Så behandlar vi dina personuppgifter

Region Stockholm behöver hantera en mängd olika uppgifter. Vi har därför ett stort ansvar att se till så att personuppgifter hanteras på rätt sätt för att säkerställa en bra och säker verksamhet och samtidigt skydda enskildas personliga integritet.

På den här sidan finns information om vad en personuppgift är, i vilka sammanhang Region Stockholm behöver hantera personuppgifter, hur vi hanterar uppgifterna och vilka rättigheter som finns.

Vad är en personuppgift?

En personuppgift är all information som kan kopplas till en levande person. Det kan till exempel vara ett namn, ett foto, en adress, ett telefonnummer eller en ljudupptagning. Det kan också vara mer känslig information om hälsa eller om personliga värderingar och åsikter.

Region Stockholm hanterar personuppgifter om bland annat invånare, patienter, resenärer och anställda. Det finns rutiner för vilka som får ha tillgång till personuppgifter. Personuppgifterna skyddas också så att inga obehöriga ska kunna komma åt dem.

Känsliga personuppgifter

Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd i dataskyddsförordningen. Det handlar om så kallade känsliga personuppgifter som till exempel kan avslöja etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter om hälsa och sexualliv, men även integritetskänsliga personuppgifter som rör lagöverträdelser som innefattar brott.

I vilka situationer behandlar Region Stockholm personuppgifter?

Det finns många situationer då Region Stockholm behandlar personuppgifter. Exempel på situationer är:

  • Journalföring inom hälso- och sjukvården.
  • Statistik inom hälso- och sjukvården.
  • Biljettsystem och kameror inom kollektivtrafiken.
  • Verksamhetsuppföljning och forskning inom vården.
  • Personalfrågor som löner, sjukfrånvaro och jobbansökningar.
  • Handläggning av ärenden på ett effektivt och rättssäkert sätt.
  • Diarieföring och hantering av handlingar som skickas in till Region Stockholm.
  • Arkivering och utlämnande av allmänna handlingar.
  • Avtal med enskilda eller andra organisationer.
  • Upphandling av tjänster och varor.
  • Utlämning av uppgifter till andra myndigheter när det krävs enligt lag.

Lagar och regler styr

Hanteringen av personuppgifter styrs av flera lagar som ska skydda enskildas personliga integritet; till exempel dataskyddsförordningen, offentlighets- och sekretesslagen samt patientdatalagen.

Personuppgifter får endast samlas in och behandlas för berättigade ändamål. Det är inte tillåtet att samla in fler personuppgifter än vad som är nödvändigt för ändamålet. Uppgifterna får heller inte sparas längre än nödvändigt eller behandlas på ett annat sätt än vad det var tänkt från början.

Rättsliga grunder

Personuppgifter får bara samlas in och behandlas för särskilt angivna ändamål, som måste vila på så kallade rättsliga grunder. Som generell utgångspunkt krävs ett samtycke från den enskilde för att få behandla personuppgifter. Det finns dock flera undantag från den utgångspunkten. När en myndighet behandlar personuppgifter är samtycke oftast inte tillämpligt. Personuppgifter får därför behandlas av Region Stockholm utan samtycke om det finns någon annan rättslig grund.

När Region Stockholm behandlar personuppgifter handlar den rättsliga grunden oftast om att behandlingen är nödvändig för att:

  • fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, eller
  • fullgöra en rättslig förpliktelse.

Allmänt intresse

För att en arbetsuppgift ska vara av allmänt intresse ska den ha stöd i rättsordningen. Region Stockholm har uppdrag som styrs av lagar, förordningar, föreskrifter och politiska beslut. För att kunna utföra de här uppdragen av allmänt intresse måste vi i många fall behandla personuppgifter.

Fullgöra en rättslig förpliktelse

Region Stockholm har som offentlig myndighet ett flertal rättsliga förpliktelser som vi måste utföra. Vi har exempelvis en rättslig skyldighet att diarieföra handlingar och registrera vissa personuppgifter i olika ärenden. Ett annat exempel är att Region Stockholm enligt lag har en skyldighet att dokumentera uppgifter som behövs för att tillhandahålla god och säker vård för patienten, bland annat i våra patientjournaler.

Vad innebär det att behandla en personuppgift?

Att behandla en personuppgift är i princip all hantering som kan ske med personuppgifter, som att samla in, registrera, läsa, arkivera och lämna ut.

Vem ansvarar för hanteringen av personuppgifter?

Den som bestämmer ändamålen och medlen för behandlingen av personuppgifterna är personuppgiftsansvarig. Inom Region Stockholm är det varje nämnd och bolag som är ansvarig för sin hantering av personuppgifter. Varje nämnd och bolag har utsett ett dataskyddsombud som kontrollerar så att reglerna i dataskyddsförordningen och andra regler på området följs.

