Personuppgifter och dataskydd inom SKR
Sveriges Kommuner och Regioner (SKR) värnar om personlig integritet och eftersträvar alltid en hög nivå av dataskydd för de personuppgifter som behandlas hos SKR. Här beskrivs övergripande hur SKR hanterar personuppgifter för att fullgöra sina skyldigheter i egenskap av medlems- och arbetsgivarorganisation för Sveriges kommuner och regioner.
All behandling av personuppgifter som SKR utför är en nödvändig del av SKR:s uppdrag. SKR följer dataskyddsförordningen (även kallad GDPR) och anpassar våra rutiner kontinuerligt så att all behandling av personuppgifter som SKR ansvarar för inte kränker individens fri- och rättigheter.
Det är viktigt att du tar del av informationen och känner dig trygg i vår behandling av dina personuppgifter. Du är alltid välkommen att kontakta oss vid eventuella frågor. Kontaktuppgifter finns längst ner.
Syfte
SKR:s uppgift är att stödja och bidra till att utveckla kommuner och regioners verksamhet inom flera områden. Exempel på dessa är hälso- och sjukvård, social omsorg, digitalisering, statistik, infrastruktur och skola och kultur. Det innebär att SKR behandlar olika typer av personuppgifter inom ramen för sitt uppdrag. Det rör sig, förutom personuppgifter om anställda och uppdragstagare, oftast om personuppgifter rörande arbetstagare och förtroendevalda inom kommuner och regioner, men även i viss mån även medborgare.
Vad är en personuppgift och vad innebär en behandling av personuppgifter?
Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Väldigt mycket information kan alltså räknas som personuppgifter förutom uppenbara exempel som namn och kontaktuppgifter. Till exempel kan bilder och ljudupptagningar som behandlas i dator vara personuppgifter även om inga namn nämns.
Vidare kan även krypterade uppgifter och olika slags elektroniska identiteter (t.ex. IP-nummer) vara personuppgifter ifall de kan kopplas till fysiska personer.
Behandling av personuppgifter är allt som sker med personuppgifterna. Varje åtgärd som vidtas med personuppgifter utgör en behandling, oberoende av om den utförs automatiserat eller ej. Exempel på vanliga behandlingar är insamling, registrering, organisering, strukturering, lagring, bearbetning, överföring och radering.
Vem är ansvarig för de personuppgifter SKR samlar in?
SKR, organisationsnummer 222000–0315, är personuppgiftsansvarig för behandlingen av personuppgifter på denna webbplats och för de behandlingar som genomförs inom SKR:s olika verksamhetsområden. Det kan förekomma att SKR delar personuppgifter med externa samarbetspartners och då tecknas personuppgiftsbiträdesavtal alternativt datadelningsavtal om det behövs.
Dessa typer av personuppgifter behandlar SKR
Allmänt
SKR behandlar personuppgifter i en rad olika sammanhang. Exempelvis sker detta vid användande av e-post, när statistik framställs, vid hantering om ansökningar om arbete, vid besvarande av remisser och frågor från medlemmar och allmänhet. Vi behandlar vidare personuppgifter i våra administrativa verktyg och system. SKR har också ett arkiv och för att kunna ha det måste vissa personuppgifter lagras och därmed behandlas.
Uppgifter om arbetssökande
SKR behandlar personuppgifter för att kunna hantera arbetsansökningar. Personuppgifter som kan förekomma i ett sådant förfarande är namn, personnummer, e-postadress, telefonnummer, adress samt personuppgifter som förekommer i svar på urvalsfrågor, i bifogade cv och personliga brev.
Uppgifter om anställd hos någon av SKR:s leverantörer
SKR behandlar personuppgifter för att fullgöra skyldigheter och tillvarata rättigheter relaterade till avtal med arbetsgivare samt för att administrera uppgifter relaterade till nämnda avtal. Personuppgifter som kan förekomma är bland annat namn, kontaktuppgifter, arbetsuppgifter och användaruppgifter.
Uppgifter vid kommunikation med SKR exempelvis via e-post
SKR behandlar personuppgifter för att kunna handlägga och diarieföra ärenden. Personuppgifter som behandlas är i ärenden förekommande personuppgifter som exempelvis namn, kontaktuppgifter, information om fråga, synpunkt eller ärende.
I samband med anmälan om prenumeration gällande cirkulär och nyhetsbrev behandlar SKR personuppgifter. Behandlingen sker för att SKR ska kunna administrera prenumerationen och skicka ut informationen. Den rättsliga grunden är att fullgöra det avtal som ingåtts i samband med anmälan som prenumerant.
