Skyddade personuppgifter

Olika typer av skyddade personuppgifter

Skydd av personuppgifter är det samlingsnamn som Skatteverket använder för de olika skyddsåtgärderna; skyddad folkbokföring, sekretessmarkering och fingerade personuppgifter.

Tre olika nivåer av skyddade personuppgifter

1. Skyddad folkbokföring

Skatteverket kan, då en person flyttar till annan ort, medge att personen får vara folkbokförd på den gamla folkbokföringsorten. Den gamla adressen tas bort och personen i fråga blir skriven ”på församlingen” och skattekontorets adress anges som särskild postadress. Skyddad folkbokföring ersätter vad om tidigare kallades kvarskrivning.

2. Sekretessmarkering

Skatteverket kan av vissa skäl sekretessmarkera en persons uppgifter i folkbokföringsdatabasen och då aviseras sekretessmarkeringen till andra myndigheter tillsammans med övriga uppgifter om personen.

Med sekretessmarkering blir det svårare för andra personer att ta del av information som finns infört i folkbokföringsregistret av den person vars uppgifter är sekretessmarkerade. Sekretessmarkering infattar oftast namn, adress och personnummer. Markeringen används som en varningssignal till de som hanterar uppgifterna att utföra en prövning innan det beslutas om uppgifterna kan lämnas ut eller inte.

3. Fingerade personuppgifter (identitetsbyte)

Avser personer som fått nytt personnummer och nytt för- och efternamn. Den nya identiteten registreras utan att det anges att det rör sig om fingerade uppgifter.

Vad säger lagen?

Det finns inga rättsliga regler om hur just skyddade personuppgifter ska skyddas. Det är därför upp till den mottagande myndighet att själv bestämma hur den ska hantera sekretessmarkerade personuppgifter i sina system. Det ligger också ett ansvar på den enskilde personen att själv upplysa om eventuell sekretessmarkering eftersom det inte finns en skylidghet för myndigheter att utan anledning kontrollera om en person har sekretessmarkering i folkbokföringen.

Skatteverket, som är den myndighet beslutar skyddad folkbokföring och sekretessmarkering anger; ”Varje myndighet bör utforma sina rutiner utifrån en egen riskbedömning av de sekretessmarkerade personuppgifter som myndigheten behandlar och konsekvensen av om dessa kommer obehörig person tillhanda” (Skatteverket, 2018).

Av förarbetena till bestämmelserna om skydd för hotade och förföljda personer (prop. 2017/18:145) framgår det att skyddade personuppgifter ska hanteras med mycket stor försiktighet. Det är en angelägen uppgift för samhället att öka tryggheten och ge skydd åt de personer som lever i rädsla på grund av att de riskerar att utsättas för brott.

Sekretessbestämmelser inom olika verksamheter

Olika sekretessbestämmelser gäller för olika verksamheter inom kommunen. För att skydda enskilda med skyddade personuppgifter är det viktigt att medarbetare inom respektive verksamhet vet vilka sekretessbestämmelser som gäller för verksamheten och vad de innebär. Sekretessbestämmelserna för utbildningsområdet kan till exempel skydda namn, adress och andra personuppgifter.

Det finns även andra sekretessbestämmelser som kan vara aktuella för personuppgifter. Det finns bland annat en generell sekretess som gäller hos alla myndigheter för adressuppgifter eller annan uppgift som kan avslöja var en person befinner sig. Av bestämmelsen (21 kap 3 § offentlighets- och sekretesslagen) följer att adressuppgifter eller annan uppgift som kan avslöja var en person befinner sig kan omfattas av sekretess. Namn och personnummer omfattas däremot inte av denna sekretessbestämmelse.

Om man kan anta att uppgifter omfattas av sekretesskydd kan kommunen själv besluta om sekretessmarkering.

Rutiner för en säker hantering

Rutiner för en säker hantering av skyddade personuppgifter

I VARJE ENSKILT FALL

Alla ärenden med skyddade personuppgifter är olika. Det innebär att varje ärende måste hanteras i dialog med den enskilde. Gör en riskbedömning och handlingsplan i varje enskilt så att uppgifterna hanteras på ett säkert sätt. I dialogen bör man bland annat diskutera hur kommuikationen ska ske mellan kommunen och den enskilde.

