Dataskyddsförordningen (GDPR) har till syfte att skydda den grundläggande mänskliga rättigheten, rätten till ett privatliv. Den personliga integriteten ska inte kränkas i samband med behandlingen av personuppgifter. Räddningstjänsten Medelpad behandlar personuppgifter för att kunna fullgöra sina skyldigheter och åtaganden mot invånare, fastighetsägare, näringsidkare och myndigheter.

I de flesta fall har du själv lämnat personuppgifterna till oss för att vi ska kunna hantera ett ärende för dig.

Personuppgifter kan också samlas in via ett ombud eller via digitala system där personuppgifterna redan finns registrerade, till exempel från andra myndigheter.

All behandling av personuppgifter måste stödja sig mot minst en rättslig grund. Finns det ingen rättslig grund är behandlingen av den personuppgiften inte laglig. En rättslig grund måste vara fastställd innan en behandling av personuppgifter påbörjas och den får inte bytas under en pågående personuppgiftsbehandling.

I dataskyddsförordningen GDPR finns sex rättsliga grunder

• Samtycke
• Avtal med den registrerade
• Rättslig förpliktelse
• Skydda grundläggande intresse
• Myndighetsutövning och uppgift av allmänt intresse
• Intresseavvägning

Inom offentlig verksamhet som Sundsvalls kommun tillhör är de vanligast förekommande rättsliga grunderna:

• Rättslig förpliktelse
• Myndighetsutövning och uppgift av allmänt intresse
• Avtal.

Här följer en kortfattad presentation av de rättsliga grunderna.

Samtycke. Den registrerade har lämnat ett godkännande på att dennes personuppgifter får behandlas för det syfte som är presenterat. Ett samtycke går alltid att återkalla.

Avtal. Den registrerade har ett avtal med eller ska ingå avtal med Medelpads räddningstjänstförbund.

Intresseavvägning. Om den personuppgiftsansvariges (förbundets) intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella syftet får personuppgifter behandlas utan ett samtycke från den registrerade. Vill du veta mer om hur vi har gjort intresseavvägningarna kan du kontakta dataskyddsombudet, se kontaktuppgifter nedan.

Denna rättsliga grund får inte myndigheter använda sig av när de fullgör sina uppgifter med stöd i lagstiftning.

Rättslig förpliktelse. Det finns lagar eller regler som står över dataskyddsförordningen GDPR och gör att den personuppgiftsansvarige (nämnden) måste behandla vissa personuppgifter i sin verksamhet. Exempelvis kan en arbetsgivare vara skyldig att lämna ut personuppgifter till en myndighet så som Skatteverket.

Myndighetsutövning. Medelpads Räddningstjänstförbund är en myndighet och bedriver räddningstjänst, förebyggande brandskydd, kommunal krisberedskap och civilt försvar. Vår behandling av personuppgifter har sin grund främst i rättslig förpliktelse. Det innebär att det finns lagar eller regler som gör att vi måste behandla vissa personuppgifter i vår verksamhet.

Medelpads Räddningstjänstförbunds myndighetsutövning baseras på:

• Lag (2003:778) om skydd mot olyckor
• Lag (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap
• Lag (1999:381) om åtgärder för att förebygga och begränsa följderna av allvarliga kemikalieolyckor
• Säkerhetsskyddsförordningen (2018:658)
• Plan- och bygglagen (2010:900)
• Lag (2010:1011) om brandfarliga och explosiva varor
• Lag (2014:799) om sprängämnesprekursorer.

Behöver vi dina personuppgifter på annan grund än myndighetsutövning kommer vi att informera dig om varför vi behöver dina uppgifter, till vad vi ska använda dem och hur länge.

Uppgift av allmänt intresse. Personuppgiftsbehandlingen om denna rättsliga grund ska ha stöd i lag eller annan författning. Uppgifter av allmänt intresse kan exempelvis vara skolverksamhet med stöd av skollagen.

Grundläggande intresse. Den här rättsliga grunden innebär att personuppgifter får behandlas om det är nödvändigt för att rädda liv. I första hand kommer den att vara aktuell inom vården.

Läs mer om de olika rättsliga grunderna på Integritetsskyddsmyndighetens webbplats, Rättslig grundLänk till annan webbplats, öppnas i nytt fönster. Länk till annan webbplats..

När personuppgifter behandlas i Medelpads räddningstjänstförbund, eller på uppdrag av Medelpads räddningstjänstförbund, ska de grundläggande principerna i dataskyddsförordningen (GDPR) vara uppfyllda. De grundläggande principerna är:

• Laglighet, korrekthet och öppenhet
• Ändamålsbegränsning
• Uppgiftsminimering
• Riktighet
• Lagringsminimering
• Integritet och konfidentialitet
• Ansvarsskyldighet.
  

