Behandling av personuppgifter
Inera behandlar personuppgifter som personuppgiftsansvarig för det egna bolagets verksamhet och i sin roll som personuppgiftsbiträde för regioner och kommuner. Inera värnar om den personliga integriteten och eftersträvar alltid en hög nivå av dataskydd.
Med personuppgifter menas all slags information som direkt eller indirekt kan kopplas till en fysisk person som är i livet. Exempel på sådan information är namn, personnummer och kundnummer. En bild kan också vara en personuppgift om det går att se vem personen/personerna på bilden är.
Personuppgiftsansvarig kallas den som bestämmer varför och hur personuppgifter ska behandlas. En personuppgiftsansvarig kan till exempel vara en kommun, myndighet, organisation eller ett företag.
Läs mer på Integritetsskyddsmyndighetens webbplats
Starkt skydd för personuppgifter
Allmänna dataskyddsförordningen (Europaparlamentets och rådets förordning (EU) nr 2016/679), förkortat GDPR (General Data Protection Regulation) är en EU-förordning. Dataskyddsförordningen har ersatt den svenska Personuppgiftslagen.
Förordningen innebär ett starkt skydd för personuppgifter och höga krav på hur de får hanteras vilket bland annat innebär att man inte får lagra mer uppgifter än nödvändigt, eller längre än nödvändigt. Inera har skyldighet att skydda personuppgifterna.
Laglig grund för behandling av personuppgifter
Enligt dataskyddsförordningen måste man ha laglig grund för en personuppgiftsbehandling. Det finns flera olika lagliga grunder. De lagliga grunderna för personuppgiftsbehandling beskrivs i dataskyddsförordningen i artikel 6.1.
Det är i första hand den som är personuppgiftsansvarig som ansvarar för att det finns en laglig grund för behandling av personuppgifter. Personuppgiftsbiträdet ska via avtal ge löfte om att behandla personuppgifterna enligt instruktion från den som är personuppgiftsansvarig.
Inera som personuppgiftsbiträde
Inera har i uppdrag av regioner och kommuner att ta fram och erbjuda digitala tjänster inom offentlig sektor för invånare, personal och beslutsfattare. I dessa tjänster behandlas personuppgifter helt eller delvis automatiserat och Inera är personuppgiftsbiträde för regioner och kommuner och de sin tur behandlar i första hand personuppgifter i rollen som personuppgiftsansvarig på följande lagliga grunder:
- Rättslig skyldighet och/eller arbetsuppgifter av allmänt intresse
Ineras kunder behandlar huvudsakligen personuppgifter i Ineras tjänster med stöd av de lagliga grunderna ”Rättslig förpliktelse” och ”Uppgifter av allmänt intresse” i dataskyddsförordningen (artikel 6.1 c och e). Vidare har de laglig grund att behandla känsliga personuppgifter enligt dataskyddförordningen (artikel 9.2 h och 9.3) i kombination med nationell reglering, till exempel patientdatalagen.
Enskilda personer som får sina personuppgifter behandlade utifrån de här grunderna har flera rättigheter, till exempel att få felaktiga uppgifter rättade, att få tillgång till egna uppgifter och att begära begränsning av personuppgiftsbehandlingen. Mer information om rättigheterna lämnas av de personuppgiftsansvariga.
Inera som personuppgiftsansvarig
Inera har som bolag personuppgiftsansvar och det gäller i huvudsak behandling av uppgifter som utförs för administrativa åtgärder som är nödvändiga för Ineras interna förvaltning och funktion. Exempel på det kan vara när kunders personuppgifter behandlas i supportärenden, vid prenumeration på Ineras nyhetsbrev, vid anmälan till olika konferenser eller vid avtal och fakturering. Det kan också vara information på inera.se i form av texter, bilder och filmer.
Inera behandlar också anställdas och konsulters personuppgifter för att administrera bland annat löner, fakturering, rehabiliteringsutredningar, behörighetstilldelning, information på inera.se och andra arbetsuppgifter som är frivilliga eller följer av lag. Vissa personuppgifter har Inera en skyldighet enligt författning att spara viss tid eller tills vidare, till exempel enligt bokföringslagen eller arkivlagen.
Inera har ett rättsligt ansvar för att behandlingen inte kränker en enskilds personliga integritet och behandlar personuppgifter i rollen som personuppgiftsansvarig på i huvudsak följande lagliga grunder:
- Samtycke (artikel 6.1 a)
Inera hanterar uppgifter om personer som har ett uppdrags- eller anställningsavtal hos en annan juridisk person än Inera och som inte arbetar med de nationella tjänsterna, till exempel städpersonal, och bilder av medarbetare på inera.se.
- Avtal (artikel 6.1 a)
Ineras behandling av uppgifter om sina egna anställda och uppdragstagare med stöd av anställnings- eller uppdragsavtal (löneadministration, ekonomiadministration, behörighetsadministration med mera
- Rättslig skyldighet (artikel 6.1 c)
Ineras behandling av uppgifter om anställda enligt lagen om anställningsskydd, bokföring enligt bokföringslagen.
- Arbetsuppgifter av allmänt intresse
Personuppgifter i HSA-katalogen om personer som har anställning hos en annan juridisk person (exempelvis ett konsultföretag) och som anlitas av Inera för att arbeta med de nationella tjänsterna samt med andra uppgifter som är föranledda av de nationella tjänsterna.
- Intresseavvägning (artikel 6.1 f)
För Ineras behandling av uppgifter avseende exempelvis, minnesanteckningar, e-post, projektplattformar, hemsidor och kakor.
Ändamål för behandling av personuppgifter
Inera behandlar personuppgifter för i huvudsak personaladministration, ekonomiadministration och säkerhetsadministration.
Inera är ett kommunalt bolag och omfattas av tryckfrihetsförordningens bestämmelser om allmänna handlingar och arkivlagstiftning. Det innebär att Inera vidarebehandlar vissa inkomna och upprättade handlingar för arkivändamål av allmänt intresse.
Mottagare av personuppgifter
Mottagare av de personuppgifter för vilka Inera är personuppgiftsansvarig är bland annat Skatteverket samt Ineras kunder och leverantörer. Exempel på detta är uppgifter om utbetalda löner som förs över till Skatteverket samt uppgifter om anställda som förs över till Ineras kunder och leverantörer i samband med inloggning i olika tjänster.
Kontakt, information och rättigheter
Frågor om eller missnöje med personuppgiftsbehandlingen i de nationella tjänsterna:
- Kontakta den region eller kommun eller annan aktör som behandlar dina personuppgifter. Du har flera rättigheter som den personuppgiftsansvarige kan lämna mer information om.
Frågor om eller missnöje med personuppgiftsbehandlingen hos Inera i rollen som personuppgiftsansvarig:
- Ta kontakt med Inera enligt kontaktuppgifter nedan. Du har rätt att begära information om personuppgifter som behandlas om dig hos Inera i rollen som personuppgiftsansvarig. Du har vidare rätt att få ut kopior på dina personuppgifter, registerutdrag, och att få uppgifter rättade. Dessutom kan du motsätta dig att vi behandlar dina personuppgifter och i vissa fall få dem raderade. Slutligen har du rätt att begränsa behandlingen av dina personuppgifter.
Adress: Inera AB, 118 82 Stockholm, telefon: 0771 - 25 10 10, Ineras dataskyddsombud: dataskyddsombud@inera.se
Enskild person har också en rättighet att inge klagomål till tillsynsmyndigheten. För personuppgiftsbehandling är denna myndighet Integritetsskyddsmyndigheten.