Så hanterar vi dina person­uppgifter

Från och med 25 maj 2018 gäller dataskyddsförordningen i alla EU-länder. Här i Sverige ersätter den personuppgiftslagen, PUL. I praktiken stärks skyddet av dina personuppgifter och din rätt att veta vad de används till och hur de behandlas av oss på myndigheten, men också hos andra organisationer och företag.

Länsstyrelsen kan behöva samla in, ta emot eller på annat sätt behandla dina personuppgifter. En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. All typ av hantering som man kan göra med personuppgifter, exempelvis lagra, gallra, sprida och kopiera, är en behandling av personuppgifter.

Om du har ett ärende hos Länsstyrelsen, står med på en valsedel, sitter i styrelsen för en stiftelse eller är verksam inom ett område där vi gör tillsyn så kommer vi behandla dina personuppgifter. Samma sak gäller till exempel om du går på en konferens vi anordnar eller om du ställer upp på film eller foto till våra sociala kanaler, webbplatser med mera.

Behandling av personuppgifter ska ha laglig grund

Alla behandlingar av personuppgifter måste ha laglig grund. Länsstyrelsen är verksam inom ett stort antal rättsområden, därför är det inte möjligt att beskriva den lagliga grunden för varje enskild behandling här på webbplatsen. Om du vill veta mer om vilka uppgifter vi behandlar om dig är du välkommen att hör av dig till den Länsstyrelse som är aktuell eller till oss i Länsstyrelsernas gemensamma dataskyddsorganisation, Nod (E-post till Nod).

Länsstyrelserna är gemensamt ansvariga

Alla 21 Länsstyrelser i landet har en gemensam IT-organisation och i flera avseenden nyttjar vi också gemensamma system. Därför är Länsstyrelserna gemensamt personuppgiftsansvariga när det gäller den nya dataskyddsförordningen. Länsstyrelserna är även gemensamt personuppgiftsansvariga tillsammans med andra myndigheter.

Lagstiftningen kräver en struktur och det ska vara tydligt för den registrerade hur ansvaret är fördelat mellan länsstyrelserna och andra myndigheter. Det vill säga vem som har ansvaret för att dina personuppgifter behandlas lagligt, säkert och korrekt.

Länsstyrelsernas dataskyddsombud

Eftersom Länsstyrelserna har likartade uppdrag har myndigheterna valt att ha en gemensam organisation (som kallas Nod) för dataskydd och dataskyddsförordningen. Ett krav i dataskyddsförordningen är att myndigheten ska utse dataskyddsombud och anmäla det till Datainspektionen som är tillsynsmyndighet.

Länsstyrelserna har ett ordinarie och ett biträdande dataskyddsombud. Dataskyddsombudets roll är att övervaka efterlevnaden av dataskyddsförordningen, lämna råd och stöd, hjälpa dig som registrerad samt vara kontaktyta mot Datainspektionen.

Om du har frågor om eller synpunkter på hur Länsstyrelsen behandlar dina personuppgifter är du välkommen att kontakta dataskyddsombudet via e-post.

Varje Länsstyrelse är personuppgiftsansvarig för sin specifika verksamhet.

För att Länsstyrelserna ska kunna erbjuda sina tjänster och fullgöra sina åtaganden mot dig behöver vi hantera dina personuppgifter. I hela hanteringen av dina personuppgifter värnar vi om din personliga integritet.

Vi kommer endast att behålla dina personuppgifter om det finns ett syfte med att ha kvar informationen. Personuppgifter som behandlas av en Länsstyrelse ingår oftast i så kallade allmänna handlingar. För att avgöra om en allmän handling ska bevaras eller gallras behöver det göras en värdering av informationen. I denna värdering tar man hänsyn till:

  • informationens betydelse för verksamheten
  • allmänhetens rätt till insyn
  • informationens långsiktiga betydelse för framtida forskning

De grundläggande bestämmelserna om bevarande och gallring finns i 2 kap. 18 § Tryckfrihetsförordningen och i arkivlagen. Länsstyrelsen är dessutom skyldig att behålla personuppgifter enligt krav från olika författningar som till exempel stiftelselagen och bokföringslagen.

