Hur ska vi som familjerådgivare hantera GDPR? Nedanstående text skriven av kommunjuristen i Västerås kanske kan hjälpa oss att hitta rätt?
“Rättslig grund för att behandla personuppgifter inom familjerådgivning
I SoL kap 5 § 3 regleras kommunens skyldighet att erbjuda familjerådgivning. För att i praktiken kunna göra det behövs någon form av kontaktuppgift och kanske helst något sorts namn. Det innebär att den rättsliga grunden för att behandla kontaktuppgift och ev. namn är en så kallad rättslig förpliktelse (se DSF art. 6 p. 1c).
Den rättsliga grunden för att samla in mer information, ex. kommuntillhörighet bör kunna bedömas ha en rättslig grund i det som kallas allmänt intresse (se DSF art. 6 p.1e). Det är en rättslig grund som bygger på att kommunen har en skyldighet eller möjlighet att utföra ett visst åtagande, och där behandlingen av personuppgiften följer av det åtagandet.
Ovan innebär att samtycken (skriftliga medgivanden) inte ska samlas in. Det är direkt olämpligt att göra det ”för säkerhets skull” eftersom det skapar en felaktig bild för den registrerade. Skulle ni däremot vilja samla in mer uppgifter än vad som är nödvändigt, ex. kartlägga hur många samkönade par som kommer till er, hur många barn har dem, göra en socioekonomisk kartläggning osv. då kan ett samtycke vara aktuellt. Men jag kan inte se att det är nödvändigt att göra detta för att samla in de nödvändiga uppgifterna för att ni ska kunna utföra ert uppdrag.
När man sedan tar ställning till vilka personuppgifter som samlas in, och hur det görs får man beakta de principer som gäller för behandling av personuppgifter (se DSF art. 5 p. 1a-f)
- Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt. Kravet på laglighet uppfylls om ovan är uppfyllt. Kravet på korrekthet är uppfyllt om man följer de tillämpliga regler som finns i övrigt, och kravet på öppenhet följs om man bl.a. informerar den registrerade att man samlar in personuppgifterna, hur man gör det osv
- Uppgifterna som samlas in ska bara användas för det ändamål som angivits, och som de behövs för. De får inte i ett senare skede användas till något annat. Ett exempel är att de kontaktuppgifter i er verksamhet som samlas in, inte senare får användas till ett informationsutskick om er verksamhet
- Endast de uppgifter som verkligen behövs för att utföra skyldigheten ska samlas in. Här är det väl egentligen endast kontaktuppgifter som är absolut nödvändigt, men även andra typer av uppgifter kan vara ok. Ex. kan uppgifter som behövs för att kunna följa upp en verksamhet vara ok, eller en uppgift som behövs för att kunna administrera en verksamhet på ett rationellt sätt. Här skulle man kunna tänka sig att det är ok att man registrerar kommuntillhörighet, men inte att vi samlar in uppgift om personnummer eller hur många barn man har
- De uppgifter som behandlas ska vara korrekta och uppdaterade. Felaktiga eller inaktuella uppgifter ska raderas. För er skulle det kunna innebära ex. att om en klient byter telefonnummer, ska det gamla raderas.
- Uppgifterna får inte lagras/sparas längre än vad som är lagstadgat och nödvändigt för uppgiften. Oaktat ev. lagrings-/sekretessregler innebär det för er att ni behöver radera klientakter så fort rådgivningen är avslutad, alternativt efter en viss tidpunkt som är bestämd utifrån ex. någon form av praktisk hänsyn eller liknande (observera att en lagringstid då måste stå i proportion till nyttan av att spara dem).
- Uppgifterna ska skyddas från obehörig tillgång eller skada. Detta skulle i ert fall kunna handla om att uppgifterna som hanteras inom ramen för en e-tjänst ska vara krypterade.”