Så hanterar vi dina person­uppgifter

I Sverige och i alla EU-länder gäller dataskyddsförordningen. Förordningen stärker skyddet av dina personuppgifter och din rätt att veta vad de används till och hur de behandlas av oss på myndigheten, men också hos andra organisationer och företag.

Länsstyrelsen kan behöva samla in, ta emot eller på annat sätt behandla dina personuppgifter. En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. All typ av hantering som man kan göra med personuppgifter, exempelvis lagra, gallra, sprida och kopiera, är en behandling av personuppgifter.

Om du har ett ärende hos Länsstyrelsen, står med på en valsedel, sitter i styrelsen för en stiftelse eller är verksam inom ett område där vi gör tillsyn så kommer vi behandla dina personuppgifter. Samma sak gäller till exempel om du går på en konferens vi anordnar eller om du ställer upp på film eller foto till våra sociala kanaler, webbplatser med mera.

Behandling av personuppgifter ska ha laglig grund

Alla behandlingar av personuppgifter måste ha laglig grund. Länsstyrelsen är verksam inom ett stort antal rättsområden, därför är det inte möjligt att beskriva den lagliga grunden för varje enskild behandling här på webbplatsen. Om du vill veta mer om vilka uppgifter vi behandlar om dig är du välkommen att hör av dig till den Länsstyrelse som är aktuell eller till oss i Länsstyrelsernas gemensamma dataskyddsorganisation, Nod.

E-postadress: dataskydd@lansstyrelsen.se

Länsstyrelserna är gemensamt ansvariga

Alla 21 Länsstyrelser i landet har en gemensam IT-organisation och i flera avseenden nyttjar vi också gemensamma system. Därför är Länsstyrelserna gemensamt personuppgiftsansvariga när det gäller den nya dataskyddsförordningen. Länsstyrelserna är även gemensamt personuppgiftsansvariga tillsammans med andra myndigheter.

Lagstiftningen kräver en struktur och det ska vara tydligt för den registrerade hur ansvaret är fördelat mellan länsstyrelserna och andra myndigheter. Det vill säga vem som har ansvaret för att dina personuppgifter behandlas lagligt, säkert och korrekt.

Länsstyrelsernas dataskyddsombud

Eftersom Länsstyrelserna har likartade uppdrag har myndigheterna valt att ha en gemensam organisation (som kallas Nod) för dataskydd och dataskyddsförordningen. Ett krav i dataskyddsförordningen är att myndigheten ska utse dataskyddsombud och anmäla det till Integritetsskyddsmyndigheten som är tillsynsmyndighet.

Länsstyrelserna har ett ordinarie och ett biträdande dataskyddsombud. Dataskyddsombudets roll är att övervaka efterlevnaden av dataskyddsförordningen, lämna råd och stöd, hjälpa dig som registrerad samt vara kontaktyta mot Integritetsskyddsmyndigheten.

Om du har frågor om eller synpunkter på hur Länsstyrelsen behandlar dina personuppgifter är du välkommen att kontakta dataskyddsombudet.

E-postadress: dataskyddsombudet@lansstyrelsen.se

Varje Länsstyrelse är personuppgiftsansvarig för sin specifika verksamhet.

För att Länsstyrelserna ska kunna erbjuda sina tjänster och fullgöra sina åtaganden mot dig behöver vi hantera dina personuppgifter. I hela hanteringen av dina personuppgifter värnar vi om din personliga integritet.

Vi kommer endast att behålla dina personuppgifter om det finns ett syfte med att ha kvar informationen. Personuppgifter som behandlas av en Länsstyrelse ingår oftast i så kallade allmänna handlingar. För att avgöra om en allmän handling ska bevaras eller gallras behöver det göras en värdering av informationen. I denna värdering tar man hänsyn till:

  • informationens betydelse för verksamheten
  • allmänhetens rätt till insyn
  • informationens långsiktiga betydelse för framtida forskning.

De grundläggande bestämmelserna om bevarande och gallring finns i 2 kap. 18 § Tryckfrihetsförordningen och i arkivlagen. Länsstyrelsen är dessutom skyldig att behålla personuppgifter enligt krav från olika författningar som till exempel stiftelselagen och bokföringslagen.

Dina personuppgifter är bara tillgängliga för personer som behöver dem för att kunna utföra sina arbetsuppgifter. Enligt offentlighetsprincipen, som tillhör en av Sveriges grundlagar, har allmänheten rätt att ta del av allmänna handlingar som inte är belagda med sekretess. Eftersom dina personuppgifter kan ingå i allmänna handlingar betyder det att andra personer samt mediebolag eller marknadsföringsbolag har rätt att se dessa handlingar om deras ändamål inte strider mot dataskyddslagstiftning eller på annat sätt är sekretessbelagda i offentlighets- och sekretesslagen.

