Så hanterar vi dina person­uppgifter

Samtliga länsstyrelser ska i det regionala arbetet redovisa hur lagen om nationella minoriteter och minoritetsspråk har tillämpats inom myndigheternas ansvarsområde, utifrån målet för minoritetspolitiken. Detta uppdrag utgör ändamålet med länsstyrelsernas behandling av personuppgifter med koppling till nationella minoriteter.

Länsstyrelsen i Stockholms län har ett särskilt uppdrag inom minoritetspolitiken. Myndigheten ska tillsammans med Sametinget samordna och följa upp hur Sveriges minoritetspolitik genomförs i landets kommuner och myndigheter. Länsstyrelsen i Stockholm ansvarar särskilt för hur minoritetspolitiken genomförs i förhållande till fyra av de fem nationella minoriteterna: judar, romer, sverigefinnar och tornedalingar. Sametinget ansvarar för hur minoritetspolitiken genomförs i förhållande till samer.

Länsstyrelsen i Stockholm ansvarar även för att samordna och följa upp insatser inom strategin för romsk inkludering nationellt och för att stödja kommuner att utveckla arbetssätt för romsk inkludering.

Länsstyrelserna behandlar såväl känsliga personuppgifter som vanliga personuppgifter med koppling till nationella minoriteter. Behandling av uppgifter om namn, etniskt ursprung och kontaktuppgifter förekommer exempelvis i samband med korrespondens med minoritetsorganisationer, ansökningar om statsbidrag, samråd, utbildning och uppföljning. Behandling av namn och kontaktuppgifter med koppling till nationella minoriteter kan också förekomma i samband med länsstyrelsens kontakter med andra statliga myndigheter och kommuner.

Den rättsliga grunden för att behandla personuppgifterna är att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Rättslig grund för behandlingen av känsliga personuppgifter är ett viktigt allmänt intresse. Behandling av känsliga personuppgifter förekommer när den nationella minoriteten och minoritetsspråket också har koppling till ett etniskt ursprung. Det är specifika behandlingar som har tydligt stöd i länsstyrelsernas uppdrag inom minoritetspolitiken. Uppgifterna lämnas i regel ej ut med undantag för bestämmelserna om begäran om utlämnande av allmän handling. I vissa fall rör behandlingen personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade själv (i egenskap av företrädare för organisation för den aktuella nationella minoriteten).

Huvudprincipen är att allmänna handlingar bevaras, det vill säga sparas för all framtid. Om det finns personuppgifter i allmänna handlingar bevaras även personuppgifterna. De personuppgifter som hanteras på Länsstyrelsen är vanligen allmänna handlingar. Du kan läsa mer om vad det innebär under fliken Diarium och allmänna handlingar.

I vissa fall finns föreskrifter om gallring av information vid en myndighet. Riksarkivet fattar beslut om gallring för information som finns på Länsstyrelsen. Med gallring menas att informationen förstörs och blir oläsbar.

Riksarkivets föreskrifter är tvingande bestämmelser för statliga myndigheter såsom Länsstyrelsen. Länsstyrelsen har ett flertal olika gallringsföreskrifter att förhålla sig till. Riksarkivets föreskrifter avgör när en handling gallras och olika frister finns för olika typer av information. I och med att informationen gallras, gallras även de personuppgifter som finns att läsa i handlingen.

Länsstyrelsen har en extern kanal för att ta emot och hantera rapporter om missförhållanden, ett krav i visselblåsarlagen. Länsstyrelsen kan komma att behandla personuppgifter i samband med visselblåsning.

Då länsstyrelsen har en skyldighet att hantera visselblåsning enligt lag (2021:890) om skydd för personer som rapporterar om missförhållanden så finns det en rättslig grund för hantering av personuppgifter – rättslig förpliktelse - enligt art 6.1 c i dataskyddsförordningen.

Länsstyrelsen styr inte över vilka kategorier av uppgifter som kan tänkas komma in då det baseras på vad anmälaren skickar in.

