1. Personuppgiftsansvarig
Nationalmuseum
Box 16176
103 24 STOCKHOLM
Telefon: +46(0)8 519 543 00
E-post: registrator@nationalmuseum.se
Organisationsnummer 202100-1108
2. Sammanfattning
Myndigheten Nationalmuseum ansvarar för behandling av personuppgifter inom sin verksamhet.
Hanteringen av personuppgifter sker i enlighet med dataskyddsförordningen, Europaparlamentets och rådets förordning (EU 2016/679).
EU-förordningen bestämmelser om GDPR kompletteras av dataskyddslagen (2018:218)
- Syftet med behandling av personuppgifter måste alltid redovisas.
- Behandlingen måste ha rättslig grund.
- Endast de personuppgifter som behövs för ändamålet får behandlas.
- En myndighet får behandla personuppgifter utan samtycke när det krävs för fullgörande av lagstadgad myndighetsutövning.
3. Insamling av uppgifter
- Personuppgifterna ska samlas in för specifika, uttryckligt angivna och berättigade ändamål.
- Personuppgifter som samlas in ska vara adekvata och relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.
- Personuppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.
- Personuppgifterna ska inte sparas längre än vad som är nödvändigt för ändamålet.
- Personuppgifterna ska behandlas på ett sätt som säkerställer en lämplig säkerhetsnivå innefattande skydd mot obehörigt nyttjande och förlust.
- Hantering av personuppgifter enligt GDPR ska alltid säkerställas vid upphandling och utveckling av IT-lösningar och tjänster och vara en del i kravspecifikation och eventuella avtal.
4. Användning av personuppgifter
4.1 Rättslig grund
Behandling av personuppgifter måste ha stöd i någon av följande sex rättsliga grunder;
1. Samtycke
Medgivande av personuppgiftsbehandling.
2. Avtal
Vid upprättande av eller inför ingång av avtal med personuppgiftsansvarig.
3. Rättslig förpliktelse
Lag/regelkrav på den personuppgiftsansvariga att behandla vissa personuppgifter i sin verksamhet.
4. Skydd av grundläggande intresse
Behandling av personuppgifter om det är nödvändigt för att rädda liv (gäller främst inom vården).
5. Myndighetsutövning och uppgift av allmänt intresse
Behandling av personuppgifter för att utföra myndighetsuppgifter eller för att utföra en uppgift av allmänt intresse.
6. Intresseavvägning
Behandling av personuppgifter om den personuppgiftsansvarigas intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet. Med intresseavvägning som rättslig grund får personuppgifter lämnas till annan som har ett berättigat intresse.
4.2 Ändamål
Nationalmuseum samlar in och behandlar personuppgifter för följande ändamål:
Tillhandahållande av varor och tjänster
Nationalmuseum använder personuppgifter när det krävs för att tillhandahålla varor och tjänster. För detta ändamål samlas företagsuppgifter, kontaktuppgifter och ärendeuppgifter som namn, person- eller organisationsnummer, adressuppgifter, e-post, telefonnummer med mera in för att kunna genomföra museets leverans/ärende/uppdrag.
Laglig grund: Samtycke och uppgift av allmänt intresse
Avtal
Nationalmuseum behandlar personuppgifter i samband med upprättande av avtal mellan kund, leverantör eller privatperson.
Laglig grund: Avtal
Allmänna handlingar: Brev, e-post och sms
Inkommande brev, e-post, och sms utgör vanligtvis allmänna handlingar. Allmänna handlingar regleras i offentlighets- och sekretesslagen (2009:400) och kan därmed komma att lämnas ut och/eller sparas/arkiveras.
Personuppgifter i allmänna handlingar hos myndigheter får lämnas ut med stöd av den nationella lagstiftningen om de inte omfattas av sekretess. Enligt arkivlagen till exempel är det tillåtet att behandla personuppgifter för att uppfylla lagkraven gällande bevarande av allmänna handlingar.
Se 5.3. Lagring av personuppgifter
Laglig grund: Rättslig förpliktelse
Myndighetsutövning
Nationalmuseum behandlar personuppgifter och ärendeuppgifter vid myndighetsutövning avseende beslut i export- och utförselärenden.
Laglig grund: Myndighetsutövning
Marknadsföring
Nationalmuseum använder personuppgifter (namn och e-postadress) för anpassad/riktad marknadsföring, bland annat i museets nyhetsbrev.
Laglig grund: Samtycke och uppgift av allmänt intresse
Webbplats och sociala medier
Nationalmuseum samlar in cookies och spårningspixlar vid användning av myndighetens webbplats och digitala medier för att sammanställa statistik och analysera användningen av museets tjänster och besök i syfte att förbättra verksamheten och utveckla de digitala plattformarna.
Laglig grund: Samtycke och uppgift av allmänt intresse
Museiuppdrag
Nationalmuseum behandlar personuppgifter i den mån det krävs för att fullgöra myndighetens uppdrag som bland annat omfattar att tillgängliggöra, ordna och utforska museets samlingar.
