EU:s dataskyddsförordning (General Data Protection Regulation – GDPR) tillämpas vid behandling av personuppgifter.

En personuppgift är varje upplysning som avser en identifierad eller identifierbar fysisk person som är levande. Personuppgifter är uppgifter som kan kopplas till en enskild person. Det kan vara en ensam uppgift, t.ex. personnummer, eller flera uppgifter som tillsammans identifierar en person, t.ex. förnamn och bostadsadress.

Behandling av personuppgifter är varje form av användning av personuppgifter, t.ex. insamling, registrering och lagring.

Nedan hittar du relevanta delar av BFN:s integritetspolicy. Den innehåller information om behandling av personuppgifter i BFN:s verksamhet. Integritetspolicyn i sin helhet finns som pdf.

Integritetspolicy

Om integritetspolicyn

I vår integritetspolicy informerar vi om hur Bokföringsnämnden (BFN) behandlar personuppgifter om dem som på olika sätt kommer i kontakt med oss och som vi behandlar personuppgifter om. BFN:s övergripande ändamål för personuppgiftsbehandlingen är att fullfölja de uppdrag myndigheten har fått att vara expertmyndighet inom redovisningsområdet genom lagstiftning och regleringsbrev.

Fakta om Bokföringsnämndens person-
uppgiftsansvar och kontaktuppgifter

Bokföringsnämnden, som består av en ordförande och ett antal ledamöter, är personuppgiftsansvarig för de behandlingar som beskrivs i denna policy.

Till stöd för nämndens arbete finns ett kansli.
Bokföringsnämnden har ett dataskyddsombud som arbetar på kansliet.

Kontaktuppgifter till Bokföringsnämnden
E-post: bfn@bfn.se
Telefon växel: 08-408 989 70

Postadress:
Bokföringsnämnden
Box 7849
103 99 STOCKHOLM

BFN:s dataskyddsombud
Eva Sundberg
Telefon: 08-408 989 83

Genom integritetspolicyn lämnar vi information enligt reglerna i EU:s dataskyddsförordning. Har du frågor om behandlingen är du välkommen att kontakta oss eller vårt dataskyddsombud.

Fakta om vad informationen i integritets-
policyn handlar om

Personuppgifter och personuppgiftsbehandling: vi beskriver vilka kategorier personuppgifter som behandlas. Personuppgifter är uppgifter som direkt eller indirekt kan kopplas till en levande person.

Ändamål: Vi berättar varför vi behandlar personuppgifter. Det kan handla om övergripande ändamål med nämndens verksamhet men också mer precisa ändamål som till exempel administration.

Laglig grund: Vi informerar också om vilken laglig grund (kallas ibland även rättslig grund) vi stödjer oss på. Dessa är
• avtal (till exempel anställningsavtal),
• allmänt intresse (till exempel när vi genomför vårt uppdrag som Statens expertmyndighet inom bokföring och när vi tillämpar offentlighetsprincipen), och
• rättslig förpliktelse (när vi följer ett tydligt lagkrav).

När vi behandlar känsliga personuppgifter berättar vi också vilket undantag vi stödjer oss på. De vanligaste undantagen är:
• för att fullgöra skyldigheter inom arbetsrätten, och
• vid hantering av viktigare allmänt intresse (offentlighetsprincipen).

Varifrån vi får uppgifter (beskrivs utifrån kategorier i integritetspolicyn i varje arbetsprocess, kan exempelvis vara från en organisation eller enskild).

Mottagare och vilka vi lämnar uppgifter till (beskrivs övergripande i varje process , kan vara från till exempel register, från en organisation eller enskild).

Hur länge vi behåller uppgifter: Detta styrs av arkivlagen och lokala beslut rörande arkivering/gallring som baseras på den.

Förekomst av profilering/automatiserat beslutsfattande: BFN genomför inga sådana behandlingar.

Eventuell överföring av uppgifter till tredje land/internationell organisation: BFN:s inställning är att så långt det är möjligt undvika sådana. Om sådan behandling ändå sker beskriver vi även skyddsåtgärder.

