Behandling av personuppgifter på Nordens välfärdscenter
Bakgrund
Nordens välfärdscenter är en icke vinstdrivande offentlig kooperation under Nordiska ministerrådet. Nordens välfärdscenter lyder inte under Tryckfrihetsförordningen och Offentlighets- och sekretesslag. De externa personuppgifter vi hanterar handlar i huvudsak om anmälningar till evenemang, beställningar och utskick av publikationer, abonnemang och nyhetsbrev. Personuppgifter överlåtas inte till annan part.
Den 25 maj 2018 trädde en europeisk dataskyddsförordning som kallas GDPR (General data Protection Regulation) i kraft i Sverige, Finland och övriga EU. Den ersatte personuppgiftslagar i respektive länder.
Nordens välfärdscenter är personuppgiftsansvarig i två länder, nämligen i Finland och i Sverige. Dessa två länder följer den europeiska dataskyddsförordningen och har införlivat GDPR:s bestämmelser i sin nationella lagstiftning. I den finska (5.12.2018/1050) och den svenska dataskyddslagen (Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning) beskrivs närmare hur dessa länder tillämpar GDPR.
I Finland är det Dataombudsmannens byrå som är en tillsynsmyndighet med ett uppdrag av att övervaka efterlevnaden av dataskyddslagstiftningen och övriga lagar om behandlingen av personuppgifter. I Sverige är det Integritetsskyddsmyndigheten som är tillsynsmyndighet och övervakar att GDPR och den svenska dataskyddslagen följs.
Nordens välfärdscenter behandlar gränsöverskridande personuppgifter i två medlemsstater. Mer om denna behandling kan man läsa på: https://www.imy.se/lagar–regler/dataskyddsforordningen/gransoverskridande-personuppgiftsbehandling/
Hantering av personuppgifter
Nordens välfärdscenter följer GDPR med gällande lagstiftning i Sverige respektive Finland för hantering av personuppgifter.
Med personuppgift menar vi all slags information som kan knytas till en fysisk person som är i livet. Exempelvis personnummer, namn, adress, foton och i vissa fall även ljudinspelningar som är lagrade elektroniskt.
Personuppgifter om barn anses särskilt skyddsvärda i dataskyddsförordningen eftersom barn kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter och att förstå vilken rätt till skydd för sina uppgifter som de har. Precis som när det gäller vuxna måste man ha en rättslig grund, det vill säga stöd i lagen, för att kunna behandla personuppgifter om barn.
För att Nordens välfärdscenter ska kunna uppfylla regelverket:
- samlar vi inte in andra personuppgifter än de som krävs för verksamheten och som det finns rättslig grund för att samla
- lagrar vi nödvändiga externa personuppgifter i ett gemensamt kontaktregister
- finns det en utsedd ansvarig för varje persondatabehandling
- lagrar vi personuppgifter på ett säkert sätt enligt gällande IT-policy.
Vi för en registerförteckning över samtliga våra personuppgiftsbehandlingar. Av registret framgår vem som är registeransvarig på Nordens välfärdscenter, personuppgiftsbiträde (när persondatabehandlingen sker utanför Nordens välfärdscenter), beskrivning av personuppgiftsbehandling, varför vi samlar in och lagrar personuppgifter, tidsbegränsning för lagring av detta data, rensningsrutin samt vilken rättslig grund som personuppgiftsbehandlingen åberopar.
Till vad används personuppgifter som vi samlat in?
Vi samlar in personuppgifter för särskilda uttryckligt angivna och berättigade ändamål. Det betyder att uppgifter som samlas in för ett visst redovisat syfte inte får användas för helt andra syften.
Vi samlar in personuppgifter för utskick, inbjudningar, nyhetsutskick till journalister och följare, tjänstetillsättningar, lönehantering, uppgifter till skattemyndigheter och försäkringskassa samt för personaladministration.
Hur vi samlar in personuppgifter och hanterar dem
Nordens välfärdscenter samlar in personuppgifter via Lyyti genom anmälningar till evenemang på hemsidan eller via prenumerationer till våra nyhetsbrev och andra publikationer och sker via registrering på hemsidan. För de personuppgifter som kräver samtycke, så ges samtycket i samband med anmälning/beställning. Nordens välfärdscenters registerförteckning över personuppgiftsbehandlingar anger hur och på vilken rättslig grund som data samlas in och hur samtycke ges (där så krävs). Där anges också vem som är ansvarig för personuppgiftsbehandlingen. Ingen får samla in personuppgifter utan den ansvarigas godkännande.
Lime är Nordens välfärdscenters kontaktdatabas och används av för att lagra och upprätthålla information om våra kontakter. Verktyget används för att administrera listor, söka efter kontakter och göra riktade utskick via olika kanaler. Syftet med Lime är att samla persondata i en databas för att förenkla hanteringen och sökningen av relevant information om våra kontakter för alla på Nordens välfärdscenter som behöver använda persondata i arbetet.
Lagring
Var de insamlade uppgifterna lagras beror på reglerna för respektive register. Detsamma gäller tiden för hur länge uppgifterna kommer att lagras. Faktorer som kan påverka lagringstiden är till exempel lagar och regler, exempelvis bokföringslagen. Nordens välfärdscenter lagrar aldrig personuppgifter längre än vad som behövs. Lagringstiderna för respektive personuppgiftsbehandling framgår av registretförteckning över personuppgiftsbehandlingar. Där framgår även om det finns automatisk radering av data efter en viss tid.
För personuppgiftsbiträden som Nordens välfärdscenter anlitar regleras lagring och säkerhet som uppfyller GDPR och gällande lagstiftning i avtalen.
Rätten att bli bortglömd samt klagomål till Integritetsskyddsmyndigheten
Personer har rätt att få tillgång till sina uppgifter och få felaktiga uppgifter rättade. De har också rätt att ta tillbaka sitt samtycke till insamling och, om inga lagliga hinder finns, få sina uppgifter raderade. Om personen tycker att Nordens välfärdscenter behandlar hens uppgifter på ett sätt som strider med dataskyddsförordningen kan personen lämna in ett klagomål till Integritetsskyddsmyndigheten i Sverige och Dataombudsmannens byrå i Finland.