Integritetspolicy
Allmänt
Nordiska ministerrådets sekretariat (NMRS) anser sig vara omfattat av dataskyddsförordningen (EU-förordning nr. 2016/679 av den 27 april 2016) som ett offentligrättsligt organ vilket i egenskap av personuppgiftsansvarig behandlar personuppgifter om registrerade fysiska personer. Då NMRS har sitt domicil i Danmark avser NMRS därtill att behandla personuppgifter enligt den danska dataskyddslagen (databeskyttelsesloven, lovbekendtgørelse nr. 289 af 8. marts 2024).
NMRS har inrättats av de nordiska ländernas regeringar för att understödja de nordiska regeringarnas samarbete i Nordiska ministerrådet, vilket har inrättats genom samarbetsöverenskommelse mellan Danmark, Finland, Island, Norge och Sverige av den 23 mars 1962 (Helsingforsavtalet). NMRS behandlar personuppgifter för att kunna utföra detta uppdrag, både i kontakt med externa aktörer och i sekretariatets interna administration, där NMRS fungerar som arbetsgivare.
När NMRS behandlar personuppgifter sker det med stöd av lag. Behandlingen är alltid begränsad till vad som är nödvändigt i förhållande till det konkreta syftet med behandlingen.
Denna integritetspolicy innehåller närmare information om den behandling av personuppgifter som NMRS är ansvarig för i egenskap av personuppgiftsansvarig. Genom att hänvisa till denna integritetspolicy med länkar och liknande avser NMRS att uppfylla de krav som ställs i dataskyddsförordningen om tillhandahållande av information till den registrerade.
Vems personuppgifter behandlar vi?
NMRS behandlar personuppgifter om fysiska personer
- som deltar i det nordiska samarbetet i egenskap av representanter för regeringar, myndigheter och andra organisationer eller som privatpersoner. Det gäller t.ex. personer som deltar i möten och sammankomster som NMRS genomför, administrerar eller understödjer, eller som har kontakt med NMRS t.ex. med frågor som berör ministerrådets verksamhet eller för att ta del av offentliga dokument,
- som erbjuder, eller lämnar anbud om, att sälja varor eller tjänster för Nordiska ministerrådets verksamhet eller aktiviteter i egenskap av representanter för organisationer, företag eller som privatpersoner,
- som är anställda eller uppdragstagare vid NMRS och i vissa fall anställdas familjemedlemmar och/eller anhöriga, liksom personer som ansöker om anställning vid NMRS,
- som lämnar eller rapporterar information till NMRS visselblåsarfunktion eller som omnämns i eller berörs av sådan information eller rapport,
- som besöker NMRS lokaler i Nordens hus i Köpenhamn.
Vilka personuppgifter behandlar vi?
”Personuppgifter” är all information som ensamt eller tillsammans med annan tillgänglig information kan användas för att identifiera en fysisk person. Det kan vara information som namn, adress, telefonnummer, nationalitet och personnummer/CPR-nummer. Det kan även vara annan information som kan identifiera personen eller göra personen identifierbar, t.ex. IP-adresser, inloggningsinformation eller information som kan lokalisera personen geografiskt.
NMRS behandlar huvudsakligen allmänna personuppgifter, som namn och kontaktuppgifter och, när det är relevant, bilder eller filmer tagna i sammanhang som är representativa för Nordiska ministerrådets arbete eller som producerats som ett led i en rekryteringsprocess. Sådana personuppgifter behandlas med stöd av dataskyddsförordningen artikel 6.
Inom ramen för NMRS uppdrag som arbetsgivare behandlas också de särskilda kategorier av personuppgifter som omnämns i dataskyddsförordningen artikel 9, t.ex. information om hälsa och fackföreningsmässig tillhörighet. NMRS behandlar även personuppgifter som enligt dansk dataskyddslagstiftning betraktas som förtroliga, dvs. personnummer/CPR-nummer. Det kan även förekomma att dessa särskilda kategorier av personuppgifter behandlas i andra sammanhang, t.ex. vid administration av NMRS visselblåsarfunktion.
Varför behandlar vi personuppgifter – med vilket syfte?
NMRS behandlar personuppgifter för att kunna kommunicera med relevanta aktörer inom ramen för sitt uppdrag att understödja de nordiska regeringarnas samarbete i Nordiska ministerrådet. I detta sammanhang behandlar NMRS personuppgifter t.ex. för att kunna administrera möten och aktiviteter inom ramen för det nordiska samarbetet och därvid bland annat registrera deltagare och kontrollera distributionen av mötesmaterial.