Dina personuppgifter är bara tillgängliga för personer som behöver dem för att kunna utföra sina arbetsuppgifter. Enligt offentlighetsprincipen, som tillhör en av Sveriges grundlagar, har allmänheten rätt att ta del av allmänna handlingar som inte är belagda med sekretess. Eftersom dina personuppgifter kan ingå i allmänna handlingar betyder det att andra personer samt mediebolag eller marknadsföringsbolag har rätt att se dessa handlingar om deras ändamål inte strider mot dataskyddslagstiftning eller på annat sätt är sekretessbelagda i offentlighets- och sekretesslagen.

Länsstyrelsen kan dessutom behöva lämna nödvändig information till myndigheter såsom polisen, Skatteverket eller andra myndigheter om vi är skyldiga att göra det enligt lag.

Länsstyrelsen strävar alltid efter att behandla dina personuppgifter inom EU/EES (Europeiska Unionen/Europeiska Ekonomiska Samarbetsområdet). Uppgifterna kan dock i vissa situationer överföras till, och behandlas i, länder utanför EU/EES eftersom en del av våra leverantörer eller underleverantörer är internationella organisationer som till exempel Microsoft och Google.

Länsstyrelsen kommer att vidta alla rimliga legala, tekniska och organisatoriska åtgärder för att säkerställa att dina personuppgifter hanteras säkert och med en lämplig skyddsnivå både inom och utanför EU/EES. Vill du veta om eller var dina personuppgifter överförs utanför EU/EES kan du kontakta vårt dataskyddsombud.

Varje enskild person äger sina egna personuppgifter. Därför har du som enskild person vissa rättigheter som Länsstyrelsen är skyldig att iaktta under vissa omständigheter. Enligt dataskyddslagstiftningen har du nedanstående rättigheter som du kan hänvisa till. För att åberopa dina rättigheter kan du kontakta dataskyddsombudet.

 

Enligt dataskyddsförordningen har du alltid rätt att få information om vilka personuppgifter som Länsstyrelsen har registrerade om dig. Om du skickar en förfrågan via dataskyddsombudet@lansstyrelsen.se skickar vi ett registerutdrag till dig. Utdraget innehåller de personuppgifter vi behandlar om dig samt en text som beskriver hur vi behandlar personuppgifterna. Det kommer normalt att ta maximalt en månad innan ett sådant registerutdrag skickas till dig.

Om du anser att någon personuppgift om dig är felaktig eller missvisande, kan du begära att den rättas eller i vissa fall används på ett mer begränsat sätt. Kontakta i sådana fall dataskyddsombudet och förklara vad du anser är felaktigt och varför.

Du har inte rätt att få dina personuppgifter raderade om Länsstyrelsen exempelvis:

Behöver behandla personuppgifterna för att utföra en uppgift av allmänt intresse, inom ramen för en avtalsrelation med dig, som ett led i sin myndighetsutövning, för arkivändamål, för att utöva rätten till yttrande- och informationsfrihet, för att fullgöra en rättslig förpliktelse eller försvara rättsliga anspråk.

Du har rätt att begära radering av dina personuppgifter som lagras av Länsstyrelsen om minst ett av följande villkor är uppfyllt:

  • uppgifterna inte längre behövs för de ändamål som de samlades in
  • behandlingen grundar sig på samtycke och du återkallar ditt samtycke
  • behandlingen sker för direktmarknadsföring och du invänder mot att uppgifterna behandlas för det ändamålet
  • du invänder mot personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än ditt intresse
  • personuppgifterna har behandlats olagligt
  • radering krävs för att uppfylla en rättslig skyldighet
  • personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster (e-tjänster, sociala medier).