Inbördes arrangemang: När vi är gemensamt personuppgiftsansvariga med andra beskriver vi detta samt i förekommande fall vilka överenskommelser om detta vi ingått.

Dina rättigheter

När vi behandlar dina personuppgifter har du ett antal rättigheter som beskrivs nedan:

• Om du tycker att vi behandlat dina personuppgifter på ett felaktigt sätt eller att de behöver kompletteras har du rätt att begära att vi rättar dem. Se även information från Integritetsskyddsmyndigheten: Rätt att få dina felaktiga uppgifter rättade
• Om du inte vill att vi ska fortsätta behandla personuppgifter har du rätt att begära att vi ska radera dem. Vi kommer rätta och radera personuppgifterna om det är möjligt i förhållande till vårt ändamål med behandlingen, de lagregler vi är skyldiga att följa och de avtal som vi ingått med dig som registrerad. Självklart kommer vi alltid att radera kontaktuppgifter om du inte längre önskar ta emot nyhetsbrev från oss. Vi är också skyldiga att självmant radera i flera fall (du kan i respektive process se vilka kriterier vi har för bevaring och gallring/radering). Se även information från Integritetsskyddsmyndigheten: Rätt till radering av dina personuppgifter
• Du kan invända mot behandling vi gör när vi använder den lagliga grunden allmänt intresse eller myndighetsutövning (vi beskriver i processerna när så sker) om du har egna personliga skäl för att inte vilja få uppgifterna behandlade. Om du invänder kommer vi, om invändningen godtas, även att pröva om vi ska radera personuppgifterna. Se även information från Integritetsskyddsmyndigheten: Rätt att göra invändningar
• Om du gett ett samtycke till behandling (nämnden tillämpar det enbart för datakakor) har du alltid rätt att återkalla samtycket och då kommer vi att radera personuppgifterna som omfattas av samtycket.
• Om du är i en rättslig tvist och behöver dina personuppgifter som bevis kan du också begära att vi inte raderar dina uppgifter (kallas begränsning eller frysning). Du har också rätt att begära begränsning när du ber oss rätta eller radera uppgifter eller om du invänt mot en behandling, vilket innebär att vi inte får använda uppgifterna under den tid vi undersöker om vi kan göra det du begär. Se även information från Integritetsskyddsmyndigheten: Rätt till begränsning
• Slutligen har du rätt att få besked om vilka behandlingar vi gör om dig (kallas ibland registerutdrag). Ett sådant ska bland annat innehålla beskrivning av ändamål och laglig grund med behandlingarna och vilka kategorier personuppgifter det rör. Sådan information har vi redan sammanställt på övergripande nivå – se nedan under Hur vi behandlar personuppgifter – vilket är ett enkelt sätt för dig att få information om hur vi arbetar med personuppgifter. Ett registerutdrag innebär att du ska få en överblick över behandlingar så du förstår om och i så fall i vilket syfte dina personuppgifter behandlas (du har dock inte en ovillkorlig rätt att ta del av handlingar där dina personuppgifter finns – den frågan kan i stället prövas tryckfrihetsförordningens regler om allmänna handlingar). Se även information från Integritetsskyddsmyndigheten: Rätt till tillgång

När du hört av dig till oss om en rättighet kommer vi att pröva frågan så snart det går och lämna svar senast inom en månad. Hinner vi inte hantera frågan inom den tiden kommer du att få besked om vi behöver ytterligare två månader för att hantera verkställighet alternativt få ett besked om vi kan göra det du vill eller inte. Detta innebär att vi ska lämna svar senast inom tre månader.

Har du frågor eller funderingar om vår personuppgiftsbehandling kan du kontakta oss eller vårt dataskyddsombud.

Klagomål hos Integritetsskyddsmyndigheten

Du har alltid rätt att kontakta Integritetsskyddsmyndigheten om du har synpunkter på vår personuppgiftsbehandling (det kallas att lämna klagomål).

Detta får du givetvis göra utan att kontakta oss först, men vi värdesätter förstås om du också berättar för oss vad du tycker så vi kan rätta till felaktigheter och ta med dina synpunkter i vårt kontinuerliga förbättringsarbete.

