GDPR

Policy för hantering av personuppgifter inom LSS Omsorgen

Dataskyddsförordningen (GDPR- General Data Protection Regulation) gäller som lag från och med den 25 maj 2018. GDPR ersätter personuppgiftslagen (PUL).

Dataskyddsförordningen syftar till att skydda enskildas grundläggande rättigheter och friheter, särskilt rätten till skydd av personuppgifter.

Var och en har rätt till skydd av personuppgifter. Uppgifterna ska behandlas lagenligt för bestämda ändamål och på grundval av berörda personers samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter och få rättelse av dem. En oberoende myndighet, Dataskyddsinspektionen ska kontrollera att dessa regler efterlevs.

LSS Omsorgen värnar om personlig integritet och eftersträvar en hög nivå av dataskydd. Denna skrift förklarar hur vi samlar in och använder personlig information. Den beskriver också rättigheter för dem som vi samlar in personuppgifter för och hur man kan göra dem gällande.

Du kan läsa förordningen i sin helhet på Datainspektionens hemsida:

https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/forordningstexten/

Du kan även ladda ner den i pdf format på Datainspektionens hemsida:

http://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:32016R0679&rid=1

Innehållsförteckning

Vad är en personuppgift och vad är behandling av personuppgifter?

Vem är ansvarig för de personuppgifter vi samlar in?

Vilka personuppgifter samlar vi in och för vilket ändamål?

Från vilka källor hämtar vi personuppgifter?

Vilka kan vi komma att dela personuppgifter med?

Var behandlar vi personuppgifter?

Hur länge sparar vi personuppgifter?

Vad har den registrerade för rättigheter?

Hur hanterar vi personnummer?

Hur skyddas personuppgifter?

Vad innebär det att Dataskyddsinspektionen är tillsynsmyndighet?

Vid kommunikation med LSS Omsorgen

Kontakt med LSS Omsorgen vid frågor om dataskydd?

Vad är en personuppgift och vad är behandling av personuppgifter?

Personuppgifter är all slags information som direkt eller indirekt kan hänföras till fysisk person som är i livet. Till exempel namn, personnummer men även bilder och ljudupptagningar som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter (tex IP-nummer) är personuppgifter ifall de kopplas till fysisk person.

Behandling av personuppgifter är allt som sker med personuppgifterna. Varje åtgärd som vidtas med personuppgifter utgör en behandling, oberoende av om de utförs automatiserat eller ej. Exempel på vanliga behandlingar är insamling, registrering, organisering, strukturering, lagring, bearbetning, överföring och radering.

Vem är ansvarig för de personuppgifter vi samlar in?

LSS Omsorgen Sverige AB, org. nr 556801-7403, med adress Stigbergsliden 5, 414 63 Göteborg är personuppgiftsansvarig för företagets behandling av personuppgifter. LSS Omsorgen Sverige AB är moderbolag för följande:

• LSS Omsorgen Mälartorget AB, org.nr 556725-7018
• LSS Omsorgen Almen AB, org.nr 559114-2210
• LSS Omsorgen Björken AB, org.nr 559114-2236
• LSS Omsorgen Cypressen AB, org.nr 559114-1949
• LSS Omsorgen Douglasgranen AB, org.nr 559114-3259

 

Vilka personuppgifter samlar vi in och för vilket ändamål?