Du har ibland rätt att få ut dina personuppgifter i ett allmänt, strukturerat och maskinläsbart format och dessutom få dina personuppgifter förflyttade till en annan organisation (om tekniskt möjligt) ifall behandlingen grundar sig på samtycke eller på ett avtal och sker automatiserat (med IT-medel). Denna rättighet är inte tillämpbar om myndighetens behandling är nödvändig för att utföra en uppgift av allmänt intresse eller är ett led i myndighetsutövningen. Kontakta vårt dataskyddsombud om du vill veta mer.

Du har rätt att göra invändningar mot Länsstyrelsens behandling av dina personuppgifter och att lämna in klagomål till dataskyddsmyndigheten. Du kan när som helst invända mot direktmarknadsföring och då upphör Länsstyrelsen med marknadsföringen. En invändning kan däremot inte påverka offentlighetsprincipen och andra parter kan fortfarande använda din information för marknadsföring.

Länsstyrelserna har en gemensam integritets- och dataskyddspolicy. Här nedan finns kortlänkar till de olika avsnitten i policyn.

  1. Syfte och grundläggande förutsättningar
  2. Personuppgiftsansvar
  3. Behandling av personuppgifter
  4. Dataskydd och säkerhetsarbetet
  5. Kommunikation och utbildning
  6. Kontroll och efterlevnad
  7. Lämna information anonymt

Länsstyrelselsernas integritets- och dataskyddspolicy

Syfte och grundläggande förutsättningar

Vision

Varje länsstyrelse har en god dataskyddskultur med den enskilda människans integritet som mål och syfte. Alla medborgare kan lita på att länsstyrelsen har kontroll över var vi behandlar personuppgifter i vår organisation, och att vi gör det rättssäkert och effektivt.

Länsstyrelsens ledning ger varje medarbetare förutsättningar att upprätthålla en god dataskyddskultur, där varje medarbetare tar ett personligt ansvar för att kulturen förvaltas och utvecklas i samverkan.

Principer

En central förutsättning för en god dataskyddskultur och för den faktiska möjligheten att skydda den enskildes integritet är att varje länsstyrelse följer de principer som dataskyddsförordningen vilar på. De är följande:

  1. Laglighet, korrekthet och öppenhet
  2. Ändamålsbegränsning
  3. Uppgiftsminimering
  4. Lagringsminimering
  5. Korrekthet
  6. Integritet och konfidentialitet

Över de sex sakliga principerna spänner principen om ansvarsskyldighet som en garant för de andra principerna: nämligen att den personuppgiftsansvariga ska kunna visa att man följer bestämmelserna.

Ansvar

Att få till stånd och förvalta en god kultur för dataskydd innebär ett mycket omfattande arbete som behöver bedrivas på lång sikt. Det handlar om att tänka nytt; förändrade arbetssätt med utvecklade metoder och redskap.

Var och en av de 21 länsstyrelserna – ytterst myndighetsledningen – är personuppgiftsansvarig. Det är den som har det faktiska och juridiska ansvaret att uppfylla förordningens krav på behandling av personuppgifter, inklusive de sanktioner och skadestånd som kan bli följden av bristande efterlevnad.

Det är därför avgörande att varje länsstyrelse bedriver ett kraftfullt, samlat och permanent arbete med dataskyddsfrågor förankrat inom den egna myndigheten. Myndighetsledningen ansvarar formellt för personuppgiftsbehandlingen. Men myndigheten utgörs av alla medarbetare. Därför är det en förutsättning för en god dataskyddskultur att varje medarbetare på länsstyrelsen har ett personligt ansvar för att förverkliga dataskyddet. Det handlar om att känna till regelverket, att följa principerna och att förstå syftet med att skydda den enskildes integritet.

Dataskyddsförordningen är en rättighetslagstiftning för den enskilde. Integritetskyddet är i medborgarens intresse, och man kan ofta betrakta den person vars personuppgifter vi behandlar som vår uppdragsgivare. En god dataskyddskultur är därför i hög grad synonymt med en god förvaltningskultur, med det ansvar som följer för alla tjänstemän på en statlig myndighet utifrån den statliga värdegrunden.

