Till innehållet

Så behandlas dina personuppgifter

Här beskriver vi hur dina personuppgifter behandlas. DIGG följer dataskyddsförordningen (även kallad GDPR) samt kompletterande dataskyddslagstiftning vid hantering av personuppgifter.

DIGG:s hantering av personuppgifter

Den här informationen har till syfte att ge en övergripande information om de personuppgiftsbehandlingar som DIGG är personuppgiftsansvarig för, samt ge information till de registrerade hur deras personuppgifter behandlas och hur de kan ta tillvara sina rättigheter.

Informationen omfattar inte de behandlingar som sker inom DIGG:s administrativa verksamhet.

Om du som registrerad vill utöva dina rättigheter eller har frågor som rör DIGG:s behandling av dina personuppgifter kan du vända dig till myndighetens dataskyddsombud: dataskyddsombud@digg.se.

DIGG är personuppgiftsansvarig för de behandlingar av personuppgifter som myndigheten bestämmer ändamål och medel för och som utförs inom verksamheten. Exempelvis behandlar DIGG personuppgifter i myndighetens ärendehantering och faktiska verksamhet, vid hantering av frågor och evenemang, vid samverkan med andra, vid upphandling och när någon söker jobb hos oss.

DIGG behandlar dina personuppgifter i syfte att genomföra, utveckla och informera om sin verksamhet. Vår verksamhet styrs av lagar, myndighetsinstruktioner och regeringsuppdrag, vilket innebär att DIGG oftast stödjer sin rätt att behandla personuppgifter på den rättsliga grunden att det är ett allmänt intresse att behandlingen sker eller för att det är en rättslig förpliktelse. I vissa fall behandlar DIGG personuppgifter för att det är nödvändigt att fullgöra ett avtal med den registrerade. Undantagsvis kan DIGG även behandla personuppgifter med ditt samtycke om det är tillämpligt och nödvändigt med hänsyn till situationen.

  • DIGG behandlar bland annat namn, e-postadress, telefonnummer och andra kontaktuppgifter som lämnas när DIGG tillhandahåller olika digitala tjänster, ingår avtal, upphandlar eller när någon kontaktar oss via e-post.
  • När DIGG ordnar informationsträffar och liknande behandlas även kontaktuppgifter för att kunna administrera informationsträffen och vid sådana tillfällen kan även personuppgifter i form av bilder och filmer behandlas.
  • Om du söker jobb hos DIGG behandlas bland annat namn, personnummer och de personuppgifter som framgår av ditt personliga brev och CV.
  • De medarbetare på DIGG som behöver ta del av personuppgifterna för att utföra sitt arbete kommer att ta del av uppgifterna i den omfattning som är nödvändig. Det kan även hända att behörig personal hos samarbetspartners eller leverantörer får del av personuppgifter.
  • DIGG är en myndighet och har en skyldighet att bl.a. följa reglerna för allmänna handlingar, serviceskyldighet mellan myndigheter, myndigheters arkiv och statistik. DIGG kommer därför att behandla personuppgifterna på de sätt som krävs för att följa gällande lagstiftning. Detta innebär t.ex. att om någon begär ut en allmän handling som innehåller personuppgifter kan DIGG komma att lämna ut dessa i enlighet med offentlighetsprincipen till enskilda eller till andra myndigheter om det följer av serviceskyldighet eller bestämmelser i lag eller förordning.
  • För det fall DIGG lämnar ut personuppgifter till tredje part för att denne ska behandla personuppgifter för vår räkning ingår DIGG ett personuppgiftsbiträdesavtal med den parten för att säkerställa att personuppgifterna behandlas i enlighet med gällande dataskyddslagstiftning. Om personuppgifterna överförs till en tredje part eller leverantör utanför EU så säkerställer DIGG att mottagaren behandlar personuppgifterna på en säkerhetsnivå som motsvarar kraven i dataskyddsförordningen genom avtal eller andra förbindelser från den som mottar personuppgifterna.

