Behandling av uppgifter som FPA lämnat ut och dataskyddet för de registrerade
De organisationer som använder förmånsdatatjänsten Kelmu och deras representanter har en lagstadgad skyldighet att säkerställa dataskyddet för de registrerade, dvs. behandla personuppgifter på ett korrekt och datasäkert sätt. Att säkerställa dataskyddet är inte bara fråga om att uppfylla de villkor som lagen ställer, utan också att agera ansvarsfullt.
Läs om vad som ska beaktas när du behandlar förmånsuppgifter som FPA lämnat ut.
Personuppgifter är alla sådana uppgifter som anknyter till en person som identifierats eller kan identifieras. Med behandling av personuppgifter avses alla åtgärder som vidtas i fråga om personuppgifterna. Med registrerad avses den person som uppgiften gäller.
Personuppgiftsansvarig kallas den person, det företag, den myndighet eller det samfund som fastställer varför och hur personuppgifterna används. Den personuppgiftsansvariga har ett helhetsansvar för behandlingen av personuppgifterna. De organisationer som använder förmånsdatatjänsten Kelmu fungerar som personuppgiftsansvariga när de behandlar personuppgifter som de fått från FPA.
Personuppgiftsbiträdet är den aktör som behandlar personuppgifterna för den personuppgiftsansvarigas räkning. Personuppgiftsbiträdet agerar i enlighet med den personuppgiftsansvarigas anvisningar och under dess tillsyn.
Förmånsdatatjänsten Kelmu kan användas endast om myndigheten eller organisationen i fråga har en lagstadgad rätt att ta emot personuppgifter och förmånsuppgifter från FPA för att kunna sköta sitt uppdrag på ett korrekt sätt.
Lagstiftningen gör det möjligt att få nödvändiga uppgifter via Kelmu. När organisationen får uppgifter från FPA ska den iaktta skyldigheterna enligt dataskyddsförordningen och säkerställa kundernas integritetsskydd.
Villkoren för utlämnande av uppgifter anges också i det avtal om utlämnade av uppgifter om FPA-förmåner via en teknisk anslutning som ingås parterna emellan.
Behandlingen av personuppgifter ska uppfylla de krav som ställs i dataskyddslagstiftningen. Behandlingen ska grunda sig på lagen och den ska vara korrekt och rimlig i förhållande till syftet med behandlingen. Behandlingen av personuppgifter ska också vara transparent: den registrerade ska före och under behandlingen på ett tydligt och begripligt sätt underrättas om behandlingen av hens personuppgifter och vilka rättigheter hen har.
Personuppgifter får behandlas endast för ett visst på förhand specificerat och lagligt ändamål. Uppgifterna får användas endast för skötseln av sådana uppgifter som har ålagts organisationen i lagstiftningen.
Användaren får behandla endast sådana personuppgifter som är nödvändiga för skötseln av ett ärende. Organisationen och den person som agerar på dess vägnar ansvarar för att säkerställa att de kunduppgifter som behandlas är nödvändiga.
De personuppgifter som behandlas ska vara exakta och uppdaterade. Inexakta och felaktiga personuppgifter ska rättas eller raderas utan dröjsmål.
Personuppgifter får endast lagras så länge som det är nödvändigt med tanke på syftet med uppgifterna. Den personuppgiftsansvariga ska planera hur länge uppgifterna lagras och kunna motivera detta. Lagringstiderna för personuppgifter ska också dokumenteras.
Personuppgifter ska behandlas konfidentiellt och säkert. Den personuppgiftsansvariga ska bedöma eventuella risker, nivån på organisationens anvisningar om dataskydd och datasäkerhet samt det tekniska skyddet av personuppgifterna. Rätten att se de uppgifter som lämnas ut ska verkställas i enlighet med avtalet och den ska grunda sig på stark autentisering.
Den personuppgiftsansvariga är skyldig att visa att den följer bestämmelserna om dataskydd och att den beaktar bestämmelserna redan i det skede då personuppgifterna behandlas. Omfattningen av denna skyldighet beror på organisationens storlek, mängden personuppgifter och vilken typ av personuppgifter den personuppgiftsansvariga behandlar. Om den personuppgiftsansvariga inte kan visa att den iakttar dataskyddsskyldigheterna, kan detta ha administrativa påföljder.
Den personuppgiftsansvariga får behandla uppgifter endast om det finns en laglig grund för behandlingen. Grunden för behandlingen av personuppgifter begränsar de syften för vilka den personuppgiftsansvariga kan behandla uppgifterna. Uppgifter får inte lämnas vidare, såvida lagstiftningen inte kräver något annat. Grunden för behandlingen av personuppgifter ska identifieras och specificeras innan behandlingen inleds i fråga om alla de olika behandlingsåtgärderna. Grunden kan inte ändras medan behandlingen pågår.
Handlingar och filer som innehåller personuppgifter får inte behandlas så att någon utomstående kan se uppgifterna. I regel får man inte heller skriva ut eller kopiera dem. Handlingar som innehåller personuppgifter får inte lämnas i vanliga sopkärl för pappersåtervinning.
Personuppgifter får behandlas endast av personer som behöver dem i sina arbetsuppgifter. Åtkomsträttigheter som grundar sig på arbetsuppgifter måste tas bort när den person som representerar organisationen får nya uppgifter eller slutar arbeta vid organisationen.
Uppgifter får inte lämnas vidare om inte lagen förutsätter det. Grunderna för alla de olika behandlingsåtgärderna ska identifieras och specificeras innan behandlingen inleds, och grunden för behandlingen får inte ändras under behandlingen.
Datorn måste alltid låsas när man lämnar den utan uppsikt. Förbindelsen till Kelmu ska avbrytas efter användningen, dvs. man ska alltid logga ut från Kelmu. Sekretessbelagda uppgifter eller personbeteckningar får inte skickas via oskyddad e-post.