Personuppgifter behandlas bara om behandlingen är nödvändig för ett uppföljningsärende. Uppgifter som inte är nödvändiga för ärendet ska raderas snarast möjligt.

Personuppgifter som behandlas för uppföljning får också behandlas om det är nödvändigt för att åtgärder ska kunna vidtas med anledning av det som har framkommit i ärendet, är nödvändigt för att användas som bevisning i rättsliga förfaranden eller annars sker i överensstämmelse med lag eller förordning.

Personuppgifter som behandlas för uppföljning får behandlas även för andra ändamål under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Endast de personer som har utsetts som behöriga att ta emot, följa upp och lämna återkoppling på rapporter får ha tillgång till personuppgifterna. Tillgången till personuppgifter är begränsad till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Personuppgifter i ett uppföljningsärende får inte behandlas längre än två år efter det att ärendet avslutades. Tidsgränsen på två år hindrar inte att en myndighet får arkivera och bevara allmänna handlingar eller överlämna arkivmaterial till en arkivmyndighet.

Länsstyrelsen behandlar personuppgifter inom ramen för vårt arbete med valet. Länsstyrelsen är regional valmyndighet med ansvar i länet för frågor om val och för utbildning av valnämnderna.

Väljares personuppgifter

Länsstyrelsen behandlar väljares personuppgifter i samband med valdistriktsarbetet. Det handlar främst om fastighetsbeteckning och syftar till att placera varje fastighet i ett valdistrikt.

Vid rättelse i röstlängden kan till exempel uppgifter om väljarens namn, medborgarskap, folkbokföringsadress och personnummer behöva behandlas. Detta kan vi göra, efter väljarens ansökan, när det står fel i röstlängden om till exempel adress eller vilken rösträtt personen har.

När vi lägger till eller tar bort EU-medborgare i röstlängden behöver vi behandla personens uppgifter om namn, adress och personnummer.

När en person beställer en kopia av sitt röstkort (dubblettröstkort) kan vi skriva ut det. Vid utskriften behandlar vi namn, adress och personnummer. Detta för att kunna söka fram rätt person i röstlängdsregistret.

Kandidaters personuppgifter

I samband med valsedelsbeställningen behandlar vi kandidaternas uppgifter om bland annat namn, adress, personnummer och partibeteckning. Det gör vi för att producera valsedlar. Vi måste även samla in ett samtycke om att aktuell kandidat vill ställa upp i valet. Vi kan även behöva behandla uppgifter om folkbokföringsort och medborgarskap för att avgöra om kandidaten är valbar i aktuellt val.

Vi behandlar även kandidatens personuppgifter som namn, adress, personnummer och partibeteckning vid den slutliga rösträkningen när vi räknar personröster och fastställer valresultatet. Samma personuppgifter behandlas när en invald ledamot avgår och ska ersättas med en ny person.

Se även Valmyndighetens webbplats för mer information om personuppgifter som behandlas vid valarbete.

Valmyndighetens webbplats Länk till annan webbplats, öppnas i nytt fönster.

Rättslig grund

Rättslig förpliktelse, (Vallagen 2005:837)

Länsstyrelsen utövar tillsyn över kommunens överförmyndare. Utsedda länsstyrelser hanterar ärenden för flera län. Inom tillsynen genomförs inspektioner. Länsstyrelsen granskar om överförmyndarnas handläggning följer författningar och om handläggningen i övrigt sker på ett rättssäkert och lämpligt sätt. Myndigheten kan även granska en överförmyndare efter en anmälan från exempelvis en anhörig. Länsstyrelsens tillsyn utmynnar i ett protokoll till överförmyndaren. I dessa protokoll förekommer personuppgifter avseende huvudmän och ställföreträdare i form av aktnummer. Protokollet skickas till kommunen och är en allmän handling både hos länsstyrelsen och hos kommunen.