Behandling av personuppgifter i vår verksamhet

För att göra det enklare för dig att förstå informationen har vi ritat upp kartor över våra vanligaste processer (beskrivning av våra arbetsuppgifter utifrån den registrerades perspektiv). Vi berättar sedan utifrån kartorna hur vi behandlar personuppgifter i nedanstående verksamheter. Klicka på länkarna nedan för att komma till beskrivningen av respektive process.

När du skickar mejl till Bokföringsnämnden

Inkommande e-post innehåller personuppgifter. Om du skickar e-post till oss kommer vi att behandla dina personuppgifter genom att läsa, lagra och hantera ditt meddelande samt genom att i förekommande fall föra det vidare till rätt mottagare inom kansliet eller till nämndens ledamöter. De personuppgifter som behandlas av oss i detta syfte är de som du anger i ditt e-postmeddelande. Vanliga exempel på personuppgifter som inkommer till oss på detta sätt är namn, e-postadress, telefonnummer och befattning.

I respektive process beskriver vi hur vi behandlar inkommande mejl i olika frågor. Där anges även vilken laglig grund vi använder efter det initiala stadiet (initialt är den lagliga grunden allmänt intresse: eftersom du valt att mejla BFN behöver vi hantera mejlet enligt regler som styr statliga myndigheter).

Tänk på att inte mejla integritetskänslig information (till exempel känsliga personuppgifter) till BFN, eftersom mejl inte är ett säkert sätt att översända information på. Vill du ändå mejla sådana uppgifter är det bra om du ser till att kryptera meddelandet (behöver BFN ett lösenord för att läsa meddelandet ska den skickas separat).

Vår mejl- och dokumenthanteringspolicy

I de olika processerna beskrivs hur vi hanterar mejl och olika dokument. För att göra bilden helt klar har vi antagit följande principer som vi använder för personuppgifter som finns i vår mejl- och dokumenthantering:

1. De bestämmelser om diarieföring och gallring som finns i arkivlagstiftningen ska alltid iakttas.
2. För dokument som inte är färdigställda eller annars inte omfattas av punkt 1 gäller följande: BFN ska ha en tydlig dokumenthanteringsplan som innebär att flera versioner av dokument minimeras.
3. Om mejl behöver sparas ska de diarieföras i den utsträckning det krävs enligt tryckfrihetsförordningen och i övrigt sparas under den tid de handläggs (se vidare processen Mejlservice).
4. När ett dokument eller mejl inte längre behövs för det ändamål det sparats för ska det gallras. Om det finns behov att spara visst dokument ska dokumentet rensas på alla personuppgifter innan det sparas.
5. Det ska finnas en tydlig behörighetsstyrning både i diarieföringssystemet och i andra dokumenthanteringssystem så enbart de personer som behöver få tillgång till personuppgifter har tillgång till dem.
6. Personuppgifter som kan avslöja känsliga personuppgifter får inte mejlas i ett okrypterat format. Vi ska också informera de som kontaktar oss om farorna med att mejla i ett okrypterat format och be dem överväga annat sätt att kommunicera.

Våra IT-system

Bokföringsnämnden anlitar både Finansinspektionen och Statens servicecenter för att få hjälp med olika IT-system. I dessa fall är BFN personuppgiftsansvarig och de andra myndigheterna personuppgiftsbiträde. Vi beskriver hur detta ser ut i respektive process.

Datakakor

På bfn.se används kakor. När du kommer till vår webbplats tillfrågas du om du godtar behandlingen av icke-nödvändiga kakor eller inte. Godtar du att vi behandlar datakakor är den lagliga grunden samtycke (ges enligt lagen om elektronisk kommunikation).

Mer information om de kakor som används på bfn.se finns på sidan Om kakor.

BFN:s information om kakor

Våra anställdas personuppgifter

I alla processer behandlas våra anställdas personuppgifter (till exempel namn, kontaktuppgifter, mejladresser, telefonnummer, titel och befattning) när de utför sina arbetsuppgifter, till exempel när de svarar på en fråga eller kontaktar någon. Olika ändamål med behandlingar beskrivs i varje process och omfattar då även anställdas personuppgifter. De övergripande lagliga grunderna för behandling av anställdas personuppgifter är avtal (anställningsavtalet) och allmänt intresse.