Uppgifter vid deltagande i SKR koncernens kurser, konferenser, webbinarier eller liknande
SKR behandlar personuppgifter för att kunna administrera deltagande i kurser, konferenser, webbinarier eller liknande. Personuppgifter som vanligen behandlas är namn, adress, telefonnummer och e-postadress. Kostpreferenser för deltagare knyts aldrig till en individ utan till den kurs/konferens som är aktuell. Informationen om kost raderas när kursen/konferensen är genomförd.
SKR genomför även utbildningar och seminarier tillsammans med andra bolag i SKR-koncernen, såsom Adda eller Inera. Vid sådan samverkan kan personuppgifter hanteras av ett eller flera av bolagen inom SKR:s koncern. Vilka bolag som omfattas informeras om inför varje tillfälle.
Den rättsliga grunden för administrationen av kursanmälan är att fullgöra det avtal som ingåtts i samband med anmälan. Rättslig grund för behandlingen som sker i samband med uppföljningen är att utföra en uppgift av allmänt intresse.
Övriga uppgifter som kan komma att samlas in
Som medlems- och arbetsgivarorganisation för Sveriges kommuner och regioner hanteras även vissa andra personuppgifter för att SKR ska kunna fullfölja sitt uppdrag att stödja och bidra till att utveckla kommuner och regioners verksamhet. Exempel på personuppgifter som kan komma att behandlas rör kontakter med förhandlare och jurister i SKR:s rådgivning.
Rättslig grund
Den rättsliga grunden för SKR:s behandlingar är oftast att det finns ett berättigat intresse för behandlingen, enligt artikel 6.1 f GDPR. Vidare behandlar vi i vissa fall personuppgifter på grundval av ett allmänt intresse (6.1 e GDPR) eller för att fullgöra ett avtal eller en rättslig förpliktelse (artikel 6.1 b respektive 6.1 c GDPR). Det kan också förekomma att SKR behandlar personuppgifter med samtycke från den registrerade (artikel 6.1 a GDPR).
Hur hanterar SKR personnummer?
SKR kommer bara att behandla ditt personnummer när det är klart motiverat med hänsyn till ändamålet, nödvändigt för säker identifiering eller om det finns något annat beaktansvärt skäl. Vi minimerar alltid användandet av ditt personnummer i så stor utsträckning som möjligt genom att, i de fall det är tillräckligt, i stället använda ditt födelsenummer.
Känsliga personuppgifter
SKR behandlar vissa känsliga personuppgifter. Det kan till exempel handla om uppgifter om facklig tillhörighet inom ramen för SKR:s roll som arbetsgivarorganisation. SKR får behandla sådana uppgifter med stöd av kollektivavtal och för att fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten.
SKR behandlar även vissa känsliga personuppgifter inom sin statistikverksamhet, till exempel personuppgifter om hälsa. Grund för detta är att behandlingen är nödvändig för statistiska ändamål. I den statistik som publiceras ingår inte några personuppgifter. Uppgifterna som framkommer där kan alltså inte kopplas till någon enskild individ.
Vilka kan ta del av uppgifterna
Personuppgifter ska bara hanteras av de på SKR som behöver uppgifterna för att kunna utföra sina arbetsuppgifter. I de fall uppgifter delas inom SKR-koncernen framgår hur och med vilket bolag.
Personuppgiftsbiträden kan anlitas i vissa fall och i så fall ska personuppgiftsbiträdesavtal finnas, som säger hur personuppgiftsbiträdet ska hantera personuppgifterna.
Lagring av personuppgifter
Personuppgifter som hanteras av SKR ska raderas när de inte längre behövs i verksamheten, men kan komma att sparas om de ingår i ett ärende eller annan handling som arkiveras.
Tredjelandsöverföring
Det kan förekomma att personuppgifter överförs till tredje land, det vill säga till ett land som inte ingår i EU eller EES-området. Detta kan till exempel hända genom att SKR använder molntjänster. SKR strävar efter att säkerställa att personuppgifter bara behandlas i tredje länder som har ett tillräckligt skydd för personuppgifterna.
EU-kommissionen beslutar om vilka dessa länder är, till exempel finns beslut om personuppgifter får överföras till USA till vissa företag och organisationer, det vill säga sådana som omfattas av ett särskilt system benämnt EU-US Data Privacy Framework. Du kan läsa mer om överföring av personuppgifter till tredje land på Integritetsskyddsmyndighetens webbplats, via länk nedan.
Hur skyddas dina personuppgifter?
SKR har ett antal åtgärder för att skydda personuppgifter. Dessa delas in organisatoriska och tekniska säkerhetsåtgärder. Dessa appliceras sedan i olika stor utsträckning baserat på vilken grad av skydd som behövs från fall till fall.
