Integritetsskyddsmyndigheten (IMY) är personuppgiftsansvarig för de behandlingar av personuppgifter som myndigheten bestämmer ändamål och medel för. Exempelvis behandlar IMY personuppgifter i myndighetens ärendehantering, vid hantering av frågor och vid kurser och prenumerationer.
Här ger vi övergripande information om de personuppgiftsbehandlingar som vi är personuppgiftsansvarig för, och som till stor del innebär en kontakt med allmänheten.
Vårt dataskyddsombud
Sigrid Bohnfeldt Boje är IMY:s dataskyddsombud och arbetar med frågor som gäller myndighetens egen efterlevnad av dataskyddsförordningen.
Vårt dataskyddsombud har en central roll på myndigheten och
sätter dataskyddsfrågorna främst i förhållande till övriga arbetsuppgifter
rapporterar direkt till generaldirektören
har mandat att självständigt bedriva sitt arbete utan instruktioner
har god kännedom om myndighetens processer, informationssystem och behov av dataskydd
har flera års arbetslivserfarenhet av dataskyddsfrågor på myndigheter
har kunskap om myndighetens administrativa rutiner och förfaranden
informerar och ger råd till myndighetens ledning och anställda i frågor gällande myndighetens efterlevnad av dataskyddsförordningen
övervakar myndighetens efterlevnad av dataskyddsförordningen samt annan tillämplig lagstiftning, interna styrdokument och instruktioner avseende behandling av personuppgifter.
Du kan kontakta vårt dataskyddsombud om du har frågor som rör vår behandling av dina personuppgifter eller om du vill utöva dina rättigheter gentemot IMY, som exempelvis begära ett registerutdrag.
Brev: Integritetsskyddsmyndigheten , Box 8114, 104 20 Stockholm, märk kuvertet med ”Integritetsskyddsmyndighetens dataskyddsombud”.
Så här behandlar IMY personuppgifter
IMY är en myndighet. Meddelanden som skickas till IMY blir därför som huvudregel allmänna handlingar som diarieförs, registreras och som vid en begäran kommer att lämnas ut om uppgifterna inte omfattas av sekretess. Med andra ord kan personuppgifter komma att lämnas ut i enlighet med offentlighetsprincipen. Så länge det inte har en avgörande betydelse för sekretessbedömningen har IMY ingen rätt att efterforska till vem uppgifterna lämnas ut.
Den behandling av personuppgifter som krävs enligt offentlighets- och sekretesslagen, arkivlagstiftningen och förvaltningslagen för en korrekt hantering av myndighetens allmänna handlingar, och som sker med stöd av EU:s dataskyddsförordning anses nödvändig av hänsyn till ett viktigt allmänt intresse.
IMY behandlar personuppgifter om utsett dataskyddsombud för att kunna administrera anmälan om dataskyddsombud som kommer in i enlighet med artikel 37 i EU:s dataskyddsförordning. Vidare behandlas uppgifterna för att IMY ska kunna fullgöra sitt uppdrag som tillsynsmyndighet och exempelvis kommunicera med dataskyddsombudet. När kontakten sker inom IMY:s tillsyn sker behandlingen som ett led i vår myndighetsutövning. I övrigt är den rättsliga grunden uppgift av allmänt intresse.
IMY behandlar uppgifter för att kommunicera med den som lämnar in en förfrågan och för att handlägga ärendet. Den rättsliga grunden för behandlingen är uppgift av allmänt intresse.
IMY behandlar uppgifter för att kommunicera med den som lämnar in ett klagomål och ibland med en kontaktperson för den klagomålet gäller och för att handlägga ärendet. Behandlingen sker som ett led i IMY:s myndighetsutövning.
IMY behandlar uppgifter om utsedd kontaktperson för tillsynsobjekt och vid klagomålsbaserad tillsyn även uppgift om den som har lämnat in klagomålet som föranlett tillsynen. Uppgifterna används för att kommunicera med parterna och utreda ärendet. Behandlingen är nödvändig som ett led i IMY:s myndighetsutövning.
IMY behandlar uppgifter om den som är kontaktperson/dataskyddsombud för en personuppgiftsansvarig som har rapporterat in en personuppgiftsincident. Behandlingen är nödvändig som ett led i IMY:s myndighetsutövning.
