meny

Hur vi behandlar dina personuppgifter

Att den personliga integriteten respekteras och att personuppgifter behandlas på ett adekvat och korrekt sätt är av största vikt. Den här informationen har till syfte att i enlighet med EU:s dataskyddsförordning (1) ge en övergripande information om de personuppgiftsbehandlingar som Integritetsskyddsmyndigheten (IMY) är personuppgiftsansvarig för. Informationen har vidare till syfte att ge information till de som IMY behandlar personuppgifter om (registrerade), så att de kan ta till vara sina rättigheter.

Den här informationen omfattar inte den behandling av personuppgifter som sker inom IMY:s rent administrativa verksamhet.

1. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (GDPR).

Personuppgiftsansvar

IMY är personuppgiftsansvarig för de behandlingar av personuppgifter som myndigheten bestämmer ändamål och medel för. Exempelvis behandlar IMY personuppgifter i myndighetens ärendehantering, vid hantering av frågor och vid administration av kurser och prenumerationer.

IMY:s dataskyddsombud (DsO/DPO)

IMY är en myndighet och har därmed, i enlighet med artikel 37 i EU:s dataskyddsförordning, utnämnt ett dataskyddsombud (DsO).

Amelie Julin är IMY:s DsO och arbetar med frågor som gäller myndighetens egen efterlevnad av EU:s dataskyddsförordning.

IMY:s DsO har en central roll på myndigheten och:

  • sätter dataskyddsfrågorna främst i förhållande till övriga arbetsuppgifter,
  • rapporterar direkt till generaldirektören,
  • har mandat att självständigt bedriva sitt arbete utan instruktioner,
  • har god kännedom om myndighetens processer, informationssystem och behov av dataskydd,
  • har flera års arbetslivserfarenhet av dataskyddsfrågor på myndigheter,
  • har kunskap om myndighetens administrativa rutiner och förfaranden,
  • informerar och ger råd till myndighetens ledning och anställda i frågor gällande myndighetens efterlevnad av EU:s dataskyddsförordning samt
  • övervakar myndighetens efterlevnad av EU:s dataskyddsförordning samt annan tillämplig lagstiftning, interna styrdokument och instruktioner avseende behandling av personuppgifter.

Du kan kontakta IMY:s dataskyddsombud om du vill utöva dina rättigheter eller har frågor som rör IMY:s behandling av dina personuppgifter, e-post: dso@imy.se eller per post: IMY, Box 8114, 104 20 Stockholm, märk kuvertet med ”IMY:s dataskyddsombud”.

OBS! Har du frågor som gäller din organisations behandling av personuppgifter eller andra frågor gällande EU:s dataskyddsförordning kan du läsa mer på vår webbplats.

Så här behandlar IMY personuppgifter

Offentlighetsprincipen

IMY är en myndighet. Meddelanden som skickas till IMY blir därför som huvudregel allmänna handlingar som diarieförs, registreras och som vid en begäran kommer att lämnas ut om uppgifterna inte omfattas av sekretess. Med andra ord kan personuppgifter komma att lämnas ut i enlighet med offentlighetsprincipen. Så länge det inte har en avgörande betydelse för sekretessbedömningen har IMY ingen rätt att efterforska till vem uppgifterna lämnas ut.

Den behandling av personuppgifter som krävs enligt offentlighets- och sekretesslagen, arkivlagstiftningen och förvaltningslagen för en korrekt hantering av myndighetens allmänna handlingar, och som sker med stöd av EU:s dataskyddsförordning anses nödvändig av hänsyn till ett viktigt allmänt intresse.

Vid anmälan om utsett dataskyddsombud

IMY behandlar personuppgifter om utsett dataskyddsombud för att kunna administrera anmälan om dataskyddsombud som kommer in i enlighet med artikel 37 i EU:s dataskyddsförordning. Vidare behandlas uppgifterna för att IMY ska kunna fullgöra sitt uppdrag som tillsynsmyndighet och exempelvis kommunicera med dataskyddsombudet. När kontakten sker inom IMY:s tillsyn sker behandlingen som ett led i inspektionens myndighetsutövning. I övrigt är den rättsliga grunden uppgift av allmänt intresse.

Vid förfrågningar

IMY behandlar uppgifter för att kommunicera med den som lämnar in en förfrågan och för att handlägga ärendet. Den rättsliga grunden för behandlingen är uppgift av allmänt intresse.