Behandlingen av personuppgifter är också nödvändig för att tillgodose ett allmänt intresse av att förmedla information om Nordiska ministerrådets arbete och att tillgodose konkreta önskemål från allmänheten om att ta del av information och innehållet i offentliga handlingar.
NMRS behandlar också personuppgifter för att kunna administrera ansökningar om finansiellt stöd från den nordiska budgeten och för att kunna genomföra inköp av de varor och tjänster som Nordiska ministerrådet behöver för sin verksamhet.
NMRS behandlar även personuppgifter för att kunna bedriva sin verksamhet och att utöva sitt ansvar som arbetsgivare, och därvid bl.a. för att kunna fastställa arbetstagarens rättigheter i förhållande till Nordiska ministerrådets personalreglemente. NMRS behandlar också personuppgifter för att kunna administrera Nordiska ministerrådets visselblåsarfunktion med syftet att utreda eventuella olagligheter eller avvikelser i Nordiska ministerrådets verksamhet.
Med vilken rättslig grund behandlar vi personuppgifter?
NMRS är ett offentligrättsligt organ som inrättats av de nordiska ländernas regeringar för att understödja samarbetet i Nordiska ministerrådet. Den rättsliga grunden för NMRS behandling av personuppgifter är därför i många fall utförandet av en uppgift i allmänt intresse, dvs. dataskyddsförordningens artikel 6.1 e). Det gäller t.ex. när NMRS kommunicerar med samarbetspartners och med allmänheten eller när NMRS administrerar möten och sammankomster inom ramen för Nordiska ministerrådets verksamhet. Det kan också vara när NMRS administrerar ansökningar om finansiellt stöd eller begäran om att ta del av offentliga handlingar enligt Nordiska ministerrådets offentlighetsregler. Det kan också vara då NMRS behandlar upplysningar som lämnats till NMRS visselblåsarfunktion.
I vissa fall kan behandlingen även ske för ett ändamål som berör NMRS berättigade intresse, dvs. enligt dataskyddsförordningen artikel 6.1 f). Det kan t.ex. vara då NMRS behandlar personuppgifter om leverantörer av varor och tjänster som NMRS kan komma att använda, eller i vissa fall då NMRS behandlar information om sina anställda och deras familjemedlemmar. Personuppgifter kan behandlas enligt denna bestämmelse om NMRS intresse anses väga tyngre än den identifierade personens intresse av och rätt till att personuppgifterna inte behandlas.
När NMRS behandlar personuppgifter i samband med inköp av varor och tjänster sker detta med stöd av artikel 6.1. b) för fullgörandet av ett avtal som den registrerade är part i (t.ex. en leverantör och avtalspart), eller för att vidta åtgärder på uppdrag av den registrerade innan ett sådant avtal ingås (t.ex. en anbudsgivare vid ett av NMRS genomfört inköp). Denna bestämmelse kan också vara den rättsliga grunden för NMRS behandling av personuppgifter om sina anställda och om personer som ansöker om anställning i NMRS.
I vissa fall behandlar NMRS förtroliga personuppgifter som t.ex. personnummer/CPR-nummer och de särskilda kategorier av personuppgifter som omnämns i dataskyddsförordningen artikel 9, t.ex. information om hälsa och fackföreningstillhörighet. När NMRS behandlar sådan information i sin funktion som arbetsgivare sker behandlingen med stöd i dataskyddsförordningen artikel 9.1 b) med anledning av rättigheter och skyldigheter inom arbetsrätt och social trygghet och 9.1 f) gällande rättsliga anspråk. Om sådan information lämnas till NMRS visselblåsarfunktion behandlas den med stöd av artikel 9.1 g) av hänsyn till ett viktigt allmänintresse på grundval av EU-rätt eller nationell rätt. Behandling av personuppgifter som behövs för att behandla information eller rapporter som lämnats till NMRS visselblåsarfunktion sker med stöd av § 22 i den danska lagen för skydd av visselblåsare (Lov om beskyttelse af whistleblowere, lovbekendtgørelse nr. 1436 af 29. juni 2021). Behandlingen av personnummer/CPR-nummer sker med stöd av den danska databeskyttelsesloven § 7 st. 2 och § 11 st. 2 p. 1 och p. 4.
Varifrån kommer de personuppgifterna?