BFN behandlar därutöver personuppgifter rörande våra anställda inom nedanstående processer:

• Introduktion av medarbetare och avslutning av anställning
• Lön och arvoden
• Sjukskrivning och rehabilitering
• Utvecklingssamtal
• Lönesamtal

Bilaga – Processer för behandling av personuppgifter i vår verksamhet

Frågor som föredras i nämnden

Myndighetens kärnuppdrag är att utveckla god redovisningssed, vilket görs av Bokföringsnämnden som består av en ordförande och ett antal ledamöter. På nämndsmötena beslutas även andra viktiga frågor som myndigheten har att hantera som remisser och andra viktiga ställningstaganden till exempel om domstolar begär yttranden i redovisningsfrågor. Laglig grund för behandlingen är rättslig förpliktelse (instruktionen för Bokföringsnämnden, myndighetsförordningen, författningssamlingsförordningen, bokföringslagen och skyldigheten att följa domstolsförelägganden) och allmänt intresse.

Nämnden fattar även beslut rörande årsredovisning och annat som ingår i myndighetsstyrningen. Laglig grund är rättslig förpliktelse (instruktionen för Bokföringsnämnden och förordningen om årsredovisning och budgetunderlag) samt allmänt intresse.

Under nämndmöten sker även kompetensutveckling av nämndens ledamöter. Laglig grund är allmänt intresse.

Offentlighetsprincipen innebär även att allmänna handlingar som förvaras hos myndigheten kan behöva lämnas ut om någon begär det, se vidare processen Begäran att få ta del av allmän handling. Allmänna handlingar som hanteras i denna process kan alltså även hanteras i den processen.

I processen nedan beskrivs hur nämndens arbete går till. Tillkommande ändamål och lagliga grunder beskrivs i stegen. Hur grundarbetet i ärendena går till beskrivs även i andra processer (se Hantering av remisser, Ekonomi, Mejlservice och Telefonservice nedan)

1. Kallelse och utskick. För att kunna hålla möten behöver kallelse med dagordning skickas ut till deltagarna. Detta innebär att personuppgifter som namn på ledamöter och föredragande, e-postadresser (till ledamöternas arbetsadress eller privata adress), datum, tid, plats och ibland möteslänk (vid digitala möten) kan ingå. I undantagsfall kan relevanta domar, artiklar och annat underlag som innehåller personuppgifter samt länk till webbsidor (vilket kan generera datakakor) ingå i underlaget.
2. Möte. Under mötet föredras och diskuteras utskickade underlag. Det görs fortlöpande anteckningar till ett protokoll för att kunna bevara det som beslutas och diskuteras på mötet. Detta innebär att personuppgifter som namn och närvaro samt vilka som deltagit i beslut och eventuella reservationer behandlas. Om mötet är digitalt sker även inloggning till mötet vilket innebär att datakakor kan komma att behandlas.
3. Efterarbete och gallring. Efter mötet skrivs protokoll och andra beslutade handlingar under av ordföranden och föredragande. Detta innebär att utöver det som nämns i steg 2 även namnteckningar behandlas.

Underskrivna protokoll delas med deltagare och revisor.  Diarieföring görs av beslutade handlingar (innebär att även diarienummer behandlas). Laglig grund för det sistnämnda är rättslig förpliktelse (regeringsformen) och allmänt intresse.

Ofta publiceras beslut även på BFN:s webbplats och redovisas i nämndens nyhetsbrev (se vidare processen Nyheter).

Möteshandlingar (yttrande, allmänna råd, vägledning, uttalanden, remisser och remissförslag samt andra beslut) och protokollet bevaras och arkiveras. Laglig grund är rättslig förpliktelse (arkivlagen) och allmänt intresse. Principer för bevarande och gallring framgår av dokumenthanteringsplanen.

