STYRDOKUMENT DATUM 2013-08-26 1(6) Instruktion för behandling av personuppgifter i Älvsbyns kommun Detta dokument ersätter; barn- och utbildningsnämndens instruktion (Bun 33 2002-06-11), fritids- och kulturnämndens instruktion (Fkn 16 2002-06-12), miljö- och byggnadsnämndens instruktion (MBn 66 2002-05-07), socialnämndens instruktion (Sn 61 2002-06-13) samt kommunstyrelsens instruktion (KS 28 2002-03-18). Personuppgiftslagen Personuppgiftslagens (SFS 1998:204) syfte är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter är personuppgiftsansvarig. Personuppgiftsansvarig I Älvsbyns kommun är förvaltningen samlad under kommunstyrelsen. Kommunstyrelsen är personuppgiftsansvarig för behandling av personuppgifter i samtliga verksamheter då styrelsen ansvarar för nästan all operativ verksamhet. I fullmäktiges beslut KF 4, 2010-02-15 om politisk organisation framgår vilka övriga organ som finns och därmed också är personuppgiftsansvariga. Den personuppgiftsansvarige ska utarbeta instruktion för behandling av personuppgifter och vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. De som behandlar personuppgifter för den personuppgiftsansvarige räkning (personuppgiftsbiträden) och de personer som arbetar under den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Enligt personuppgiftslagen ska varje helt eller delvis automatiserade behandlingar som omfattar personuppgifter anmälas till Datainspektionen. Om den personuppgiftsansvarige, vanligen nämnden/styrelsen, utsett ett personuppgiftsombud ska anmälan istället ske till denne. Undantag från anmälningsskyldighet kan finnas i författning Personuppgiftsombud Älvsbyns kommun har enligt beslut 2011-12-19 (KS 218) utsett Lilian Johansson till personuppgiftsombud. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Föreskrift Instruktion för behandling av personuppgifter KS 101 2010-08-23 KS T o m 2015-12-31 Dokumentansvarig Version Förlängd Dokumentinformation Detta dokument gäller för Lilian Johansson 1.1 KS-del. Dnr 202/13-002 Dnr 287/13-003 Anställda/förtroendevalda i Älvsbyns kommun
2(6) Definition av begrepp Personuppgift är all slags information som direkt eller indirekt kan hänföras till fysisk person som är i livet. Behandling är varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgift vare sig det sker å automatisk väg eller inte, t ex insamling, registrering, organisering, lagring, behandling eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Personuppgiftsansvarig är den som ensam eller tillsammans med annan bestämmer ändamålen med och/eller medlen för behandling av personuppgifter. Den registrerade är den person som en personuppgift avser. Känsliga personuppgifter är uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv. Tillåten behandling Personuppgiftslagen ger i huvudsak den registrerade rätt att bestämma över sina egna personuppgifter. Har den registrerade lämnat sitt samtycke till behandling av personuppgifterna är behandling i regel tillåten. Ett samtycke ska vara frivilligt och vara en otvetydig viljeyttring efter det at den registrerade fått information om tilltänkt behandling. För behandling av känsliga personuppgifter krävs dessutom att samtycket är uttryckligt. Den registrerade kan när som helst återkalla sitt samtycke varefter behandling inte vidare kan ske. Behandling av känsliga personuppgifter är enligt huvudregeln förbjudet, men den registrerades uttryckliga samtycke ger dock tillåtelse till att även behandla känsliga personuppgifter. För behandling av personnummer krävs samtycke eller att behandlingen ska vara klart motiverad med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl. Behandling av personuppgifter på hemsida är tillåten bl a om samtycke föreligger eller om de personuppgifter som läggs ut är harmlösa vilken vanligen endast gäller arbetsrelaterade uppgifter såsom namn, tjänstetitel, tjänstetelefonnummer och liknande. Fotografier på identifierbara personer kräver samtycke av den registrerade. I kommunal verksamhet krävs i många fall inte samtycke. Detta gäller för nödvändig behandling i sambaand med avtal, för att fullgöra en rättslig skyldighet, för att skydda vitala intressen, för att utföra en arbetsuppgift av allmänt intresse, i samband med myndighetsutövning och efter en intresseavvägning. Information till registrerad Information om behandling av personuppgifter ska nästan alltid ges till den registrerade. Inhämtas uppgifterna från den registrerade själv lämnas informationen i samband med insamlandet. Hämtas personuppgifterna från annan källa ska information vanligen lämnas i samband med registreringen. Informationen behöver inte lämnas om det finns andra regler som tar över personuppgiftslagens bestämmelser såsom regler om sekretess.