NMRS samlar normalt in personuppgifter från den person som uppgifterna berör eller i vissa fall från andra personer med anknytning till personen, t.ex. familjemedlemmar eller anhöriga. NMRS insamlar också personuppgifter från tredje part som kan vara en organisation eller en privatperson. Upplysningarna kan också komma från en offentlig myndighet.
Till vem lämnar vi vidare personuppgifter?
NMRS kan i vissa fall lämna vidare personuppgifter till tredje part. NMRS lämnar endast vidare personuppgifter när det finns lagligt stöd för att göra det.
NMRS kan lämna vidare personuppgifter till de aktörer NMRS samarbetar med i sitt uppdrag att stödja Nordiska ministerrådets arbete. Det kan vara departement och myndigheter i de nordiska länderna, de samnordiska institutionerna eller andra organisationer.
NMRS kan i vissa fall lämna vidare personuppgifter till den som ber att få ta del av offentliga handlingar enligt Nordiska ministerrådets regler om offentlighet.
NMRS lämnar vidare personuppgifter till nationella myndigheter när en sådan förpliktelse följer av lag eller när det följer av ett berättigat intresse hos NMRS eller hos den person som personuppgifterna berör.
Därutöver lämnar NMRS vidare personuppgifter till sina databehandlare (t.ex. IT-leverantörer).
Hur länge lagrar vi personuppgifter?
NMRS lagrar personuppgifter så länge personuppgifterna behövs för det eller de ändamål som personuppgifterna har insamlats och behandlas.
NMRS fastställer interna riktlinjer för lagring av personuppgifter enligt de förpliktelser som NMRS omfattas av enligt lag, bl.a. gällande dokumentations- och revisionskrav, och med hänsyn till NMRS och den registrerades behov av och intresse i att personuppgifterna lagras.
Ansökningar om anställning med personuppgifter lagras under åtta månader efter att ansökningsfristen gått ut.
NMRS överför sitt elektroniska ärendebehandlings- och dokumenthanteringssystem för förvaring hos Riksarkivet i Danmark. NMRS lagrar därmed även personuppgifter i enlighet med dansk arkivlagstiftning.
Vilka rättigheter har du som registrerad?
Som registrerad har du enligt dataskyddsförordningens artikel 15-21 ett antal rättigheter i förhållande till NMRS behandling av personuppgifter. Om du som registrad vill göra anspråk på dina rättigheter ska du kontakta NMRS med de kontaktuppgifter som framgår nedan under punkten 10.
Enligt dataskyddsförordningen har du följande rättigheter:
- rätt till insyn i de personuppgifter om dig som NMRS behandlar och ett antal ytterligare upplysningar,
- rätt att få felaktiga personuppgifter om dig själv rättade,
- rätt att, i vissa särskilda fall, få dina personuppgifter raderade innan den ordinarie tidpunkt som NMRS fastställt för radering uppgifterna,
- rätt att, i vissa fall, få NMRS behandling av dina personuppgifter, med undantag för lagring, begränsad på ett sådant sätt att NMRS endast behandlar personuppgifterna med ditt samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan person eller ett viktigt allmänintresse, varvid arkivering betraktas som ett viktigt allmänintresse,
- rätt att, i vissa fall, göra invändningar mot NMRS annars lagliga behandling av dina personuppgifter,
- rätt att, i vissa fall, få utlämnat en kopia av dina personuppgifter eller få överfört personuppgifter direkt från NMRS till en annan personuppgiftsansvarig (rätt till dataportabilitet).
Om NMRS behandling av dina personuppgifter baseras på ditt samtycke, kan du när som helst återkalla samtycket genom att kontakta NMRS med de kontaktupplysningar som framgår nedan under punkten 10. Om du väljer att återkalla ditt samtycke påverkar det inte lagligheten av NMRS behandling av dina personuppgifter på basis av samtycket innan det återkallades.
Kontaktupplysningar till NMRS
Du kan kontakta NMRS på e-postadressen personoplysninger@norden.org om du önskar att använda dina rättigheter enligt beskrivningen ovan under punkten 9, eller om du har frågor om NMRS integritetspolicy.
Om du vill framföra klagomål mot NMRS behandling av dina personuppgifter kan du skriva till NMRS personuppgiftsombud (DPO) Christian Søndergaard Christensen, på e-postadressen chrson@norden.org.
Ändringar av vår integritetspolicy
NMRS integritetspolicy uppdateras löpande. Den senaste uppdateringen skedde den 30 maj 2024