Mejlservice

BFN har som statlig myndighet en serviceskyldighet vilket innebär att nämndens kansli besvarar mejl från allmänheten i bokförings- och redovisningsfrågor. Laglig grund för den behandling som sker är allmänt intresse. Till det kommer även att BFN har rättsliga förpliktelser att hantera serviceskyldigheten (6 § förvaltningslagen), offentlighetsprincipen (2 kap. Tryckfrihetsförordningen) och en egen skyldighet att ta fram  årsredovisning och budgetunderlag (förordning om årsredovisning och budgetunderlag) i vilka statistik från mejlservice ingår (se även processen Ekonomi).

Offentlighetsprincipen innebär att allmänna handlingar som förvaras hos myndigheten kan behöva lämnas ut om någon begär det, se vidare processen Begäran att få ta del av allmän handling.

Nedan beskrivs steg för steg hur BFN behandlar personuppgifter vid mejlförfrågningar från allmänheten. Kansliet på BFN har en gemensam e-postadress bfn@bfn.se. När allmänheten skickar in mejlfrågor till BFN används oftast denna adress men det som sägs här gäller även om mejl skickas till nämnden på annat sätt.

BFN:s mejlsystem tillhandahålls från Finansinspektionen, som är personuppgiftsbiträde. Även om BFN använder Microsoft 365 sker inte någon tredjelandsöverföring eftersom vi inte använder molnlagring.

1. Mejl inkommer. När mejl skickas till BFN behandlas de personuppgifter som mejlskrivaren anger i mejlet. Detta kan vara namn, e-postadresser, andra kontaktuppgifter samt ärenderelaterad information (ur den kan man ibland läsa ut vem som är frågeställarens arbetsgivare men även annan information kan förekomma) som lämnas av avsändaren samt IP-adresser. Specialisterna på kansliet bevakar fortlöpande inkommande mejl.
   Efter att en specialist läst mejlet tar hen ställning till om mejlet behöver diarieföras. I så fall tillkommer personuppgiften diarienummer. De allra flesta mejl diarieförs inte utan gallras två månader efter att frågan har besvarats, men om mejlet innehåller en principiellt intressant fråga rörande god redovisningssed som kräver ett avgörande från nämnden kan diarieföring aktualiseras. Beslutsfattande i nämnden beskrivs ovan i processen Frågor som föredras i nämnden.

2. Fördelning. Specialisterna på nämnden fördelar själva ärenden när de bevakar inkommande post. Den som tar emot mejlet kan välja att antingen hantera det själv eller lämna över till en kollega (till exempel om denne redan börjat med en fråga från frågeställaren). För att veta vilka ärenden som börjat hanteras sätts en flagga i e-postloggen. Om ärendet är diariefört gallras mejlet från e-postkorgen och hanteras i stället i diariet.
   I detta steg tillkommer personuppgifter kopplade till specialisten (namn, e-postadress, flaggning).

3. Svar. Efter att specialisten utrett frågan lämnas svar via e-post. Ibland behöver specialisten stämma av med kollegorna, vilket innebär att ärendet kan beskrivas på ett kanslimöte (i detta fall behöver inte uppgiftsställarens namn nämnas). Om frågan då bedöms principiellt viktig kan den komma att diarieföras. I det här steget tillkommer inga nya kategorier av personuppgifter (se de tidigare stegen).
4. Efterarbete och gallring. När svaret skickas i väg gör specialisten en statistiknotering som därefter inte kan kopplas till frågeställaren. Detta görs för att BFN ska kunna beskriva sin verksamhet för uppdragsgivaren (regeringen) och i årsredovisningen och budgetunderlaget.
   Om ärendet har diarieförts avslutas det i diariet. Ärendet sparas och gallras därefter enligt de principer BFN har fastställt i sin dokumenthanteringsplan. Laglig grund är rättslig förpliktelse (arkivlagen) och allmänt intresse.
   För övriga förfrågningar gallras de flesta mejl två månader efter när frågan är avslutad.

Telefonservice

BFN har som statlig myndighet en serviceskyldighet vilket innebär att nämndens kansli besvarar telefonsamtal i bokförings- och redovisningsfrågor från allmänheten. Laglig grund för den behandling som sker är allmänt intresse.

