Vi behandlar personuppgifter för att kunna fullgöra sina skyldigheter och åtaganden mot invånare, fastighetsägare, näringsidkare och myndigheter.

Varje nämnd i kommunen är personuppgiftsansvarig och därmed ytterst ansvarig för sin behandling av personuppgifter och att uppgifterna behandlas på ett korrekt sätt.

Dataskyddsförordningen, även kallad GDPR, har till syfte att skydda den grundläggande mänskliga rättigheten, rätten till ett privatliv. En människas personliga integritet ska inte kränkas i samband med behandlingen av personuppgifter.

Kontakt, frågor eller mer information

För att göra invändningar våra personuppgiftsbehandlingar eller om du vill ha rättelse, begära överföring (dataportabilitet), begära att kommunen begränsar behandlingen eller begära radering av dina personuppgifter begär du det på adressen:
Åre kommun | Box 201 | 837 22 Järpen

Du kan även kontakta oss på telefon 0647-161 00 eller via e-post på Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den.

Vill du klaga på våran behandling av dina personuppgifter vänder du dig till Datainspektionen.
Box 8114 | 104 20 Stockholm

Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den.eller 08-657 61 00.

Du kan läsa mer på Datainspektionens hemsida

Till personuppgifter räknas all slags information som kan knytas till en fysisk person som är i livet. Exempelvis personnummer, namn, adress, foton, registreringsnummer, fastighetsbeteckning, identifikationer online, personers fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.


För de uppgifter som hämtas in av kommunens olika verksamheter är samtycke i de flesta fall inte nödvändigt. Det beror på att uppgifterna används i samband med exempelvis myndighetsutövning, för att kunna fullgöra en skyldighet som åligger kommunen eller att ett avtalsförhållande föreligger. Det är alltid du som individ som ger samtycke till att vi behandlar dina personuppgifter för att kunna behandla ditt ärende.

När personuppgifter behandlas (all hantering av personuppgifter utgör behandling) av oss, eller på uppdrag av av oss, ska de grundläggande principerna i dataskyddsförordningen (GDPR) vara uppfyllda. Principerna anges i artikel 5 i dataskyddsförordningen.

 

Några exempel på hur vi arbetar för att efterleva förordningen

I enlighet med Dataskyddsförordningens princip om laglighet, korrekthet och öppenhet ska vi behandla personuppgifter på ett lagligt, korrekt och öppet sätt i förhållande till den vars personuppgifter registreras av oss. Med detta menas att vi alltid ska vara tydliga och konkreta i vår beskrivning av hur personuppgifter behandlas.

 

Vi ska alltid se till att personuppgifter behandlas på en utpekad rättslig grund och att annan lagstiftning som inverkar på behandlingen efterlevs. All behandling av personuppgifter som utförs måste vila på minst en rättslig grund, i annat fall är behandlingen olaglig.

 

Vi ska alltid göra en avvägning mellan den registrerades integritet och den egna verksamhetens effektivitet i åtanke.

Den registrerade har rätt att få information när hens personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av oss både när uppgifterna samlas in och när den registrerade begär det.

 

Vill du ha information om vilka av dina personuppgifter som behandlas av oss, kontakta Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den.

Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Med detta menas att vi hela tiden känner till och dokumenterar anledningen till att en viss personuppgift hanteras och personuppgifterna inte senare används för en helt annan anledning som går emot den ursprungliga.

 

Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Med detta menas att vi endast ska använda oss av de personuppgifter som krävs för att uppnå målet med hanteringen. Kan samma mål uppnås genom att använda färre personuppgifter eller mindre känsliga sådana ska så ske.

Personuppgifterna som vi hanterar ska vara korrekta och om nödvändigt uppdaterade. Vi måste alltid verka för att personuppgifter som är felaktiga rättas och att det finns rutiner för hur det ska utföras. Inom vissa områden finns särskilda regler för hur rättelse och radering får ske.

Personuppgifter får inte förvaras identifierbara under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Med detta menas att personuppgifterna inte får sparas längre än vad som behövs utifrån målet med behandlingen. När målet är uppnått ska arkivering, gallring eller avidentifiering av personuppgifterna alltid övervägas med beaktande av de dokumenthanteringsplaner, vilka anger arkivering- och gallringsregler som gäller för Åre kommun.

Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder.

 

Med detta menas att personuppgifter ska skyddas genom tekniska och organisatoriska åtgärder på en nivå som motsvarar uppgifternas skyddsvärde. Är uppgifterna av känslig eller särskilt skyddsvärd art ska också högre tekniska och organisatoriska krav ställas. Utgångspunkten ska alltid vara att endast behöriga personer ska ges tillgång till skyddsvärd information.

För kommunens verksamhet gäller offentlighetsprincipen. Offentlighetsprincipen innebär en rätt för var och en att i Åre kommun ta del av allmänna handlingar. Detta innebär att även personuppgifter kan begäras och lämnas ut som en del av allmän handling oavsett för vilket ändamål personuppgiften ursprungligen behandlades.

