Behandling av personuppgifter – GDPR

Syftet med GDPR är att harmonisera och stärka skyddet för den enskildes personuppgifter inom EU. Det centrala i GDPR är att behandling av personuppgifter inte är tillåten utan stöd rättlig grund. För socialtjänsten gäller, generellt, Rättslig förpliktelse och/eller Myndighetsutövning och uppgift av allmänt intresse. Samtycke som rättslig grund bör undvikas enligt Integritetsmyndigheten (IMY).

Offentliga myndigheter hanterar stora mängder personuppgifter i olika sammanhang (oftast känsliga) samt att bristfällig hantering av personuppgifter kan få negativ inverkan på trovärdigheten gentemot offentliga myndigheter och det demokratiska systemet.

Känsliga personuppgifter är de uppgifter som berättar något om den enskildes hälsotillstånd, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, genetiska uppgifter med flera. Utgångspunkten är att känsliga personuppgifter inte får behandlas men det finns undantag.

Se Tänk på säkerheten när-du-använder microsoft-teams och Så hanterar du information och handlingar i Teams.

Personuppgiftsansvarig

Den myndighet som bestämmer ändamål och medel för behandling av personuppgift (socialnämnden).

Personuppgiftsbehandling

Med behandling av personuppgifter menas i princip allting som går att göra med personuppgifterna (t.ex. insamling, registrering, organisering, lagring, bearbetning eller förstöring).

Personuppgiftsbiträde

Behandlar personuppgifter på uppdrag av en personuppgiftsansvarig – skriftligt avtal krävs (exempelvis våra IT-system)

Personuppgiftsbiträdesavtal (PuB-avtal)

Det avtal som reglerar personuppgiftsbehandlingen mellan socialnämnden och t.ex. Procapita.

Registerförteckning

Förteckning av personuppgiftsbehandling inom förvaltningen. Denna ska anmälas till förvaltningens GDPR-samordnare.

Personuppgiftsincident

En säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. Sökningar i ProCapita utanför ens arbetsuppgifter är ett exempel på detta. Personuppgiftsincidenter ska anmälas till tillsynsmyndigheten inom 72h.

Konsekvensbedömning

En process för att ta reda på vilka risker som finns med att behandla personuppgifter, ta fram rutiner och åtgärder för att bemöta dessa risker samt visa att man uppfyller dataskyddsförordningens krav.

Den enskildes rättigheter reglerar av artiklarna 12-23.

• Information till den enskilde i samband med personuppgiftsbehandling (artikel 12-14)
• Den registrerades rätt till tillgång (artikel 15)
• Rätt till rättelse (artikel 16)
• Rätten att bli bortglömd (artikel 17)
• Rätten till begränsning av behandling (artikel 18)
• Anmälningsskyldighet (artikel 19)
• Rätt till dataportabilitet (artikel 20)
• Rätt att göra invändningar (artikel 21)
• Automatiserad beslutsfattande/profilering (artikel 22)
• Begräsningar (artikel 23)

Enligt GDPR är socialförvaltningen (socialnämnden) ansvarig för den personuppgiftsbehandling som sker inom dess verksamhet (så kallad personuppgiftsansvarig) I praktiken innebär det bland annat följande:

• GDPR är en förordning vilket innebär att står över samtliga lagstiftningar som reglerar socialförvaltningens verksamhet
• Socialförvaltningen får endast behandla personuppgifter om kraven i artikel 5 och 6 uppfylls i GDPR
• Definitionen av personuppgifter i GDPR ska genomsyra hela förvaltningen i dess arbete
• Socialnämndens delegationsordning är ett viktigt dokument för att förvaltningens arbete med GDPR
• GDPR är inte isolerad utan måste ses inom ramen för en kontext där en lex Sarah – rapport kan leda till en personuppgiftsincident (enligt GDPR) och polisanmälan enligt Brottsbalk (1962:700)
• Medarbetare inom socialförvaltningen ska gå på interna utbildningar om GDPR

Socialförvaltningen ska utreda begäran enligt socialnämndens delegeringsordning där arbetsfördelningen mellan chef och GDPR – samordnare finns. Som ett stöd i detta arbete finns specifika rutiner framtagna.