DIGG behandlar personuppgifterna så länge det är nödvändigt för det syfte som de samlades in för. Som myndighet måste DIGG följa bestämmelserna i arkivlagen och dina personuppgifter kan därför komma att arkiveras och sparas i enlighet med de lagkrav som finns.

Dataskyddsförordning ger dig som registrerad flera rättigheter. Vissa av rättigheterna gäller obegränsade för personuppgiftsbehandling hos myndigheter. Andra gäller i begränsad omfattning för personuppgiftsbehandling i myndigheters verksamhet.

Nedan följer en uppräkning av vilka rättigheter du har enligt dataskyddsförordning. Du får också veta om rättigheten gäller utan begränsning.

Rätt till registerutdrag

Du har rätt att få bekräftat om DIGG behandlar personuppgifter om dig och i så fall har du också rätt att få tillgång till dem och viss information om behandlingen.

Rätt till rättelse

Du har rätt att få felaktiga personuppgifter rättade utan onödigt dröjsmål.

Rätt till radering

Du har rätt att få dina personuppgifter raderade under vissa förutsättningar, bland annat om personuppgifterna inte längre är nödvändiga för ändamålen eller har behandlats på ett olagligt sätt. Om förutsättningar är uppfyllda ska den personuppgiftsansvarige radera uppgifterna utan onödigt dröjsmål.
 
Rätten till radering är begränsad när det gäller personuppgiftsbehandling inom en myndighet eftersom myndigheten i de allra flesta fall behandlar uppgifter med stöd av bestämmelser i lag eller förordning. Myndigheten behandlar med andra ord personuppgifterna för att utföra en uppgift av allmänt intresse eller för att uppfylla en rättslig förpliktelse. Under dessa omständigheter har du inte rätt att få dina uppgifter raderade.

Rätt till begränsning av behandling

Du har rätt att kräva att personuppgiftsansvarig myndighet begränsar personuppgiftsbehandlingen under vissa förutsättningar, bland annat om personuppgifterna inte längre är nödvändiga för ändamålen, inte är korrekta eller behandlas olagligt.

Den här rättigheten skiljer sig från rätten att bli raderad eftersom det inte handlar om att radera uppgifter, utan istället om att begränsa användningen av dem. Med begränsning menas att uppgifterna markeras så att dessa i framtiden endast får behandlas för vissa avgränsade syften.

Rätt till dataportabilitet

Du har rätt att flytta personuppgifter som behandlas automatiskt från en personuppgiftsansvarig till en annan. Det gäller personuppgifter som du själv har lämnat till den personuppgiftsansvariga med stöd av samtycke eller avtal. Om det är tekniskt möjligt har du rätt att få uppgifterna överförda direkt.

Rätten till dataportabilitet är begränsad när det gäller personuppgiftsbehandling inom en myndighet eftersom behandling av personuppgifter oftast sker med stöd av andra rättsliga grunder än samtycke och avtal.

Rätt att göra invändningar

I vissa fall har du rätt att invända mot en personuppgiftsbehandling. Rätten att invända gäller bland annat när personuppgifter behandlas för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.

Om du invänder mot en behandling får den personuppgiftsansvarige endast fortsätta att behandla uppgifterna om det går att visa att det finns tvingande berättigade skäl till att uppgifterna måste behandlas som väger tyngre än den enskildes intressen, rättigheter och friheter eller om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk.

Rätt att återkalla samtycke

Om DIGG har fått ditt samtycke att behandla dina personuppgifter har du när som helst rätt att återkalla samtycket. Du återkallar lättast ditt samtycke genom att skicka e-post till dataskyddsombudet.

Om du återkallar ditt samtycke så innebär det att DIGG inte kan behandla dina personuppgifter ytterligare. Lagligheten av den personuppgiftsbehandling som skedde innan samtycket återkallades påverkas inte. Det innebär att DIGG har haft en rättslig grund att behandla personuppgifterna fram till att samtycket återkallades.

Rätt att lämna in klagomål till tillsynsmyndigheten

Du har rätt att lämna in klagomål till Datainspektionen om du anser att DIGG behandlar dina personuppgifter på ett sätt som strider mot dataskyddsförordningen.

