Integritetspolicy
I integritetspolicyn får du veta hur vi samlar in, använder, sparar, lämnar ut och skyddar dina personuppgifter. Policyn gäller för all vår verksamhet.
Vi följer givetvis den lagstiftning som finns på området, såsom dataskyddsförordningen (DSF). På engelska heter den General Data Protection Regulation och förkortas GDPR. I den här texten använder vi det svenska namnet.
Syftet med lagen är att skydda individens rätt till privatliv som är en grundläggande mänsklig rättighet. Privatpersoners integritet får inte kränkas i samband med att personuppgifter behandlas. Det betyder att vi får behandla dina personuppgifter enbart om det finns stöd i lag eller om du har godkänt det.
Personuppgiftsansvarig
Göteborgsregionens kommunalförbund (GR), organisationsnummer 222000-0265, är personuppgiftsansvarig och ansvarar för att dina personuppgifter behandlas på ett lagligt sätt.
Vad är en personuppgift?
En personuppgift är all slags information som leder till en person som är i livet. Informationen kan vara direkt eller indirekt. Exempel på personuppgifter är namn, adress eller personnummer. Även uppgifter om hälsa och politisk åsikt räknas som personuppgift, liksom bilder, filmer och ljudupptagningar.
Vad omfattas av begreppet personuppgiftsbehandling?
Att behandla en personuppgift innebär allt som kan göras med en personuppgift, till exempel samla in, skapa, lagra, gallra, sprida, arkivera och kopiera.
Hur får vi dina personuppgifter?
I de flesta fall lämnar du dem själv till oss när du deltar i en utbildning, ett projekt, ett nätverk eller för att vi ska kunna hantera ett ärende åt dig. Ibland kan vi få dina personuppgifter från någon annan, till exempel andra myndigheter, kommuner eller företag.
Vilka uppgifter behandlar vi?
Detta är några exempel på personuppgifter som GR behandlar:
- Namn och andra kontaktuppgifter inklusive telefon och e-postadress.
- Bilder från utbildningstillfällen och event av olika slag.
- Hälsouppgifter, till exempel matallergier i samband med att vi bjuder på lunch eller fika.
- Kontonummer i samband med att du får lön eller annan ersättning från GR.
Allmänna handlingar
GR omfattas av offentlighetsprincipen. Det betyder att personuppgifter som kommer in till oss i princip alltid är allmänna handlingar. Vem som helst har rätt att begära ut dem och läsa dem, om de inte omfattas av sekretess, det vill säga är hemliga. Uppgifter som omfattas av sekretess är bland annat människors personliga eller ekonomiska förhållanden samt hälsa.
Varför behandlar vi dina personuppgifter (ändamål)?
GR behöver uppgifter om dig för att vi ska kunna utföra vårt uppdrag. Det kan handla om administration i samband med att du anmäler dig till eller deltar i en kurs hos oss. Det kan också vara att du ingår i ett nätverk eller projekt som vi driver. Ibland behöver vi dina uppgifter för att kunna fullgöra åtaganden i avtal. En del uppgifter används till statistik men då är de anonymiserade.
All behandling sker utifrån väl motiverad grund och vi lämnar inte några uppgifter vidare i kommersiella sammanhang.
Om vi behöver behandla dina personuppgifter av en annan anledning än den ursprungliga, så får du information om det innan en ny behandling påbörjas.
Med vilken rätt behandlar vi dina uppgifter?
Om GR behandlar personuppgifter finns det alltid en rättslig grund och vi hanterar inte fler uppgifter än vad som behövs. Den rättsliga grunden kan vara olika beroende på vilken behandling det rör sig om. De rättsliga grunder som GR lutar sig mot är:
- Myndighetsutövning: GR behöver behandla personuppgifter för att utföra myndighetsuppgifter, till exempel antagningen till gymnasieskolan.
- Rättslig förpliktelse: Lagar eller regler gör att vi måste behandla vissa personuppgifter, till exempel bokföringslagen, arkivlagen eller skollagen.