Ändamål	Behandlingar	Kategorier av personuppgifter
Anställning/personal- administration	–        Ansökan –        Fil sökande –        Mejlansökan –        Referenstagning –        Anställningsavtal –        Lönespecifikationer –        Rehabsamtal –        Lönesamtal och löneförhandling –        Utvecklingssamtal –        Medvetandegörande samtal och liknande –        Arbetsschema i Omsorg 24 –        Tidrapport –        Ledigheter –        Behörighet dokumentationssystem, Care Builder –        Arbetsskadeanmälningar och tillbud –        Bilder till marknadsföring –        Sjuklön- och sjukpenning –        Kollektivavtalade försäkringar –        Information från arbetstagare kring förändringar genom ex mejl –        Biluppgifter leasing –        Arbetsgivarintyg	–        Namn –        Personnummer –        Adress –        Telefonnummer –        Bankkontonummer –        E-postadress –        Utdrag ur belastningsregistret –        Examensintyg/betyg –        Läkarintyg, hälsostatus –        Prestationsomdömen –        Svårigheter på arbetet –        Användaruppgifter Omsorg 24. –        Användaruppgifter Care Builder –        Incidenter o liknande –        Fotografi –        Lön/inkomst
Laglig grund: Fullgörande av individuellt avtal samt kollektivavtal, laglig rätt samt berättigat intresse (utdrag ur belastningsregistret). För bilder används samtycke. Denna insamling krävs för att vi ska kunna fullgöra våra åtaganden enligt anställningsavtalet samt åtaganden enligt svensk lag och föreskrifter och liknande utfärdade av myndigheter.
Lagringsperiod: Lagringsperioden skiljer sig åt beroende på behandling och/eller kategori. –        Ansökan för anställd sparas så länge anställning pågår. Arkiveras i Omsorg 24 efter sista lönekörning. Raderas i systemet efter två år. –        Ansökan för icke anställd raderas när rekrytering är klar. Både i mejl samt i pappersform. –        Fil sökande lagras under två år. Detta för att hantera ev rättsliga efterspel utifrån diskrimineringslag och annan nationell rätt. –        Namn, adress, personnummer, telefonnummer raderas efter två år. Arkiveras i Omsorg 24 efter sista lönekörning. Raderas i systemet efter två år. –        Tidrapport samt ledigheter raderas efter två år. Arkiveras i Omsorg 24 efter sista lönekörning. Raderas i systemet efter två år. –        Referenstagning lagras så länge anställning pågår. Arkiveras i Omsorg 24 efter sista lönekörning. Raderas i systemet efter två år. För övriga lagras referenstagning i två år. –        Anställningsavtal lagras i två år efter avslut. Arkiveras i Omsorg 24 efter sista lönekörning. Raderas i systemet efter två år. –        Lönespecifikationer lagras i två år i pappersform. I lönesystem raderas de inte. –        Utdrag ur belastningsregistret raderas direkt efter inlämning. Datum för inlämning noteras i Omsorg 24. Arkiveras i Omsorg 24 efter sista lönekörning. Raderas i systemet efter två år. –        Examensintyg/betyg lagras i två år efter avslut. Arkiveras i Omsorg 24 efter sista lönekörning. Raderas i systemet efter två år. –        Läkarintyg lagras i ett år efter avslutad sjukperiod. –        Underlag rehabsamtal, lönesamtal, utvecklingssamtal, arbetsskadeanmälningar/tillbud samt övriga samtal lagras så länge anställning pågår. Arkiveras i Omsorg 24 efter sista lönekörning. Raderas i systemet efter två år. –        Bilder raderas när samtycke tas tillbaka alternativt material inte längre används. –        Kopior på intyg skickade till andra myndigheter såsom försäkringskassan eller skickade till försäkringsbolag raderas efter tre månader.
Säkerhet: Vår leverantör Omsorg 24 garanterar hög nivå på säkerhet och integritet. Personlig inloggning i systemet. För arbetsledare som har tillgång till känsligt material sker inloggning genom e-legitimation. De underlag som förekommer i pappersform förvaras inlåsta med strikt begränsad tillgång till uppgifterna. För uppgifter som förvaras i egen dator används kryptering. Personaluppgifter är inte offentligt material.

 