IMY behandlar personuppgifter om kontaktperson hos den som söker det aktuella tillståndet samt personuppgifter om enskild vars sakkunskap och omdömesgillhet ska prövas samt referenter till denna. Uppgifterna behandlas för att handlägga ärendet och informera allmänheten om befintliga tillståndshavare. Behandlingen är nödvändig som ett led i IMY:s myndighetsutövning.
IMY behandlar kontaktuppgifter till den person som är kontaktperson för samverkans- eller vägledningsärendet. Rättslig grund för behandlingen är uppgift av allmänt intresse.
IMY behandlar personuppgifter i samband med anmälan till våra kurser. Behandlingen sker för att administrera kursanmälan och för att följa upp myndighetens kurser. Den rättsliga grunden för administrationen av kursanmälan är att fullgöra det avtal som ingåtts i samband med anmälan. Rättslig grund för behandlingen som sker i samband med uppföljningen är att utföra en uppgift av allmänt intresse.
IMY behandlar personuppgifter i samband med anmälan om prenumeration av våra pressmeddelanden och nyhetsbrev. Behandlingen sker för att IMY ska kunna administrera prenumerationen och skicka ut informationen. Den rättsliga grunden är att fullgöra det avtal som ingåtts i samband med anmälan som prenumerant.
IMY behandlar personuppgifter i samband med att en ansökan om arbete skickas in till IMY. Personuppgifterna behandlas för att IMY ska kunna administrera ansökningarna och tillsätta tjänsten. Behandlingen för tillsättning av tjänsten sker som ett led i IMY:s myndighetsutövning och övrig behandling för att utföra en uppgift av allmänt intresse.
Kategorier av personuppgifter som behandlas
De kategorier av personuppgifter som behandlas är namn och kontaktuppgifter till enskilda som vänt sig till myndigheten. Om ärendet i grunden avser en organisation av något slag och en kontaktperson har utsetts för organisationen behandlas namn och kontaktuppgifter till kontaktpersonen. Ärenden som registreras får ett diarienummer.
I handlingar och meddelanden som skickas in till IMY förekommer ofta andra typer av personuppgifter. Dessa uppgifter hanteras endast genom att handlingen läggs in i det aktuella ärendet. Uppgifterna registreras inte särskilt och uppgifterna i den inkomna handlingen görs inte sökbara.
Hantering av känsliga personuppgifter
Ibland skickas känsliga personuppgifter in till myndigheten. Dessa uppgifter behandlas för att ärendet ska kunna handläggas, uppgifterna hanteras dock endast genom att handlingen läggs in i det aktuella ärendet. Uppgifterna registreras inte särskilt och uppgifterna i den inkomna handlingen görs inte sökbara. Rättslig grund för behandlingen av känsliga personuppgifter är viktigt allmänt intresse.
De medarbetare på IMY som kommer att ta del av uppgifterna behöver det för att utföra sina arbetsuppgifter.
Vidare kan IMY behöva lämna ut handlingar där personuppgifter förekommer till den som är part i ett ärende för att efterleva reglerna om kommunicering och partsinsyn.
Förutom de utlämnanden av personuppgifter som IMY behöver göra till följd av offentlighetsprincipen (se ovan under rubriken Offentlighetsprincipen) använder sig IMY i vissa fall av personuppgiftsbiträden. De personuppgiftsbiträden som anlitas får endast behandla personuppgifter i enlighet med de ändamål och instruktioner som IMY har lämnat för behandlingen. Biträdet och de som agerar under biträdets ledning får vidare aldrig ta del av fler uppgifter än vad som krävs för utförande av den tjänst som avtalet med IMY omfattar. När personuppgifter ska behandlas av ett personuppgiftsbiträde upprättas ett så kallat personuppgiftsbiträdesavtal. IMY använder personuppgiftsbiträden för olika typer av it-tjänster.
Som ett led i samarbetet enligt EU:s dataskyddsförordning i gränsöverskridande ärenden kan personuppgifter inom IMY:s tillsynsverksamhet lämnas ut till annan berörd dataskyddsmyndighet inom EU.
