Dataskyddsförordningen (GDPR)

Östersunds kommun värnar om integriteten för alla de personer vars uppgifter vi dagligen behandlar för att kunna utföra våra uppgifter. Vi arbetar därför kontinuerligt med att övervaka och följa upp hanteringen av personuppgifter inom kommunen.

Vad är en personuppgift?

All slags information som kan användas för att direkt eller indirekt identifiera en nu levande fysisk person är en personuppgift. Det måste alltså inte förekomma ett namn eller personnummer för att en uppgift ska vara en personuppgift. Det kan till exempel vara bilder på en person utan att något namn finns registrerat.

Om uppgifterna är anonymiserade på ett sådant sätt att det inte längre går att koppla uppgiften till en enskild individ är inte en personuppgift.

Vad är behandling av personuppgifter och när får det ske?

Behandling av personuppgifter är allt som sker med personuppgifterna inklusive lagring. Behandlingen kan ske manuellt, helt eller delvis automatiserat. I den europeiska dataskyddsförordningen finns bestämmelser om hur behandling får ske. Utöver förordningen finns ett flertal svenska lagar som reglerar behandlingen av personuppgifter. Exempel på andra lagar som reglerar behandlingen av personuppgifter är Lag med kompletterande bestämmelser till EU:s dataskyddsförordning (SFS 2018:218) och Patientdatalag (SFS 2008:355).

För att behandlingen ska vara tillåten måste det finnas en laglig grund för behandlingen. I den europeiska dataskyddsförordningen definieras vad som är laglig grund för behandling. Det kan till exempel vara för att fullgöra ett avtal, som ett led i myndighetsutövning eller för att utföra en uppgift av allmänt intresse.

Personuppgiftsansvarig

Den som är ansvarig för behandlingen av personuppgifter kallas personuppgiftsansvarig (PuA). I Östersunds kommun är varje nämnd/styrelse personuppgiftsansvarig för de personuppgifter som hanteras inom den egna nämnden/styrelsens verksamhet. Du kan läsa mer om kommunens organisation och vad som ligger under respektive nämnd/styrelse på sidan Kommunens organisation.

Kommunens organisation

Dataskyddsombud

I den europeiska dataskyddsförordningen fastslås att myndigheter måste utse ett dataskyddsombud. Det är tillåtet för flera personuppgiftsansvariga att anlita samma dataskyddsombud. Alla nämnder och styrelser i Östersunds kommun har beslutat att anlita ett gemensamt dataskyddsombud för hela Östersunds kommun.

Dataskyddsombudet ska fungera som ett stöd för verksamheterna för att säkerställa att all behandling sker på ett korrekt sätt och att vi skyddar de uppgifter vi behandlar på ett lämpligt sätt. Du som registrerad kan också ställa frågor till dataskyddsombudet om du undrar något om hur dina uppgifter behandlas.

Dataskyddsombud för samtliga nämnder och styrelser i Östersunds kommun, inklusive kommunrevisionen, är Ulrika Holmgren.

Om Östersunds kommun anlitat ett personuppgiftsbiträde

För vissa behandlingar har Östersunds kommun anlitat ett personuppgiftsbiträde. Du som registrerad har rätt att få information om vilka biträden som har fått tillgång till dina uppgifter. Du kan kontakta den verksamhet som behandlar dina uppgifter för information om ett biträde har anlitats.

Dina rättigheter som registrerad

Du som registrerad har rätt att få information om hur dina uppgifter behandlas och vad som är syftet med behandlingen. Om du till exempel skickar mejl, ringer eller kontaktar kommunen via formulär på webben kommer dina uppgifter att behandlas av kommunen. Vi behandlar uppgifterna för att kunna hantera ditt ärende oavsett vad ditt ärende gäller.

Rätt att ta del av dina uppgifter

Du som registrerad har rätt att få veta om Östersunds kommun behandlar personuppgifter som rör dig. Om kommunen har personuppgifter som rör dig har du rätt att få veta:

  1. Ändamålen med behandlingen
  2. De kategorier av personuppgifter som behandlingen gäller
  3. De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer.
  4. Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
  5. Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.
  6. Rätten att inge klagomål till en tillsynsmyndighet.
  7. Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer.
  8. Förekomsten av automatiserat beslutsfattande, inbegripet profilering, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.
  9. Om uppgifterna överförs till tredje-land information om vilka skyddsåtgärder som vidtagits.
  10. En kopia på de uppgifter som är under behandling.

Rätten till tillgång får inte inverka menligt på andras rättigheter och friheter. Därför är det viktigt att vi kan säkerställa att det verkligen är rätt person som begärt ut uppgifterna.

För att begära tillgång kan du antingen använda Östersunds kommuns e-tjänst för begäran om tillgång enligt GDPR, besöka Kundcenter i Rådhuset eller skicka in en skriftlig begäran per brev.