Gemensam organisation och gemensamt regelverk

De 21 länsstyrelserna har i princip identiska verksamhetsuppdrag och delar en gemensam IT-organisation. För att säkerställa att dataskyddet är likvärdigt för den enskilde, oavsett vilken länsstyrelse som behandlar dennes uppgifter, och för att rationalisera arbetsinsatsen och höja kompetensen har länsstyrelserna skapat en nationell organisation för dataskyddsfrågor (Nod). Vid Nod är också länsstyrelsernas gemensamma dataskyddsombud placerat.

Varje länsstyrelse har därtill en dataskyddssamordnare. Allt detta utgör den samlade, gemensamma organisationen.

Mandatet för Nod och det gemensamma dataskyddsombudet medför att länsstyrelserna har ett gemensamt regelverk inom dataskydd. Den samlade, gemensamma organisationen, inklusive dess system för normgivning, beskrivs närmare i organisationsbeskrivningen och i arbetsbeskrivning för Nod och dataskyddsombudet.

Säkerhet

Dataskydd handlar om att skydda den enskildes integritet. Det säkerställer vi genom att de personuppgifter vi hanterar ska vara tillgängliga när de behövs, att de är korrekta och hanteras på ett säkert sätt. En god dataskyddskultur förutsätter en hög informationssäkerhet.

Dataskyddsförordningen gäller register och automatisk behandling, dvs i allt väsentligt digital information, vilket innebär att ett gott dataskydd kräver en hög och tillförlitlig IT-säkerhet, och vice versa.

Personuppgiftsansvar

Ensamt ansvar och arrangemang vid gemensamt ansvar

Den som ensam eller tillsammans med andra bestämmer ändamål eller medel med en personuppgiftsbehandling är personuppgiftsansvarig. En länsstyrelse kan ha ensamt personuppgiftsansvar, ansvar gemensamt med andra länsstyrelser eller gemensamt med andra myndigheter. Nod ansvarar för kontakten med andra aktörer gällande gemensamt personuppgiftsansvar och därtill hörande arrangemang i förordningens mening.

Det får inte förekomma behandlingar där det inte framgår vem som är personuppgiftsansvarig, varför myndigheten tydligt måste peka ut detta i den praktiska organisationen. För behandlingar som inte är unika för en länsstyrelse, ansvarar Nod och berörda förvaltningsobjekt för att reda ut personuppgiftsansvaret innan behandlingen inleds.

Personuppgiftsbiträde och biträdesavtal

Vid ett biträdesförhållande ska biträdet behandla personuppgifter för den personuppgiftsansvariges räkning. Det innebär exempelvis någon som tillhandahåller ett handläggningssystem för myndighetens löneberäkning eller när leverantören av passersystem kan se loggarna över vem som passerat in och ut ur myndigheten.

Vid osäkerhet kring om det är ett rent biträdesförhållande eller om det är ett gemensamt ansvarsförhållande eller ytterligare något annat förhållande, ska länsstyrelsen kontakta Nod. Gör det redan när ni börjar diskutera tjänsten eller avtalet. Vid ett biträdesförhållande ska leverantörens personuppgiftsbehandling regleras i ett personuppgiftsbiträdesavtal.

Nod upprättar och/eller granskar avtalet, i samråd med berörda länsstyrelser. Därefter skriver respektive behörig myndighet under avtalet. Det innebär att Nod ska vara involverad tidigt i avtalsprocessen och att leverantörers avtalsförslag ska skickas direkt till Nod.

Behandling av personuppgifter

Laglighet, korrekthet och öppenhet

I dataskyddsförordningen finns ett antal bärande principer för behandling av personuppgifter (artikel 5). Dessa principer ska gälla för all behandling av personuppgifter. De uppgifter vi behandlar kan bildligt till viss del liknas vid ett lån från den enskilde individen. Det innebär att alla behandlingar vi gör ska ske för särskilda, uttryckligt angivna och berättigade ändamål.