Ändamål	Behandlingar	Kategorier av personuppgifter
Tillförsäkra goda levnadsvillkor för de boende/brukaren enligt LSS.	–        Journalföring, både social och medicinsk, i Care Builder. –        ekonomi –        Boendepärm på boendet –        Avtalspärm på huvudkontor. –        Medicinsk mapp på boendet. –        Medicinsk pärm på boendet –        Kalender för aktiviteter för boende på resp. boende –        Synpunktshantering –        Avvikelser samt dess utredning –        Lex Sarah/Lex Maria samt dess utredningar –        Bilder till marknadsföring –        Beslut/utredning/ Beställning från Myndighet –        Förfrågningar	–        Namn –        Personnummer –        Adress –        Telefonnummer –        E-postadress –        Behovsbedömning inkl hälsa, diagnoser och sociala beskrivningar. –        Domar –        Kontaktuppgifter god man/förvaltare –        Kontaktuppgifter handläggare –        Kontaktuppgifter anhöriga. –        Användaruppgifter Omsorg 24. –        Tider hos läkare –        Incidenter o liknande –        Fotografi –        planer/metod –        Ekonomi –        Läkarkontakter
Laglig grund: Fullgörande av avtal, laglig rätt samt föreskrifter utfärdade av myndigheter, Socialstyrelsen och Inspektionen för vård och omsorg (IVO). Vid bildhantering används samtycke.
Lagringsperiod: Lagringsperioden skiljer sig åt beroende på behandling. –        Efter flytt från boende arkiveras brukaren i Care Builder. Raderas efter 10 år enligt patientdatalag. –        Brukarpärm på boende raderas snarast efter avflyttning från boendet. –        Innehåll i medicinsk mapp raderas vid avflyttning, förutom signeringslistor som arkiveras på huvudkontor i 10 år. –        Innehåll i medicinsk pärm arkiveras i 10 år på huvudkontor. –        Avtalspärm (rörelseavtal) på huvudkontor raderas 6 månader efter avflyttning. –        Kalender raderas per kalenderår. –        Synpunkter, avvikelser, Lex Sarah/Lex Maria raderas 10 år efter avflyttning. –        Bilder raderas när samtycke tas tillbaka alternativt material inte längre används. –        Förfrågningar raderas direkt.
Säkerhet: Care Builder levererar sin tjänst med hög nivå på säkerhet. Personlig inloggning i systemet. Användare registreras vid varje inloggning. Vi kontrollerar detta regelbundet så inga obehöriga använder Care Builder. Endast behörighet till brukare på arbetsstället. De underlag som förekommer i pappersform på boendet förvaras inlåsta i individuella skåp på låst kontor. Underlag som förvaras i pappersform på huvudkontor förvaras på låst rum med tillgång endast för behöriga. Det råder sekretess för all personal avseende brukaruppgifter.

 

Ändamål	Behandlingar	Kategorier av personuppgifter
Administration	–        Bokföringsunderlag –        Utskick kontrolluppgifter	–        Namn –        Personnummer –        Adress –        Telefonnummer –        E-postadress –        Inkomst –        kontonummer
Laglig grund: Fullgörande av laglig rätt samt samtycke (utskick av kontrolluppgifter)
Lagringsperiod: –        Raderas efter 7 år.
Säkerhet: Hanteras i enlighet med lag.

 

Från vilka källor hämtar vi personuppgifter?

När det gäller anställning hämtas uppgifterna från personen själv.

När det gäller boende/brukare så hämtas uppgifter från personen själv, från handläggare eller annan myndighetsperson i köpande kommun. Uppgifter hämtas även från företagets konsult vars uppdrag är att sälja boendeplatser till kommuner för LSS Omsorgens räkning. Uppgifter kan också hämtas från gode män/förvaltare samt i förekommande fall från sjukvården.

Vilka kan vi komma att dela personuppgifter med?

Personuppgiftsbiträden. I de fall det är nödvändigt för att kunna hantera vårt uppdrag delar vi personuppgifter med företag som är så kallade personuppgiftsbiträden för oss. Ett personuppgiftsbiträde är ett företag som behandlar information för vår räkning och enligt våra instruktioner. Vi har personuppgiftsbiträden som hjälper oss med:

• Schema och personaladministration – Omsorg 24.
• Dokumentation, journalföring, HSL för brukare – Care Builder.
• Löneutbetalning – Crona Lön (obs via molntjänst)
• Marknadsföring, där vi trycker våra foldrar – varierar
• Molntjänster, lagrar viss data på detta sätt samt även programvaror – IT-stöd i Skaraborg, dropbox, onedrive

När personuppgifter delas med personuppgiftsbiträden sker det endast för ändamål för vilka vi har samlat in informationen, tex för att uppfylla åtaganden i enlighet med anställning eller åtaganden gentemot brukare. Vi kontrollerar alla personuppgiftsbiträden för att säkerställa att tillräckliga garantier lämnas avseende säkerheten och sekretessen avseende personuppgifter. Vi har skriftliga avtal med alla personuppgiftsbiträden genom vilka de garanterar säkerheten för de personuppgifter som behandlas och åtar sig att följa våra säkerhetskrav samt begränsningar och krav avseende internationell överföring av personuppgifter.

