Regler för hantering av personuppgifter i Stenungsunds kommun

STENUNGSUNDS KOMMUN Regler för hantering av personuppgifter i Stenungsunds kommun Typ av dokument Regler Dokumentägare Personuppgiftsombud Beslutat av Kommunstyrelsen Giltighetstid Tills vidare Beslutsdatum 2006-05-29, 143 Version 1.1 Reviderad 2008-12-04/Jonas Sverkén

Innehållsförteckning Innehållsförteckning...2 Bakgrund...3 Grunderna i PuL...3 Personuppgifter och Internet...4 Förhållningsregler i Stenungsunds kommun gällande publicering på Internet...4 Personuppgifter i skolan...5 Förhållningsregler i Stenungsunds kommun gällande skolan...5 Personnummer...6 Registerutdrag...6 Regler vid publicering av diarium och handlingar på Internet...6 Bakgrund...6 Regler som styr diarieföring...7 LIS Webbdiarium...8 Regler...9 Ordförklaringar...10

Bakgrund Personuppgiftslagen (PuL) trädde i kraft den 24 oktober 1998 och ersatte då den gamla datalagen från 1973. Syftet med PuL är att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Med behandling menas exempelvis insamling, registrering, organisering, bearbetning, inhämtande, användning eller spridning av personuppgifter. PuL är subsidiär vilket innebär att bestämmelser i annan lag eller förordning gäller istället för PuL, exempelvis tryckfrihetsförordningen gäller alltid framför PuL. Kommunstyrelsen är personuppgiftsansvarig i Stenungsunds kommun och måste informera ut i organisationen vilka regler som gäller och vilka krav som ställs på behandling av personuppgifter. Noteras att det finns ordförklaringar i bilaga I. Grunderna i PuL Behandlingen måste vara tillåten ( 10 PuL) Behandlingen av personuppgifter måste vara tillåten enligt PuL. Det innebär att den person som uppgifterna avser har lämnat sitt samtycke eller att behandlingen uppfyller något annat villkor i lagen. Känsliga uppgifter ( 13 PuL) Det finns ett principiellt förbud mot behandling av känsliga uppgifter. Känsliga uppgifter är ras eller etniskt ursprung, politiska eller religiösa åsikter, medlemskap i fackförening eller uppgifter som rör sexualliv. Det finns även vissa undantag när man får behandla känsliga uppgifter, det återfinns i 15-9 PuL Samtycke Ett samtycke är en frivillig, särskild och otvetydig viljeyttring genom den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter om sig själv. Det finns ingen åldersgräns för när en person kan samtycka till att personuppgifter behandlas för olika ändamål. En person som kan förstå informationen om vad behandlingen innebär kan också lämna samtycke enligt PuL, detta gäller även för minderåriga (dvs. personer under 18 år). Kan personen inte själv tillgodogöra sig informationen kan han eller hon inte heller lämna ett rättsligt samtycke. I dessa fall ska samtycket inhämtas från vårdnadshavaren. Frågan om en person förstår innebörden av informationen måste bedömas från fall till fall, men i regel tordes tonåringar uppnått en sådan mogen ålder att de själva kan avge samtycke. Ett samtycke bör vara skriftligt men behöver inte vara det. Samtycket kan när som helst återkallas av den registrerade. Information som ska lämnas självmant PuL ställer stora krav på information till de registrerade. Bestämmelserna att den personuppgiftsansvarige självmant ska lämna information till de registrerade när personuppgifter samlas in, gäller normalt enbart för uppgifter som samlats in efter PuL:s ikraftträdande. Alla som skriftligen ansöker om information har rätt att få det gratis en gång per kalenderhalvår.