Vid klagomål

IMY behandlar uppgifter för att kommunicera med den som lämnar in ett klagomål och ibland med en kontaktperson för den klagomålet gäller och för att handlägga ärendet. Behandlingen sker som ett led i IMY:s myndighetsutövning.

Vid tillsyn, samråd och förhandssamråd

IMY behandlar uppgifter om utsedd kontaktperson för tillsynsobjekt. Uppgifterna används för att kommunicera med tillsynsobjektet och utreda ärendet. Behandlingen är nödvändig som ett led i IMY:s myndighetsutövning.

Vid anmälan om personuppgiftsincident

IMY behandlar uppgifter om den som är kontaktperson/dataskyddsombud för en personuppgiftsansvarig som har rapporterat in en personuppgiftsincident. Behandlingen är nödvändig som ett led i IMY:s myndighetsutövning.

Vid hantering av ansökan om tillstånd

IMY behandlar personuppgifter om kontaktperson hos den som söker det aktuella tillståndet samt personuppgifter om enskild vars sakkunskap och omdömesgillhet ska prövas samt referenter till denne. Uppgifterna behandlas för att handlägga ärendet och informera allmänheten om befintliga tillståndshavare. Behandlingen är nödvändig som ett led i IMY:s myndighetsutövning.

Vid samverkan

IMY behandlar kontaktuppgifter till den person som är kontaktperson för samverkansärendet. Rättslig grund för behandlingen är uppgift av allmänt intresse.

Vid anmälan till IMY:s kurser

IMY behandlar personuppgifter i samband med anmälan till inspektionens kurser. Behandlingen sker för att administrera kursanmälan och för att följa upp myndighetens kurser. Den rättsliga grunden för administrationen av kursanmälan är att fullgöra det avtal som ingåtts i samband med anmälan. Rättslig grund för behandlingen som sker i samband med uppföljningen är att utföra en uppgift av allmänt intresse.

Vid prenumeration av pressmeddelanden och nyhetsbrev

IMY behandlar personuppgifter i samband med anmälan om prenumeration av inspektionens pressmeddelanden och nyhetsbrev. Behandlingen sker för att IMY ska kunna administrera prenumerationen och skicka ut informationen. Den rättsliga grunden är att fullgöra det avtal som ingåtts i samband med anmälan som prenumerant.

Vid ansökan om arbete

IMY behandlar personuppgifter i samband med att en ansökan om arbete skickas in till IMY. Personuppgifterna behandlas för att IMY ska kunna administrera ansökningarna och tillsätta tjänsten. Behandlingen för tillsättning av tjänsten sker som ett led i IMY:s myndighetsutövning och övrig behandling för att utföra en uppgift av allmänt intresse.

Kategorier av personuppgifter som behandlas

De kategorier av personuppgifter som behandlas är namn och kontaktuppgifter till enskilda som vänt sig till myndigheten. Om ärendet i grunden avser en organisation av något slag och en kontaktperson har utsetts för organisationen behandlas namn och kontaktuppgifter till kontaktpersonen. Ärenden som registreras får ett diarienummer.

I handlingar och meddelanden som skickas in till IMY förekommer ofta andra typer av personuppgifter. Dessa uppgifter hanteras endast genom att handlingen läggs in i det aktuella ärendet. Uppgifterna registreras inte särskilt och uppgifterna i den inkomna handlingen görs inte sökbara.

Hantering av känsliga personuppgifter som kommer in till IMY

Ibland skickas känsliga personuppgifter in till myndigheten. Dessa uppgifter behandlas för att ärendet ska kunna handläggas, uppgifterna hanteras dock endast genom att handlingen läggs in i det aktuella ärendet. Uppgifterna registreras inte särskilt och uppgifterna i den inkomna handlingen görs inte sökbara. Rättslig grund för behandlingen av känsliga personuppgifter är viktigt allmänt intresse.

De som kan ta del av uppgifterna

De medarbetare på IMY som kommer att ta del av uppgifterna behöver det för att utföra sina arbetsuppgifter.

Förutom de utlämnanden av personuppgifter som IMY behöver göra till följd av offentlighetsprincipen (se ovan under rubriken Offentlighetsprincipen) använder sig IMY i vissa fall av personuppgiftsbiträden. De personuppgiftsbiträden som anlitas får endast behandla personuppgifter i enlighet med de ändamål och instruktioner som IMY har lämnat för behandlingen. Biträdet och de som agerar under biträdets ledning får vidare aldrig ta del av mer uppgifter än vad som krävs för utförande av den tjänst som avtalet med IMY omfattar. När personuppgifter ska behandlas av ett personuppgiftsbiträde upprättas ett så kallat personuppgiftsbiträdesavtal. IMY använder personuppgiftsbiträden för olika typer av it-tjänster.