Grundläggande principer, IntegritetsskyddsmyndighetenLänk till annan webbplats, öppnas i nytt fönster. Länk till annan webbplats.

Sammanfattning och förenklade förklaringar kring de grundläggande principerna.

Syfte

Det ska vara tydligt vad personuppgiften ska användas till, och syftet får inte ändras i efterhand.

Relevans

Bara de uppgifter som behövs för att uppnå syftet samlas in, ”bra att ha”-uppgifter samlas inte in.

Radera

När uppgifterna inte längre behövs ska de tas bort, om det inte finns andra lagar som ställer krav på lagringstid. Uppgifter som är felaktiga har den registrerade rätt att få ändrade.

Tillgång

Bara de som behöver tillgång till personuppgifterna i sitt arbete ska kunna se dem.

Skydda

För att inte obehöriga ska få tillgång till uppgifterna skyddas de genom olika säkerhetsåtgärder som till exempel bra lösenord och flerfaktorsinloggning. Kraven på skydd kan variera beroende på hur stor skada personuppgifterna kan orsaka den registrerade om de hanteras fel.

Vetskap

Personer som registreras ska få veta om att de registreras och få information om behandlingen på ett lättbegripligt sätt. Bland annat om hur länge uppgifterna lagras, vad syftet är med behandlingen och på vilken rättslig grund personuppgifterna behandlas.

Samtycke

Samtycke som rättslig grund är i de flesta fall inte nödvändigt för de uppgifter som hämtas in av räddningstjänstens olika verksamheter. Det beror på att uppgifterna används i samband med exempelvis allmänt intresse och myndighetsutövning som rättslig grund, för att kunna fullgöra en skyldighet som åligger kommunen eller ett avtalsförhållande.

Om ett samtycke behövs har den registrerade rätt att återkalla det. Då får de personuppgifter kopplade till samtycket inte längre behandlas.

Medelpads Räddningstjänstförbund behandlar dina personuppgifter i enlighet med bestämmelserna i dataskyddsförordningen (EU) 2016/679 samt annan tillämplig lagstiftning.

Medelpads Räddningstjänstförbund

De som tar del av dina personuppgifter inom Medelpads Räddningstjänstförbund är anställda som behöver uppgifterna för att utföra sina arbetsuppgifter vid behandling av ditt ärende. Beroende på vilken typ av ärende det gäller kan de anställda vara: tillsynsförrättare, tillståndshandläggare, administrativ personal, brandskyddskontrollanter, styrkeledare, insatsledare, samordnare av civilt försvar eller krisberedskapssamordnare.

Andra aktörer

I vissa fall måste vi lämna ut dina personuppgifter till organisationer utanför den egna myndigheten, till exempel: Myndigheten för Samhällsskydd och Beredskap (MSB), våra leverantörer av sotning.

Allmän handling

Det kan också förekomma att dina personuppgifter lämnas ut som allmän handling. När personuppgifter kommer in till oss anses de i regel vara allmänna handlingar och kan begäras ut av allmänheten. Det finns också särskilda regler för allmänna handlingar gällande bevarande (sparande) och gallring (slänga bort).

En personuppgift är allt som kan kopplas till en levande person. Det finns både direkta och indirekta personuppgifter.

Exempel på direkta personuppgifter

Uppenbara uppgifter som namn, personnummer, adress

Exempel på indirekta personuppgifter

Uppgifter som går att koppla till en individ som ip-adress, fastighetsbeteckning, diarienummer, kundnummer, e-postadress och telefonnummer.

Även foton och ljudupptagningar räknas som personuppgifter.

Extra skyddsvärda personuppgifter

Alla personuppgifter som rör barn är extra skyddsvärda. Det kan också vara uppgifter som handlar om brott, sådant som omfattas av sekretess och tystnadsplikt, omdömen eller ekonomiska förhållanden. Detta är uppgifter som lätt kan uppfattas som kränkande om de hanteras på fel sätt, och ska hanteras extra varsamt.

Känsliga personuppgifter

Det finns personuppgifter som inte får registreras om det inte finns mycket starka och tydliga skäl till att göra det. Det är uppgifter om:

• Etniskt ursprung
• Politiska åsikter
• Facklig tillhörighet
• Hälsouppgifter
• Religiös eller filosofisk övertygelse
• Sexualliv eller sexuell läggning
• Biometriska (exempelvis fingeravtryck) och genetiska uppgifter (exempelvis DNA).