Personuppgifter och Internet I PuL finns inga specifika regler för Internet utan man talar om regler för överföring av personuppgifter till tredje land. Med tredje land menas, med några få undantag, länder utanför EU/EES området. Reglerna omfattar Internet och andra internationella nät samt överföringar mellan Sverige och ett enstaka tredje land. Det som berör Stenungsunds kommun är till största delen sådant som publiceras på kommunens hemsida. Grundregeln är att det är förbjudet att överföra personuppgifter till tredje land. Men det finns några undantag. En förutsättning är naturligtvis att det enligt övriga regler i PuL är tillåtet att behandla uppgifterna. Samtycke Om det finns ett samtycke är det tillåtet att publicera uppgifter på Internet. Det är viktigt att komma ihåg att den registrerade ska ha fått sådan information att han eller hon kan bedöma för och nackdelarna med publiceringen. Harmlösa uppgifter Det är tillåtet att lägga ut harmlös information på Internet utan samtycke. Vad som är harmlös information måste bedömas från fall till fall och det är inte alltid att alla har samma uppfattning om vad som är harmlös information. Journalistiska ändamål Om personuppgifter behandlas uteslutande för journalistiska ändamål gäller inte alla regler i PuL. Utgivningsbevis Från och med den 1 januari 2003 kan Radio- och TV- verket utfärda utgivningsbevis för webbplatser. Genom ett utgivningsbevis får publiceringen grundlagsskydd enligt yttrandefrihetsgrundlagen (YGL) och reglerna i PuL gäller inte. Förhållningsregler i Stenungsunds kommun gällande publicering på Internet Anställda Den registrerade personen ska tillfrågas innan hemadress, hemtelefonnummer eller foto läggs ut på hemsidan. I övrigt är det tillåtet att publicera namn, befattning, telefonnummer till arbetsplatsen och e-post. Skolan Uppgifter om elevens namn, klass och e-post till skolan kan normal publiceras. Vill man lägga ut hemadress, telefonnummer eller foton ska samtycke inhämtas. Det är inte heller tillåtet att lägga ut personnummer. Protokoll Med undantag för förtroendevalda och anställda ska det inte finnas några personuppgifter i protokollen. Det går naturligtvis att publicera personuppgifter om det finns samtycke.

Foton Foton betraktas normalt som personuppgifter även om inga namn nämns. Det krävs med andra ord ett samtycke innan bilder publiceras på Internet. Personuppgifter i skolan Förhållningsregler i Stenungsunds kommun gällande skolan Behandling av personuppgifter för elevadministrativa ändamål Personuppgifter behandlas ofta för elevadministrativa ändamål. Det är i huvudsak namn, adress, personnummer, klass samt anhörigs namn och telefonnummer. Viktigt är att efterfölja PuL:s regler om uppgifter som betraktas som känsliga, exempelvis elevers hälsa eller modersmål. För behandling av hälsouppgifter krävs alltid samtycke, antingen från vårdnadshavaren om eleven inte uppnått mogen ålder, eller från eleven själv. När det gäller uppgifter om elevers modersmål kan det indirekt vara en uppgift som avslöjar elevens etniska ursprung och är att betrakta som en känslig uppgift. Samtidigt har elever rätt att få undervisning i sitt modersmål och det kan således vara nödvändigt att behandla uppgifter om modersmål, även utan samtycke. Detta gäller under förutsättning att uppgifterna inte behandlas i strid med övriga regler i PuL, exempelvis att uppgifterna inte kommer att användas till något annat ändamål än för vilket de samlades in. Personnummer på klasslistor Saknas samtycke är det inte tillåtet att personnummer förekommer på klasslistor som skrivs ut från det elevadministrativa registret. Finns inget samtycke får personnummer endast behandlas när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av säker identifiering eller något annat beaktansvärt skäl. Uppgifter om familjemedlemmar En skola måste kunna kontakta en elevs föräldrar eller vårdnadshavare och det är därför tillåtet att behandla uppgifter om namn på föräldrar. Det kan däremot inte anses vara nödvändigt att behandla föräldrarnas personnummer eller syskonens namn och personnummer. Internet Även en gruppbild där det går att identifiera en person är att betrakta som en personuppgift och samtycke ska inhämtas. Information En viktig del i integritetsskyddet är att den vars personuppgifter behandlas informeras om de behandlingar som utförs. I de fall samtycke krävs måste den registrerade ha fått sådan information att han eller hon kan bedöma för- och nackdelarna med behandlingen. I annat fall är inte samtycket giltigt. Enligt PuL ska information lämnas om den personuppgiftsansvariges identitet, vilka personuppgifter som samlas in och vad uppgifterna ska användas till.