Begäran om registerutdrag (e-tjänst)

Om du skickar in en begäran per brev måste den vara underskriven av dig som sökande. Du kommer att få uppgifterna skickade till din folkbokföringsadress alternativt med rekommenderat brev. Vilket alternativ som väljs beror på känsligheten i de uppgifter som skickas.

Östersunds kommun kommer att svara på din begäran inom en månad från att den lämnas in. Om din begäran är omfattande eller om det av andra skäl inte är möjligt att ge svar inom en månad kommer du få information om det.

Rätt till rättelse

Du som registrerad har rätt att utan dröjsmål får felaktiga uppgifter rättade. Om du upptäcker felaktiga uppgifter kan du antingen kontakta den person du har kontakt med i ditt ärende eller vända dig till kommunens Kundcenter.

Rätt till radering

I vissa fall har du som registrerad rätt att begära att få dina personuppgifter raderade. Nedan finns de fall som tas upp i den europeiska dataskyddsförordningen där du som registrerad har rätt att få dina uppgifter raderade.

  1. Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.
  2. Du återkallar ditt samtycke på vilket behandlingen grundar sig och det finns inte någon annan rättslig grund för behandlingen.
  3. Du invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2 i den europeiska dataskyddsförordningen.
  4. Personuppgifterna har behandlats på olagligt sätt.
  5. Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i ett EU-lands nationella rätt som den personuppgiftsansvarige omfattas av.
  6. Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i artikel 8.1 i den europeiska dataskyddsförordningen.

I vissa fall kan det finnas undantag som gör att uppgifterna ändå inte kan raderas. Det kan till exempel vara för att uppfylla en rättslig förpliktelse som kräver behandling, behandling för arkivändamål eller för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Rätt till begränsning

Du som registrerad kan begära att behandlingen av dina uppgifter ska begränsas. Begränsning av behandling innebär att uppgifter bara får behandlas med den ditt samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat.

Du kan begära begränsning om något av följande kriterier är uppfyllda:

  1. Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta.
  2. Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning.
  3. Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
  4. Den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

Rätt att göra invändningar

Du som registrerad kan i vissa fall invända mot behandling av dina personuppgifter. Det gäller om vi behandlar dina uppgifter med allmänt intresse eller myndighetsutövning som grund. Rätten innebär en möjlighet för dig att invända av skäl som hänför sig till din specifika situation. Rätten innebär att en prövning görs av behandlingen och innebär inte att behandlingen per automatik upphör.

Lämna klagomål

Om du anser att dina uppgifter har behandlats felaktigt kan du som registrerad kontakta den verksamhet som behandlar uppgifterna eller kommunens dataskyddsombud.

Du har också rätt att vända dig till Integritetsskyddsmyndigheten (IMY) som är tillsynsmyndighet. Mer information och kontaktuppgifter till IMY hittar du på www.imy.se.

Rätt att flytta dina uppgifter

Du som registrerad har rätt att få ut de personuppgifter som du har tillhandahållit eller att få dessa uppgifter överförda till en annan personuppgiftsansvarig om behandlingen grundar sig på samtycke eller avtal och behandlingen sker automatiserat.

Rätten till dataportabilitet ska inte påverka rätten till radering. Rätten till dataportabilitet får inte påverka andras rättigheter och friheter på ett ogynnsamt sätt.

Rätt att återta samtycke

Om du som registrerad har lämnat samtycke till behandlingen har du rätt att när som helst ta tillbaka ditt samtycke. Att samtycket återkallas påverkar inte lagligheten av behandling som redan har utförts.

Information om våra person­uppgifts­behandlingar

I mejl

Östersunds kommun hanterar dagligen en stor mängd mejl. När du skickar eller tar emot mejl från Östersunds kommun kan det innebära att dina personuppgifter kommer att hanteras av kommunen. Hanteringen sker till exempel för att kunna svara på frågor, kommunicera med berörda i samband med hantering av ärenden eller för att kontakta intressenter. Hantering av personuppgifter i mejl lyder under samma dataskydds­lagstift­ning som övrig behandling av personuppgifter.

Vid prenumeration på nyhetsbrev

För att informera medborgare, företagare och andra intressenter skickar Östersunds kommun ut nyhetsbrev. Den som är intresserad av innehållet i ett nyhetsbrev har möjlighet att prenumerera på det och då få det skickat till sig via e-post.

För att kunna distribuera nyhetsbreven behöver Östersunds kommun spara mejladresser till de som önskar ta emot nyhetsbreven. Du som finns med på en sändlista kan när som helst begära att bli borttagen från den.

