Behandling av personuppgifter inom Västra Götalandsregionen

Från och med den 25 maj 2018 gäller den nya dataskyddsförordningen (GDPR) inom hela EU. GDPR bestämmer hur offentliga myndigheter och företag ska behandla personuppgifter. Här kan du läsa om hur vi inom Västra Götalandsregionen, VGR, behandlar dina personuppgifter och hur du kommer i kontakt med oss.

I enlighet med GDPR:s grundläggande principer ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den vars personuppgifter behandlas (den registrerade).

VGR behandlar en mängd olika sorters personuppgifter som en naturlig del av vår verksamhet. Vi har därför ett stort ansvar att se till att dina uppgifter hanteras på rätt sätt.

Vad är en personuppgift?

Personuppgifter är all slags information som kan knytas till en fysisk person som är i livet.

Exempel på personuppgifter är:

  • Namn
  • Adress
  • Personnummer
  • Telefonnummer

Även annan information som kan kopplas till en viss individ är personuppgifter:

  • E-postadress
  • Bilder
  • Ljudupptagning
  • Patient-id
  • Bankkontonummer
  • Uppgifter om en fysisk persons hälsa

I princip alla åtgärder som sker med personuppgifter.

Exempel:

  • Samla in
  • Registrera
  • Läsa
  • Arkivera (spara i myndighetens arkiv)
  • Lämna ut

Personuppgifter får bara samlas in och behandlas för vissa särskilt angivna ändamål (rättsliga grunder). Vilka dessa särskilt angivna ändamål är anges i GDPR.

All behandling av personuppgifter som VGR utför måste därför vila på minst en av dessa rättsliga grunder. Annars är behandlingen inte tillåten.

Som allmän utgångspunkt krävs ett samtycke från den enskilde för att man ska få behandla personuppgifter. Det finns dock flera undantag från denna utgångspunkt. När myndigheter behandlar personuppgifter är samtycke oftast inte tillämpligt. Det medför att personuppgifter får behandlas utan samtycke av VGR om det finns någon annan rättslig grund.

När VGR behandlar personuppgifter är den rättsliga grunden oftast att behandlingen är nödvändig för att

  • fullgöra en rättslig förpliktelse, eller
  • fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.

Vad betyder att fullgöra en rättslig förpliktelse?

VGR har som offentlig myndighet ett flertal rättsliga förpliktelser som vi måste utföra. Vi har exempelvis en rättslig skyldighet att diarieföra handlingar och registrera vissa personuppgifter i olika ärenden. Ett annat exempel är att VGR enligt lag har en skyldighet att dokumentera uppgifter som behövs för att tillhandahålla god och säker vård för patienten, bland annat i våra patientjournaler.

Vad är ett allmänt intresse?

För att en arbetsuppgift ska vara av allmänt intresse ska den regleras i svensk lagstiftning eller lagstiftningen inom EU.

VGR:s uppdrag följer av lag, förordningar, föreskrifter och kommunala beslut. Vi har uppdrag inom exempelvis hälso- och sjukvården, kollektivtrafiken, kultur och näringsliv. För att kunna utföra dessa uppgifter av allmänt intresse måste vi i många fall behandla personuppgifter.

Exempel på uppgifter av allmänt intresse som vanligen kräver att VGR behandlar personuppgifter:

  • Hälso- och sjukvården behöver vissa personuppgifter för att kunna erbjuda god och patientsäker vård. Uppgifter behöver dokumenteras i patientjournalen.
  • Bedriva verksamhetsuppföljning och forskning inom vården.
  • Framställa statistik inom hälso- och sjukvården.
  • Handlägga ärenden på ett effektivt och rättssäkert sätt.
  • Ta emot och diarieföra handlingar som skickas in till myndigheten.
  • Tillgodose allmänhetens rätt att ta del av allmänna handlingar.
  • Spara allmänna handlingar i myndighetens arkiv.
  • Sluta avtal med enskilda eller andra organisationer.
  • Upphandla tjänster och varor.
  • Lämna uppgifter till andra myndigheter när detta krävs enligt lag.

En stor del av den behandling av personuppgifter som sker inom VGR följer av lag och bygger på den rättsliga grunden allmänt intresse. Personuppgiftbehandling som krävs för att tillhandahålla hälso- och sjukvård och kollektivtrafik samt övriga uppdrag som VGR har tilldelats genom lagstiftning sker alltså utifrån den rättsliga grunden allmänt intresse.

Den som bestämmer ändamålen och medlen för behandlingen av personuppgifterna är personuppgiftsansvarig. Inom Västra Götalandsregionen är varje nämnd och styrelse personuppgiftsansvarig för de personuppgiftsbehandlingar som sker inom respektive verksamhet.

Vissa personuppgifter är till sin natur mer känsliga än andra. I dataskyddsförordningen anses följande kategorier av personuppgifter kräva ett särskilt skydd:

  • Ras eller etniskt ursprung.
  • Politiska åsikter.
  • Religiös eller filosofisk övertygelse.
  • Medlemskap i en fackförening.
  • Hälsa.
  • En persons sexualliv eller sexuella läggning.
  • Genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person.

Huvudregeln är att känsliga personuppgifter inte får behandlas, men det finns några undantag: 

  • Känsliga personuppgifter får behandlas om den registrerade särskilt samtyckt till den specifika behandlingen.
  • Känsliga personuppgifter får behandlas när det finns särskilt stöd i lag.