Det kan förekomma att Sundsvalls kommun behöver registrera känsliga personuppgifter för att uppfylla ett lagkrav eller vid myndighetsutövande. Då används extra skyddsåtgärder för att ingen obehörig ska kunna ha tillgång till dessa uppgifter.

Även personuppgifter som inte är bedömda som särskilt känsliga kan vara mer värda att skydda. Personuppgifter av mycket personlig eller privat natur anses generellt vara mer värda att skydda än andra typer av personuppgifter.

Alla registrerade har rättigheter gentemot den som är personuppgiftsansvarig. Vissa av rättigheterna är beroende av vilken rättslig grund den aktuella behandlingen vilar på. Detta innebär att vissa rättigheter bara kan göras gällande under vissa förutsättningar.

Sundsvalls kommun ska göra det möjligt för de registrerade att utöva sina rättigheter. Kontaktuppgifter hittar du längre ner på sidan under datskyddssamordnare.

Rättigheter som finns beskrivna i dataskyddförordningen (GDPR)

Rätt till information

Den registrerade har rätt att få information kring vad, varför, när, hur, hur länge, på vilken rättslig grund och av vem eller vilka dennes personuppgifter behandlas.

Informationen ska lämnas kostnadsfritt i en lättillgänglig form med ett tydligt och enkelt språk.

Skulle en personuppgiftincident uppstå (till exempel ett dataintrång eller liknande) har den registrerade rätt att få information kring incidenten och hur Sundsvalls kommun agerat för att återställa säkerheten kring dennes personuppgifter.

Begära ut registerutdrag

Den registrerade har rätt att få tillgång till sina personuppgifter som behandlas eller andra personuppgifter som registreras som denne har rätt att ta del av, exempelvis barn som denne är vårdnadshavare till. Registerutdraget innehåller en sammanställning av personuppgiftsbehandlingar. För att få tillgång till den informationen ska en begäran om registerutdrag göras av den registrerade.

Vill du veta vilka av dina personuppgifter som behandlas av Sundsvalls kommun kan du begära ett registerutdrag. Du kan även ha rätt att begära för andra än dig själv, till exempel som vårdnadshavare.

Begär ut registerutdrag via Sundsdvalls kommuns e-tjänst:
Begäran om registerutdragLänk till annan webbplats, öppnas i nytt fönster. Länk till annan webbplats.

Har du inte möjlighet att använda e-tjänsten kan du skriftligen begära ett registerutdrag.

Rätta personuppgifter

Den registrerade har rätt att begära att felaktiga personuppgifter rättas och att ofullständiga personuppgifter kompletteras. Vissa registerlagstiftningar detaljerar hur denna rättighet ska tillämpas. Personuppgifter som behandlas i enlighet med viss lagstiftning får till exempel endast justeras under vissa förutsättningar. Om personuppgifterna kan rättas eller kompletteras inom gällande lagstiftningar ska detta ske så snart som möjligt.

Radera personuppgifter

Beroende på omständigheter i det enskilda fallet och på vilken rättslig grund som personuppgiftsbehandlingen grundar sig på, kan den registrerade även ha rätt att få sina personuppgifter raderade. Rättigheten har begränsad tillämpning inom offentlig förvaltning eftersom de flesta behandlingar av personuppgifter vilar på en rättslig grund där exempelvis annan lagstiftning gör att rätten att radera inte är tillämplig.

Begränsa behandling av personuppgifter

Beroende på omständigheter i det enskilda fallet kan den registrerade ha rätt till att behandlingen av personuppgifterna begränsas till endast lagring under den tid det tar att utreda en invändning från den registrerade.

Flytta personuppgifter

Den registrerade har i vissa fall rätt att få tillgång till personuppgifter i ett format som gör dem möjliga att föra över till en annan personuppgiftsansvarig, det vill säga att få sina personuppgifter flyttade. Det kallas för dataportabilitet. Rättigheten har begränsad tillämpning inom kommuner eftersom merparten av personuppgiftsbehandlingarna vilar på en rättslig grund där dataportabilitet inte är tillämplig.

Invändningar mot behandling av personuppgifter

Om den lagliga grunden för behandlingen av personuppgifter baseras på berättigat intresse (intresseavvägning) eller allmänt intresse har registrerade under vissa förutsättningar rätt att invända mot hur dennes personuppgifter behandlas.

Den enskilde har alltid rätt att invända mot att dennes personuppgifter används för direkt marknadsföring. En sådan invändning kan göras när som helst. Görs en invändning mot direkt marknadsföring, får personuppgifterna inte längre behandlas för sådana ändamål.

Särskilda regler gäller för personuppgifter som behandlas för vetenskapliga och historiska forskningsändamål eller statistiska ändamål.

