- Startsida
- Kommun och politik
- Behandling av personuppgifter - GDPR
- Principer för behandling av personuppgifter
Principer för behandling av personuppgifter
När personuppgifter behandlas (all hantering av personuppgifter utgör behandling) i Bjurholms kommun, eller på uppdrag av kommunen, ska de grundläggande principerna i Dataskyddsförordningen (GDPR) vara uppfyllda.
Principerna anges i artikel 5 i Dataskyddsförordningen.
Nedan följer korta beskrivningar av hur Bjurholms kommun arbetar för att efterleva principerna:
Laglighet, korrekthet och öppenhet
I enlighet med Dataskyddsförordningens princip om laglighet, korrekthet och öppenhet ska Bjurholms kommun behandla personuppgifter på ett lagligt, korrekt och öppet sätt i förhållande till den vars personuppgifter registreras av kommunen. Med detta menas att kommunen alltid ska vara tydlig i sin beskrivning av hur personuppgifter behandlas. De registrerade ska därför få information om behandlingen som är både lättillgänglig och formuleras med ett klart och tydligt språk.
Bjurholms kommun ska alltid se till att personuppgifter behandlas på en utpekad rättslig grund och att annan lagstiftning som inverkar på behandlingen efterlevs. All behandling av personuppgifter som kommunen utför måste vila på minst en rättslig grund, i annat fall är behandlingen olaglig.
För de uppgifter som hämtas in av kommunens olika verksamheter är samtycke i de flesta fall inte nödvändigt. Det beror på att uppgifterna används i samband med exempelvis myndighetsutövning, för att kunna fullgöra en skyldighet eller då avtal är upprättat.
Ändamålsbegränsning och uppgiftsminimering
Bjurholms kommun ska inte samla in personuppgifter för att de "kan vara bra att ha".
Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
Med detta menas att kommunen hela tiden känner till och dokumenterar anledningen till att en viss personuppgift hanteras och att personuppgifterna inte senare används för en helt annan anledning som går emot den ursprungliga. De på förhand fastställda ändamålen är med andra ord det som sätter ramarna för behandlingen.
De registrerade ska få information om ändamålen både när uppgifterna samlas in och annars när de begär det. Om de insamlade personuppgifterna senare ska behandlas för andra ändamål som är förenliga med de ursprungliga ändamålen måste de registrerade också informeras om detta.
Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Med detta menas att Bjurholms kommun endast ska använda sig av de personuppgifter som krävs för att uppnå målet med hanteringen. Kan samma mål uppnås genom att använda färre personuppgifter eller mindre känsliga sådana ska så ske.
Ansvarsskyldighet
Den som behandlar personuppgifter ansvarar för att principerna om personuppgiftsbehandling följs och måste kunna visa på vilket sätt man följer dem. Detta kallas i Dataskyddsförordningen för ansvarsskyldighet. Det finns flera sätt att visa detta, till exempel ska Bjurholms kommun ha tydlig information till de registrerade.
Informationen ska ges om hur kommunen behandlar registrerades personuppgifter och om vilka rättigheter som de registrerade har enligt dataskyddsförordningen. Information ska vara tydlig och begriplig och ges i ett lättillgängligt format. Informationen ska tillhandahållas skriftligt och kan när det är lämpligt ges i elektronisk form. Om den registrerade begär det kan informationen tillhandahållas muntligt. Den registrerade måste kunna styrka sin identitet.
Kommunen ska dokumentera de behandlingar som pågår i organisationen samt ha dokumenterade policys, riktlinjer och rutiner för dataskyddet.
Bjurholms kommun har utsett ett dataskyddsombud som bidrar till organisationens efterlevnad av förordningen.
Korrekta personuppgifter
Personuppgifterna som Bjurholms kommun hanterar ska vara korrekta och om nödvändigt uppdaterade. Åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga raderas eller rättas utan dröjsmål.
Med detta menas att kommunen alltid måste verka för att personuppgifter som är felaktiga rättas och att det finns rutiner för hur så ska ske.
Lagringsminimering
Personuppgifter får inte förvaras identifierbara under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.
Med detta menas att personuppgifterna inte får sparas längre än vad som behövs utifrån ändamålet med behandlingen. När målet är uppnått ska arkivering, gallring eller avidentifiering av personuppgifterna alltid övervägas med beaktande av de dokumenthanteringsplaner som anger arkiverings- och gallringsregler för Bjurholms kommun.
Integritet och konfidentialitet
Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Bjurholms kommun ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Är uppgifterna av känsliga eller särskilt skyddsvärda ställs högre krav på säkerheten.
Bjurholms kommun måste ha en lämplig säkerhetsnivå för hantering av personuppgifter, både tekniskt och organisatoriskt. Vad som är en lämplig säkerhetsnivå beror på bland annat riskerna med behandlingen, vilken typ av uppgifter som behandlas, de tekniska möjligheter som finns samt kostnader. Det här innebär att kommunen måste ta ställning till vilka risker som finns och vilka säkerhetsåtgärder dessa risker motiverar. Detta sker bl.a. genom riskanalys.