En personuppgift är all information som kan kopplas till och identifiera en person. Det kan till exempel vara ett namn, ett foto, en adress, ett telefonnummer eller en ljudupptagning. Det kan också vara mer känslig information om hälsa eller om personliga värderingar och åsikter.

Det finns flera situationer då vi behandlar personuppgifter. De vanligaste situationer är:

• Journalföring inom hälso- och sjukvården.
• Statistik inom hälso- och sjukvården.
• Verksamhetsuppföljning och kvalitetssäkring av vården.
• Forskning inom vården.
• Personalfrågor, som löner, sjukfrånvaro och jobbansökningar.

Personuppgifter får endast samlas in och behandlas för berättigade ändamål. Det är inte tillåtet att samla in mer personuppgifter än vad som är nödvändigt för ändamålet. Uppgifterna får heller inte sparas längre än nödvändigt eller behandlas på ett annat sätt än vad som det var tänkt från början.

Hanteringen av dina personuppgifter styrs av flera lagar som ska skydda din personliga integritet; till exempel offentlighets- och sekretesslagen, dataskyddsförordningen och patientdatalagen. Dataskyddsförordningen (även kallad GDPR) är en ny EU-gemensam förordning som ersätter den tidigare personuppgiftslagen.

Personuppgifter får bara samlas in och behandlas för särskilt angivna ändamål, som måste vila på så kallade rättsliga grunder. Som generell utgångspunkt krävs ett samtycke från den enskilde för att man ska få behandla personuppgifter. Det finns dock flera undantag från denna utgångspunkt.

När Elliots vårdcentral behandlar personuppgifter handlar den rättsliga grunden oftast om att behandlingen är nödvändig för att:

• fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, eller
• fullgöra en rättslig förpliktelse

Allmänt intresse
För att en arbetsuppgift ska vara av allmänt intresse ska den ha stöd i rättsordningen. Stockholms läns sjukvårdsområde har uppdrag som styrs av lagar, förordningar, föreskrifter och politiska beslut. För att kunna utföra dessa uppdrag av allmänt intresse måste vi i många fall behandla personuppgifter.

Fullgöra en rättslig förpliktelse
Stockholms läns sjukvårdsområde har som offentlig myndighet ett flertal rättsliga förpliktelser som vi måste utföra. Vi har exempelvis en rättslig skyldighet att diarieföra handlingar och registrera vissa personuppgifter i olika ärenden. Ett annat exempel är att vi enligt lag har en skyldighet att dokumentera uppgifter som behövs för att tillhandahålla god och säker vård för patienten, bland annat i våra patientjournaler.

Elliots vårdcentral är personuppgiftsansvarig och därmed ytterst ansvarig för verksamhetens behandling av personuppgifter. Det är styrelsen för Elliots vårdcentral som har det yttersta personuppgiftsansvaret, men via delegering har sjukhusvårdsdirektören ett övergripande ansvar. Vi har även utsett dataskyddsombud som kontrollerar så att reglerna i dataskyddsförordningen och andra regler på området följs.

Som utgångspunkt ska personuppgifter endast vara åtkomliga för de som har behov av dem. Det finns rutiner och system som säkerställer att personuppgifterna hanteras och skyddas på ett säkert sätt.

Inom vården finns det också särskilda bestämmelser om skydd av patientuppgifter.

Offentlighetsprincipen innebär en rättighet för var och en att få insyn i myndigheters verksamhet, exempelvis genom att ta del av allmänna handlingar. Personuppgifter i allmänna handlingar kan alltså begäras och lämnas ut enligt offentlighetsprincipen – oavsett ändamål som personuppgiften ursprungligen behandlades för.

Rätten att ta del av allmänna handlingar gäller dock inte om handlingarna innehåller uppgifter som är belagda med sekretess enligt offentlighets- och sekretesslagen. Den grundlagsskyddade offentlighetsprincipen begränsas inte av dataskyddsförordningen.

Vi är ibland även skyldiga att lämna ut personuppgifter om dig till andra. Exempelvis lämnas uppgifter från vården till Socialstyrelsen eller Inspektionen för vård och omsorg. Ibland kan vi även vara skyldiga att lämna uppgifter till exempelvis polisen eller socialtjänsten.

Personuppgifter får inte sparas längre än nödvändigt. Det innebär att när personuppgifterna inte längre behövs till det ändamål de samlades in för, ska de tas bort (lagringsminimering).

När det gäller offentliga myndigheter finns ett undantag från principen om lagringsminimering. Myndigheter är skyldiga att spara allmänna handlingar som ska bevaras för framtiden, även efter att handlingarna inte längre behövs i den löpande verksamheten.

Det innebär att om det finns personuppgifter i allmänna handlingar som ska sparas för framtiden får Stockholms läns sjukvårdsområde spara dem längre än vad som är nödvändigt för det ursprungliga ändamålet.

Vi bevarar och gallrar allmänna handlingar enligt bestämmelser som landstingets arkivmyndighet har fastställt.

Du som har personuppgifter registrerade hos Stockholms läns sjukvårdsområde har rättigheter när det gäller information om och kontroll över dina uppgifter.

Du har rätt att begära en kopia av de uppgifter vi har om dig. Du har också rätt att begära rättelse av uppgifter i de fall då de registrerade uppgifterna inte skulle vara korrekta. Vidare finns en rätt att invända mot behandlingen av dina personuppgifter och i vissa fall att få uppgifterna raderade.

Rättigheterna beror på vilken rättslig grund som behandlingen av personuppgifter vilar på. Detta innebär att vissa rättigheter bara gäller under vissa förutsättningar.

Om du är missnöjd med hanteringen av personuppgifter ska du i första hand vända dig direkt till den verksamhet som ansvarat för hanteringen.

Som patient kan du också kontakta Patientnämnden.

Du har även rätt att lämna klagomål till Integritetsskyddsmyndigheten om du anser att dina personuppgifter behandlats på ett felaktigt sätt.

Om du har frågor om vår personuppgiftshantering eller dina rättigheter enligt dataskyddsförordningen, eller vill kontakta våra dataskyddsombud är du välkommen att kontakta oss på:

Postadress: Dataskyddsombudet, Elliots vårdcentral, Blekingegatan 55, 118 42 Stockholm, Tel: 08-13 462 57 (växel).
E-post: gdpr@elliotsvardcentral.se. Tänk på att aldrig skicka något som innehåller patientuppgifter via e-post.