3(6) Informationen ska ske på ett snabbt, enkelt och effektivt sätt. När information samlas in av myndigheten från den registrerade kan information lämpligen ges redan i ansökningshandling, köansökan, inloggningssida eller på liknande sätt. Samlas personuppgifterna in från annan källa ska information företrädesvis lämnas skriftligt. Information behöver inte lämnas om sådant som den registrerade redan känner till och heller inte om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Information ska utformas utifrån den registrerades synvinkel och i vart fall innehålla uppgifter om den personuppgiftsansvarige, dvs nämndens/styrelsens namn, adress, telefonnummer, ändamål med behandlingen, vem eller vilka som tar del av uppgifterna, om det är frivilligt eller om det föreligger en skyldighet att lämna personuppgifterna, rätten att få information efter ansökan, rätten att få rättelse vid felaktiga personuppgifter och till vem man kan vända sig. Informationen lämnas till den registrerade. Detta gäller även för den som har god man eller förvaltare eller är under 18 år om han eller hon själv kan tillgogogöra sig informationen. Säkerhet vid behandlingen Vid behandling av personuppgifter föreligger skyldighet att vidta lämpliga säkerhetsåtgärder för att skydda personuppgifterna. Säkerhetsnivån ska vara lämplig utifrån de tekniska möjligheter som finns, kostnaderna för att genomföra åtgärderna, riskerna vid behandling av personuppgifterna och hur känslig de behandlade personuppgifterna är. Rutin för behandlingar Om inte klart framgår att viss behandling enligt författning är undantagen från anmälningsskyldighet ska anmälan, ändring och avanmälan av behandlingen sändas in per e-post till utsett personuppgiftsombud. Anmälningsblankett finns bifogad. Vid osäkerhet Vid osäkerhet om behandling eller rutin ska personuppgiftsombudet tillfrågas.
4(6) Bilaga avseende socialtjänsten Begreppet socialtjänst Lagen tillämpas inom socialtjänsten. Med socialtjänst menas i detta sammanhang: 1. Verksamhet enligt lagstiftningen om socialtjänst (SoL) och den särskilda lagstiftningen om vård utan samtycke av unga (LVU) eller av missbrukare (LVM) 2. Verksamhet som i annat fall enligt lag handhas av socialnämnd alt socialt utskott 3. Verksamhet som i övrigt bedrivs av Statens Institutionsstyrelse, 4. Verksamhet hos kommunal invandrarbyrå 5. Verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade (LSS) 6. Handläggning av ärenden om bistånd som lämnas enligt lagstiftning om mottagande av asylsökande m fl, 7. Handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar, 8. Handläggning av ärenden om tillstånd till parkering för rörelsehindrade. Med socialtjänst avses också tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av den verksamhet som nämns i punkterna 1-8. Även verksamhet som bedrivs av enskilda omfattas. Med verksamhet menas inte bara den verksamhet som utgörs av handläggningen av ett ärende utan också faktisk verksamhet, till exempel uppsökande verksamhet och hjälp i hemmet. Tillåten behandling Behandling av personuppgifter ätr tillåtet bara när det är nödvändigt för att arbetsuppgifter inom socialtjänsten ska kunna utföras. Regeringen har i förordningen om behandlig av personuppgifter inom socialtjänsten preciserat när det är tillåtet. En kommunal myndighet får behandla personuppgifter för följande ändamål: 1. Handläggning av ärende om bistånd och annat stöd samt genomförande av beslut o m bistånd, stödinsatser, vård och behandling samt annan social service som följer av bestämmelserna i socialtjänstlagen (2001:453). 2. Faderskapsutredningar, utredning om vårdnad av barn, adoptionsärenden samt annan verksamhet inom familjerätten som följer av bestämmelserna i föräldrabalken, 3. Handläggning av ärenden och annan verksamhet som följer av bestämmelserna i lagen (1990:52) med särskilda bestämmelser om vård av unga och lagen (1988:870) om vård av missbrukare i vissa fall, 4. Handläggning av ärenden om insatser och för särskilda uppgifter som följer av bestämmelserna i lagen (1993:387) om stöd och service till vissa funktionshindrade, 5. Handläggning av ärenden om tillstånd för parkering av rörelsehindrade, 6. Handläggning av ärenden om bistånd som lämnas enligt lagstiftning om mottagande av asylsökande m fl, 7. Handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar, 8. Handläggning av ärenden och annan verksamhet inom socialtjänsten som utförs vid kommunal invandrarbyrå,