I uppdraget för tillgängliggörande ingår registrering i myndighetens föremålssamlingsdatabas av personuppgifter kopplade till föremål utförda av nu levande konstnärer. Uppgifterna, som är tillgängliga via museets webbsida, är inriktade på konstnärens yrkesverksamhet med information av encyklopedisk karaktär.
Laglig grund: Myndighetsutövning och uppgift av allmänt intresse
Dokumentation av myndighetens verksamhet
Dokumentation av Nationalmuseums verksamhet för att möjliggöra framtida forskning och tillgängliggöra samlingarna utgör en viktig del i myndighetens uppdrag. I samband med dokumentation av verksamheten behandlas fotografier, bilder och videoupptagningar. I de fall dokumenterad verksamhet omfattar barn upp till och med 18 år sker detta endast med vårdnadshavares uttryckliga samtycke.
Laglig grund: Samtycke, myndighetsutövning och uppgift av allmänt intresse
Rekrytering
Vid rekrytering behandlar Nationalmuseum personuppgifter som är nödvändiga för att kunna bedöma om en sökande är lämplig för en viss tjänst vid myndigheten. Personuppgifter i en ansökan, anteckningar från intervju och från referenser behandlas så länge som de är nödvändiga för ansökningsförfarandet.
Efter att befattningen tillsatts sparas uppgifterna i enlighet med Arkivlagen och gallras därefter.
Adekvata tekniska och organisatoriska säkerhetsåtgärder vid myndigheten skyddar personuppgifterna mot obehörig åtkomst, användning, ändring, förstörelse eller förlust.
Laglig grund: Intresseavvägning och myndighetsutövning
Bevakning
I syfte att säkerställa säkerheten för besökare, personal och föremål använder sig Nationalmuseum av kamerabevakning. I samband med detta behandlas personuppgifter i form av fotografier, bilder och videoupptagningar för att förebygga, förhindra, upptäcka brott eller medverka till utredning av brott.
Film från kamerabevakning bevaras i högst två månader.
Laglig grund: Myndighetsutövning och uppgift av allmänt intresse samt intresseavvägning
Trådlöst nätverk
Nationalmuseum hanterar de uppgifter som krävs för att kunna tillhandahålla anslutning till trådlöst nätverk för anställda, besökare och leverantörer, till exempel uppgifter om MAC-adress, IP-nummer och enhetsnamn.
Uppgifterna bevaras i högst en månad.
Laglig grund: Samtycke och uppgift av allmänt intresse
5. Hantering av personuppgifter
5.1 Skydd av personuppgifter
Nationalmuseum ansvarar för att all behandling av personuppgifter skyddas av lämpliga tekniska och organisatoriska åtgärder. Åtgärderna ska vara sådana att de säkerställer en säkerhetsnivå som är lämplig i förhållandet till risken med behandlingen.
5.2 Utlämnande av personuppgifter
Nationalmuseum lämnar ut personuppgifter till tredje part i den mån det krävs för att uppfylla myndighetens åtaganden i enlighet med gällande lag.
I de fall underentreprenörer anlitas för att behandla personuppgifter tillser Nationalmuseum att personuppgifterna hanteras i enlighet med dataskyddsförordningen genom upprättande av personuppgiftsbiträdesavtal med underleverantören.
Personuppgifter kan, om de är allmänna handlingar, komma att lämnas ut på begäran om de inte omfattas av sekretess enligt OSL, offentlighets -och sekretesslagen (2009:400).
Personuppgifter kan också lämnas ut till andra statliga myndigheter som Polisen eller Skatteverket.
5.3 Lagring av personuppgifter
Nationalmuseum lagrar personuppgifter så länge det är nödvändigt för att uppfylla det ändamål för vilket
informationen samlats in eller så länge det krävs enligt exempelvis arkivlag och bokföringsförordning.
I allmänna handlingar hanteras personuppgifter i enlighet med vad som gäller enligt Tryckfrihetsförordningen
(1949:105), arkivlagen (1990:782) samt Riksarkivets föreskrifter.
6. Rättigheter
Dataskyddsförordningen ger den enskilde rätt att:
- begära rättelse av personuppgifter om de är felaktiga, ofullständiga eller missvisande med rätt att begränsa behandlingen av personuppgiften till dess att dessa rättats.
- invända mot direktreklam och när som helst dra tillbaka sitt samtycke för behandling av personuppgifter, vilket i förekommande fall gäller behandling av personuppgifter fr.o.m. den tidpunkt då samtycket dragits tillbaka.
- begära att personuppgifter raderas om de inte längre behövs för ändamålet om detta inte strider mot lag (till exempel arkivlag), myndighets- eller domstolsbeslut eller det allmännas intresse.
- få tillgång till uppgifter kostnadsfritt och i ett läsbart format
Frågor om eller klagomål på Nationalmuseums behandling av personuppgifter kan ställas till myndighetens dataskyddsombud dataskyddsombud@nationalmuseum.se .
Brister i behandling av personuppgifter kan också framföras till Integritetsskyddsmyndigheten https://www.imy.se/.
En policy ska fungera som vägledare för myndighetens agerande, visa myndighetens ståndpunkt och ange den långsiktiga och övergripande målsättningen i första hand utifrån myndighetens uppdrag.
Föreliggande dokument omfattar även riktlinjer för policyns målsättning.