Webbpublicering av protokoll och diarier

Checklista för kommuner och landsting

Många kommuner och landsting väljer att publicera protokoll och diarier på sina webbplatser. Enligt offentlighetsprincipen finns det ingen skyldighet att publicera den här typen av information på internet. Det innebär i sin tur att personuppgiftslagens regler måste följas.

För att underlätta för kommuner och landsting har Datainspektionen tagit fram den här checklistan som kort sammanfattar några av de viktigaste punkterna vid webbpublicering av protokoll och diarier. För att minimera risken för att publicera personuppgifter i strid med personuppgiftslagen är det också viktigt att ta fram skriftliga instruktioner för hanteringen av personuppgifter. I detta sammanhang kan också nämnas att ett frivilligt utgivningsbevis inte undantar kommunen/landstinget från att följa personuppgiftslagen.

Utse ansvariga personer

Kommunen eller landstinget bör utse en eller ett fåtal personer som på övergripande nivå ansvarar för webbpubliceringen. De måste bland annat säkerställa att det tas fram skriftliga rutiner och riktlinjer för webbpubliceringen. Själva publiceringen av material på webben kan sedan utföras av anställda som tilldelats behörighet för uppdraget och fått relevant utbildning.

Ta fram skriftliga rutiner och riktlinjer

Rutinerna för webbpublicering bör vara skriftliga, tydliga och lättillgängliga samt omfatta följande punkter:

Vem har ansvar?

I rutinerna ska det framgå vem som:

  • har det övergripande ansvaret på organisatorisk nivå för webbpubliceringen
  • ska bedöma vilka personuppgifter som får publiceras på webben
  • ansvarar för att ta bort personuppgifter från webben.

Hur kontrolleras personuppgifterna före publicering?

Innan man publicerar handlingar som kan innehålla personuppgifter måste de kontrolleras. De skriftliga rutinerna måste därför innehålla beskrivningar av:

  • hur man ska maskera känsliga, integritetskänsliga eller sekretessbelagda uppgifter
  • hur man ska hantera personuppgifter i länkade dokument
  • hur man ska använda standardformuleringar för vanligt förekommande ärendeslag i webbdiarier.

Informera de registrerade och ta bort uppgifter

I rutinerna ska också följande anges:

  • hur man ska informera de registrerade om att deras personuppgifter publiceras på webben
  • hur länge dokumenten eller uppgifterna ska finnas tillgängliga på webben.

Avgör om uppgifterna får publiceras eller inte

Detta får publiceras på webben

Tjänstemän och förtroendevalda politikers personuppgifter får publiceras om uppgifterna har samband med deras tjänsteutövning eller uppdrag. Sådana personuppgifter kan till exempel vara namn, politisk tillhörighet, uppgift om ansvarig handläggare för inkommet ärende eller liknande information. Om en sådan person däremot förekommer i något annat sammanhang till exempel i ett personalärende eller som privatperson gäller samma regler som för övrig publicering.

Direkt utpekande personuppgifter rörande enskilda, till exempel namn, får publiceras bara om dessa och övriga publicerade uppgifter, enskilt eller sammantaget, inte kan antas leda till att den registrerades personliga integritet kränks. Sådana personuppgifter får därför inte publiceras i kombination med information som är integritetskänslig, rör lagöverträdelser eller omfattas av sekretess eller tystnadsplikt. Även personuppgifter som enskilt betraktas som harmlösa kan vid en publicering på webben komma att anses som kränkande.

För publicering av övriga personuppgifter får en så kallad intresseavvägning avgöra i det enskilda fallet. Vid en sådan bedömning ska kommunen eller landstingets intresse av att publicera personuppgifter om enskilda på sin webbplats vägas mot den enskildes intresse av en fredad och privat sfär.

Detta får inte publiceras på webben

  • Känsliga personuppgifter (uppgift om ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör hälsa och sexualliv) om det inte finns ett samtycke från den registrerade eller om denne själv på ett tydligt sätt offentliggjort uppgifterna, till exempel en politisk tjänsteman på en blogg
  • Uppgifter som omfattas av sekretessbestämmelser till skydd för enskilds personliga förhållanden eller tystnadsplikt
  • Integritetskänslig information till exempel uppgifter om enskildes personliga förhållanden eller sådant som har en nära koppling till den enskildes privata sfär
  • Personnummer eller samordningsnummer
  • Uppgift om lagöverträdelse

Informera de registrerade

När man publicerar personuppgifter i ett webbdiarium bör man lämna information om personuppgiftsbehandlingen i anslutning till diariet. När man publicerar personuppgifter i ett protokoll rekommenderar Datainspektionen att lämpliga rutiner för hur man ska informera tas fram för såväl tjänstemän och förtroendevalda politiker som för enskilda. Informationen ska innehålla uppgift om vem som är personuppgiftsansvarig, ändamålen med behandlingen samt all övrig information som behövs för att den registrerade ska kunna tillvarata sina rättigheter.

Tiilbaka till e-förvaltning

Mer information

Publicering på Internet
Intresseavvägning
Information till de registrerade

Dokument

Läs sidan i pdf-format

Informationen på denna sida finns även i pdf-format.

Beställ som informationsblad

Du kan också beställa texten på den här sidan som ett tryckt informationsblad. Besök vår beställningstjänst.