göras Skapa fungerande rutiner för att kunna särskilja information och att kunna ta ut den på alla tänkbara ledder Se till att hantera information som tillhör myndigheten/hantera inte sådant som ligger utanför den

5 Vad är allmän handling? 1 (TF 2 kap) Information i skrift, bild eller upptagning som förvaras hos myndighet och är inkommen till eller upprättad där. (upptagning anses förvarad bara om den kan tillgängliggöras med rutinbetonade åtgärder) Personligt ställd information till myndighet är allmän handling, om det gäller ärende som rör myndigheten. Handling är inkommen, när den har anlänt till myndigheten eller kommit till behörig befattningshavare Handling är upprättad, när den har expedierats (färdigställts) Dock: diarium är upprättat när anteckning är färdigställd Regler och rutiner för registrering och utlämnande

6 Vad är allmän handling? 2 (TF 2 kap) Minnesanteckning el dyl är allmän handling om myndighet omhändertar den för arkivering. Som minnesanteckning förstås PM och annat som har tillkommit bara för föredragning och är allmän handling endast om den har tillfört ärendet sakuppgift. Allmän handling är inte information som förvaras endast för att kunna återskapa information som kan förloras i en myndighets elektroniska system (säkerhetskopia, backup) Depositioner är inte allmänna handlingar Regler och rutiner för registrering och utlämnande

7 Utlämnande av allmänna handlingar 1 Snarast Gratis Kopia mot avgift Ska kunna göras utan svårigheter Regler och rutiner för registrering och utlämnande

8 Utlämnande av allmänna handlingar 2 Dokumenthantering ska underlätta utlämnande Allmänna handlingar kan skiljas från andra handlingar Myndighet ska kunna dokumentera hantering av dessa Ska ske på rätt tjänstemannanivå i organisationen Regler och rutiner för registrering och utlämnande

9 Utlämnande av allmänna handlingar 3 Vilka allmänna handlingar kan lämnas ut Teknikneutral bestämmelse Begränsningar vid hindrande av behörigt arbete Exemplar av handling som finns vid flera myndigheter Regler och rutiner för registrering och utlämnande

10 Utlämnande av allmänna handlingar 4 - Grundläggande bestämmelser i TF 2 - Prövas normalt av myndighet som förvarar handlingen och av handläggande tjänsteman - Uppgift lämnas ut om det inte finns sekretess eller detta stör arbetet (12 ) - Myndighet ska underlätta för den sökande att ta del av information Regler och rutiner för registrering och utlämnande

11 Dataskyddsförordningen 1 Vad är en personuppgift? Varje upplysning som avser en identifierad eller identifierbar fysisk person t ex: namn, telefonnummer, e-postadress, adress, bild, personnummer, IP-address Vad är en känslig personuppgift? PuL anger att det är sådana uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv. Detta kan vara till exempel sjukfrånvaro, graviditet och läkarbesök. Det är förbjudet att behandla känsliga personuppgifter. Personuppgiftslagen innehåller dock vissa undantag från förbudet. Dataskyddsförordningen

12 Dataskyddsförordningen 2 Rätten att veta Få reda på vem som tar reda på saker om dig och påverkar dig Incidentrapportering få reda på när något går fel Dina uppgifter ska användas på det sätt du vet om och har godkänt Rätten att samtycka Godkänna andras relationer till dig Makt över vilka nya relationer du formar Bestämma när du bidrar och hur Data- och uppgiftsminimering Rätt information på rätt plats vid rätt tid Begränsa datainsamling för bättre datasäkerhet Individcentrerat Effektiva sanktioner Dataskyddsförordningen

13 Dataskyddsförordningen 3 Rätten att veta (risker) Myndigheten underlåter att dokumentera information Ineffektivitet Rätten att samtycka Värdefulla undersökningar/studier genomförs inte Data- och uppgiftsminimering Rätt information på rätt plats vid rätt tid Begränsa datainsamling för bättre datasäkerhet Individcentrerat Effektiva sanktioner Myndigheter fokuserar på rädsla för dessa och effektiviteten minskar Dataskyddsförordningen

14 Dataskyddsförordningen 4 Behandling av personuppgifter får ske om syftet bara kan uppnås genom behandling av uppgifter som medger identifiering av den registrerade. Effektivitetsförlust Uppgifter som gör det möjligt att hänföra information till en identifierad eller identifierbar person (kodnycklar) hålls åtskilda från övrig information. Felhantering Lämpliga skyddsåtgärder vidtas för att skydda den registrerades fri- och rättigheter (t.ex. anonymisering och pseudonymisering). Verifieringsproblem. Sämre datakvalitet Uppgifterna får inte behandlas för andra ändamål, särskilt inte som grund för beslut rörande den registrerade. Svårt med uppföljning Krav på ordentlig dokumentation av medgivanden. Dataskyddsförordningen

15 Dataskyddsförordningen 5 Några betydelsefulla konsekvenser för hantering av information vid myndigheter Varje personuppgift i organisationens IT-system ska kunna motiveras och redovisas. Man ska veta och dokumentera vilka personuppgifter som finns och var de finns i IT-systemen. Omständlig hantering Man ska kunna redovisa varifrån varje personuppgift kommer, vad den ska användas till och att den är korrekt och aktuell. Omständlig hantering Den som personuppgiften gäller har rätt till insyn, och till att begära rättelser, ändringar och uppgiftsförflyttning. I de flesta fall också rätt att få personuppgifterna raderade. (Rätten att bli glömd) Det görs inte skillnad mellan strukturerade och ostrukturerade personuppgifter. Personuppgifter i, till exempel, e-post, pdf:er och video, faller också under den nya förordningen. Rent privat information dock undantagen. Effektivitetsproblem. Problem att föra nödvändiga register Kraven på datasäkerhet är hårda. PuL m fl lagar och författningar

16 Dataskyddsförordningen 6 Laglig behandling Tidigare känsliga personuppgifter får behandlas bl a Vid samtycke Inom arbetsrätten När grundläggande intresse uppstår vid förhinder av samtycke För att fastställa, göra gällande eller försvara rättsliga anspråk m m Dataskyddsförordningen

17 Dataskyddsförordningen 7 Myndigheter måste Ha rutiner för insyn, ändringar och radering som kan tillämpas snabbt från dag ett. Kostsamt och risk för felhantering Ha anpassat eller byggt om IT-systemet så att det klarar de nya kraven att förete information. Kostsamt Vara beredda på, och ha rutiner för, att uppvisa dokumentation för att företaget uppfyller bestämmelserna. Arbetskrävande Vara beredda på, och ha rutiner för, att anmäla förlust, läckage och/eller stöld av personuppgifter inom 72 timmar. Risk för inneffektivitet och dålig dokumentation Vara beredda på, och ha rutiner för, att hantera kontroller och insyn från olika myndigheter. Kräver omfattande byråkrati Dataskyddsförordningen

18 Dataskyddsförordningen 8 Hur organisationen kan förbereda sig genom att inventera: Vilka personuppgifter hanteras? Vilken information lämnas? Hur tillmötesgås registrerades rättigheter? Med vilket rättsligt stöd behandlas personuppgifter? Hur inhämtas samtycke? Rutiner för att upptäcka, rapportera och utreda incidenter? Finns särskilda integritetsrisker med myndighetens behandling? Finns inbyggda skydd för personuppgifter i IT-system? Vem ansvarar för dataskyddsfrågor? Svensk och internationell lagstiftning