Om du som registrerad vill utöva dina rättigheter eller har frågor om hur DIGG behandlar dina personuppgifter kan du kontakta dataskyddsombudet: dataskyddsombud@digg.se.

Personuppgiftshantering i samband med Sweden Connect (eIDAS)

Här beskrivs hur dina personuppgifter behandlas av DIGG samt den som tillhandahåller den e-tjänst där du legitimerar dig i samband med processen att ansluta till Sweden Connect

I syfte att möjliggöra för gränsöverskridande elektronisk identifiering tillhandahåller DIGG funktioner för elektronisk identifiering (Sweden Connect). Dessa funktioner består av den svenska eIDAS-noden samt ett aktörsregister.

Information lämnas i ett sammanhang både för den e-tjänsteleverantör som du besöker och för DIGG så att du som användare ska kunna överblicka vem du ska vända dig till för att få information om en viss personuppgiftsbehandling.

Behandling av ytterligare personuppgifter

För de fall e-tjänsteleverantören behandlar dina personuppgifter ytterligare, utöver vad som sker inom processen att ansluta sig till Sweden Connect, är det något som e-tjänsteleverantören ansvarar att informera dig om.

Om du som registrerad vill utöva dina rättigheter eller har frågor som rör DIGG:s behandling av dina personuppgifter kan du vända dig till myndighetens dataskyddsombud: dataskyddsombud@digg.se.

Om du som registrerad vill utöva dina rättigheter eller har frågor som rör e-tjänsteleverantörens behandling av dina personuppgifter kan du vända dig till den e-tjänsteleverantörens dataskyddsombud. Du hittar kontaktuppgifter till e-tjänsteleverantörens dataskyddsombud på dennes webbplats.

I samband med din användning av den svenska eIDAS-noden behandlas dina personuppgifter av

  • DIGG och
  • den som tillhandahåller den e-tjänst där du legitimerar dig (e-tjänsteleverantören).

Processen när du legitimerar dig med en utländsk e-legitimation i en svensk e-tjänst består, om inte annat särskilt anges, av tre led.

  1. Först behandlas dina personuppgifter av e-tjänsteleverantören. I e-tjänsten väljer du ”Foreign ID” och styrs därefter till den svenska eIDAS-noden.
  2. Därefter behandlar DIGG dina personuppgifter i den svenska eIDAS-noden. Där anger du det land där den e-legitimation som du ska använda är utfärdad. Du styrs sedan till det landets eIDAS-nod. Efter behandlingar i utlandet mottar den svenska eIDAS-noden ett identitetsintyg för dig, kontrollerar att intyget är äkta och översänder det i rätt format till leverantören av den e-tjänst du besöker.
  3. Slutligen mottar e-tjänsteleverantören ett identitetsintyg med dina personuppgifter. Mottagaren kontrollerar intyget och använder det t.ex. för att släppa in dig eller i en underskriftstjänst.

E-tjänsteleverantören är personuppgiftsansvarig för de behandlingar av dina personuppgifter som utförs i e-tjänsten.

DIGG är personuppgiftsansvarig för de behandlingar av dina personuppgifter som utförs i den svenska eIDAS-noden. DIGG är även personuppgiftsansvarig för behandlingen i aktörsregistret, men där behandlas inte dina personuppgifter. De enda personuppgifter som förekommer där är vissa kontaktuppgifter till e-tjänstleverantörerna.

Dina personuppgifter lämnas av e-tjänsteleverantören till DIGG när du vill använda en utländsk e-legitimation. I detta led behandlas endast din IP-adress.

DIGG lämnar därefter dina personuppgifter till berörd utländsk eIDAS-nod. När DIGG mottagit ett identitetsintyg för dig från mottagarlandets nod, lämnar DIGG dina personuppgifter till e-tjänsteleverantören av den e-tjänst du besöker. De personuppgifter som behandlas i detta led utöver IP-adress, är de som framgår av identitetsintyget (till exempel namn, födelsedatum och identitetsbeteckning) eller uppkommer till följd av säkerhetskontroller. Dina personuppgifter kan också lämnas till en leverantör av en underskriftstjänst eller till en annan förlitande part för identitetskontroll eller äkthetskontroll av en elektroniskt underskriven handling.