Personnummer Personnummer får endast behandlas när det är klart motiverat med hänsyn till a) ändamålet med behandlingen, b) vikten av säker identifiering, eller c) något annat beaktningsvärt skäl (22 PuL). Om den personuppgiftsansvarige inte inhämtat samtycke måste den själv göra en intresseavvägning. Tyngden av de skäl som gör att behandlingen av personnummer är påkallad måste vägas mot behovet av ett fullgott skydd för den personliga integriteten. I datalagen fanns det en uttrycklig regel om att personnummer fick återges på datautskrifter endast när det fanns beaktansvärda skäl. Att den regeln inte förts över till PuL innebär ingen ändring i sak. Den överförda huvudregeln innebär nämligen att en uppgift om personnummer får behandlas, t.ex. genom att fästas på en utskrift eller visas upp på den datorskärm, bara när den behandlingen är klart motiverad med hänsyn till något beaktansvärt skäl. Personnummer ska alltid behandlas restriktivt och inte användas som identifieringsredskap där man lika gärna kan använda andra uppgifter, t.ex. medlems- eller kundregister. Enligt Datainspektionen bör inte personnummer förekomma på anställningslistor, elevlistor eller liknande datautskrifter. Registerutdrag Enligt offentlighetsprincipen får allmänheten ta del av offentliga handlingar hos myndigheterna. Reglerna finns till för att ge allmänheten insyn i myndigheternas verksamhet och denna rättighet är grundlagsskyddad via tryckfrihetsförordningen. Detta medför att vissa uppgifter om dig, exempelvis taxerad inkomst, blir tillgängliga för andra. Undantaget är så kallade känsliga uppgifter som kan sekretessbeläggas och då får de inte lämnas ut till allmänheten. Stenungsunds kommuns register utgör en allmän handling enligt ovanstående regler och kommunen är därför skyldig att lämna ut en kopia till den som begär det. Det ska innan utlämnandet göras en bedömning enligt 7 kap. 16 sekretesslagen (1980:100). Alla kan skriftligen ansöka om ett registutdrag och har rätt att få det gratis en gång per kalenderhalvår. I registerutdraget ska det stå vilka uppgifter som finns registrerade om dig i Stenungsunds kommun. Regler vid publicering av diarium och handlingar på Internet Bakgrund Internet ger nya möjligheter för myndigheterna att förverkliga intentionerna bakom offentlighetsprincipen genom att öka insynen i myndigheternas verksamhet och sprida information till medborgarna. När en myndighet använder sig av möjligheten att publicera diarium med tillhörande handlingar på Internet uppstår en skyldighet att beakta PuL. PuL är inte helt enkel att tolka och tillämpa. Det finns få domar eller andra prejudikat som stöd för tolkning av lagen.

Statskontoret har gett ut en skrift Diarier på Internet vägledning för myndigheter som stöd för myndigheter i detta arbete och vi har i största möjliga utsträckning följt dessa och försökt att anpassa dem efter kommunens verksamheter. Vår uppfattning är att den praktiska hanteringen av publiceringen av diariet bäst utförs av den som registrerar handlingen, naturligtvis kräver detta en kunskap och utbildning för de berörda i PuL. Regler som styr diarieföring Den lagstiftning vi har att följa på området är: Sekretesslagen, SekrL Arkivlagen Personuppgiftslagen Personuppgiftsförordning, PUF Registerförfattningarna (rör främst hälso- och sjukvård samt socialtjänst) Grundläggande regler om diarium finns i SekrL 15 kap. 2, där framgår bl. a. vad diarium är och vad det skall innehålla. Beträffande handling som registrerats enligt 1 skall av registret framgå 1. datum, då handlingen kom in eller upprättades, 2. diarienummer eller annan beteckning som har åsatts handlingen, 3. i förekommande fall från vem handlingen har kommit in eller till vem den har expedierats, 4. i korthet vad handlingen rör. Vid registrering skall dock uppgift enligt första stycket 3 eller 4 utelämnas eller särskiljas om det behövs för att registret i övriga delar skall kunna företes för allmänheten. Möjligheten till publicering på Internet regleras i 12 PUF: En kommun eller ett landsting får till tredje land föra över personuppgifter som ingår i 1. ett diarium och som anges i 15 kap. 2 sekretesslagen (1980:100), 2. en kallelse till ett sammanträde med fullmäktige eller en nämnd, 3. en kungörelse om sammanträde med fullmäktige, eller 4. ett justerat protokoll som har förts vid ett sammanträde med fullmäktige eller en nämnd. Personuppgifter som direkt pekar ut den registrerade får inte föras över. Detta förbud gäller dock inte personuppgifter som rör en förtroendevald, när det gäller hans eller hennes uppdrag. Förbudet gäller inte heller om 1. övriga personuppgifter som rör den registrerade inte är sådana som avses i 13 eller 21 personuppgiftslagen (1998:204), och 2. det saknas skäl att anta att det finns risk för att den registrerades personliga integritet kränks genom överföringen. Personnummer eller samordningsnummer får aldrig föras över. Skadestånd Skulle publiceringen ske på ett sådant sätt att den strider mot PUL finns en möjlighet för den enskilde att kräva skadestånd av myndigheten. Detta regleras i 48 PUL. Den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat.