Hur skyddas personuppgifter?

Som utgångspunkt ska personuppgifter endast vara åtkomliga för de som har behov av dem. Det finns rutiner och system som säkerställer att personuppgifterna hanteras och skyddas på ett säkert sätt.

Inom vården finns det också särskilda bestämmelser om skydd av patientuppgifter.

Kan personuppgifter lämnas ut till andra?

Offentlighetsprincipen innebär en rättighet för var och en att få insyn i myndigheters verksamhet, exempelvis genom att ta del av allmänna handlingar. Personuppgifter i allmänna handlingar kan alltså begäras och lämnas ut enligt offentlighetsprincipen - oavsett ändamål som personuppgiften ursprungligen behandlades för.

Rätten att ta del av allmänna handlingar gäller dock inte om handlingarna innehåller uppgifter som är belagda med sekretess enligt offentlighets- och sekretesslagen.

Den grundlagsskyddade offentlighetsprincipen begränsas inte av dataskyddsförordningen.

Vi är ibland även skyldiga att lämna ut personuppgifter till andra. Exempelvis kan uppgifter från vården lämnas till Socialstyrelsen. Ibland kan vi även vara skyldiga att lämna uppgifter till exempelvis polisen eller socialtjänsten.

Var behandlas personuppgifter?

Personuppgifter behandlas inom EU/EES-området, men kan också komma att behandlas i länder som har adekvat skyddsnivå och länder utanför EU/EES-området (tredje land). Om Region Stockholm avser att överföra personuppgifter till tredje land ska vi underrätta den registrerade. Hanteringen sker i så fall i enlighet med de skyddsregler som finns i dataskyddslagstiftningen.

Hur länge sparas personuppgifter?

Personuppgifter får inte sparas längre än nödvändigt. Det innebär att när personuppgifterna inte längre behövs till det ändamål de samlades in för ska de tas bort, så kallad lagringsminimering.

När det gäller offentliga myndigheter finns ett undantag från principen om lagringsminimering. Myndigheter är skyldiga att spara allmänna handlingar som har ett arkivvärde, även efter att handlingarna inte längre behövs i den löpande verksamheten.

Det innebär att om det finns personuppgifter i allmänna handlingar som ska sparas i arkiv får Region Stockholm spara dem längre än vad som är nödvändigt för det ursprungliga ändamålet.

Vilka rättigheter har jag som registrerad?

Du som har personuppgifter registrerade hos Region Stockholm har rättigheter när det gäller information om och kontroll över dina personuppgifter.

Du har rätt att begära en kopia av de personuppgifter vi har om dig. Du har också rätt att begära rättelse av uppgifter i de fall då de registrerade uppgifterna inte skulle vara korrekta. Vidare finns en rätt att invända mot behandlingen av dina personuppgifter och i vissa fall att få uppgifterna raderade.

Rättigheterna beror på vilken rättslig grund som behandlingen av personuppgifter vilar på. Det innebär att vissa rättigheter bara gäller under vissa förutsättningar.

Du har rätt att lämna klagomål till Integritetsskyddsmyndigheten om du anser att dina personuppgifter blivit behandlade på ett felaktigt sätt. 

Vad gäller för mig som patient?

Varje gång du är i kontakt med vården registreras uppgifter om dig. Det är noga bestämt hur vården får registrera och använda personuppgifter.

Det är din vårdgivare som ansvarar för att personuppgifterna hanteras korrekt. När vården ges av Region Stockholm är det en eller flera av Region Stockholms nämnder eller bolag som är ytterst ansvarig. Inom den privata vården är det företaget eller den verksamhet som bedriver vården som är ansvarig.

Mer information om vad som gäller för dig som patient kopplat till dataskyddsförordningen finns på 1177:s webbplats.

Frågor och synpunkter

Har du frågor rörande behandlingen av dina personuppgifter eller dina rättigheter enligt dataskyddsförordningen ska du i första hand vända dig direkt till den verksamhet som ansvarar för hanteringen.

Här hittar du kontaktuppgifter till Region Stockholms verksamheter.

Om du har synpunkter på en verksamhets hantering av personuppgifter eller vill få råd om dina rättigheter gällande behandlingen av dina personuppgifter ska du vända dig till dataskyddsombudet för den verksamheten.

Här hittar du kontaktuppgifter till dataskyddsombuden i Region Stockholm.

Som patient eller närstående till någon som fått vård kan du också kontakta patientnämnden för att klaga eller lämna synpunkter på vården.

Du har även rätt att lämna klagomål till Integritetsskyddsmyndigheten om du anser att verksamheten har behandlat dina personuppgifter på ett felaktigt sätt. För mer information se Integritetsskyddsmyndighetens webbplats (du dirigeras till myndighetens hemsida).

  • Senast granskad: 25 augusti 2023