GDPR

Från och med den 25 maj 2018 gäller dataskyddsförordningen (GDPR). GDPR gäller inom hela EU och bestämmer hur offentliga myndigheter och företag ska behandla personuppgifter. Här kan du läsa om hur vi inom Region Västerbotten behandlar dina personuppgifter och hur du kommer i kontakt med oss.

Integritetsskydd - Behandling av personuppgifter inom Region Västerbotten

I enlighet med GDPR:s grundläggande principer ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den vars personuppgifter behandlas (den registrerade).

Vi behandlar en mängd olika sorters personuppgifter som en naturlig del av vår verksamhet. Vi har därför ett stort ansvar att skydda din integritet genom att se till att dina uppgifter hanteras på rätt sätt.

Vad är en personuppgift?

Personuppgifter är all slags information som kan knytas till en fysisk person som är i livet.

Exempel på personuppgifter är:

  • Namn
  • Adress
  • Personnummer
  • Telefonnummer

Även annan information som kan kopplas till en viss individ är personuppgifter:

  • E-postadress
  • Bilder
  • Ljudupptagning
  • Patient-id
  • Bankkontonummer
  • Uppgifter om en fysisk persons hälsa

För vilka ändamål behandlar Region Västerbotten mina personuppgifter?

När vi behandlar personuppgifter beror det oftast på att behandlingen är nödvändig för att

  • fullgöra en rättslig förpliktelse, eller
  • fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.

Vi kan även behandla dina personuppgifter utifrån grunden samtycke eller avtal. Som anställd inom Region Västerbotten gäller till exempel att vi har rätt att behandla vissa uppgifter om dig som anställd.

Vad betyder att fullgöra en rättslig förpliktelse?

Som offentlig myndighet har vi ett flertal rättsliga förpliktelser som vi måste utföra. Vi har exempelvis en rättslig skyldighet att diarieföra handlingar och registrera vissa personuppgifter i olika ärenden. Ett annat exempel är att vi enligt lag har en skyldighet att dokumentera uppgifter som behövs för att tillhandahålla god och säker vård för patienten, bland annat i våra patientjournaler.

Vad är allmänt intresse?

För att en arbetsuppgift ska vara av allmänt intresse ska den regleras i svensk lagstiftning eller lagstiftningen inom EU.

Region Västerbottens uppdrag följer av lag, förordningar, föreskrifter och kommunala beslut. Vi har uppdrag inom exempelvis hälso- och sjukvården, kollektivtrafiken, kultur och näringsliv. För att kunna utföra dessa uppgifter av allmänt intresse måste vi i många fall behandla personuppgifter.

Exempel på uppgifter av allmänt intresse som vanligen kräver att Region Västerbotten behandlar personuppgifter:

  • Hälso- och sjukvården behöver vissa personuppgifter för att kunna erbjuda god och patientsäker vård. Uppgifter behöver dokumenteras i patientjournalen.
  • Bedriva verksamhetsuppföljning och forskning inom vården.
  • Framställa statistik inom hälso- och sjukvården.
  • Handlägga ärenden på ett effektivt och rättssäkert sätt.
  • Ta emot och diarieföra handlingar som skickas in till myndigheten.
  • Tillgodose allmänhetens rätt att ta del av allmänna handlingar.
  • Spara allmänna handlingar i myndighetens arkiv.
  • Sluta avtal med enskilda eller andra organisationer.
  • Upphandla tjänster och varor.
  • Lämna uppgifter till andra myndigheter när detta krävs enligt lag.

En stor del av den behandling av personuppgifter som sker inom regionen följer av lag och bygger på den rättsliga grunden allmänt intresse. Personuppgiftbehandling som krävs för att tillhandahålla hälso- och sjukvård och kollektivtrafik samt övriga uppdrag som regionen har tilldelats genom lagstiftning sker alltså utifrån den rättsliga grunden allmänt intresse.

Ansvar för behandlingen av mina personuppgifter

Den som bestämmer ändamålen och medlen för behandlingen av personuppgifterna är personuppgiftsansvarig. Inom regionen är varje nämnd och styrelse personuppgiftsansvarig för de personuppgiftsbehandlingar som sker inom respektive verksamhet.

Hur länge sparas mina personuppgifter?

Personuppgifter får inte sparas längre än nödvändigt. Det innebär att när personuppgifterna inte längre behövs till det ändamål de samlades in, ska de tas bort (lagringsminimering).

När det gäller offentliga myndigheter finns ett viktigt undantag från principen om lagringsminimering. Undantaget tillåter myndigheter att bevara handlingar för arkivändamål av allmänt intresse.

Enligt svensk lagstiftning är myndigheter skyldiga att spara allmänna handlingar i arkiv, även efter att handlingarna inte längre används i ett pågående ärende. Detta krävs för att kunna tillgodose rätten att ta del av allmänna handlingar. Regler om detta finns i tryckfrihetsförordningen, offentlighets- och sekretesslagen, den svenska dataskyddslagen och arkivlagen.

Det innebär att om det finns personuppgifter i allmänna handlingar som ska sparas i arkiv får regionen spara dem längre än vad som är nödvändigt, utifrån det ändamål som uppgifterna ursprungligen använts.

Även om regionen ska spara handlingar med personuppgifter ska vem som har tillgång till uppgifterna begränsas. Medarbetare inom Region Västerbotten får bara ha tillgång till sådana personuppgifter som behövs för att de ska kunna utföra sina arbetsuppgifter.

Vilka rättigheter har jag enligt GDPR?

Du som är registrerad har rättigheter gentemot oss som personuppgiftsansvariga. Vissa av rättigheterna är beroende av vilken rättslig grund som behandlingen av personuppgifter vilar på. Detta innebär att vissa rättigheter bara gäller under vissa förutsättningar.

Rätt till insyn och registerutdrag

Du har rätt att vända dig till regionen och begära att få veta vad som finns registrerat om dig. Det kallas enligt GDPR ”den registrerades rätt till tillgång” och är att jämföra med det som tidigare kallades registerutdrag. Ett registerutdrag innebär att organisationen ska lämna information om vad som finns registrerat om dig hos myndigheten.

Du har också rätt att veta om när vi samlar in dina personuppgifter, det ska vi normalt sett tala om samtidigt som vi samlar in uppgifterna.

Dessa generella rättigheter gäller så länge ingen lag ställer specifika krav. Exempelvis går regler om sekretess och tystnadsplikt före vår skyldighet att lämna ut registerutdrag.

Rätt till rättelse

Du som är registrerad har rätt att under vissa förutsättningar begära att felaktiga personuppgifter rättas och kompletteras. Mycket av regionens verksamhet styrs dock av särskilda registerlagstiftningar. Personuppgifter som behandlas i enlighet med patientdatalagen får till exempel bara ändras eller raderas under vissa förutsättningar.

Rätt till radering

Merparten av personuppgiftsbehandlingarna hos regionen bygger på den rättsliga grunden "uppgift av allmänt intresse" där rätten till radering inte är tillämplig. Rätten till radering gäller inte heller när uppgifterna finns i allmänna handlingar som vi ska spara i våra arkiv.

I vissa fall kan du ändå ha rätt till radering av dina personuppgifter. Det kallas ibland även rätten att bli bortglömd. Exempelvis kan du ta tillbaka ett samtycke som du har lämnat till att vi hanterar dina personuppgifter.

Behandling av personuppgifter inom hälso- och sjukvården