Ersättningsskyldigheten kan jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. LIS Webbdiarium I detta sammanhang kan det vara lämpligt att lyfta upp delar av den funktionalitet som det nya diariet innehåller: Publicering sker via en knapptryckning. Om det i ett ärende finns handlingar som inte publiceras med stöd av PulL så framgår detta för läsaren, vilket ger honom/henne en möjlighet att kontakta myndigheten och erhålla handlingen enligt dagens praxis. Webbdiariet innehåller en funktionalitet som gör det möjligt att begränsa publiceringen till en viss tidsperiod efter det att ärendet har avslutats.

Regler Inledningsvis kan nämnas att PuL inte gäller uppgifter som rör juridisk person eller avlidna. Vidare att allmänheten i Sverige förväntas känna till reglerna kring diarieföring av allmänna handlingar. Dock måste man vid publicering ta hänsyn till om uppgifterna är känsliga för enskilda individer. Blotta förekomsten i ett register kan vara en känslig uppgift t.ex. om indraget alkoholtillstånd. Dokument som innehåller något av följande skall inte publiceras: Sekretessuppgifter Det är ärendets rubrik samt inkommet datum som är offentligt i ett sekretessärende. Övriga uppgifter skall döljas. Om uppgifter lämnas ut via Internet så innebär det att myndigheten inte kan kontrollera vem som efterfrågar vilka uppgifter. Man skall därför utgå från den strängaste tillämpningen av sekretessreglerna. Personnummer/Samordningsnummer Personnummer har både i förutvarande Datalagen och nuvarande PuL utpekats som en särskilt känslig uppgift och skall därför skyddas särskilt. Personuppgifter som enligt PuL är känsliga - etniskt ursprung - politiska åsikter - religiös eller filosofisk övertygelse - medlemskap i fackförening - hälsa eller sexualliv - uppgifter om lagöverträdelser som brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden - uppgifter som kränker den registrerades personliga integritet - fastighetsbeteckning Ansökningshandlingar till anställning Datainspektionen har uttalat att det kan anses känsligt att publicera uppgifter om vem som sökt en ledig tjänst på Internet. Därför måste stor försiktighet iakttas i dessa fall. Kritik från enskild individ/organisation/myndighet som riktar sig mot enskild person Kritik mot enskild som lämnas in till en myndighet kan vara helt utan belägg. Skulle sådan kritik spridas över nätet skulle den enskilda individen kunna lida stor skada. Kritik från arbetsgivaren mot anställd Arbetsgivaren kan i vissa fall vara tvungen att lämna skriftlig kritik mot anställda, erinran, varning osv. Sådan handling kan förvaras i personakten, men skulle den diarieföras så skall den ej publiceras på nätet. En följd av ovanstående innebär att övriga handlingar och dokument i diariet kan publiceras utan att det strider mot PuL. Ex på sådana uppgifter är: Personuppgifter som rör handläggare i tjänsten Personuppgifter som rör externa handläggare i tjänsten Personuppgifter som rör förtroendevald i hans eller hennes uppdrag

PuL:s begränsningar av publicering på Internet skall ej förväxlas med sekretesslagens skydd för utlämnade av allmän handling. Merparten av de handlingar som enligt PuL ej får publiceras omfattas inte av sekretesslagens bestämmelser. Ordförklaringar Allmän handling En handling är allmän om den förvaras, är inkommen eller upprättad hos en myndighet. Utöver vanligt papper kan en handling vara e-post, brev, ljud- eller videoband eller en cd. En allmän handling kan vara offentlig eller sekretessbelagd Behandling Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter. Exempel på behandlingar är insamling, registrering, organisering, bearbetning, inhämtande eller spridning av personuppgifter. Känsliga uppgifter Personuppgifter som avslöjar ras eller etniskt ursprung, politiska eller religiösa åsikter, medlemskap i fackförening eller uppgifter som rör sexualliv. Mottagare Den till vilken personuppgifter lämnas ut. Personuppgift All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftsansvarig Den som ensam eller med andra bestämmer ändamålen med och medlen för behandling av personuppgifter. I Stenungsunds kommun är Kommunstyrelsen personuppgiftsansvarig. Personuppgiftsombud En person, som efter förordnande av den personuppgiftsansvarige, skall se till att personuppgifter behandlas på ett lagligt och korrekt sätt. I Stenungsunds kommun är Jonas Sverkén personuppgiftsombud. Samtycke Ett samtycke är en frivillig, särskild och otvetydig viljeyttring genom den registrerade, efter ha fått information, godtar behandlingen av personuppgifter om sig själv. Tredje land En stat som inte ingår i Europeiska unionen eller Europeiska ekonomiska samarbetsområdet.