Lagen kompletterar GDPR, den tar inte över GDPR, och ger lagstöd för behandling av bland annat känsliga personuppgifter. Vid en kollision mellan GDPR och nationell reglering har GDPR företräde. En utredning har säkerställt att bland annat SoLPUL är ”kompatibel” med GDPR.

Det är av yttersta vikt att förvaltningens inkluderar GDPR-samordnare (och förvaltningsjurist) vid upphandling och/eller framtagandet av avtal mellan förvaltningen och extern part. I linje med nämndens delegeringsordning är det ansvarig chef ska göra detta.

Barns personuppgifter nämns särskilt i skäl 38 där det anges att dessa förtjänar särskilt skydd eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Enligt dataskyddsförordningen bör all information och kommunikation som riktar sig till barn utformas på ett tydligt och enkelt språk som barnet lätt kan förstå.

Uppgifter om avlidna är inte personuppgifter. De kan dock utgöra personuppgifter för nu levande personer, till exempel anhöriga, såvitt beträffar känsligare uppgifter, bland annat ärftliga sjukdomar som lett till dödsfallet eller brott som den avlidne begått. Såvida inga sådana uppgifter överförs gäller inte GDPR.

Det är okej med brukarens samtycke men det är bättre att sträva efter säkra kommunikationslösningar.

En kommunal myndighet får behandla personuppgifter enligt förordningen om behandling av personuppgifter inom socialtjänsten (SoLPuLF) om det till exempel behövs för

• handläggning av ärenden om bistånd och annat stöd samt genomförande av beslut om bistånd, stödinsatser, vård och behandling samt annan social service som följer av bestämmelserna i socialtjänstlagen och lagen om vissa kommunala befogenheter
• handläggning av ärenden och annan verksamhet som följer av lagen med särskilda bestämmelser om vård av unga (LVU) och lagen om vård av missbrukare i vissa fall (LVM)
• faderskapsutredningar, utredning om vårdnad av barn, adoptionsärenden samt annan verksamhet inom familjerätten som följer av bestämmelserna i föräldrabalken
• tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten.

Integritetsskyddsmyndigheten (IMY) har tillsyn över hur vårdgivarna tillämpar dataskyddsbestämmelser, till exempel att en vårdgivare genomför säkerhetsåtgärder för att skydda personuppgifterna. Inspektionen för vård och omsorg (IVO) är tillsynsmyndighet för hälso- och sjukvården och socialtjänsten. Tillsynen ska bidra till en säker vård och omsorg av god kvalitet. Även Justitieombudsmannen (JO) bedriver tillsyn. JO granskar och övervakar att myndigheterna handlägger sina ärenden korrekt och rättssäkert.

Handlingar som är av betydelse för ärendet ska skrivas ut eller sparas tillfälligt på en plats i datorn för att sedan läggas in i berört verksamhetssystem. Därefter ska inkomna mail med känsliga personuppgifter raderas oavsett om det har inkommit till ens egen inkorg eller myndighetsbrevlåda. Kom ihåg att inte använda Outlook som ett kommunikationsverktyg med den enskilde eller medarbetare (använd T-dialog istället).

För mer information se Detta behöver du göra när mail och dokument flyttas upp i molnet.

Socialnämnden, sociala utskottet samt tillstånds- och föreningsutskottet är politiska organ som hanterar personuppgifter, känsliga och inte känsliga enligt GDPR. Samtliga handlingar med känsliga personuppgifter ska skickas via verktyget T-dialog och kommunikation mellan handläggare och sekreterare ska ske via detta verktyg. I samband med utskick av dagordning till förtroendevalda ska tillgång till ärenden med känsliga personuppgifter (sekretess) begränsas till det politiska organets politiker och berörda tjänstepersoner. Denna typ av handlingar ska inte heller publiceras på stadens webbdiarium. Efter expediering ska ärendena tas bort från verksamhetssystemet DoÄ.