Kontaktuppgifter hittar du längre ner på sidan. En invändning som kvarstår efter kontakt ska lämnas in skriftligen.

Återkalla samtycke

Om den rättsliga grunden för en behandling av personuppgifter är ett samtycke från den registrerade så har denne rätt att återkalla samtycket. Ett återkallande av samtycket påverkar dock inte lagligheten av personuppgiftsbehandlingen för tiden innan samtycket återkallades. Efter ett återkallande får inte kommunen längre behandla de uppgifter som var kopplade till samtycket.

Lämna till klagomål till Integritetsskyddsmyndigheten

Om den registrerade inte är nöjd med hur Sundsvalls kommun hanterar personuppgifterna går det att vända sig till tillsynsmyndigheten Integritetsskyddsmyndigheten med klagomål.

Integritetsskyddsmyndigheten
Telefon: 08-657 61 00
E-post: imy@imy.se
Postadress:
Integritetsskyddsmyndigheten
Box 8114
104 20 Stockholm

Dina personuppgifter kommer att behandlas av oss så länge det finns ett syfte med behandlingen. Personuppgifterna kommer därefter att hanteras enligt de regler som gäller för Medelpads Räddningstjänstförbund, som till exempel dokumenthanteringsplan och gallringsbeslut.

Svenskt regelverk kring allmänna handlingar gäller. Enligt Tryckfrihetsförordningen, Offentlighets- och sekretesslagen och Arkivlagen kan dina uppgifter komma att bevaras efter att ändamålet för behandlingen har upphört. Några exempel är:

• Namn på författare till texter som förekommer i exempelvis tryckta skrifter kan sparas under längre tid.
• Vissa personuppgifter om anställda i myndigheter är offentliga.
• Allmänna handlingar som innehåller personuppgifter ska arkiveras.

Här kan du läsa om hur vi hanterar dina personuppgifter i sociala kanaler och om varför du bör vara försiktig med vad du delar.

Medelpads Räddningstjänstförbund har ett ansvar att ge information till invånare. Vi använder sociala kanaler för att nå ut med information till många och föra dialog. Det ska alltid vara tydligt när Medelpads Räddningstjänstförbund är avsändare till inlägg i sociala kanaler.

Medelpads Räddningstjänstförbund är aktiv på Facebook, Instagram, Youtube och LinkedIn (nedan kallade sociala kanaler). Kontona är offentliga och alla användare av de här kanalerna har möjlighet att läsa och följa vad som händer på kontona.

Personuppgifter vi behandlar, hur och varför

Sociala kanaler bygger på att du som användare skapar och delar eget innehåll. Genom att interagera med andra personer och sidor kan du skapa ett mervärde för dig själv och andra. Samtidigt betyder det att du bidrar till spridning av mer eller mindre känsliga personuppgifter (både dina egna och andras).

Syfte med personuppgiftsbehandlingen

Vi behandlar personuppgifter i syfte att kommunicera med människor som tar kontakt med oss och med människor som är intresserade av innehållet i våra sociala kanaler. Vi behandlar uppgifterna genom att läsa, besvara, dölja och ibland radera kommentarer och inlägg i våra kanaler.

Dina personuppgifter behandlas

Om du väljer att publicera innehåll (till exempel skriva kommentarer, dela ett inlägg, skicka ett direktmeddelande eller ladda upp en bild) i någon av våra kanaler, kommer dina personuppgifter att behandlas. Det kan vara genom att ditt namn blir synligt och klickbart eller att dina intressen loggas.

Dina personuppgifter lagras och används i den tjänst du publicerat dem i (till exempel på Facebook). Medelpads Räddningstjänstförbund har ingen kontroll över hur leverantörerna för de olika tjänsterna hanterar dina uppgifter, det regleras helt av deras villkor.

Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd enligt EU:s dataskyddsförordning, GDPR. Ett exempel på känsliga personuppgifter är uppgifter om hälsa eller beviljat bistånd.

Du kan alltid radera det du har publicerat (till exempel kommentarer) och sluta gilla och följa Medelpads Räddningstjänstförbunds konton för att minska de personuppgiftsbehandlingar som görs när du interagerar med våra konton. Medelpads Räddningstjänstförbund har inte kontroll över hur redan lagrad information i kanalerna hanteras hos respektive leverantör.

Du kan även välja att blockera eller spärra Medelpads Räddningstjänstförbunds konton.

Överföring till tredje land

Publicering på sociala kanaler innebär ofta att material som publiceras förs över till länder utanför EU och EES, framför allt USA. USA:s lagstiftning uppfyller inte alla de krav som ställs av GDPR, vilket kan innebära vissa risker för personuppgifterna.