- Allmänt intresse: Alla uppgifter som GR behöver samla in för att utföra vårt uppdrag, till exempel registrera namn och kontaktuppgifter till deltagande i nätverk eller projekt.
- Avtal: Uppgifter som vi behöver behandla i samband med avtal.
Grundläggande intresse: Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. - Samtycke: Om inte någon av de andra rättsliga grunderna gäller behöver vi få ett samtycke från dig, att du aktivt säger ja till behandlingen.
Hur hanterar vi dina uppgifter?
Vi följer alltid de grundläggande principer som finns i dataskyddsförordningen. Det innebär bland annat att du har rätt att veta vilka uppgifter vi behandlar om dig, att dina uppgifter är säkra hos oss och att vi inte använder dina personuppgifter för andra syften än vad vi har angett. Vi behandlar inte heller fler personuppgifter än vad som behövs eller sparar dem längre tid än nödvändigt.
Läs mer i Dataskyddsförordningen, artikel 5 . Länk till annan webbplats.
Hur länge sparar vi dina uppgifter?
Vi behandlar dina personuppgifter tills dess att ändamålet med behandlingen är uppfyllt. Efter det använder vi inte dina uppgifter i den dagliga verksamheten mer. Däremot kan de sparas hos oss om annan lagstiftning kräver det, till exempel bokföringslagen eller arkivlagen.
Vem har tillgång till dina uppgifter?
De som tar del av dina personuppgifter är anställda på GR som behöver dem för att utföra sitt uppdrag. Dina uppgifter kan även hanteras av personal i någon av GR:s medlemskommuner, om uppdraget är förlagt där. I vissa fall lämnar vi dina personuppgifter till organisationer utanför kommunen, till exempel Skatteverket. Det kan även förekomma att dina personuppgifter begärs ut som allmänna handlingar. Då görs en prövning enligt offentlighets- och sekretesslagen. Läs mer under rubriken Allmänna handlingar.
Vilka rättigheter har du som registrerad?
När vi behandlar dina personuppgifter har du vissa rättigheter, se listan nedan. Men vilka rättigheter du har beror på vilken rättslig grund som gäller. I vissa fall kan vi därför inte fullgöra din begäran om att få utöva dina rättigheter.
Rätten till information och registerutdrag
Du har rätt att få information om vilka personuppgifter vi behandlar om dig och kan själv vända dig till oss för att få ett registerutdrag. Mejla till gr@goteborgsregionen.se eller ring 031-335 50 00.
Rätten till rättelse, radering eller begränsning av behandling
Du kan alltid höra av dig och begära att vi ändrar uppgifter som är felaktiga eller att vi kompletterar uppgifter som är ofullständiga. I vissa fall kan du begära att dina uppgifter raderas, till exempel om du inte längre vill ha utskick av nyhetsbrev.
Återkallande av samtycke
Om du har gett oss samtycke har du alltid rätt att återkalla detta om du inte längre vill att vi behandlar dina uppgifter. Ett återkallat samtycke påverkar dock inte lagligheten av personuppgiftsbehandlingen för tiden före samtycket återkallades.
Rätten att lämna klagomål
Du har alltid rätt att vända dig till Integritetsskyddsmyndigheten, som är tillsynsmyndighet, om du inte är nöjd med hur GR behandlar dina uppgifter.
Begränsning av rättigheterna
Eftersom det finns särskilda regler kring allmänna handlingar, så begränsas vissa av rättigheterna. Dina rättigheter kan också vara begränsade av andra orsaker, till exempel när vi behandlar dina uppgifter enligt den rättsliga grunden ”rättslig förpliktelse”. Vissa uppgifter som vi behandlar styrs av annan lagstiftning, till exempel arkivlag, bokföringslag och lagstiftning för myndigheter. Då finns särskilda bestämmelser om hur personuppgifter får behandlas och hur länge.
Register över personuppgiftsbehandlingar
GR för register över samtliga behandlingar som vi utför. Enligt dataskyddsförordningen ska alla personuppgiftsansvariga ha ett sådant register. Registret ska innehålla en förteckning över alla behandlingar, med vilken rättslig grund de görs, vem som ansvarar för innehåll och säkerhet samt hur uppgifter bevaras och raderas. Registret är digitalt och kan på begäran visas upp för tillsynsmyndigheten Integritetsskyddsmyndigheten.