Organisatoriska säkerhetsåtgärder
Organisatoriska säkerhetsåtgärder syftar till att SKR ska ha en säker hantering av personuppgifter. Det grundas i att vi har en ansvarig för datasäkerhet utsedd. Bland åtgärderna finns exempelvis utbildning, krisplaner, kontinuitetsplaner, testning, säkerhetsrevisioner, tydlig kravställning på säkerhet i upphandling av verktyg och system men även kontroller såsom penetrationstester.
Tekniska säkerhetsåtgärder
Tekniska säkerhetsåtgärder syftar till att göra it-tekniska åtgärder och konfigurationer för att skydda behandlingarna när de genomförs. Exempel på åtgärder är kryptering, pseudonymisering, flerfaktorautentisering vid inloggning, larm, behörighetsmodeller och behörighetsbegränsningar i verktyg och system, backup, brandväggar, antivirus och aktiv sökning efter skadeprogram.
Så här länge sparar SKR dina personuppgifter
SKR sparar aldrig dina personuppgifter längre än vad som är nödvändigt för respektive ändamål.
De här rättigheterna har du som registrerad
Rätt till tillgång (så kallat registerutdrag)
Vi är alltid öppna och transparenta med hur vi behandlar dina personuppgifter. Om du vill få en djupare insikt i vilka personuppgifter vi behandlar om just dig kan du begära att få tillgång till uppgifterna (informationen lämnas i form av ett registerutdrag med angivande av ändamål, kategorier av personuppgifter, kategorier av mottagare, lagringsperioder, information om varifrån informationen har samlats in och förekomsten av automatiserat beslutsfattande).
Om du gör en begäran om tillgång kan vi behöva fråga om ytterligare uppgifter för att säkerställa en effektiv hantering av din begäran och att informationen lämnas till rätt person.
Rätt till rättelse
Om dina personuppgifter är felaktiga kan du begära att de rättas. Inom ramen för det angivna ändamålet har du också rätt att komplettera eventuellt ofullständiga personuppgifter.
Rätt till radering
Du kan begära radering av personuppgifter SKR behandlar om dig om:
- uppgifterna inte längre är nödvändiga för de ändamål för vilka de har samlats in eller behandlats
- du invänder mot en intresseavvägning SKR har gjort baserat på berättigat intresse, och ditt skäl för invändning väger tyngre än SKR:s berättigade intresse
- personuppgifterna behandlas på ett olagligt sätt
- personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse som SKR omfattas av.
Tänk på att SKR kan ha rätt att neka din begäran ifall det finns legala skyldigheter som hindrar oss från att omedelbart radera vissa personuppgifter. Det kan också hända att behandlingen är nödvändig för att vi ska kunna fastställa, göra gällande eller försvara rättsliga anspråk. Skulle vi vara förhindrade att tillmötesgå en begäran om radering kommer vi istället att blockera personuppgifterna från att kunna användas till andra syften än det syfte som hindrar den begärda raderingen.
Rätt till begränsning
Du har rätt att begära att SKR:s behandling av dina personuppgifter begränsas.
Rätt att göra invändningar mot viss typ av behandling
Du har alltid rätt att invända mot all behandling av personuppgifter som bygger på en intresseavvägning.
Rätt att flytta personuppgifter (dataportabilitet)
Under vissa förutsättningar, till exempel om SKR behandlar personuppgifter om dig till följd av ett avtal, kan du ha rätt att få ut dessa uppgifter i ett visst format eller att få de överförda till en annan personuppgiftsansvarig (så kallad dataportabilitet). Du kan kontakta SKR:s dataskyddsombud om du vill göra en sådan begäran.
Rätt att återkalla samtycke
I den utsträckning som SKR behandlar personuppgifter med stöd av den registrerades samtycke har denne rätt att när som helst ta tillbaka sitt samtycke. Det gör den registrerade genom att höra av sig till SKR på nedanstående kontaktuppgifter. I ett sådant fall tar SKR bort personuppgifterna utan onödigt dröjsmål såvida det inte finns en annan laglig grund för behandlingen. Ett återkallande av samtycke påverkar dock inte lagligheten av den behandling som SKR redan har utfört på grundval av samtycket.
Så här kontaktar du SKR vid frågor om dataskydd
Om du har frågor om hur SKR behandlar dina personuppgifter eller vill göra gällande dina rättigheter kan du alltid kontakta SKR via nedanstående kontaktuppgifter.
Besöksadress: Hornsgatan 20, Stockholm
Postadress: Sveriges Kommuner och Regioner, 118 82 Stockholm
Telefonnummer till SKR:s kontaktcenter: 08-452 70 00
E-post: info@skr.se, webbplats: www.skr.se
För att kontakta SKR:s dataskyddsombud, skicka e-post till dso@skr.se eller ring till SKR:s kontaktcenter, 08-452 70 00.