Uppgifterna ska vara adekvata, relevanta och vi ska inte behandla fler eller mer uppgifter än vad som behövs för ändamålet med behandlingen. Det innebär också att de personuppgifter vi behandlar ska vara korrekta. I vissa fall har den registrerade rätt att få sina uppgifter rättade eller borttagna. Den registrerade har också rätt att få veta varifrån vi hämtat uppgifterna, vad vi ska göra med dem och om eller när vi sprider dem till någon annan.

I Nod:s Vägledning för personuppgiftsbehandling finns utförligare riktlinjer för bedömning av laglig grund, ändamål och ändamålsbegränsning, uppgiftsminimering, vidarelämnande, pseudonymisering och anonymisering med mera.

Känsliga personuppgifter, konsekvensbedömningar och förhandssamråd

Dataskyddsförordningen reglerar särskilda kategorier av personuppgifter: sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, liksom genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I svensk rätt benämns dessa som känsliga personuppgifter.

Innan personuppgiftsansvarig startar nya behandlingar eller förändrar befintliga behandlingar av känsliga personuppgifter ska behandlingen stämmas av med dataskyddsombudet. Integritetskänsliga uppgifter är enligt Datainspektionen uppgifter som inte definieras som känsliga i lagstiftningens mening, men likväl är känsliga för den enskilde. Exempel är uppgifter om ekonomiska och personliga förhållanden som t.ex. medarbetares utvecklingsomdömen, personnummer, uppgifter om familjeförhållanden och fotografi på person.

Den personuppgiftsansvariga bör som utgångspunkt hantera dessa personuppgifter som känsliga vid risk- och konsekvensanalys och beslut om säkerhetsnivå. Om en typ av behandling sannolikt leder till hög risk för fysiska personers fri- och rättigheter ska den personuppgiftsansvarige utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter.

Om eller när en länsstyrelse, ett förvaltningsobjekt eller annan part där länsstyrelsen helt eller delvis är personuppgiftsansvarig, planerar att starta eller förändra en behandling som kan komma att omfattas av kravet på konsekvensbedömning ska dataskyddsombudet kontaktas.

Om resultatet av en sådan konsekvensbedömning som beskrivs ovan visar att behandlingen skulle leda till hög risk ska den personuppgiftsansvarige samråda med tillsynsmyndigheten. Ett sådant samråd ska ske tillsammans med dataskyddsombudet.

Närmare rekommendationer och riktlinjer om behandling av känsliga och integritetskänsliga personuppgifter, konsekvensbedömning och förhandssamråd återfinns i Nod:s Vägledning för personuppgiftsbehandling.

Lagra och radera

Att lagra personuppgifter är i sig en behandling av dessa. Ofta är lagringen en förutsättning för andra behandlingar, t.ex. att söka eller läsa personuppgifter. Därför är det centralt att den personuppgiftsansvariga har säkerställt förutsättningarna för lagringen, och redovisar dessa i den förteckning över personuppgiftsbehandlingar som man är skyldig att föra.

Varje lagringsmedium ska uppfylla de krav som ställs i reglerna om informationssäkerhet och ITsäkerhet. För personuppgifter som förekommer i allmänna handlingar ska även tillämpliga regler om bevarande och gallring vara uppfyllda. Enligt Riksarkivets föreskrifter ska varje myndighet ha en strategi för långsiktigt bevarande av elektronisk information. Den är därmed tillämplig på de digitala system som länsstyrelserna använder gemensamt. Därför har länsstyrelserna också en gemensam sådan strategi.

För att säkerställa att lagringen av personuppgifter i elektronisk information är laglig och säker är det ur dataskyddssynpunkt en grundläggande förutsättning att den personuppgiftsansvariga uppfyller de krav som följer av länsstyrelsernas strategi för långsiktigt bevarande. Här har förvaltningsobjekten en särskilt viktig uppgift för genomförande och praktisk efterlevnad.

