Så behandlar vi dina personuppgifter

SMHI är personuppgiftsansvarig för den behandling av personuppgifter som görs på denna webbplats och på andra sätt i vår verksamhet. Som personuppgiftsansvarig är SMHI ansvarig för att hanteringen sker i enlighet med gällande lagar och regler. Vidare har SMHI i egenskap av personuppgiftsansvarig skyldigheter gentemot den vars personuppgifter vi behandlar.

Laglig grund för hantering av dina personuppgifter

All behandling av personuppgifter som görs av SMHI sker med stöd av lag. Vi behandlar inga personuppgifter utan att rättslig grund finns för behandlingen i fråga. Vidare ska det finnas ett tydligt ändamål angivet för behandlingen. På vår hemsida beskriver vi generellt hur SMHI ser på rättslig grund för olika slags behandling men vi kan även komma att informera om detsamma i samband med att personuppgifter samlas in.

SMHI ansvarar för att tillse att de personuppgifter vi behandlar är korrekta och uppdaterade och att uppgifterna är relevanta i förhållande till ändamålet för behandlingen.

Som statlig myndighet har vi en skyldighet enligt lag att bevara information om vår verksamhet inför framtiden, vilket gör att vi i de fall när information arkiveras sparar dina personuppgifter i vårt arkiv. All arkivering sker i enlighet med regler och riktlinjer för arkivering och gallring.

Som myndighet har vi att utföra ett uppdrag av allmänt intresse, vilket utgör grund för behandling av nödvändiga personuppgifter för att kunna fullgöra detta uppdrag. Uppdrag av allmänt intresse beskrivs i Dataskyddslagen såsom allt en myndighet har att fullgöra i enlighet med lag eller instruktion, men även uppdrag som myndigheten åtar sig på frivillig basis om myndigheten anser att det faller inom ramen för den allmänna uppgift man ska fullgöra. Som exempel kan här nämnas det som står i Sveriges grundlagar om myndigheter, myndighetsförordningen, förvaltningslagen, offentlighets- och sekretesslagen, SMHIs instruktion, SMHIs regleringsbrev som vi får till oss årligen, aktiviteter arrangerade av SMHI för att sprida kunskap om våra expertområden meteorologi, klimatologi, hydrologi och oceanografi.

SMHI bedriver också affärsverksamhet vilket särskilt framgår av SMHIs instruktion. Det innebär att de åtgärder som vidtas inom affärsverksamheten också kan betraktas såsom nödvändiga för att fullgöra en uppgift av allmänt intresse. De behandlingar av personuppgifter som utförs inom ramen för SMHIs affärsverksamhet kan också vara nödvändiga för att fullgöra det avtal som SMHI ingått med sin kund.

Vidare så bedriver SMHI tillämpad forskning inom ramen för sitt verksamhetsområde och får härigenom behandla de personuppgifter som är nödvändiga för att bedriva forskning av allmänt intresse.

Dataskyddslagstiftningen och offentlighetsprincipen

I GDPR regleras det huvudsakliga skyddet för personuppgifter, men det finns även nationell lagstiftning som kompletterar densamma i EUs medlemsländer. I Sverige heter den kompletterande lagstiftningen lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (Dataskyddslagen). Vidare finns det nationella bestämmelser som tillsammans utgör Offentlighetsprincipen, nämligen grundlagarna yttrandefrihetsgrundlagen och tryckfrihetsförordningen i kombination med Offentlighets- och sekretesslagen (2009:400) OSL som reglerar utlämnande av allmänna handlingar. Offentlighetsprincipen påverkas inte av GDPR, mer än att utlämning av allmänna handlingar som innehåller personuppgifter kan vägras om man kan anta att en utlämning skulle medföra att personuppgifterna kommer att hanteras i strid med GDPR (21 kap 7 § OSL).

Så skyddas dina personuppgifter

Som statlig myndighet har SMHI exempelvis MSB:s föreskrift (MSBFS 2016:1) att efterleva när det gäller informationssäkerhet.

MSBFS 2016:1 föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet

Det som vi på SMHI arbetar med för att skydda dina data är att se till att rätt personer har tillgång till rätt information vid rätt tillfälle. Bland annat kan detta röra sig om tekniska lösningar för skydd mot skadlig kod, men det kan även röra sig om utbildning av vår personal i hantering av personuppgifter.

Vi arbetar systematiskt med detta sedan många år, och vi revideras med jämna mellanrum av en extern aktör för att få en kvittens på att rätt säkerhetsnivå hålls.