GENERELLT

• Ta fram rutiner för hur skyddade personuppgifter som enheten/verksamheten ska hanteras säkert och enhetligt. Gör en övergripande riskbedömning och idenifiera vilka skyddade personuppgifter som hanteras och konskevensen om dessa uppgiter lämnas ut till oebhörig person. Följ upp rutinerna regelbundet.
• Ta hänsyn till hanteringen av skyddade personuppgifter vid upphandling av och utveckling av IT-stöd
• Det ska framgå i IT-systemen att uppgifterna är skyddade. Det finns annars en risk för att handläggare med tillgång till skyddade personuppgifter missar vilka uppgifter som är markerade för skyddade om de inte är tydligt utmärkta.
• Informera och utbilda medarbetare så att det finns goda kunskaper om vad skyddade personuppgifter innebär.
• Begränsa mängden personuppgifter som hanteras. Gör en översyn över vilka personuppgifter, till exempel namn och adress, som måste anges i ansökningar, beslut, protokoll och andra handlingar. Undvik att i onödan begära in skyddade personuppgifter eller ta in dem i en handling.
• Begränsa åtkomsten till personuppgifterna genom strikt behörighetstilldelning. Risken för att skyddade personuppgifter lämnas ut, av misstag eller medvetet, ökar med antalet handläggare som kan ta del av uppgifterna. Begränsa därför antalet medarbetare som har behörigheter till skyddade personuppgifter.
• Ha enhetliga och säkra rutiner för kommunikation. Till exempel e-post ska inte ska användas för sekretessbelagda uppgifter vare sig inom kommunen eller med extern part.
• Kontrollera och gör det möjligt att kontrollera åtkomsten till personuppgifterna. Loggning av utförda händelser är viktig bland annat för att man i efterhand ska kunna spåra vilka handläggare som har tagit del av uppgifter om en person med skyddade personuppgifter.

• För att skydda enskilda med skyddade personuppgifter är det viktigt att medarbetare inom respektive verksamhet vet vilka sekretessbestämmelser som gäller för verksamheten och vad de ger för skydd.

• Se över gallringsrutiner så att personuppgifterna inte tappar sitt skydd efter en tid.

Kommunikation med enskilda och myndigheter

På Skatteverkets hemsida kan du läsa en hur du gör för att för att skicka post till någon med skyddad identitet. Klicka här för att läsa hur du enkelt gör det.

Medarbetare med skyddade personuppgifter

När en person får skyddade personuppgifter aviseras detta ut till andra myndigheter via skatteverkets aviseringssystem Navet. Navet är ett aviseringssystem med vilket alla myndigheter kan hämta folkbokföring elektroniskt på ett enkelt, snabbt och säkert sätt. I detta system syns det om personen har fingerade personuppgifter eller sekretessmarkering.

Personer som blir beviljade skyddade personuppgifter får även ett skriftligt beslut om detta. Medarbetaren behöver då informera sin närmaste chef. Information om skyddade personuppgifter behöver även läggas in i personalsystemet vilket endast får registreras av personalenheten. Kontakta därför alltid personalenheten så att de kan säkerställa att personuppgifterna i våra olika system är skyddade.

Gemensam riskbedömning

När en medarbetare fått beslut om skyddade personuppgifter bör chef och medarbetare i nära dialog genomföra en gemensam riskbedömning.

Att ta med vid riskbedömningen:

• Vilka ska informeras om att personen har skyddad identitet? Chefer, arbetskamrater?

• Hur ska chefen och andra medarbetare förhålla sig till frågor från andra som rör medarbetaren?
• Vad händer och vilka åtgärder ska vidtas om personuppgifter lämnas ut av misstag? Hur ska skadan minimeras?
• Beskriv hotbild och konsekvenser för arbetsplatsen.

Vill du veta mer?

Olika myndigheter har mer information i denna frågan.

Skatteverket har tagit fram en allmän vägledning för hantering av personuppgifter i offentliga förvaltningar. Klicka här för att läsa den.

Skolverket har tagit fram stödmaterialet "Barn och unga inom skola". Klicka här för att läsa den.