En grundläggande princip i dataskyddsförordningen är lagringsminimering: att man inte får spara personuppgifter längre tid än de behövs för det ändamål som de samlats in. Denna princip innebär att alla handlingar som innehåller personuppgifter måste raderas så snart vi har använt dem, så länge handlingen inte ska arkiveras. Principen innebär också att allmänna handlingar som får gallras måste gallras så snart det är möjligt. Även för de handlingar som ligger i arkivet gäller förordningens regler om bl.a. säker hantering för att skydda de personuppgifter som finns i dessa handlingar.

Närmare riktlinjer för lagring och radering av personuppgifter, inklusive de som följer av strategin för långsiktigt elektroniskt bevarande, regleras utförligare i NOD:s Vägledning för behandling av personuppgifter.

Dataskydd och säkerhetsarbetet

Informationssäkerhet och IT-säkerhet

En av dataskyddsförordningens bärande principer är den om integritet och konfidentialitet. Att ensa säkerhetsarbetet nationellt är avgörande för att kunna bemöta dataskyddsförordningens krav på tydliga ansvarsförhållanden, att vi ska ha koll på vår information och vem som har tillgång till den, samt på kontroll och efterlevnad.

De mål som arbetet med dataskydd har, och de åtgärder som krävs för att nå målen, har en stark och tydlig koppling till flera pågående program, projekt, utvärderingar och förstudier inom länsstyrelsernas verksamhet. Gemensamt för alla kan sägas vara informationssäkerhet i vid mening: en kompetens och ett arbetssätt som säkerställer kontroll över våra informationssamlingar och informationsflöden, så att vi ska kunna utföra våra uppdrag på det sätt uppdragsgivaren och lagstiftaren kräver.

Informationssäkerhetsarbetet syftar till att informationen, inklusive personuppgifter, behandlas på ett betryggande sätt utifrån aspekterna tillgänglighet, riktighet och konfidentialitet. Spårbarhet krävs för att verifiera att behandlingen sker korrekt. Målet med informationssäkerhetsarbetet är därför i hög grad synonymt med målen för dataskyddslagstiftningen.

För att få god styrning av dataskyddet är det avgörande att de enskilda länsstyrelserna, inklusive länsstyrelsernas IT-avdelning, bedriver informationssäkerhetsarbetet på ett enhetligt sätt. Orsaken är dels att våra IT-stödsystem till största delen är gemensamma och det därför är arbetskrävande och kostnadsdrivande med särlösningar, dels att en enskild länsstyrelses sårbarheter kan innebära en risk för samtliga länsstyrelser i och med att vi är sammanlänkade genom vår gemensamma IT-infrastruktur.

Genom Nod:s regelgivning ställs krav på informationssäkerheten. Detta kräver att informationssäkerhetsarbetet bedrivs på ett systematiskt sätt och integreras i verksamhetsstyrningen och verksamhetsprocesserna. Ledning av informationssäkerhet är inte en separat verksamhet utan måste vara en del av organisationernas ordinarie sätt att leda och styra verksamheten.

Närmare riktlinjer om åtkomststyrning, informationsklassning m.m, och hur dataskyddsreglerna förhåller sig till regelverken om informationssäkerhet och ITsäkerhet, framgår i Nod:s Vägledning för säkerhet inom dataskydd

Personuppgiftsincidenter

En personuppgiftsincident är enligt dataskyddsförordningen (artikel 4.12) en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller
ändring av personuppgifter, eller till obehörigt röjande av eller obehörig åtkomst till uppgifterna.

För att incidenterna ska identifieras och åtgärdas så snart som möjligt och därmed att risken för skada för den registrerade minimeras, är det angeläget att alla medarbetare har en medvetenhet om vad en personuppgiftsinincident är, och att rutinerna för rapportering är enkla och tydliga för att möjliggöra snabb hantering.

En särskild rutin för hantering av personuppgiftsincidenter finns under Nod:s Vägledning för säkerhet inom dataskydd. Rutinen har tagits fram i samråd med IT-avdelningen. Den berör andra incidentrapporteringsskyldigheter och ska kontinuerligt ses över i samråd med berörda aktörer i länsstyrelsesamverkan och med de 21 länsstyrelserna.