Länsstyrelsen kan dessutom behöva lämna nödvändig information till myndigheter såsom polisen, Skatteverket eller andra myndigheter om vi är skyldiga att göra det enligt lag.

Länsstyrelsen strävar alltid efter att behandla dina personuppgifter inom EU/EES (Europeiska Unionen/Europeiska Ekonomiska Samarbetsområdet). Uppgifterna kan dock i vissa situationer överföras till, och behandlas i, länder utanför EU/EES eftersom en del av våra leverantörer eller underleverantörer är internationella organisationer som till exempel Microsoft och Google.

Länsstyrelsen kommer att vidta alla rimliga legala, tekniska och organisatoriska åtgärder för att säkerställa att dina personuppgifter hanteras säkert och med en lämplig skyddsnivå både inom och utanför EU/EES. Vill du veta om eller var dina personuppgifter överförs utanför EU/EES kan du kontakta vårt dataskyddsombud.

Varje enskild person äger sina egna personuppgifter. Därför har du som enskild person vissa rättigheter som Länsstyrelsen är skyldig att iaktta under vissa omständigheter. Enligt dataskyddslagstiftningen har du nedanstående rättigheter som du kan hänvisa till. För att åberopa dina rättigheter kan du kontakta dataskyddsombudet.

 

Enligt dataskyddsförordningen har du alltid rätt att få information om vilka personuppgifter som Länsstyrelsen har registrerade om dig. Om du skickar en förfrågan via dataskyddsombudet@lansstyrelsen.se skickar vi ett registerutdrag till dig. Utdraget innehåller de personuppgifter vi behandlar om dig samt en text som beskriver hur vi behandlar personuppgifterna. Det kommer normalt att ta maximalt en månad innan ett sådant registerutdrag skickas till dig.

Om du anser att någon personuppgift om dig är felaktig eller missvisande, kan du begära att den rättas eller i vissa fall används på ett mer begränsat sätt. Kontakta i sådana fall dataskyddsombudet och förklara vad du anser är felaktigt och varför.

Du har inte rätt att få dina personuppgifter raderade om Länsstyrelsen exempelvis:

Behöver behandla personuppgifterna för att utföra en uppgift av allmänt intresse, inom ramen för en avtalsrelation med dig, som ett led i sin myndighetsutövning, för arkivändamål, för att utöva rätten till yttrande- och informationsfrihet, för att fullgöra en rättslig förpliktelse eller försvara rättsliga anspråk.

Du har rätt att begära radering av dina personuppgifter som lagras av Länsstyrelsen om minst ett av följande villkor är uppfyllt:

  • uppgifterna inte längre behövs för de ändamål som de samlades in
  • behandlingen grundar sig på samtycke och du återkallar ditt samtycke
  • behandlingen sker för direktmarknadsföring och du invänder mot att uppgifterna behandlas för det ändamålet
  • du invänder mot personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än ditt intresse
  • personuppgifterna har behandlats olagligt
  • radering krävs för att uppfylla en rättslig skyldighet
  • personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster (e-tjänster, sociala medier).

Du har ibland rätt att få ut dina personuppgifter i ett allmänt, strukturerat och maskinläsbart format och dessutom få dina personuppgifter förflyttade till en annan organisation (om tekniskt möjligt) ifall behandlingen grundar sig på samtycke eller på ett avtal och sker automatiserat (med IT-medel). Denna rättighet är inte tillämpbar om myndighetens behandling är nödvändig för att utföra en uppgift av allmänt intresse eller är ett led i myndighetsutövningen. Kontakta vårt dataskyddsombud om du vill veta mer.

Du har rätt att göra invändningar mot Länsstyrelsens behandling av dina personuppgifter och att lämna in klagomål till dataskyddsmyndigheten. Du kan när som helst invända mot direktmarknadsföring och då upphör Länsstyrelsen med marknadsföringen. En invändning kan däremot inte påverka offentlighetsprincipen och andra parter kan fortfarande använda din information för marknadsföring.

Vision

Varje länsstyrelse har en god informationssäkerhetskultur med syfte att skydda myndighetens informationstillgångar och den enskilda människans integritet med rätt anpassade säkerhetsåtgärder.

Alla medborgare, företag, myndigheter och organisationer har förtroende för hur länsstyrelsen hanterar information oavsett var den hanteras.