I de tjänster som beskrivs ovan behandlas dina personuppgifter för följande ändamål:

  • För kommunikation och för hantering av identitetsintyg och anknytande funktioner.
  • För identitetskontroll och för elektronisk underskrift.
  • För att säkerställa att en e-tjänst eller Sweden Connect inte missbrukas eller används i strid mot regler i författning eller avtalsvillkor.
  • För att möjliggöra support när användare eller leverantör av e-tjänst behöver hjälp, till exempel för att utreda en misstanke om fel i dessa funktioner eller missbruk av dem.
  • Om det krävs för incidentrapportering, internationellt samarbete mellan medlemsstater eller annars enligt de regler som gäller enligt EU-förordning eller Europeiska kommissionens genomförandebeslut.

Den rättsliga grunden för dessa behandlingar är att de är nödvändiga för att utföra en rättslig förpliktelse, en uppgift av allmänt intresse eller som ett led i myndighetsutövning samt för att fullgöra ett avtal där du är part.

  • De medarbetare på DIGG som behöver ta del av personuppgifterna för att utföra sitt arbete kommer att ta del av uppgifterna i den omfattning som är nödvändig. Dina personuppgifter kan också lämnas till en leverantör av en underskriftstjänst eller till en annan förlitande part för identitetskontroll eller äkthetskontroll av en elektroniskt underskriven handling.
  • DIGG och den e-tjänsteleverantören som är en myndigheter och har en skyldighet att bl.a. följa reglerna för allmänna handlingar, serviceskyldighet mellan myndigheter, myndigheters arkiv och statistik. DIGG och den e-tjänsteleverantören som är en myndighet kommer därför att behandla personuppgifterna på de sätt som krävs för att följa gällande lagstiftning. Detta innebär t.ex. att om någon begär ut en allmän handling som innehåller personuppgifter kan DIGG eller den e-tjänsteleverantören som är en myndighet komma att lämna ut dessa i enlighet med offentlighetsprincipen till enskilda eller till andra myndigheter om det följer av serviceskyldighet eller bestämmelser i lag eller förordning.
  • För det fall DIGG eller den e-tjänstleverantören lämnar ut personuppgifter till tredje part för att denne ska behandla personuppgifter för vår räkning ingår DIGG eller e-tjänstleverantören ett personuppgiftsbiträdesavtal med den parten för att säkerställa att personuppgifterna behandlas i enlighet med gällande dataskyddslagstiftning. Om personuppgifterna överförs till en tredje part eller leverantör utanför EU så säkerställer DIGG eller e-tjänstleverantören att mottagaren behandlar personuppgifterna på en säkerhetsnivå som motsvarar kraven i dataskyddsförordningen genom avtal eller andra förbindelser från den som mottar personuppgifterna.

DIGG lagrar dina personuppgifter i den svenska eIDAS-noden endast så att det vid en incident går att rekonstruera ordningsföljden i utbytet av meddelanden. Denna lagring sker under en kortare tid för omedelbart felsökningsbehov.

E-tjänsteleverantören lagrar dina personuppgifter så länge det krävs E-tjänsteleverantören ska kunna visa vem som legitimerat sig eller vem som skrivit under en handling.

Dataskyddsförordning ger dig som registrerad flera rättigheter. Vissa av rättigheterna gäller obegränsade för personuppgiftsbehandling hos myndigheter. Andra gäller i begränsad omfattning för personuppgiftsbehandling i myndigheters verksamhet.
 
Nedan följer en uppräkning av vilka rättigheter du har enligt dataskyddsförordning. Du får också veta om rättigheten gäller utan begränsning.