Företag som är självständigt personuppgiftsansvariga. Vi delar även personuppgifter med vissa företag som är självständigt personuppgiftsansvariga. Att företaget är självständigt personuppgiftsansvarig innebär att det inte är LSS Omsorgen som styr hur informationen som lämnas till företaget ska behandlas. Självständiga personuppgiftsansvariga som vi delar personuppgifter med är:

• Statliga myndigheter, Polisen, Skatteverket, Socialstyrelsen, IVO eller andra myndigheter, om vi är skyldiga att göra detta enligt lag eller misstanke om brott.
• Sjukvården, vid fara för liv och hälsa tar vi dessa kontakter.
• Försäkringskassan, för att förmåner för anställda ska kunna fullgöras. Tex vid sjukdom, arbetsskada.
• Försäkringsbolag, för att kollektivavtalade förmåner ska verkställas såsom tjänstepension.
• Betallösningar, banker i samband med löneutbetalning – Swedbank.
• Arbetsmiljöverket, vid anmälningsplikt av olyckor.
• Fackliga organisationer tex vid förhandlingar kring individer, grupper av individer såsom löneförhandlingar och andra förhandlingar i enlighet med gällande lag och avtal.

När dina personuppgifter delas med företag som är självständigt personuppgiftsansvarig gäller det företagets policy kring personuppgifter och personuppgiftshantering.

Var behandlar vi personuppgifter?

Personuppgifter behandlas bara inom EU och dess länder där GDPR gäller.

Hur länge sparar vi personuppgifter?

Vi sparar inte personuppgifter längre än vad som är nödvändigt för respektive ändamål. Se mer om lagringstiderna under ändamål.

Vad har den registrerade för rättigheter?

Rätt till tillgång. Vi är öppna med hur vi behandlar personuppgifter och om man vill ta del av vilka personuppgifter vi behandlar kan man begära att få tillgång till uppgifterna. Vid begäran om tillgång ber vi om ytterligare uppgifter för att säkerställa en effektiv hantering och att informationen lämnas till rätt person.

Rätt till rättelse. Vi rättar felaktiga uppgifter utan dröjsmål. Ifall personuppgifter är ofullständiga utifrån ändamålet så kompletterar vi även denna.

Rätt till radering. Man kan begära radering av personuppgifter vi behandlar utifrån nedanstående kriterier:

• Uppgifterna inte längre är nödvändiga för ändamålet.
• Invändningar mot intresseavvägning vi gjort baserat på berättigat intresse och att skälet för invändning väger tyngre än vårt berättigade intresse.
• Du invänder mot samtycket.
• Personuppgifterna behandlas på olagligt sätt.
• Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse vi omfattas av.

Det kan finnas rätt för LSS Omsorgen att neka en begäran om det finns legala skyldigheter som hindrar oss från att omedelbart radera vissa personuppgifter. Dessa skyldigheter kan komma från bokförings- och skattelagstiftning, Socialtjänstlagen eller LSS men också från myndigheter vars föreskrifter ska jämställas som lag. Det kan också hända att behandlingen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Skulle vi vara förhindrade att tillmötesgå en begäran om radering kommer vi att begränsa möjligheten använda uppgifterna till andra syften än det som hindrar den begärda raderingen.

Rätt till begränsning. Det finns rätt att begära att vår behandling av personuppgifter begränsas. Om hanteringen av personuppgifter vi behandlar bestrids kan begränsad behandling begäras under den period vi behöver för att kontrollera huruvida personuppgifterna är korrekta. Om vi inte längre behöver personuppgifterna för de fastställda ändamålen kan man begära begränsad behandling av uppgifterna hos oss. Det innebär att vi inte raderar uppgifterna hos oss. Gäller då den registrerade vill fastställa, göra gällande eller försvara rättsliga anspråk.

Man kan begära begränsad behandling under period av utredning av vårt berättigade intresse.

