LMFS 2020:1: Lantmäteriets föreskrifter om kommuners personuppgiftsbehandling vid registreringsåtgärder i lägenhetsregistret

page001
Original

1

Lantmäteriets

författningssamling

Utgivare: Maria Monthure

Lantmäteriets föreskrifter om

kommuners personuppgiftsbehandling

vid registreringsåtgärder i

lägenhetsregistret

LMFS 2020:1

Utkom från trycket

den 26 februari 2020

Beslutade den 19 februari 2020

Med stöd av 10 § förordningen (2007:108) om lägenhetsregister meddelar

Lantmäteriet följande föreskrifter.

1 kap. Inledande bestämmelser

Tillämpningsområde

1 § Dessa föreskrifter tillämpas när personuppgifter förs in, ändras eller tas

bort ur lägenhetsregistret av svenska kommuner.

2 § Föreskrifterna omfattar:

1. Lantmäteriet

2. Svenska kommuner

Definitioner

3 § De begrepp som används i lagen (2006:378) om lägenhetsregister,

förordningen (2007:108) om lägenhetsregister och Europaparlamentets och

rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska

personer med avseende på behandling av personuppgifter och om det fria

flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän

dataskyddsförordning), här benämnd dataskyddsförordningen, ska ha samma

innebörd i denna författning.

4 § I denna föreskrift har följande uttryck och begrepp nedan angiven

betydelse.

Personuppgiftsansvarig

Lantmäteriet

Personuppgiftsbiträde

Svenska kommuner

page002
Original

2

LMFS 2020:1

2 kap. Behandlingen av personuppgifter, typen av personuppgifter

m.m.

1 § Personuppgiftsbiträdet har rätt att föra in, ändra och ta bort uppgifter i

lägenhetsregistret enligt 9 § lagen (2006:378) om lägenhetsregister.

2 § De kategorier av registrerade som omfattas av dessa föreskrifter är

lägenhetsinnehavare, fastighetsägare och andra fysiska personer som direkt

eller indirekt kan identifieras med hjälp av uppgifter i registret.

3 § Den typ av personuppgifter som personuppgiftsbiträdet får föra in,

ändra och ta bort enligt 1 § framgår av 6 § 1 och 3 b-e lagen (2006:378) om

lägenhetsregister.

3 kap. Personuppgiftsansvariges ansvar

1 § Personuppgiftsansvarig ska utan dröjsmål informera

personuppgiftsbiträdet om förändringar i behandlingen som påverkar

personuppgiftsbiträdets skyldigheter enligt gällande lagstiftning.

4 kap. Säkerhetsåtgärder

1 § Personuppgiftsbiträdet ska vidta alla lämpliga tekniska och

organisatoriska säkerhetsåtgärder i enlighet med dataskyddslagstiftningens

krav för att skydda behandlingen av personuppgifterna.

2 § Behörighet att föra in, ändra och ta bort uppgifter i lägenhetsregistret ska

endast tilldelas personal hos personuppgiftsbiträdet för vilka det inom ramen

för sitt arbete är nödvändigt att ha sådan behörighet.

3 § De behörigheter som tilldelas personal hos personuppgiftsbiträdet ska

vara personliga och får inte delas, överlåtas eller på något annat sätt användas

av andra personer än den person som behörigheten är avsedd för.

4 § Vid behandling av personuppgifter i system där personuppgiftsansvarig

ansvarar för tilldelningen av behörigheter ska personuppgiftsbiträdet

underrätta personuppgiftsansvarig om en tilldelad behörighet inte längre är

nödvändig för det ändamål den tilldelades, exempelvis vid upphörande av

den behöriges anställning hos personuppgiftsbiträdet.