Rätt till registerutdrag

Du har rätt att få bekräftat om den personuppgiftsansvariga behandlar personuppgifter om dig och i så fall har du också rätt att få tillgång till dem och viss information om behandlingen.

Rätt till rättelse

Du har rätt att få felaktiga personuppgifter rättade utan onödigt dröjsmål.

Rätt till radering

Du har rätt att få dina personuppgifter raderade under vissa förutsättningar, bland annat om personuppgifterna inte längre är nödvändiga för ändamålen eller har behandlats på ett olagligt sätt. Om förutsättningar är uppfyllda ska den personuppgiftsansvarige radera uppgifterna utan onödigt dröjsmål.

Rätten till radering är begränsad när det gäller personuppgiftsbehandling inom en myndighet eftersom myndigheten i de allra flesta fall behandlar uppgifter med stöd av bestämmelser i lag eller förordning. Myndigheten behandlar med andra ord personuppgifterna för att utföra en uppgift av allmänt intresse eller för att uppfylla en rättslig förpliktelse. Under dessa omständigheter har du inte rätt att få dina uppgifter raderade.

Rätt till begränsning av behandling

Du har rätt att kräva att personuppgiftsansvarig myndighet begränsar personuppgiftsbehandlingen under vissa förutsättningar, bland annat om personuppgifterna inte längre är nödvändiga för ändamålen, inte är korrekta eller behandlas olagligt.

Den här rättigheten skiljer sig från rätten att bli raderad eftersom det inte handlar om att radera uppgifter, utan istället om att begränsa användningen av dem. Med begränsning menas att uppgifterna markeras så att dessa i framtiden endast får behandlas för vissa avgränsade syften.

Rätt till dataportabilitet

Du har rätt att flytta personuppgifter som behandlas automatiskt från en personuppgiftsansvarig till en annan. Det gäller personuppgifter som du själv har lämnat till den personuppgiftsansvariga med stöd av samtycke eller avtal. Om det är tekniskt möjligt har du rätt att få uppgifterna överförda direkt.

Rätten till dataportabilitet är begränsad när det gäller personuppgiftsbehandling inom en myndighet eftersom behandling av personuppgifter oftast sker med stöd av andra rättsliga grunder än samtycke och avtal.

Rätt att göra invändningar

I vissa fall har du rätt att invända mot en personuppgiftsbehandling. Rätten att invända gäller bland annat när personuppgifter behandlas för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.

Om du invänder mot en behandling får den personuppgiftsansvarige endast fortsätta att behandla uppgifterna om det går att visa att det finns tvingande berättigade skäl till att uppgifterna måste behandlas som väger tyngre än den enskildes intressen, rättigheter och friheter eller om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk.

Rätt att återkalla samtycke

Om den personuppgiftsansvariga har fått ditt samtycke att behandla dina personuppgifter har du när som helst rätt att återkalla samtycket. Du återkallar lättast ditt samtycke genom att skicka e-post till dataskyddsombudet hos den som är personuppgiftsansvarig för den aktuella behandlingen.

Om du återkallar ditt samtycke så innebär det att den personuppgiftsansvariga inte kan behandla dina personuppgifter ytterligare. Lagligheten av den personuppgiftsbehandling som skedde innan samtycket återkallades påverkas inte. Det innebär att den personuppgiftsansvariga har haft en rättslig grund att behandla personuppgifterna fram till att samtycket återkallades.

Rätt att lämna in klagomål till tillsynsmyndigheten

Du har rätt att lämna in klagomål till Datainspektionen om du anser att den personuppgiftsansvariga behandlar dina personuppgifter på ett sätt som strider mot dataskyddsförordningen.

Om du som registrerad vill utöva dina rättigheter eller har frågor om hur DIGG behandlar dina personuppgifter kan du kontakta dataskyddsombudet enligt kontaktuppgifterna ovan.

Om du vill utöva din rättigheter eller har frågor om hur e-tjänsteleverantören behandlar dina personuppgifter kan du kontakta dennes dataskyddsombud.

Dokument och länkar

Du hittar mer information om dataskyddsförordningen på Datainspektionens webbplats.