Vid event- och intresseanmälan

Östersunds kommun arrangerar ibland event eller öppnar för intresseanmälningar i olika ärenden. Vid dessa tillfällen finns möjlighet för allmänheten eller utvalda grupper att anmäla sig. Vilka uppgifter som behövs kan variera beroende på vad du anmäler dig till. Vi samlar aldrig in fler uppgifter än vad som är nödvändigt vid respektive tillfälle.

De uppgifter vi samlar in vid dessa anmälningar behövs för att administrera utskick av information, organisering av event och andra aktiviteter som är kopplat till det aktuella fallet. Det kan till exempel handla om att beställa mat och vi kan då komma att behöva information om allergier för att säkerställa att det finns mat som du kan äta. Informationen används enbart för det aktuella tillfället och tillgång till informationen kommer att begränsas till de som behöver den.

I sociala medier

När du besöker våra kanaler i sociala medier eller kommunicerar med oss via sociala medier så behandlar vi dina personuppgifter för att kunna informera om kommunens verksamhet samt svara på frågor från besökare.

Den rättsliga grunden för behandlingen är allmänt intresse.

Dina personuppgifter behandlas på flera olika sätt när du interagerar med Östersunds kommun i sociala medier. Exempelvis genom att du ser ett inlägg, skriver en kommentar, skickar ett meddelande, gillar ett inlägg, delar ett inlägg eller följer våra kanaler. Allt detta sparas som statistik i den aktuella kanalen. Östersunds kommun tar del av statistiken när den har blivit anonymiserad, vilket betyder att ingen enskild person längre kan identifieras.

När du använder sociala medier kan du bli profilerad. Det betyder att företag samlar in information om vad du gör på de kanaler du besöker, för att exempelvis kunna gissa på vilken plats du är eller vad du är intresserad av. Östersunds kommun gör ingen egen profilering av dig när du interagerar med någon av våra kanaler.

Överföring till tredje land

När du använder sociala medier eller medverkar i ett inlägg i sociala medier överförs dina personuppgifter till ett så kallat tredje land. Ett land som ligger utanför EU (Europiska unionen) och EES (Europeiska ekonomiska samarbetsområdet). I de flesta fall innebär det att personuppgifterna överförs till USA, ett land som inte omfattas av dataskyddsförordningen. Det innebär att skyddet för uppgifterna kan vara mer begränsat än det skydd som garanteras inom EU/EES. Detta kan innebära vissa risker. Till exempel kan den egna möjligheten att få information och kunna kontrollera personuppgiftsbehandlingen samt klaga till tillsynsmyndighet och få en rättslig prövning av behandlingens laglighet i tredje land vara begränsad.

Skyddsåtgärder

Östersunds kommun har tagit fram rutiner vi följer när vi jobbar med sociala medier samt denna information för att stärka skyddet för dina personuppgifter så långt det är möjligt. Det finns trots det integritetsrisker för dig som besöker kommunens kanaler i sociala medier.

Kommunens samtliga kanaler är offentliga och det betyder att alla användare har möjlighet att läsa och följa vad som händer på kontona. Om du lämnar en reaktion eller en kommentar på kommunens inlägg har alla användare möjlighet att se det.

Om någon delar ett av kommunens inlägg har kommunen inte kontroll över vad som skrivs i delningen, och kan inte heller ändra eller radera i en delning. Östersunds kommun rekommenderar därför att du inte skickar personuppgifter via reaktioner, delningar eller kommentarer på kommunens inlägg.

I de fall kommunen publicerar personuppgifter i ett inlägg vidtas säkerhetsåtgärder för att minimera riskerna. Exempelvis ska känsliga, särskilt skyddsvärda eller sekretessbelagda personuppgifter aldrig publiceras. Särskilt skyddsvärda personuppgifter för exempelvis barn, personer i beroendeställning eller andra i utsatt situation ska undvikas helt.

Inlägg som behandlar personuppgifter ska gallras efter kortare tid än den normala gallringstiden för inlägg.

Så lagras dina personuppgifter

Facebook, Instagram, Linkedin och Youtube lagrar också dina personuppgifter på olika sätt. Östersunds kommun har ingen kontroll över hur dessa företag lagrar dina uppgifter.

Vid uppdrag åt Östersunds kommun

När du utför uppdrag åt Östersunds kommun kan dina personuppgifter komma att behandlas. Vi samlar in och behandlar de uppgifter som är nödvändiga för att du ska kunna utföra uppdraget. Det kan vara uppgifter så som namn, telefonnummer, e-postadress eller andra uppgifter som krävs. Vi samlar in uppgifterna för att kunna administrera och följa upp avtalet, beställa och följa upp arbeten och spara dokumentation över utförda arbeten.

I vissa fall kan dokumentation från arbeten komma att publiceras på www.ostersund.se, det kan till exempel vara fallet om uppdraget är att ta fram en rapport där ditt namn eller andra personuppgifter förekommer.