5 § Personuppgiftsbiträdet är skyldigt att bistå personuppgiftsansvarig att

fullgöra dennes skyldigheter i egenskap av personuppgiftsansvarig enligt

artikel 32 i dataskyddsförordningen.

page003
Original

Bilaga

3

LMFS 2020:1

5 kap. Granskning, tillsyn och revision

1 § Personuppgiftsbiträdet ska utan dröjsmål, på personuppgiftsansvarigs

begäran, tillhandahålla all information, t.ex. avseende vidtagna tekniska och

organisatoriska säkerhetsåtgärder som personuppgiftsansvarig behöver för att

kunna granska och utöva sin tillsyn över personuppgiftsbiträdets behandling

av personuppgifter i lägenhetsregistret.

2 § Personuppgiftsansvarig äger rätt att följa upp att personuppgiftsbiträdet

lever upp till personuppgiftsansvarigs krav på behandlingen.

Personuppgiftsbiträdet ska vid sådan uppföljning bistå

personuppgiftsansvarig med dokumentation samt tillgång till lokaler, IT-

system och andra tillgångar som behövs för att kunna följa upp

personuppgiftsbiträdets efterlevnad av denna föreskrift.

3 § Personuppgiftsbiträdet ska bereda tillsynsmyndighet, eller annan

myndighet som har laglig rätt till det, möjlighet att göra tillsyn på plats.

6 kap. Personuppgiftsincidenter

1 § Personuppgiftsbiträdet ska tillhandahålla information och vidta tekniska

och organisatoriska åtgärder för att utreda misstankar om att någon

obehörigen behandlat eller haft obehörig åtkomst till personuppgifterna.

Personuppgiftsincidenter, intrångsförsök eller annat bedrägligt förfarande för

att få åtkomst till personuppgifterna ska utan dröjsmål anmälas av

personuppgiftsbiträdet till personuppgiftsansvarigs tjänsteman i beredskap

om händelsen. Personuppgiftsansvarigs tjänsteman i beredskap nås via

nödnummer 112.

Personuppgiftsbiträdet ska därefter avvakta personuppgiftsansvarigs

instruktion om hur personuppgiftsbiträdet ska tillhandahålla en skriftlig

beskrivning av personuppgiftsincidenten i enlighet med 2 §.

2 § Personuppgiftsbiträdet ska tillhandahålla personuppgiftsansvarig en

skriftlig beskrivning av personuppgiftsincidenten. En sådan ska innehålla en

redogörelse för

1. personuppgiftsincidentens art och, om möjligt, de kategorier, antalet

registrerade samt antalet personuppgiftsposter som berörs,

2. de sannolika konsekvenserna av personuppgiftsincidenten, och

3. de åtgärder som har vidtagits eller föreslagits samt åtgärder för att

mildra personuppgiftsincidentens potentiella negativa effekter.

7 kap. Underbiträden

1 § Personuppgiftsansvarig ger personuppgiftsbiträdet rätt att med de

begränsningar som följer av 12 kap. 4 § regeringsformen anlita underbiträde

page004
Original

4

LMFS 2020:1

för behandlingar som omfattas av denna föreskrift. Personuppgiftsbiträdet är

skyldigt att informera personuppgiftsansvarig om eventuella planer att anlita

nytt eller ersätta underbiträde så att personuppgiftsansvarig ges möjlighet att

invända mot sådan förändring. Om personuppgiftsansvarig invänder mot

sådan förändring får personuppgiftsbiträdet inte anlita aktuellt underbiträde

för behandling av personuppgifter för personuppgiftsansvarigs räkning.

2 § Om personuppgiftsbiträde anlitar underbiträde ska

personuppgiftsbiträdet ingå skriftliga personuppgiftsbiträdesavtal där

underbiträdet åläggs åtminstone samma skyldigheter som enligt denna

föreskrift och andra författningar åligger personuppgiftsbiträdet i denna

egenskap.

8 kap. Behandlingens varaktighet

1 § Personuppgiftsbehandlingen fortgår intill dess att gallring, eller

överlämnande till den statliga arkivmyndigheten, har skett i enlighet med

9-10 §§arkivlagen (1990:782).

____________________

Dessa föreskrifter träder i kraft den 1 april 2020.

Olle Sundin

Anders Sandin