Detta sker i huvudsak genom EU-kommissionens informationssystem för den inre marknaden (IMI). Personuppgifter som behandlas i IMI blockeras sex månader efter att samarbetsförfarandet avslutats i systemet. Det innebär att de därefter inte är tillgängliga för användarna i IMI. Uppgifterna raderas automatiskt tre år efter att samarbetsförfarandet avslutats i systemet.
Period under vilken personuppgifterna kommer att lagras
Som statlig myndighet är utgångspunkten enligt arkivlagstiftningen att myndigheten ska bevara allmänna handlingar. IMY följer dessa regler om bevarande och gallrar allmänna handlingar i enlighet med gällande gallringsregler och beslut. Personuppgifter som inte ingår i en allmän handling sparas endast så länge de är nödvändiga för de ändamål som de behandlas för. Handlingar som inte är att ses som allmänna är exempelvis utkast till beslut och minnesanteckningar som inte har arkiverats. När ett ärende har slutbehandlats görs en bedömning av vad som enligt arkivlagstiftningen ska bevaras i ärendet. Handlingar som innehåller personuppgifter och som inte ska bevaras raderas eller rensas på personuppgifter.
Ansökningshandlingar som inte avser den som har fått tjänsten eller person som har överklagat tillsättningsbeslutet gallras två år efter att anställningsbeslutet vunnit laga kraft. Spontanansökningar som inte avser någon utlyst tjänst gallras omedelbart eller alternativt efter att kontakt tagits med den som skickat in ansökan.
Handlingar av ringa eller tillfällig betydelse gallras i regel direkt eller senast efter två månader.
Personuppgifter om prenumeranter raderas vid avslutad prenumeration.
Dina rättigheter som registrerad
Som registrerad har du flera rättigheter. Om du som registrerad hos IMY vill utöva dina rättigheter eller har frågor som rör vår behandling av dina personuppgifter kan du vända dig till myndighetens dataskyddsombud på e-post dso@imy.se.
Du kan begära att få ett besked om huruvida IMY behandlar personuppgifter som rör dig och i så fall få en kopia av dessa – ett så kallat registerutdrag – tillsammans med viss närmare information.
När IMY behandlar personuppgifter inom ramen för sin myndighetsutövning eller för att kunna utföra andra arbetsuppgifter av allmänt intresse har du rätt att när som helst invända mot behandlingen. Om vi inte kan visa att det finns tvingande, berättigade skäl att fortsätta att behandla uppgifterna måste vi upphöra med behandlingen.
Du har i vissa fall, till exempel om du har invänt mot behandlingen, möjlighet att kräva begränsning av behandlingen av dina personuppgifter. Genom att begära en begränsning har du, i vart fall under en viss tid, möjlighet att stoppa IMY från att använda uppgifterna annat än för att exempelvis försvara rättsliga anspråk. Du kan även hindra myndigheten från att radera uppgifterna, till exempel om du behöver uppgifterna för att kräva skadestånd.
Du kan i vissa fall få dina personuppgifter raderade. När dina personuppgifter behövs för att IMY ska kunna fullgöra sitt uppdrag eller framgår av en allmän handling har IMY ingen möjlighet att radera uppgifterna.
Om IMY behandlar personuppgifter om dig för att uppfylla ett avtal har du i vissa fall möjlighet att få ut personuppgifter som rör dig för att använda dessa på annat håll, exempelvis överföra uppgifterna till en annan personuppgiftsansvarig.
Om du har synpunkter på IMY:s behandling av dina personuppgifter
Du har möjlighet att lämna synpunkter på IMY:s behandling av dina personuppgifter. Beslut som myndigheten meddelar i egenskap av personuppgiftsansvarig med anledning av att du utövar dina rättigheter enligt ovan, får överklagas till allmän förvaltningsdomstol. Har du klagomål på IMY:s handläggning kan du göra en anmälan till Riksdagens ombudsmän (JO). Vill du kräva skadestånd kan du framföra ditt krav direkt till IMY eller väcka talan i allmän domstol. Du kan också ansöka om skadestånd hos Justitiekanslern som handlägger anspråk på ersättning enligt skadeståndslagen och EU:s dataskyddsförordning.