5(6) 9. Handläggning av ärenden som följer av bestämmelserna i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare och körkortsförordningen (1998:980) samt 10. Tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten. Vid handläggning av ärende om tillstånd till parkering för rörelsehindrade och av ärende som följer av bestämmelser i körkortsförordningen får en kommunal myndighet inte behandla andra känsliga personuppgifter än uppgifter som rör hälsa. Samtycke behövs inte Det finns enligt regeringen ett allmänintresse av att socialtjänstens verksamhet bedrivs effektivt och säkert. Även med beaktande av den enskildes krav på integritet bör därför personuppgifter få behandlas i verksamheten utan att den som uppgiften avser har gett sitt samtycke. En registrerad person har alltså inte rätt att motsätta sig att personuppgifter behandlas helt eller delvis automatiserat eller manuellt i ett register när behandlingen är tillåten enligt lagen om behandling av personuppgifter inom socialtjänsten. Lagstiftningen påverkar inte vilka personuppgifter som behandlas inom socialtjänsten. Att samtycke inte behövs ger socialtjänsten möjlighet att utnyttja IT för att höja effektiviteten och kvaliteten i arbete men utvidgar inte socialtjänsten möjlighet att registrera uppgifter om medborgare. Personuppgifter som får behandlas Kommunal myndighet får behandla samtliga kategorier av personuppgifter hel/delvis automatiserat eller manuellt i ett register det vill säga även - person- och samordningsnummer - känsliga personuppgifter (uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör hälsa eller sexliv) och - uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Samliga kategorier av personuppgifter får dock inte behandlas i alla sammanhang. För en detaljerad redovisning se förordning (2001:637) om behandling av personuppgifter inom socialtjänsten.
6(6) BILAGA Formulär Uppgifter till din kontaktman angående behandling av personuppgifter (PuL) Personuppgiftsansvarig Ändamål med behandlingen Behandlingens namn Nyanmälan Ändring av tidigare anmälan Beskriv kortfattat ändamålet med behandlingen. Exempel: löneutbetalning, social adminstration, adressregister, uppföljning/utvärdering av kontokort, tillstånd enligt alkohollagen, elevadministration Den/de kategorier (grupper) av personer som berörs av behandlingen Exempel: elever, vårdnadshavare, anställda, invånare i kommundel o.s.v. De personuppgifter eller kategorier (grupper) av personuppgifter som skall behandlas Exempel: namn, personnummer, adress, inkomst, civilstånd De mottagare eller kategorier (grupper) av mottagare till vilka uppgifterna kan komma att lämnas ut Exempel: kommunens nämnder, Socialstyrelsen Kommer uppgifterna att överföras till tredje land Ja Nej Åtgärder som har vidtagits för att trygga säkerheten i behandlingen: Vad som avses med tredje land framgår av 3 PuL. Huvudsakligen handlar detta i vår verksamhet om att uppgifter läggs ut på myndighets hemsida. Ge en kortfattad beskrivning. Exempel: Datainspektionens allmänna råd för säkerhet avseende personuppgifter har iakttagits, lösenordsskydd, backup. Har kommunen beaktat PuL:s säkerhetskrav behöver bara rutan kryssas i. Kommunens säkerhetspolicy har följts Uppgiftslämnare: Tel: Epost: Datum: Ifylld blankett sänds till din kontaktman. Behåll en kopia.