Kommunikation och utbildning

Kommunikation

En av de sex grundprinciperna i dataskyddsförordningen är öppenhet. För en god dataskyddskultur är därmed frågan om hur länsstyrelsen kommunicerar om ämnet helt central. Hur vi kommunicerar påverkar både hur de personer som är i kontakt med länsstyrelsen kan få reda på hur vi förhåller oss till dataskyddsfrågorna och hur den enskilde kan tillvarata sin rätt. Varje medarbetare bör känna till att enskilda kan hitta information om hur länsstyrelserna behandlar personuppgifter på www.lansstyrelsen.se/dataskydd.

På samma sätt påverkar vår kommunikation hur organisationen internt uppfattar regelverket, dess syften och tillämpning – med andra ord dataskyddskulturen. För både extern och intern kommunikation är Nod:s kommunikationsplan grundvalen för länsstyrelsernas arbete i frågan. Kommunikationsplanen tas fram och förvaltas av Nod. Planen ska vara förankrad hos de intressentgrupper som definieras, och hållas löpande uppdaterad.

För de krav på information till de registrerade som följer av förordningen finns särskilda riktlinjer i Nod:s Vägledning för personuppgiftsbehandling.

Utbildning

En god dataskyddskultur förutsätter många ämnen och arbetsuppgifter. Varje medarbetare behöver reflektera över och repetera dem, för att de ska sätta sig och konsolideras – däribland dokumenthantering, informationssäkerhet och ITsäkerhet.

För att länsstyrelserna ska kunna bemöta en föränderlig omvärld behöver vi skapa förutsättningar för ett ständigt lärande hos våra medarbetare. Att bara ställa krav – utan att följa upp eller hänvisa till riktlinjer – ger ingen eller undermålig effekt. Målsättningen är därför en gemensam utbildningsplattform där alla länsstyrelser och förvaltningsobjekt kan skapa egna utbildningar men också bidra med kunskap och material till nationella dito.

Kontroll och efterlevnad

Som den övergripande och genomgående principen i dataskyddsförordningen löper ansvarsskyldigheten, som den formuleras i artikel 5.2:

Den personuppgiftsansvarige ska ansvara för och kunna visa att [de övriga fem principerna] efterlevs.

Det är alltså inte tillräckligt för en god dataskyddskultur och ett gott dataskydd att man har regler på plats. Det är lika viktigt att kunna visa att de faktiskt efterlevs, och hur. Det görs genom dokumenterad uppföljning och kontroll.

Grundläggande förutsättningar och mål med uppföljning och kontroll

Den centrala faktorn för all uppföljning och kontroll är att den så långt det är möjligt görs riskbaserad, med utgångspunkt i att värna den enskilda individen och den registrerades rättigheter. All planering och prioritering av uppföljnings- och kontrollåtgärder ska utgå från en konsekvensbedömd riskanalys, och en därtill knuten handlingsplan för uppföljning och kontroll, som uppdateras regelbundet.

En central del i ansvarsprincipen är att den personuppgiftsansvariga dokumenterar rutinerna, och hur de följs upp och kontrolleras. Varje styrdokument inom dataskydd ska därför som utgångspunkt ha ett särskilt avsnitt där det framgår hur just detta dokument följs upp och kontrolleras.

Fokus på organisationens behov och deltagande från verksamheten

En grundförutsättning för en god efterlevnad är att både ledningen och varje medarbetare är införstådd med regelverkets syfte. Kunskap och medvetenhet ska vara grundvalen för en vilja att agera rätt.

Av detta skäl ska utbildning och information prägla metodiken vid uppföljning och kontroll. Den ska bygga på dialog och om möjligt utgå från perspektivet hos användaren. Uppföljningen ska vara konstruktiv och därigenom främja nya, säkrare och mer effektiva arbetssätt. Nod ska stimulera utbyte av goda exempel.