Inriktning

Information är en av länsstyrelsernas värdefullaste tillgångar, och en avgörande förutsättning för vår förmåga att utföra våra uppdrag.

Information som i takt med ökad digitalisering blir allt mer beroende av komplexa och sårbara infrastrukturer. Information som kontinuerligt utsätts för både avsiktliga som oavsiktliga hot och incidenter samtidigt som svagheter och brister finns i våra system och processer.

En förutsättning för att möta dessa sårbarheter och ha en ändamålsenlig hantering av länsstyrelsernas informationstillgångar är ett aktivt och dynamiskt informationssäkerhetsarbete. Ett ansvar som åligger varje enskild länsstyrelse.

Länsstyrelsernas informationssäkerhetsarbete ska säkerställa att den information som länsstyrelserna ansvarar för, uppfyller

  • tillgänglighet (tillgänglig när den behövs),
  • konfidentialitet (skydd mot åtkomst för obehöriga),
  • riktighet (informationen är korrekt, aktuell och pålitlig).

Skydd av personuppgifter (dataskydd) utgör en delmängd av informationssäkerhet och syftar till att skydda den enskildes integritet. En förutsättning för detta är att varje länsstyrelse följer de grundläggande principerna för dataskyddsförordningen och därmed tar ansvar för de registrerades rättigheter.

Informationssäkerhetsarbetet ska bedrivas utifrån gällande författningskrav, identifierade risker och skyddsbehov. Länsstyrelser ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett gemensamt Ledningssystem för informationssäkerhet (LIS).

All utveckling, anskaffning och förvaltning av tjänster och utrustning som i någon form behandlar myndighetens information ska ske genom beslutade processer som genomgående beaktar informationssäkerhetskraven.

Länsstyrelserna ska ha god förmåga att snabbt upptäcka och hantera informationssäkerhetsincidenter och avvikelser, och baserat på dem skyndsamt kunna genomföra förändring och anpassning för verksamheten.

En länsstyrelsegemensam stödfunktion

Länsstyrelserna har gemensam IT-drift, gemensamma system och i allt väsentligt gemensamma uppdrag. Vi har även en gemensam organisationsmodell för utveckling och förvaltning av vårt IT-stöd som i någon form inkluderar all informationshantering. Detta innebär många och starka beroenden och goda förutsättningar för samordningsvinster i vårt informationssäkerhetsarbete.

Länsstyrelsernas gemensamma informationssäkerhetsarbete ska därför ledas och samordnas av en länsstyrelsegemensam funktion. I det uppdraget ska funktionen normera och utfärda styrdokument för det gemensamma informationssäkerhetsarbetet, och därtill identifiera ansvariga aktörer vid länsstyrelserna och se till att dessa verkställer sitt ansvar inom ramen för vårt gemensamma LIS. Funktionen ska vidare genom stöd och tydlig styrning skapa de bästa förutsättningarna att upprätthålla en god och kostnadseffektiv informationssäkerhet för länsstyrelserna.

I funktionen ska två särskilt utpekade roller för informationssäkerhet och dataskydd finnas. Rollerna ska ha en oberoende, vägledande, kravställande och granskande ställning.

Ansvar

Informationssäkerhet och dataskydd är väsentliga områden och ett ansvar för varje enskild länsstyrelse och medarbetare. Ledningssystemet för informationssäkerhet ska vara integrerat med den befintliga styrningen. Ansvarsfördelning, uppgifter och roller ska tydligt vara definierade och beslutade i varje länsstyrelses styrdokument.

Kunskap och medvetenhet är avgörande för viljan att göra rätt. En grundförutsättning för god efterlevnad är att ledning och medarbetare är införstådda med regelverkens syfte och mål. Styrdokument, processer och övrigt stöd ska vara tydliga, lättillgängliga och kända.

Efter att landshövdingemötet godkänt förslaget till policy den 10 februari 2021, beslutar Länsstyrelsen i Stockholms län i egenskap av värdmyndighet för Safir härmed att fastställa innehållet för publicering.

Genom beslutet upphävs också länsstyrelsernas gemensamma integritets- och dataskyddspolicy (NODS 2018:2).

Beslut i detta ärende har fattats och godkänts digitalt av landshövding Sven-Erik Österberg med samordnare Mikael Norberg som föredragande.

Policyn har diarienummer 108-7441-2022 och är beslutad 2022-03-17.

Porträttbild på dataskyddsombudet Maria Leijon

Hej!

Jag heter Maria Leijon och är ordinarie dataskyddsombud, även kallat DSO eller DPO, för Länsstyrelserna. Det innebär att jag har till uppgift att bevaka intresset för dig som är registrerad hos Länsstyrelsen. Varje Länsstyrelse är sin egen myndighet men eftersom vi har gemensam IT-drift och delar en del system har myndigheterna valt en gemensam organisation för dataskydd.

