När behandlar SMHI personuppgifter?
SMHI behandlar personuppgifter i en mängd olika sammanhang.
- När du besöker vår webbplats behandlar vi dina personuppgifter.
- När vi arrangerar konferenser behandlar vi deltagarnas personuppgifter.
- När vi samverkar med andra aktörer har vi kontaktuppgifter till desamma, när allmänheten skickar frågor till vår kundtjänst eller när någon kommer och besöker myndigheten behandlar vi dessa personers personuppgifter.
- När du prenumererar på något av våra nyhetsbrev eller när du skriver till oss på något av våra sociala medier behandlar vi personuppgifter.
En personuppgift är varje upplysning eller identifierare som avser en fysisk person.
Med andra ord, en personuppgift kan vara: Namn, ålder, kön, etnicitet, längd, ögonfärg, e-postadress, adress, telefonnummer, biometriska data såsom fingeravtryck m.m.
SMHI kan, som exempel i appen SMHI Väder, fråga dig om du vill uppge den plats där du befinner dig (location). Uppgiften om plats används i bakgrunden (background) av appen för att uppdatera prognosen för den position där du befinner dig.
Uppgift om plats betraktar SMHI som personuppgift och vi kommer skydda dem i enlighet med dessa riktlinjer.
En behandling av en personuppgift är alla åtgärder som man kan göra med en personuppgift.
Med andra ord, en behandling kan vara: Insamling, registrering, lagring, bearbetning, läsning, användning, radering, spridning eller tillhandahållande på annat sätt m.m. Det är i första hand den digitala behandlingen av personuppgifter som är reglerad, men även behandlingar som ingår i ett register eller är avsedda att ingå i ett register i pappersform omfattas av reglerna.
EUs dataskyddsförordning General Data Protection Regulation (GDPR) och den svenska Dataskyddslagen reglerar tillsammans med andra regelverk såsom tryckfrihetsförordningen, yttrandefrihetsgrundlagen och registerlagstiftningar hur personuppgifter får behandlas.
Syftet med GDPR är att skydda den personliga integriteten när personuppgifter behandlas. Den 25 maj 2018 ersatte GDPR den tidigare lagen på området – Personuppgiftslagen.
All behandling av personuppgifter ska vara i enlighet med de grundläggande principerna om skydd för den personliga integriteten som anges i GDPR.
Principerna innebär i korthet att personuppgifter ska hanteras lagligt och säkert, att de bara får samlas in för berättigade ändamål som inte får vara för allmänt hållna, att man inte ska samla in mer personuppgifter än vad som är nödvändigt för att uppnå det ändamål som de har samlats in för att uppnå och att man inte får lagra uppgifterna längre än nödvändigt.
Till detta kommer dock att SMHI som statlig myndighet har en skyldighet att bevara saker inför framtiden, så vi kan inte radera de uppgifter som vi enligt lag ska arkivera. Personuppgifterna får senare inte behandlas på ett sätt som är oförenligt med de ändamål som satts upp för behandlingen. Det åligger SMHI att ansvara för personuppgiftshanteringen och visa att man följer förordningen.
Så behandlar vi dina personuppgifter
SMHI är personuppgiftsansvarig för den behandling av personuppgifter som görs på denna webbplats och på andra sätt i vår verksamhet.
Som personuppgiftsansvarig är SMHI ansvarig för att hanteringen sker i enlighet med gällande lagar och regler. Vidare har SMHI i egenskap av personuppgiftsansvarig skyldigheter gentemot den vars personuppgifter vi behandlar.
Laglig grund för hantering av dina personuppgifter
All behandling av personuppgifter som görs av SMHI sker med stöd av lag. Vi behandlar inga personuppgifter utan att rättslig grund finns för behandlingen i fråga. Vidare ska det finnas ett tydligt ändamål angivet för behandlingen. Här beskriver vi generellt hur SMHI ser på rättslig grund för olika slags behandling men vi kan även komma att informera om detsamma i samband med att personuppgifter samlas in.
SMHI ansvarar för att tillse att de personuppgifter vi behandlar är korrekta och uppdaterade och att uppgifterna är relevanta i förhållande till ändamålet för behandlingen.
Som statlig myndighet har vi en skyldighet enligt lag att bevara information om vår verksamhet inför framtiden, vilket gör att vi i de fall när information arkiveras sparar dina personuppgifter i vårt arkiv. All arkivering sker i enlighet med regler och riktlinjer för arkivering och gallring.