Ändamålet med behandling av personuppgifter är tillsyn enligt föräldrabalken och förmynderskapsförordningen (1995:379). Exempel på personuppgifter som behandlas är aktnummer, namn, personnummer, kontaktuppgifter, fastighetsbeteckning, uppgifter om hälsa samt uppgifter om ekonomiska och sociala förhållanden. Rättsliga grunder för behandlingen av personuppgifterna är rättslig förpliktelse och uppgift av allmänt intresse eller myndighetsutövning. Kategori av mottagare som tar del av personuppgifterna är kommunens tjänstemän. Uppgifterna kan också lämnas till Polismyndigheten i samband med en polisanmälan.

När länsstyrelsen granskar överförmyndarens akter lånas de från kommunen eller så sker granskningen på plats hos kommunen. Det innebär att länsstyrelsens handläggare främst läser uppgifter rörande ställföreträdare och huvudmän. Handlingar som lämnas in till länsstyrelsen blir allmänna handlingar hos länsstyrelsen.

Huvudregeln är att personuppgifter i allmänna handlingar bevaras i enlighet med arkivlagstiftningen. Inkomna kopior av handlingar och register från överförmyndare som inte längre behövs för ändamålet gallras i enlighet med gällande gallringsbeslut.

Länsstyrelsen utför djurskyddskontroller, såväl regelbundna planerade kontroller främst avseende lantbrukets djur, som kontroller när myndigheten får in en anmälan om att ett djur hanteras felaktigt eller far illa. Ändamålet med behandling av personuppgifter inom djurskydd är tillsyn enligt djurskyddslagen (2018:1192) och lagen (2007:1150) om tillsyn över hundar och katter. Exempel på kategorier av personuppgifter som behandlas är namn, personnummer, kontaktuppgifter och i förekommande fall uppgifter om lagöverträdelser och uppgifter om hälsa. Personuppgifterna kommer bland annat från djurskyddsanmälningar, länsstyrelsens kontrollrapporter och fakturor. Rättslig grund är uppgift av allmänt intresse eller myndighetsutövning eftersom vi antingen är skyldiga enligt lag att utföra uppgifterna eller behöver uppgifterna för att utföra vårt tillsynsuppdrag. Kategorier av mottagare som tar del av personuppgifterna är bland annat andra statliga myndigheter. Mottagare är exempelvis Polismyndigheten vid begäran om polishandräckning samt förvaltningsrätten och kammarrätten vid överklagande av länsstyrelsens beslut. Vid handläggning av djurskyddsärenden uppdateras uppgifterna i Jordbruksverkets IT-system. Vid frågor om behandlingar av personuppgifter i Jordbruksverkets IT-system, kontakta Jordbruksverket.

De personuppgifter som hanteras inom ramen för länsstyrelsens tillsyn är allmänna handlingar. Du kan läsa mer om vad det innebär under fliken allmänna handlingar. Huvudregeln är att personuppgifter i allmänna handlingar bevaras i enlighet med arkivlagstiftningen. I vissa fall finns tillämpliga föreskrifter från Riksarkivet och gallringsbeslut hos länsstyrelsen. För anmälan som leder till kontroll av djurskydd är gallringsfristen fem år avseende obefogade anmälningar. För uppföljande kontroll av djurskydd på grund av bristande efterlevnad är gallringsfristen tio år efter att brist åtgärdats. Detta gäller ärenden som är avslutade från och med den 1 januari 2009. Handlingar i ärenden som föranleder förbud eller åtal bevaras.

Vision

Varje länsstyrelse har en god informationssäkerhetskultur med syfte att skydda myndighetens informationstillgångar och den enskilda människans integritet med rätt anpassade säkerhetsåtgärder.

Alla medborgare, företag, myndigheter och organisationer har förtroende för hur länsstyrelsen hanterar information oavsett var den hanteras.

Inriktning

Information är en av länsstyrelsernas värdefullaste tillgångar, och en avgörande förutsättning för vår förmåga att utföra våra uppdrag.

Information som i takt med ökad digitalisering blir allt mer beroende av komplexa och sårbara infrastrukturer. Information som kontinuerligt utsätts för både avsiktliga som oavsiktliga hot och incidenter samtidigt som svagheter och brister finns i våra system och processer.