 

Denna rätt gäller dock inte om handlingarna innehåller uppgifter som är belagda med sekretess enligt offentlighets- och sekretesslagen (2009:400). Sekretess enligt offentlighets- och sekretesslagen gäller bland annat för personuppgift om det kan antas att ett utlämnande skulle medföra att personuppgiften behandlas i strid med dataskyddsförordningen eller dataskyddslagen.

Vissa personuppgifter är känsligare än andra. I dataskyddsförordningen anses följande särskilda kategorier av personuppgifter kräva ett särskilt legalt skydd. Ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person.

 

Vi ska endast behandla känsliga personuppgifter när det finns särskilt stöd i lag eller om den registrerade särskilt samtyckt till den specifika behandlingen. Även personuppgifter som inte är särskilt reglerade som känsliga kan vara mer skyddsvärda än andra. Personuppgifter av mycket personlig eller privat natur anses generellt vara mer skyddsvärda än andra typer av personuppgifter.

Behandling av personuppgifter är allt som sker med personuppgifterna inklusive lagring. Behandlingen kan ske manuellt, helt eller delvis automatiserat. I den europeiska dataskyddsförordningen finns bestämmelser om hur behandling får ske.

 

Utöver förordningen finns ett flertal svenska lagar som reglerar behandlingen av personuppgifter. Exempel på andra lagar som reglerar behandlingen av personuppgifter är lag med kompletterande bestämmelser till EU:s dataskyddsförordning (SFS 2018:218) och Patientdatalag (SFS 2008:355).

 

För att behandlingen ska vara tillåten måste det finnas en laglig grund för behandlingen. I den europeiska dataskyddsförordningen definieras vad som är laglig grund för behandling. Det kan till exempel vara för att fullgöra ett avtal, som ett led i myndighetsutövning eller för att utföra en uppgift av allmänt intresse.

Vi för ett register över behandlingar av personuppgifter som utförs under kommunens personuppgiftsansvar. Det här innebär att vi ska ha gällande förteckning över samtliga behandlingar (IT-stöd innehållande personuppgifter, processer eller andra typer av behandlingar) som sker. Denna förteckning ska upprättas skriftligt, vara tillgänglig i elektronisk format och hållas uppdaterat. På begäran ska registret göras tillgängligt för datainspektionen som är tillsynsmyndighet. Varje behandling ska även uppdateras när nya förutsättningar gäller för dess hantering, såsom till exempel att den avslutats eller att de informationssäkerhetsmässiga skydden förändrats.  

Vi måste se till att ha en lämplig säkerhetsnivå för hantering av personuppgifter, både tekniskt och organisatoriskt. Vad som är en lämplig säkerhetsnivå beror på bland annat riskerna med behandlingen, vilken typ av uppgifter som behandlas, på de tekniska möjligheter som finns och på kostnaderna.

 

Det innebär att vi måste ta ställning till vilka risker som finns och vilka säkerhetsåtgärder dessa risker motiverar. Detta sker bland annat genom informationsklassning och riskanalys.

Om en behandling av personuppgifter som kan leda till en hög risk för de registrerade (till exempel en omfattande hantering av känsliga personuppgifter eller risk att särskilda krav avseende skydd inte kommer att kunna uppnås) planeras genomföras måste vi enligt dataskyddsförordningen först genomföra en så kallad konsekvensbedömning avseende dataskydd. Om en sådan konsekvensbedömning innebär att de bedömda höga riskerna kvarstår måste kommunen samråda med Datainspektionen som är tillsynsmyndigheten innan behandlingen påbörjas.

Vi ska tillhandahålla information till registrerad i enlighet med dataskyddsförordningens krav. Informationen ska ges om hur vi behandlar de registrerades personuppgifter och om vilka rättigheter som de registrerade har enligt dataskyddsförordningen.

 

Information som ges ska vara koncis, klar, tydlig och begriplig och den ska ges i ett lättillgängligt format. Språket ska vara klart och tydligt, och vara anpassat till mottagaren, exempelvis om informationen är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt och kan när det är lämpligt ges i elektronisk form.

 

Om den registrerade begär det ska informationen tillhandahållas muntligt, under förutsättning att den registrerade har styrkt sin identitet. Det här innebär att den som ansvarar för behandlingen alltid måste ta ställning till om den information om behandlingen som krävs ges till den registrerade på ett tillräckligt sätt.

Den som är ansvarig för behandlingen av personuppgifter kallas personuppgiftsansvarig (PuA). I Åre kommun är varje nämnd/styrelse personuppgiftsansvarig för de personuppgifter som hanteras inom den egna nämnden/styrelsens verksamhet.

 

Du kan läsa mer om kommunens organisation och vad som ligger under respektive nämnd/styrelse på are.se.

Alla nämnder/styrelse/myndigheter blir i och med att denna lag träder ikraft skyldig att utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. Du kan ta kontakt med ett av kommunens dataskyddsombud om du har frågor gällande dataskyddsförordningen.