Allmänt intresse
Som myndighet har vi att utföra ett uppdrag av allmänt intresse, vilket utgör grund för behandling av nödvändiga personuppgifter för att kunna fullgöra detta uppdrag. Uppdrag av allmänt intresse beskrivs i Dataskyddslagen såsom allt en myndighet har att fullgöra i enlighet med lag eller instruktion, men även uppdrag som myndigheten åtar sig på frivillig basis om myndigheten anser att det faller inom ramen för den allmänna uppgift man ska fullgöra. Som exempel kan här nämnas det som står i Sveriges grundlagar om myndigheter, myndighetsförordningen, förvaltningslagen, offentlighets- och sekretesslagen, SMHIs instruktion, SMHIs regleringsbrev som vi får till oss årligen, aktiviteter arrangerade av SMHI för att sprida kunskap om våra expertområden meteorologi, klimatologi, hydrologi och oceanografi.
Vidare bedriver SMHI tillämpad forskning inom ramen för sitt verksamhetsområde och får härigenom behandla de personuppgifter som är nödvändiga för att bedriva forskning av allmänt intresse.
Avtal
SMHI bedriver också affärsverksamhet vilket särskilt framgår av SMHIs instruktion. Det innebär att de åtgärder som vidtas inom affärsverksamheten också kan betraktas såsom nödvändiga för att fullgöra en uppgift av allmänt intresse. De behandlingar av personuppgifter som utförs inom ramen för SMHIs affärsverksamhet kan också vara nödvändiga för att fullgöra det avtal som SMHI ingått med sin kund.
Samtycke till push-notiser
SMHI strävar efter att all personuppgiftsbehandling ska ske inom EU/EES. För att kunna erbjuda en funktion såsom push-notiser i SMHIs väderapp använder sig myndigheten för närvarande av Google Firebase, vilket innebär att information om din mobila enhet i det fallet behandlas utanför EU/EES. Denna funktion är valfri och kräver ditt samtycke för att aktiveras. Funktionen kan när som helst avaktiveras i appens inställningar.
Dataskyddslagstiftningen och offentlighetsprincipen
I GDPR regleras det huvudsakliga skyddet för personuppgifter, men det finns även nationell lagstiftning som kompletterar densamma i EUs medlemsländer.
I Sverige heter den kompletterande lagstiftningen lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (Dataskyddslagen). Vidare finns det nationella bestämmelser som tillsammans utgör Offentlighetsprincipen, nämligen grundlagarna yttrandefrihetsgrundlagen och tryckfrihetsförordningen i kombination med Offentlighets- och sekretesslagen (2009:400) OSL som reglerar utlämnande av allmänna handlingar.
Offentlighetsprincipen påverkas inte av GDPR, mer än att utlämning av allmänna handlingar som innehåller personuppgifter kan vägras om man kan anta att en utlämning skulle medföra att personuppgifterna kommer att hanteras i strid med GDPR (21 kap 7 § OSL).
E-post till SMHI
Eftersom SMHI är en statlig myndighet och som sådan omfattas av offentlighetsprincipen blir som regel alla inkomna handlingar – både via e-post och på annat sätt – allmänna handlingar. Beroende på vad epostmeddelandet sedan innehåller för uppgifter och personuppgifter så kommer det att antingen diarieföras, arkiveras eller raderas. All hantering sker i enlighet med de regler och riktlinjer som finns rörande gallring och arkivering.
Personuppgifter på sociala medier
SMHI använder sig av flera sociala medier för att dels nå ut med information och dels för att föra en dialog med allmänheten.
Eftersom SMHI är en myndighet så blir kommentarer och inlägg på våra sidor i sociala medier allmänna handlingar vilket även innefattar de personuppgifter som följer med kommentaren och/eller inlägget.
SMHI förbehåller sig rätten att ta bort kommentarer eller inlägg som är av stötande eller kränkande karaktär.
Så skyddas dina personuppgifter
Som statlig myndighet har SMHI exempelvis MSB:s föreskrift (MSBFS 2020:6) att efterleva när det gäller informationssäkerhet.
MSBFS 2020:6 föreskrifter om informationssäkerhet för statliga myndigheter
Det som vi på SMHI arbetar med för att skydda dina data är att se till att rätt personer har tillgång till rätt information vid rätt tillfälle. Bland annat kan detta röra sig om tekniska lösningar för skydd mot skadlig kod, men det kan även röra sig om utbildning av vår personal i hantering av personuppgifter.
Vi arbetar systematiskt med detta sedan många år, och vi revideras med jämna mellanrum av en extern aktör för att få en kvittens på att rätt säkerhetsnivå hålls.
Rätt att begära att få ta del av information
Du har rätt att kostnadsfritt få information om och tillgång till de personuppgifter som SMHI behandlar om dig. Du har även rätt att begära att få felaktiga uppgifter om dig rättade och i vissa fall kan du ha rätt att begära att få uppgifter raderade.
Klagomål på SMHIs hantering av personuppgifter
Om du anser att SMHI har behandlat dina personuppgifter på ett felaktigt sätt har du rätt att anmäla detsamma till Integritetsskyddsmyndigheten (IMY).
Lämna klagomål till Integritetsskyddsmyndigheten
Du kan också kontakta något av våra dataskyddsombud om du har synpunkter på personuppgiftshanteringen.