Jag har jobbat på Länsstyrelsen sedan 2006 och har min bakgrund i tillstånds- och tillsynsfrågor på Länsstyrelsen i Norrbotten. Där har jag arbetat bland annat med tillsyn av bevakningsföretag, kommunernas överförmyndarverksamhet och kameraövervakning. Jag har också arbetat med beslut i jaktfrågor och offentlighets- och sekretessfrågor.

Nu har jag alltså bytt inriktning från att bedriva tillsyn utanför Länsstyrelsen till att göra det över Länsstyrelsernas interna dataskyddsarbete.

Du kan alltid kontakta mig om du har några frågor om Länsstyrelsens behandling av dina personuppgifter. E-postadressen dataskyddsombudet@lansstyrelsen.se är alltid bevakad. Om du vill ringa mig ska du ringa till växeln på Länsstyrelsen i Stockholm och be dem koppla till mig – eller lämna ett meddelande så ringer jag upp dig.

Med vänliga hälsningar Maria Leijon

Gemensamt personuppgiftsansvar regleras i en överenskommelse

Vi behandlar personuppgifter så fort vi använder dem. Det kan vara allt från att läsa, lyssna, lagra och radera till att lämna ut, skicka, arkivera, flytta och så vidare.

Den som bestämmer över hur personuppgifter behandlas är så kallad personuppgiftsansvarig. Ansvaret innebär att bestämma och ansvara för varför, när och hur personuppgifterna behandlas.

Om det rör sig om överföring av personuppgifter mellan två personuppgiftsansvariga som tillsammans bestämmer varför, när och hur personuppgifterna får behandlas, behöver parterna upprätta en överenskommelse som reglerar det gemensamma ansvaret. Ett sådant överenskommelse kallas för ett arrangemang.

Arrangemangets innehåll

I arrangemanget beskriver de personuppgiftsansvarigas sina roller, varför data delas mellan dem och med vilket rättligt stöd de gör personuppgiftsbehandlingarna. De beskriver också vilka personuppgifter de behandlar och vilka behandlingarna är.

Den registrerades rättigheter beskrivs också i arrangemanget. Den registrerade är den person vars personuppgifter parterna behandlar. De registrerade har rätt att få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. I vissa fall betyder den här rättigheten att kunna få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta sina uppgifter. Formerna och ansvaret för det beskrivs i arrangemanget.

De personuppgiftsansvariga beskriver också hur länge personuppgifterna får sparas och hur säkerheten beaktas när de överför eller lagrar uppgifterna.

Om du har frågor eller vill veta mer

Då det förekommer många tekniska beskrivningar och juridiska termer i arrangemangen, som kan vara svåra att förstå, kan du kontakta länsstyrelsernas Dataskyddsombud för frågor eller mer information om arrangemanget.

Maria Leijon, länsstyrelsernas Dataskyddsombud
E-post: maria.leijon@lansstyrelsen.se
Telefon: 010-223 17 22

Länsstyrelsernas arrangemang vid gemensamt personuppgiftsansvar

Länsstyrelsen behandlar personuppgifter inom ramen för vårt tillsynsarbete. Vi har många olika tillsynsuppdrag som riktar sig till bland annat företag, organisationer och privatpersoner. Vilka personuppgifter som behandlas i tillsynsärendet skiljer sig därför åt.

I vissa tillsynsuppdrag behandlar vi endast kontaktuppgifter till företrädare för tillsynsobjekt. Syftet med behandlingen är då att kunna kommunicera med tillsynsobjektet. I andra fall kan personuppgifter även behandlas som en del i utredningen av ett ärende. Då kan i vissa fall personnummer eller uppgifter om ekonomi, hälsa och lagöverträdelser behandlas som en del av tillsynsarbetet. I vissa fall ber vi dig om uppgifterna för tillsynen medan vi in andra fall får eller kan hämta in uppgifterna från annan extern part.

Länsstyrelsens behandling av personuppgifter inom tillsyn är nödvändig för Länsstyrelsens myndighetsutövning. Den rättsliga grunden för behandlingen av personuppgifter i vårt tillsynsarbete är oftast myndighetsutövning eller en uppgift av allmänt intresse.

Kontakta Länsstyrelsernas dataskyddsombud

Maria Leijon

E-post: dataskyddsombudet@lansstyrelsen.se

Telefon: 010-223 10 00
(Växel Länsstyrelsen Stockholm)

Kontakt