Ett exempel på när VGR har stöd i lag att behandla känsliga personuppgifter om hälsa är inom hälso- och sjukvården, där vi behöver behandla uppgifter om hälsa för att kunna erbjuda en god och patientsäker vård. Läs mer på sidan om behandling av personuppgifter i hälso- och sjukvården:

Behandling av personuppgifter i hälso- och sjukvården

VGR har i många verksamheter rätt att behandla känsliga personuppgifter eftersom det finns särskilt lagstöd. Känsliga personuppgifter ska dock alltid ges ett särskilt högt skydd mot obehörig åtkomst.

Den svenska offentlighetsprincipen följer av vår grundlag. Offentlighetsprincipen innebär en rättighet för var och en att få insyn i myndigheters verksamhet, exempelvis genom att ta del av våra allmänna handlingar. Handlingar som du skickar in till VGR, exempelvis brev, e-post och andra meddelanden, blir i allmänhet allmänna handlingar. Detta innebär att de omfattas av offentlighetsprincipen. Detta gäller även om du har skrivit in personuppgifter i meddelandet.

Personuppgifter kan alltså begäras och lämnas ut enligt offentlighetsprincipen - oavsett för vilket ändamål personuppgiften ursprungligen behandlades.

Rätten att ta del av allmänna handlingar gäller dock inte om handlingarna innehåller uppgifter som är belagda med sekretess enligt offentlighets- och sekretesslagen.

Den grundlagsskyddade offentlighetsprincipen går före GDPR. Offentlighetsprincipen innebär en rätt för var och en att hos VGR ta del av allmänna handlingar. Om det finns personuppgifter i allmänna handlingar, kan de lämnas ut med stöd av offentlighetsprincipen, såvida inte uppgifterna omfattas av sekretess.

Personuppgifter får inte sparas längre än nödvändigt. Det innebär att när personuppgifterna inte längre behövs till det ändamål de samlades in, ska de tas bort (lagringsminimering).

När det gäller offentliga myndigheter finns ett viktigt undantag från principen om lagringsminimering. Undantaget tillåter myndigheter att bevara handlingar för arkivändamål av allmänt intresse.

Enligt svensk lagstiftning är myndigheter skyldiga att spara allmänna handlingar i arkiv, även efter att handlingarna inte längre används i ett pågående ärende. Detta krävs för att kunna tillgodose rätten att ta del av allmänna handlingar. Regler om detta finns i tryckfrihetsförordningen, offentlighets- och sekretesslagen, den svenska dataskyddslagen och arkivlagen.

Det innebär att om det finns personuppgifter i allmänna handlingar som ska sparas i arkiv får VGR spara dem längre än vad som är nödvändigt, utifrån det ändamål som uppgifterna ursprungligen använts.

Även om VGR ska spara handlingar med personuppgifter ska vem som har tillgång till uppgifterna begränsas. Medarbetare inom VGR får bara ha tillgång till sådana personuppgifter som behövs för att de ska kunna utföra sina arbetsuppgifter.

Svenskt regelverk kring allmänna handlingar gäller. Det betyder att personuppgifter som finns i allmänna handlingar bevaras i myndighetens arkiv. Detta är nödvändigt för att offentlighetsprincipen ska kunna fylla sin funktion.

Du som är registrerad har rättigheter gentemot oss som personuppgiftsansvariga. Vissa av rättigheterna är beroende av vilken rättslig grund som behandlingen av personuppgifter vilar på. Detta innebär att vissa rättigheter bara gäller under vissa förutsättningar.

Rätt till insyn och registerutdrag

Du har rätt att vända dig till VGR och begära att få veta vad som finns registrerat om dig. Det kallas att man begär ett registerutdrag. Ett registerutdrag innebär att organisationen ska lämna information om vad som finns registrerat om dig hos myndigheten.

Du har också rätt att veta om när vi samlar in dina personuppgifter, det ska vi normalt sett tala om samtidigt som vi samlar in uppgifterna.

Dessa generella rättigheter gäller så länge ingen lag ställer specifika krav. Exempelvis går regler om sekretess och tystnadsplikt före vår skyldighet att lämna ut registerutdrag.

Hur begär jag ett registerutdrag?

Inom VGR är varje nämnd och styrelse ansvarig för sin personuppgiftsbehandling. Begäran om registerutdrag ställs till berörd styrelse eller förvaltning inom VGR.

På följande länk hittar du e-postadresser till alla nämnder och styrelser inom VGR:

Myndighetsbrevlådor

Om du vill skicka ett vanligt brev med din begäran hittar du våra fysiska adresser här:

Kontaktuppgifter till VGRs verksamheter

Rätt till ändring

Du som är registrerad har rätt att under vissa förutsättningar begära att felaktiga personuppgifter rättas och kompletteras. Mycket av VGR:s verksamhet styrs dock av särskilda registerlagstiftningar. Personuppgifter som behandlas i enlighet med patientdatalagen får till exempel bara ändras eller raderas under vissa förutsättningar.

Rätt till radering

Merparten av personuppgiftsbehandlingarna hos VGR bygger på den rättsliga grunden ”uppgift av allmänt intresse” där rätten till radering inte är tillämplig. Rätten till radering gäller inte heller när uppgifterna finns i allmänna handlingar som vi ska spara i våra arkiv.

I vissa fall kan du ändå ha rätt till radering av dina personuppgifter. Det kallas ibland även rätten att bli bortglömd. Exempelvis kan du ta tillbaka ett samtycke som du har lämnat till att vi hanterar dina personuppgifter.

Om du har frågor kring personuppgiftshantering ska du vända dig till dataskyddsombudet i den verksamhet som hanterar dina uppgifter. Här hittar du kontaktuppgifter till dataskyddsombud inom Västra Götalandsregionen:

Dataskyddsombud

Senast uppdaterad: 2018-05-25 14:37