Hur skyddar vi dina uppgifter?
GR månar om att uppfylla den säkerhet som krävs enligt dataskyddsförordningen. Säkerhetsnivån kan vara olika beroende på vilken typ av uppgifter det rör sig om. Det beror på vilka risker som finns och hur känsliga uppgifterna är. Utifrån detta hanteras de på ett sätt som är rimligt utifrån tekniska möjligheter och kostnader. Vid en bedömning av riskerna står rättigheterna som du som registrerad har i fokus.
Överföring till tredje land
Om vi skulle hantera dina personuppgifter utanför EU/EES-området (tredje land) så berättar vi det för dig.
Att tänka på om du använder våra sociala medier
Om du skriver kommentarer eller kontaktar oss via sociala medier, till exempel Facebook, Linkedin eller Instagram, så överförs informationen alltid till tredje part (det vill säga företaget som äger det sociala mediet). Dessa företag har sin bas utanför EU/EES, vilket innebär att överföringen sker till det som kallas tredje land. För vidarebehandlingen av dina personuppgifter gäller de villkor som den sociala kanalen tillämpar. GR har därför inte möjlighet att radera dessa personuppgifter och kan inte heller garantera att de behandlas enligt samma höga skyddsnivå som gäller enligt Dataskyddsförordningen (GDPR).
Om du vill vara anonym eller har skyddad identitet
Om du vill anmäla dig till någon av våra utbildningar eller andra event via våra system så registrerar systemet uppgifter om dig. Det innebär att om du vill vara anonym eller har skyddad identitet måste du höra av dig till kontaktpersonen för utbildningen via telefon.
Om du vill lämna en synpunkt eller kontakta oss anonymt får du inte lämna med några personliga uppgifter, eftersom dessa uppgifter registreras och då blir en offentlig handling.
Känslig information och särskilda personuppgifter
Tänk på att om du lämnar känsliga uppgifter om dig så är e-post oftast inte en säker kommunikationsväg. Exempel på känslig information är personnummer, kontonummer och inloggningsuppgifter med lösenord.
Du behöver också tänka på hur du lämnar ifrån dig särskilda personuppgifter så att dessa skyddas på ett adekvat sätt. Exempel på särskilda personuppgifter är hälsotillstånd, religiös eller filosofisk övertygelse, etniskt ursprung, fackligt och politiskt engagemang samt sexuell läggning.
För att GR ska behandla särskilda personuppgifter krävs att det finns ett stöd i lagen eller ett uttalat samtycke från dig som är registrerad. Tillfällen då GR registrerar särskilda personuppgifter är när du deltar i ett evenemang där det serveras mat. Dina matpreferenser är viktiga för att du ska få rätt mat, men de är även särskilda uppgifter som vi behandlar med ett särskilt samtycke från dig. Efter evenemanget tas informationen bort från alla listor om du inte väljer annat.
Kontaktuppgifter
Om du vill göra invändningar mot en behandling, begära rättelse eller radering av dina uppgifter eller få ett registerutdrag kan du skicka e-post till gr@goteborgsregionen.se eller ringa 031-335 50 00. Vid den här typen av begäran är det viktigt för oss att veta att du är den du utger dig för att vara. Vi kommer därför att kräva att du identifierar dig. Vi skickar registerutdraget till din folkbokföringsadress för att säkerställa att det inte hamnar i fel händer.
Dataskyddsombud
Kontakta vårt dataskyddsombud om du har några frågor eller vill veta mer om hur GR behandlar dina personuppgifter.
E-post: dso@goteborgsregionen.se
Telefon: 031-335 52 53 eller 031-335 52 54
Mer information
Integritetsskyddsmyndigheten är tillsynsmyndighet och ska se till att dataskyddförordningen följs. Här kan du läsa mer om lagen och få information om hur du går till väga om du inte är nöjd med hur GR behandlar dina uppgifter.
Uppdaterad