Arbetsuppgifter för dataskyddsombud:

* samla in information om hur organisationen behandlar personuppgifter
* kontrollera att organisationen följer bestämmelser och interna styrdokument
* informera och ge råd inom organisationen.
* ge råd om konsekvensbedömningar
* kontaktperson för Datainspektionen
* kontaktperson för de registrerade och personalen inom organisationen
* ska samarbeta med Datainspektionen, till exempel vid inspektioner.


Tillförordnade dataskyddsombud

Kommunstyrelsen: Kommunsekreterare Rebecca Dumky, Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den.
Arkivmyndigheten: Kommunsekreterare Rebecca Dumky, Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den.
Socialkontoret: Kommunjurist Therrese Björnsdotter, Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den.
Samhällsbyggnadskontoret: Projektmedarbetare Birgitta Pettersson Launy, Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den.
Barn- och utbildningskontoret: Verksamhetsutvecklare Thomas Höjvall, Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den.

Du kan få kontakt med ett dataskyddsombud genom att kontakta oss på telefon 0647-161 00 eller via e-post på Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den.

För vissa behandlingar anlitar vi ett personuppgiftsbiträde. Du som registrerad har rätt att få information om vilka biträden som har fått tillgång till dina uppgifter. Du kan kontakta ett dataskyddsombud för information om ett biträde har anlitats.

Alla registrerade har rättigheter gentemot den som är personuppgiftsansvarig. Vissa av rättigheterna är beroende av vilken rättslig grund som den aktuella behandlingen av personuppgifter vilar på. Detta innebär att vissa rättigheter bara kan göras gällande under vissa förutsättningar. Vi ska möjliggöra för de registrerade att utöva sina rättigheter.

 

Rätt till insyn och registerutdrag

Den registrerade har rätt att få tillgång till de personuppgifter som behandlas. Detta innebär att vi på begäran måste tillhandahålla dessa uppgifter till den registrerade. Detta kallar vi registerutdrag.

 

Rätt till ändring

Den registrerade har rätt att begära att felaktiga personuppgifter rättas och att ofullständiga personuppgifter kompletteras. Vissa registerlagstiftningar detaljerar hur denna rättighet ska tillämpas, personuppgifter som behandlas i enlighet med viss lagstiftning får till exempel endast justeras under vissa förutsättningar.

 

Rätt till radering, rätten att bli bortglömd

Beroende på omständigheter i det enskilda fallet och vilken rättslig grund som personuppgiftsbehandlingen görs kan den registrerade även ha rätt till radering av sina personuppgifter. Rättigheten har begränsad tillämpning inom offentlig förvaltning eftersom merparten av personuppgiftsbehandlingarna vilar på en rättslig grund där rättigheten inte är tillämplig.

 

Rätt till begränsning

Beroende på omständigheter i det enskilda fallet kan den registrerade ha rätt till att behandlingen av personuppgifterna begränsas till endast lagring under den tid det tar att utreda en invändning från den registrerade.

 

Rätt till dataportabilitet

Beroende på omständigheter i det enskilda fallet och på vilken rättslig grund som personuppgiftsbehandlingen grundar sig på har den registrerade i vissa fall rätt att få tillgång till personuppgifterna i ett sådant format som möjliggör överförande till en annan personuppgiftsansvarig. Rättigheten har begränsad tillämpning inom kommuner eftersom merparten av personuppgiftsbehandlingarna vilar på en rättslig grund där rättigheten inte är tillämplig.

 

Återkallande av samtycke

Om den rättsliga grunden för en behandling av personuppgifter är ett samtycke från den registrerade så har hen rätt att återkalla samtycket. Ett återkallande av samtycket påverkar dock inte lagligheten av personuppgiftsbehandlingen för tiden innan samtycket återkallades.

 

Invända mot behandling

Om den lagliga grunden för behandlingen av personuppgifter baseras på berättigat intresse (intresseavvägning) eller allmänt intresse har registrerade under vissa förutsättningar rätt att invända mot hur hens personuppgifter behandlas.

 

Rätt att lämna klagomål till Datainspektionen

Den registrerade har alltid rätt att vända sig till tillsynsmyndigheten med klagomål om hen inte är nöjd med hur Åre kommun hanterar den registrerades personuppgifter. Tillsynsmyndighet är Datainspektionen.

Den personuppgiftsansvarige, varje nämnd i kommunen, ska ansvara för och kunna visa att de grundläggande principerna enligt dataskyddsförordningen efterlevs. Med detta menas att vi inte bara ska uppfylla dessa principer utan också på ett öppet och tillgängligt sätt visa på vilket sätt så sker. VI har ett övergripande ansvar att inte bara följa dataskyddsförordningen utan även att visa hur alla nämnder och enheter gör detta, detta kallas i dataskyddsförordningen för ansvarsskyldighet. Detta innebär bland annat att vi ska ta fram och följa dokumenterade planer för hur dataskyddsförordningen ska efterlevas på respektive enhet.