Om behandling har begränsats enligt någon av situationerna ovan får vi bara utöver själva lagringen behandla uppgifterna för att fastställa, göra gällande eller försvara rättsliga anspråk, för att skydda någon annans rättigheter eller ifall du lämnat ditt samtycke.

Rätt att göra invändningar mot viss typ av behandling. Man har rätt göra invändningar mot behandling av personuppgifter som bygger på en intresseavvägning.

Berättigat intresse. I de fall vi använder en intresseavvägning som laglig grund för ett ändamål kan man använda mot behandlingen. För att kunna fortsätta behandla personuppgifter efter en sådan invändning behöver vi kunna visa ett tvingande berättigat skäl för den aktuella behandlingen som väger tyngre än den registrerades intressen, rättigheter eller friheter. I annat fall får vi bara behandla uppgifterna för att fastställa, utöva eller försvara rättsliga anspråk.

Rätt till dataportalitet. Om rätten att behandla personuppgifter grundar sig på samtycke eller fullgörande av avtal finns rätt att begära en överföring av personuppgifter till annan personuppgiftsansvarig. En förutsättning för dataportalitet är att överföringen är tekniskt möjlig och kan ske automatiserad.

Hur hanterar vi personnummer?

Vi kommer bara att behandla personnummer när det är klart motiverat med hänsyn till ändamålet, nödvändig för säker identifiering eller om det finns annat beaktansvärt skäl. Vi minimerar användandet av personnummer i så stor utsträckning som möjligt genom att istället använda oss av initialer och/eller födelsenummer.

Hur skyddas personuppgifter?

Vi använder IT-system för att skydda sekretessen, integriteten och tillgången till personuppgifter. Endast de personer som faktiskt behöver behandla personuppgifter för att uppfylla ändamålen har tillgång till dem.

I vårt brukarsystem Care Builder loggas inloggningar. Detta med särskild hänsyn till uppgifternas känsliga art. Loggningar kontrolleras regelbundet i enlighet med vårt kvalitetsårshjul. Detta för att säkerställa att obehöriga inte varit inne i systemet. Personer som avslutar sin anställning avregistreras direkt för tillgång till systemet. Alla anställda skriver på särskild blankett för tystnadsplikt/sekretess.

I vissa fall förvaras handlingar i inlåst skåp i låst rum med begränsad tillgång på våra LSS-boenden. Vi förvarar handlingar även i pappersform i pärmar i låsta kontorsrum med begränsad tillgång.

Vad innebär det att Dataskyddsinspektionen är tillsynsmyndighet?

Dataskyddsinspektionen är ansvarig för att övervaka tillämpningen av GDPR. Den som anser att vi hanterar personuppgifter på ett felaktigt sätt kan lämna in ett klagomål till Dataskyddsinspektionen.

Vid kommunikation med LSS Omsorgen

Det finns flera sätt att kommunicera med oss på LSS Omsorgen, exempelvis via kontaktformulär på hemsidan, via mejl eller via telefon med mera. Vid kommunikation hanterar vi uppgifter som lämnas till oss tex:

• Namn och kontaktuppgifter
• Informationen som lämnas såsom synpunkter, brukarinformation, avtalsinformation eller information kring arbetstagare.

Vi hanterar dina personuppgifter för att:

• Leverera tjänster med kvalitét, uppfylla avtal
• Uppfylla lag och föreskrifter
• Utveckla våra tjänster
• Besvara frågor

Vi lagrar informationen i kommunikationen med oss i de system som vi använder för respektive ändamål. Övriga elektroniska spår exempelvis på hemsida eller i mejl raderas direkt.

Kontakt med LSS Omsorgen vid frågor om dataskydd?

Om ytterligare information kring vårt arbete med dataskydd önskas eller om det finns synpunkter kring detta kan man höra av sig genom en skriftlig egenhändigt undertecknad begäran. Denna begäran skickas till:

LSS Omsorgen Sverige AB

Stigbergsliden 5

414 63 Göteborg

Denna information uppdaterades 25 maj 2018 och kan komma att förändras. Den senaste versionen finns alltid på vår hemsida. Vid större förändringar anslås senaste dokument på våra boenden samt i förekommande fall skickas hem till gode män/förvaltare.