Det är framför allt brottsbekämpande myndigheter i USA som kan få tillgång till personuppgifter som leverantören av den sociala tjänsten har lagrat. Dessa myndigheter är främst intresserade av uppgifter som kan leda till att terrorism förhindras.

Leverantören har genom sina villkor åtagit sig att så långt möjligt skydda personuppgifterna på det sätt som krävs inom EU, men måste lämna över uppgifter till brottsbekämpande myndigheter i USA om de får en sådan begäran.

Det kan vara svårt eller omöjligt att hävda sina rättigheter gällande personuppgifter som de brottsbekämpande myndigheterna har fått tillgång till. Ha dessa risker i åtanke när du väljer att dela innehåll i sociala kanaler.

Facebook

Officiella konton som omfattas: @rtjmedelpad

Vi behandlar dina personuppgifter med stöd av journalistiska ändamål och för verksamhet som är av allmänt intresse.

Väljer du att skicka privata meddelanden till oss erbjuder Facebook inga möjligheter att radera konversationen.

Om du inte vill att dina personuppgifter ska finnas i inlägg på vår Facebooksida kan du ta kontakt med oss och berätta i vilket inlägg det gäller så hjälper vi dig. Du kan själv ta bort det du gillat, delat och kommenterat.

Du som Facebookanvändare har åtkomst till din information och kan ladda ner den från Facebook (facebook.com). Länk till annan webbplats, öppnas i nytt fönster. Du kan också radera enskilda inlägg eller ta bort ditt konto.

Instagram

Officiella konton som omfattas: rtjmedelpad

Vi behandlar dina personuppgifter med stöd av journalistiska ändamål och för verksamhet som är av allmänt intresse.

Om du inte vill att dina personuppgifter i form av ett inlägg ska finnas på Instagram så kontakta oss och berätta i vilket inlägg de finns så raderar vi omgående. Du kan själv ta bort det du gillat, delat och kommenterat.

Youtube

Konto: Räddningstjänsten Medelpad

Vi behandlar dina personuppgifter med stöd av journalistiska ändamål och för verksamhet som är av allmänt intresse.

LinkedIn

Konto som omfattas: Räddningstjänsten Medelpad

Vi behandlar dina personuppgifter med stöd av journalistiska ändamål och för verksamhet som är av allmänt intresse.

Du kan själv ta bort det du gillat, delat och kommenterat.

Mer information om våra sociala kanaler

För räddningstjänstens verksamhet gäller offentlighetsprincipen. Offentlighetsprincipen innebär en rätt för var och en att hos Medelpads räddningstjänstförbund ta del av allmänna handlingar.

Det innebär att du kan begära och få personuppgifter utlämnade oavsett för vilket ändamål personuppgiften ursprungligen behandlades. Denna rätt gäller inte om handlingarna innehåller uppgifter som är belagda med sekretess enligt offentlighets- och sekretesslagen, RiksdagsförvaltningenLänk till annan webbplats, öppnas i nytt fönster. Länk till annan webbplats..

Sekretess gäller bland annat för utlämning av personuppgifter som skulle medföra att personuppgiften behandlas i strid med dataskyddsförordningen eller dataskyddslagen.

Personuppgifter ska skyddas mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Är uppgifterna känsliga eller särskilt värda att skydda ska högre tekniska och organisatoriska krav ställas.

Utgångspunkten ska alltid vara att endast behöriga personer ska ges tillgång till skyddsvärd information.

Säkerhetsåtgärder

Medelpads räddningstjänstförbund måste se till att ha en lämplig säkerhet för hantering av personuppgifter, både tekniskt och organisatoriskt. Vad som är lämplig säkerhet beror på bland annat riskerna med behandlingen, vilken typ av uppgifter som behandlas, vilken skada det skulle kunna innebära för den registrerade och på de tekniska möjligheter som finns. Detta sker bland annat genom informationssäkerhetsklassning, riskanalys och konsekvensbedömningar avseende dataskydd.

Konsekvensbedömning avseende dataskydd (Data Protection Impact Assessment, DPIA)

Vid en omfattande hantering av känsliga personuppgifter eller om det finns risk för att särskilda krav på skydd inte kan uppnås ska Medelpads räddningstjänstförbund först genomföra en konsekvensbedömning avseende dataskydd i samråd med Sundsvalls kommuns dataskyddsombud.

Om en sådan konsekvensbedömning innebär att de bedömda höga riskerna kvarstår måste Medelpads räddningstjänstförbund samråda med Integritetsskyddsmyndigheten som är tillsynsmyndigheten innan behandlingen påbörjas.