Nod ska också verka för att tillhandahålla tekniska hjälpmedel som underlättar kontroll och efterlevnad, t.ex. automatisk och regelbunden avisering om dokument som inte öppnats inom en viss tid.

Tydliga regler – fast i saken och mild i sättet

Det regelverk som ska följas ska vara tydligt och lättillgängligt, så att det inte råder någon tvekan för läsaren om reglerna är giltiga eller inte. Detta förutsätter en enkel och tydlig struktur för de styrande dokumenten, och mandatet hos den som utfärdar dem.

Genom ett tydligt regelverk och en verksamhetsinriktad handlingsplan kan uppföljningen och kontrollen leda till ett önskat läge där det inte råder något tvivel om vad som gäller, och vägen dit samtidigt är väl förankrad bland de berörda. Formen för Nod:s normgivning beskrivs närmare i organisationsbeskrivningen.

Dataskyddsombudets och Nod:s roller

Dataskyddsombudet har enligt förordningen (art 39) till uppgift att övervaka efterlevnaden av förordningen, andra dataskyddsbestämmelser av EU och den personuppgiftsansvarigas ”strategi […] inbegripet ansvarstilldelning, information till och utbildning av personal”.

Nod utför i hög grad arbete åt de 21 personuppgiftsansvariga, vilket i detta sammanhang innefattar att utarbeta underlag för sådan ansvarstilldelning, information och utbildning, som den personuppgiftsansvariga ska fastställa. Den närmare praktiska fördelningen mellan dataskyddsombudets uppgifter härvidlag, och Nod i övrigt, framgår av arbetsbeskrivning för Nod.

Lämna information anonymt

En viktig del i en god dataskyddskultur är att medarbetarna känner och tar ansvar för att upprätthålla den goda kulturen. En del i ett sådant ansvarstagande är att organisationen har en funktion för medarbetare att uppmärksamma felaktigheter, avsteg från policyn eller direkta brott mot dataskyddsförordningen.

Både externa och interna aktörer ska kunna göra detta på ett tryggt och tillitsfullt sätt, utan att riskera obehörigt röjande.

Nod ansvarar för att denna funktion är tillgänglig för dataskyddsfrågor, och att den överensstämmer med befintliga institut och regler för meddelarfrihet, förbud mot efterforskande med mera.

Porträttbild på dataskyddsombudet Maria Leijon

Hej!

Jag heter Maria Leijon och är ordinarie dataskyddsombud, även kallat DSO eller DPO, för Länsstyrelserna. Det innebär att jag har till uppgift att bevaka intresset för dig som är registrerad hos Länsstyrelsen. Varje Länsstyrelse är sin egen myndighet men eftersom vi har gemensam IT-drift och delar en del system har myndigheterna valt en gemensam organisation för dataskydd.

Jag har jobbat på Länsstyrelsen sedan 2006 och har min bakgrund i tillstånds- och tillsynsfrågor på Länsstyrelsen i Norrbotten. Där har jag arbetat bland annat med tillsyn av bevakningsföretag, kommunernas överförmyndarverksamhet och kameraövervakning. Jag har också arbetat med beslut i jaktfrågor och offentlighets- och sekretessfrågor.

Nu har jag alltså bytt inriktning från att bedriva tillsyn utanför Länsstyrelsen till att göra det över Länsstyrelsernas interna dataskyddsarbete.

Du kan alltid kontakta mig om du har några frågor om Länsstyrelsens behandling av dina personuppgifter. E-postadressen dataskyddsombudet@lansstyrelsen.se är alltid bevakad. Om du vill ringa mig ska du ringa till växeln på Länsstyrelsen i Stockholm och be dem koppla till mig – eller lämna ett meddelande så ringer jag upp dig.

Med vänliga hälsningar Maria Leijon

Kontakta Länsstyrelsernas dataskyddsombud

Maria Leijon

E-post: dataskyddsombudet@lansstyrelsen.se

Telefon: 010-223 10 00
(Växel Länsstyrelsen Stockholm)

Kontakt

Om Länsstyrelsen

Populärt

Tjänster

Följ oss