Som ett led i samarbetet enligt EU:s dataskyddsförordning kan personuppgifter inom IMY:s tillsynsverksamhet lämnas ut till annan dataskyddsmyndighet inom EU.

Period under vilken personuppgifterna kommer att lagras

Som statlig myndighet är utgångspunkten enligt arkivlagstiftningen att myndigheten ska bevara allmänna handlingar. IMY följer dessa regler om bevarande och gallrar allmänna handlingar i enlighet med gällande gallringsregler och beslut. Personuppgifter som inte ingår i en allmän handling sparas endast så länge de är nödvändiga för de ändamål som de behandlas för. Handlingar som inte är att ses som allmänna är exempelvis utkast till beslut och minnesanteckningar som inte har arkiverats. När ett ärende har slutbehandlats görs en bedömning av vad som enligt arkivlagstiftningen ska bevaras i ärendet. Handlingar som innehåller personuppgifter och som inte ska bevaras raderas eller rensas på personuppgifter.

Ansökningshandlingar som inte avser den som har fått tjänsten eller person som har överklagat tillsättningsbeslutet gallras två år efter att anställningsbeslutet vunnit laga kraft. Spontanansökningar som inte avser någon utlyst tjänst gallras omedelbart eller alternativt efter att kontakt tagits med den som skickat in ansökan.

Handlingar av ringa eller tillfällig betydelse gallras i regel direkt eller senast efter två månader.

Personuppgifter om prenumeranter raderas vid avslutad prenumeration.

Dina rättigheter som registrerad

Som registrerad har du flera rättigheter. Om du som registrerad hos IMY vill utöva dina rättigheter eller har frågor som rör vår behandling av dina personuppgifter kan du vända dig till myndighetens dataskyddsombud, e-post dso@imy.se.

Rätt till tillgång

Du kan begära att få ett besked om huruvida IMY behandlar personuppgifter som rör dig och i så fall få en kopia av dessa - ett så kallat registerutdrag - tillsammans med viss närmare information.

Rätt till rättelse

Om du anser att personuppgifterna som rör dig är felaktiga eller ofullständiga kan du begära att få uppgifterna rättade eller kompletterade.

Rätt att göra invändningar

När IMY behandlar personuppgifter inom ramen för sin myndighetsutövning eller för att kunna utföra andra arbetsuppgifter av allmänt intresse har du rätt att när som helst invända mot behandlingen. Om vi inte kan visa att det finns tvingande, berättigade skäl att fortsätta att behandla uppgifterna måste vi upphöra med behandlingen.

Rätt till begränsning av behandling

Du har i vissa fall, till exempel om du har invänt mot behandlingen, möjlighet att kräva begränsning av behandlingen av dina personuppgifter. Genom att begära en begränsning har du, i vart fall under en viss tid, möjlighet att stoppa IMY från att använda uppgifterna annat än för att exempelvis försvara rättsliga anspråk. Du kan även hindra myndigheten från att radera uppgifterna, till exempel om du behöver uppgifterna för att kräva skadestånd.

Rätt till radering ("rätten att bli bortglömd")

Du kan i vissa fall få dina personuppgifter raderade. När dina personuppgifter behövs för att IMY ska kunna fullgöra sitt uppdrag eller framgår av en allmän handling har IMY ingen möjlighet att radera uppgifterna.

Rätt till dataportabilitet

Om IMY behandlar personuppgifter om dig för att uppfylla ett avtal har du i vissa fall möjlighet att få ut personuppgifter som rör dig för att använda dessa på annat håll, exempelvis överföra uppgifterna till en annan personuppgiftsansvarig.

Om du har synpunkter på IMY:s behandling av dina personuppgifter

Du har möjlighet att lämna synpunkter på IMY:s behandling av dina personuppgifter. Beslut som myndigheten meddelar i egenskap av personuppgiftsansvarig med anledning av att du utövar dina rättigheter enligt ovan, får överklagas till allmän förvaltningsdomstol. Har du klagomål på IMY:s handläggning kan du göra en anmälan till Riksdagens ombudsmän (JO). Vill du kräva skadestånd kan du framföra ditt krav direkt till IMY eller väcka talan i allmän domstol. Du kan också ansöka om skadestånd hos Justitiekanslern som handlägger anspråk på ersättning enligt skadeståndslagen och EU:s dataskyddsförordning.