Ny dataskyddsförordning ersätter PUL

Den 25 maj börjar den nya EU-förordningen för dataskydd (GDPR) att gälla och skyddar dina och mina personuppgifter. Det innebär att alla som hanterar personuppgifter behöver se över sina rutiner. Detta kommer bland annat leda till ett förändrat arbetssätt i Nyps. Viktiga förändringar genomförs i Min ansökan, Nyps och Nyps 2020 redan till 25 maj.

Som säkert alla känner till får vi en ny EU-förordning den 25 maj som kommer att gälla som svensk lag och skyddar dina och mina personuppgifter. Förordningen som heter dataskyddsförordningen (GDPR), ska se till att företag och organisationer inte missbrukar människors personuppgifter, eller hanterar dem fel.

Tanken bakom reglerna är att värna den personliga integriteten och att ge oss som hanterar personuppgifter ökad ansvarsskyldighet. Vi måste ha större kontroll och ge ökad transparens till individerna vars uppgifter vi behandlar. Både våra stödmottagare, medarbetare och övriga kontakter som berörs av ärendehanteringen ska känna sig trygga med vår behandling av deras uppgifter.

Personuppgifter är all information som kan knytas till en enskild individ, direkt eller indirekt. Vanliga uppgifter är namn, telefonnummer, adress, e-postadress användar-id etc. Personuppgifter får användas när det är nödvändigt för att vi ska kunna jobba effektivt i våra uppdrag och sköta vår myndighetsutövning.

Den nya förordningen är omfattande och innebär att alla som hanterar personuppgifter behöver se över sina rutiner. Reglerna innebär i praktiken att personuppgifter ska behandlas endast i enlighet med det ändamål de samlades in för. Det måste också finnas en laglig grund för behandlingen. Uppgifter omfattas också av ett starkare skydd för individen. Detta kommer leda till ett förändrat arbetssätt i Nyps.

Innan den nya dataskyddsförordningen börjar gälla kommer nya versioner att släppas av Min ansökan och Nyps med anpassad funktionalitet.

Fortsätt att läsa så får du reda på mera om vilket ansvar Tillväxtverket tar samt vilka åtgärder NypsCentralen vidtagit.

 

Vad innebär den nya förordningen för våra rutiner och system i praktiken?

Ett antal viktiga förändringar kommer införas i systemen i anslutning till att den nya förordningen börjar gälla. På torsdag den 24 maj släpps nya versioner av Min ansökan och Nyps.

Kopplat till de nya kraven följer här det viktigaste om:

  • förändringarna i de nya versionerna,
  • annat att tänka på för er som Nyps-användare
  • tjänster som NypsCentralen hjälper till med

 

Ändamål med personuppgiftsinsamlingen

Ni måste veta vad ni ska använda personuppgifterna till och ni får inte ändra ändamålet i efterhand utan att upplysa om detta. I Min ansökan kommer därför samtliga ansökningar förses med en sektion för "Viktigt att veta om personuppgifter". Här informeras användaren på ett begripligt, enkelt och tydligt sätt om ändamålet och vad deras personuppgifter kommer att användas till samt andra krav i dataskyddsförordningen.

Vi tror att personuppgiftsbehandlingen ser ungefär likadan ut hos de flesta användarorganisationer. Därför kommer vi till en början att lägga ut samma information oavsett hos vilken organisation användaren söker. Se den allmänna informationen.

Varje användarorganisation har dock möjlighet att ersätta texten eller komplettera den med egen information i Min ansökan, t ex om personuppgiftsbehandling, kontakt-uppgifter till dataskyddsombud eller länkar till egna sidor. Detta beställs i så fall via den vanliga supportkanalen.

 

Endast relevanta personuppgifter

Ni får bara samla in relevanta uppgifter förhållande till ändamålet. Inget extra som kan vara ”bra att ha” i framtiden. Spara därför endast de uppgifter som är nödvändiga i kontakterna och i övriga fält.

 

Personuppgifter i ostrukturerat material

Den nya förordningen innebär att den så kallade missbruksregeln försvinner. I PUL har en undantagsregel funnits vilken innebär att personuppgifter i ostrukturerat material, så som e-post, bilagor, enkla listor i datorn mm. undantagits från krav om personuppgiftshantering. Detta undantag försvinner med dataskyddsförordningen. Tänk därför på att i möjligaste mån undvika personuppgifter i löpande text och i dokument. Tänk också på att reglera hur personuppgifter från Nyps hanteras utanför systemet, t ex i rapporter eller i övriga dokument som lagras utanför systemet.

 

Tillgång och skydd till personuppgifter

Endast de som har användning av personuppgifterna i sitt arbete ska kunna komma åt dem. Ni måste också se till att inga utomstående kommer åt uppgifterna, att de kan stjälas eller komma ut på annat sätt.

För Nyps-användaren betyder det att åtkomst till kontaktuppgifter hos andra Nypsorganisationer kommer att begränsas. Detta innebär att:

  • fliken Kontakter i arbetsytan Ärendeinformation endast visas för användare som tillhör samma organisation där ärendet är diariefört.
  • rapporterna som innehåller personuppgifter visar endast information från ärenden som tillhör samma organisation som användaren. Nya varianter av rapporterna Allmänna- och ekonomiska uppgifter har därför tillkommit men utan kontaktuppgifter. Dessa fungerar som rapporterna alltid har gjort.

 

Informationsskyldighet

Personer vars uppgifter ni hanterar ska alltid veta vilken information ni har om dem och hur ni hanterar den.

För att ni enkelt ska kunna informera om er personuppgiftshantering kommer e-postadress att vara en obligatorisk uppgift på kontakterna. Obligatoriet av e-postadress är också bra för att kunna lämna ut information vid förfrågningar om eller ändringar av individens personuppgifter.

Tänk på att personuppgifter kan förekomma i bilagor och e-post!

För att förenkla arbetet med informationsskyldigheten kan NypsCentralen hjälpa till med att:

  • ta fram listor på befintliga kontakter samt listor på enskilda firmor från aktörsregistret som någon gång har sökt stöd hos er,
  • skapa dokumentmall för utskick,
  • utöka beredningschecklistan med påminnelser för handläggaren,
  • maskinellt genomsök av hela databasen vid enskilda förfrågningar om personuppgifter.

Beställning/support av ovanstående görs via våra vanliga kontaktvägar.

 

Gallra, arkivera och radera

Enligt de nya reglerna ska personuppgifter tas bort då de inte längre behövs för det ändamål de samlades in för. För statliga myndigheter innebär detta dock oftast gallring av allmänna handlingar som annars skulle ha arkiverats. Detta måste därför i sådana fall ske i enlighet med de bestämmelser som styr myndigheternas rätt till gallring.

Användar- och personuppgiftsbiträdesavtal

Som vi tidigare meddelat kommer vi att se över utformningen av personupp­gifts­biträdesavtalet som skickades ut till alla användarorganisationer i december 2017. Det behöver anpassas till den nya förordningen. Vi kommer göra detta arbete, bland annat i dialog med Länsstyrelsernas nationella organisation för dataskydd. Nytt avtal kommer därför inte vara klart till 25 maj, utan kommer under hösten.

Om din användarorganisation ännu inte undertecknat användaravtalet (som gick ut vid samma tidpunkt i december 2017, och reglerar rättigheter och skyldigheter mellan Tillväxtverket som systemförvaltare och er som användarorganisation) så ber vi er göra det. Kontakta oss gärna via supportkanalen om ni har frågor kring detta eller personupp­giftsbiträdesavtalet.

Innehållsansvarig: Ulrica Morelid

Tillväxtverket