En förutsättning för att möta dessa sårbarheter och ha en ändamålsenlig hantering av länsstyrelsernas informationstillgångar är ett aktivt och dynamiskt informationssäkerhetsarbete. Ett ansvar som åligger varje enskild länsstyrelse.

Länsstyrelsernas informationssäkerhetsarbete ska säkerställa att den information som länsstyrelserna ansvarar för, uppfyller

• tillgänglighet (tillgänglig när den behövs),
• konfidentialitet (skydd mot åtkomst för obehöriga),
• riktighet (informationen är korrekt, aktuell och pålitlig).

Skydd av personuppgifter (dataskydd) utgör en delmängd av informationssäkerhet och syftar till att skydda den enskildes integritet. En förutsättning för detta är att varje länsstyrelse följer de grundläggande principerna för dataskyddsförordningen och därmed tar ansvar för de registrerades rättigheter.

Informationssäkerhetsarbetet ska bedrivas utifrån gällande författningskrav, identifierade risker och skyddsbehov. Länsstyrelser ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett gemensamt Ledningssystem för informationssäkerhet (LIS).

All utveckling, anskaffning och förvaltning av tjänster och utrustning som i någon form behandlar myndighetens information ska ske genom beslutade processer som genomgående beaktar informationssäkerhetskraven.

Länsstyrelserna ska ha god förmåga att snabbt upptäcka och hantera informationssäkerhetsincidenter och avvikelser, och baserat på dem skyndsamt kunna genomföra förändring och anpassning för verksamheten.

En länsstyrelsegemensam stödfunktion

Länsstyrelserna har gemensam IT-drift, gemensamma system och i allt väsentligt gemensamma uppdrag. Vi har även en gemensam organisationsmodell för utveckling och förvaltning av vårt IT-stöd som i någon form inkluderar all informationshantering. Detta innebär många och starka beroenden och goda förutsättningar för samordningsvinster i vårt informationssäkerhetsarbete.

Länsstyrelsernas gemensamma informationssäkerhetsarbete ska därför ledas och samordnas av en länsstyrelsegemensam funktion. I det uppdraget ska funktionen normera och utfärda styrdokument för det gemensamma informationssäkerhetsarbetet, och därtill identifiera ansvariga aktörer vid länsstyrelserna och se till att dessa verkställer sitt ansvar inom ramen för vårt gemensamma LIS. Funktionen ska vidare genom stöd och tydlig styrning skapa de bästa förutsättningarna att upprätthålla en god och kostnadseffektiv informationssäkerhet för länsstyrelserna.

I funktionen ska två särskilt utpekade roller för informationssäkerhet och dataskydd finnas. Rollerna ska ha en oberoende, vägledande, kravställande och granskande ställning.

Ansvar

Informationssäkerhet och dataskydd är väsentliga områden och ett ansvar för varje enskild länsstyrelse och medarbetare. Ledningssystemet för informationssäkerhet ska vara integrerat med den befintliga styrningen. Ansvarsfördelning, uppgifter och roller ska tydligt vara definierade och beslutade i varje länsstyrelses styrdokument.

Kunskap och medvetenhet är avgörande för viljan att göra rätt. En grundförutsättning för god efterlevnad är att ledning och medarbetare är införstådda med regelverkens syfte och mål. Styrdokument, processer och övrigt stöd ska vara tydliga, lättillgängliga och kända.

Efter att landshövdingemötet godkänt förslaget till policy den 10 februari 2021, beslutar Länsstyrelsen i Stockholms län i egenskap av värdmyndighet för Safir härmed att fastställa innehållet för publicering.

Genom beslutet upphävs också länsstyrelsernas gemensamma integritets- och dataskyddspolicy (NODS 2018:2).

Beslut i detta ärende har fattats och godkänts digitalt av landshövding Sven-Erik Österberg med samordnare Mikael Norberg som föredragande.

Policyn har diarienummer 108-7441-2022 och är beslutad 2022-03-17.