Den lagliga grunden för behandlingen är fullgörande av avtal eller i vissa fall för att utföra en uppgift av allmänt intresse.

Vi sparar dina uppgifter så länge de är nödvändigt för ändamålen med behandlingen.

Personuppgiftsansvarig för behandlingen är den nämnd eller styrelse som ingår avtalet med dig. Om det är ett avrop från ett ramavtal är personuppgiftsansvarig den nämnd eller styrelse som gör avropet.

Vid kamerabevakning

Östersunds kommun har kamerabevakning på utvalda platser. Kamerabevakningen är alltid anpassad utifrån behovet på den aktuella platsen. Det gör att typ av kamera, tid för lagring och behandlingen av de inspelade materialet kan skilja sig från plats till plats.

Om du har frågor om behandling av personuppgifter i samband med kamerabevakning kan du kontakta kommunens dataskyddsombud. Du som registrerad har samma rättigheter i samband med kamerabevakning som annan behandling av personuppgifter. Du kan läsa mer om dina rättigheter under rubriken Dina rättigheter som registrerad.

Gustav III:s torg (Busstorget) samt bussterminalen

Kamerabevakningen sker i syfte att öka tryggheten och förebygga, förhindra eller upptäcka brottslig verksamhet samt bistå polis i att utreda brott på platsen. Övervakningen är tillståndspliktig och sker enligt tillstånd från Integritetsskydds­myndigheten (IMY) med stöd av 8 § kamerabevakningslagen. Det inspelade materialet sparas i två månader. Kamerabevakningen utförs av Securitas Bevakning Sverige AB. Inspelat material kan komma att lämnas ut till polis i samband med pågående brottsutredning.

I kontakt med barn- och elevhälsan

Elevhälsan samlar in och behandlar personuppgifter om dig som är elev inom Östersunds kommun. Personuppgiftsansvarig för behandlingen är Barn- och utbildningsnämnden i Östersunds kommun. Det gäller både för dig som går i en skola som drivs av Östersunds kommun och för dig som går i en privat skola men som köper elevhälsa av Östersunds kommun.

De uppgifter vi behandlar är identifierande information så som ditt namn och personnummer, informationen i din journal och information om dina anhöriga och vårdnadshavare. Informationen till din journal får vi från dig eller den som skriver din journal (läkare, skolkurator eller annan personal hos oss). I vissa fall behöver vi hämta information även från andra vårdgivare. Det gör vi för att kunna ge dig en så bra vård som möjligt.

Anledningen till att vi behandlar personuppgifter är för att kunna erbjuda vård med bra kvalitet för dig som elev. När vi ger vård är vi skyldiga att föra journal. Journalen kommer att innehålla information om den vård du har fått och vårdgivarens bedömning. Den rättsliga grunden för behandlingen av personuppgifter är att utföra en uppgift av allmänt intresse eller som en del av vår myndighetsutövning.

Din journal kan, efter ditt eller din vårdnadshavares medgivande, komma att delas med andra vårdgivare som behöver ta del av den. Vi rapporterar också viss information till andra myndigheter. Det gäller till exempel information om vaccinationer som skickas till det nationella vaccinationsregistret hos Folkhälsomyndigheten. Och information från hälsoenkäten som skickas till Region Jämtland Härjedalen.

Vi sparar din information så länge du är vår patient. När du har slutat vid skolan där du fått elevhälsa arkiveras din journal enligt vår informationshanteringsplan. Generellt sker det 12 månader efter att du slutat men i vissa fall arkiveras det 12 månader efter att du gått ut årskurs 9 även om du tidigare bytt till en skola med annan elevhälsa.

För äldre och andra i behov av stöd och service

För att kunna hantera ditt ärende samt beräkna avgifter inom Vård- och omsorgs­nämnden behöver vi spara personuppgifter om dig, som exempelvis namn, personnummer, adress, telefonnummer, e-postadress, hälso- och sjukvårdsuppgifter, kontaktpersoner samt inkomstuppgifter. Uppgifter inhämtas från dig, anhörig, god man eller förvaltare, från myndigheter (exempelvis folkbokföring) samt från annan verksamhet efter ditt samtycke. Dina uppgifter sparas utifrån gällande lagstiftning. Den rättsliga grunden för att behandla dina personuppgifter är uppgift av allmänt intresse eller myndighetsutövning.

Dina personuppgifter delas med de aktörer som verkställer dina beviljade insatser. Vi kan även komma att dela dina personuppgifter med en tredje part förutsatt att vi är skyldiga att göra så enligt lag. Personuppgifterna kommer inte att överföras till land utanför EU/EES.

Personuppgiftsansvarig är Vård- och omsorgsnämnden.

Sidan uppdaterad 2023-11-08