Till det kommer även att BFN har rättsliga förpliktelser att hantera serviceskyldigheten (6 § förvaltningslagen) och en egen skyldighet att ta fram årsredovisning och budgetunderlag (förordning om årsredovisning och budgetunderlag) i vilka statistik från telefonservicen ingår (se även processen Ekonomi).

Offentlighetsprincipen innebär att allmänna handlingar som förvaras hos myndigheten kan behöva lämnas ut om någon begär det (se processen
Begäran att få ta del av allmän handling).

Nedan beskrivs steg för steg hur BFN behandlar personuppgifter vid telefonförfrågningar från allmänheten. Kansliet på BFN har ett gemensamt telefonnummer för detta ändamål och svarar på frågor från allmänheten under telefontid.

1. Samtal. När ett samtal inkommer går det via Finansinspektionens växel. Under telefontiden används även en särskild app för att hantera samtalen (detta gör vi för att specialisterna ska kunna arbeta från olika platser och inte vara bundna till vårt kontor). Telefonnummer loggas i appen och i specialisternas telefon.
   Specialisten gör anteckningar under samtalet i block för att kunna besvara frågorna (ärenderelaterade frågor och ibland namn på uppringaren). Behöver specialisten göra en utredning antecknas alltid namn och telefonnummer (se vidare nästa steg).
2. Efterarbete.  Om frågan inte direkt besvaras kan ett efterarbete behöva ske. Ibland behöver specialisten stämma av med kollegorna, vilket innebär att ärendet kan beskrivas på ett kanslimöte (i detta fall behöver inte uppgiftsställarens namn nämnas). Om frågan då bedöms principiellt viktig kan frågan även behöva lyftas till nämnden (se processen Frågor som föredras i nämnden ovan). I det här steget tillkommer inga nya kategorier av personuppgifter (se de tidigare stegen).
   När utredningen är klar kontaktas frågeställaren på det nummer hen angett. För att skydda medarbetarnas personuppgifter kommer uppringarens telefonnummer inte vara synligt för frågeställaren. Väntar du på svar på en telefonfråga är det därför viktigt att svara på telefonsamtal där uppringarens identitet är dold.
   När svar har lämnats gör specialisten en statistiknotering som därefter inte kan kopplas till frågeställaren. Detta görs för att BFN ska kunna beskriva sin verksamhet för uppdragsgivaren (regeringen) och i årsredovisningen och budgetunderlaget.
3. Gallring. Efter att frågan har besvarats rensas anteckningarna från personuppgifter (alternativt gallras hela anteckningen).
   Loggar i appen gallras automatiskt och telefoner gallras fortlöpande.
   Om ärendet har diarieförts avslutas det i diariet. Ärendet sparas och gallras därefter enligt de principer BFN har fastställt i sin dokumenthanteringsplan. Laglig grund är rättslig förpliktelse (arkivlagen) och allmänt intresse.

Hantering av remisser

BFN arbetar både med egna remisser som man låter andra svara på och besvarar andras remisser. Nedan beskrivs detta arbete i två avsnitt.

Offentlighetsprincipen innebär att allmänna handlingar som förvaras hos myndigheten kan behöva lämnas ut om någon begär det, se vidare processen Begäran att få ta del av allmän handling.

Egna remisser

När god redovisningssed ska beskrivas behöver nämnden ibland inhämta synpunkter från andra.  Denna process beskrivs nedan. Laglig grund för behandlingen är rättslig förpliktelse (bokföringslagen och årsredovisningslagen) och allmänt intresse.

1. Utredning. Ibland tar nämnden initiativ till nya redovisningsrekommendationer eller annan vägledning. Nämndens kansli kan också få kunskap om behov genom sin mejl- och telefonservice. I denna typ av ärenden förekommer mest ärenderelaterade uppgifter vilket innebär att det endast behandlas personuppgifter som namn på föredragande. Efter utskick till remissinstanser tillkommer ibland mejladresser och namn hos remissinstansen.
2. Beslut och efterarbete. När remissvar inkommit föredras frågan i nämnden, se processen Frågor som föredras i nämnden.

Mottagna remisser

BFN är ofta remissinstans när regeringskansliet eller andra myndigheter tagit fram författningsförslag eller genomfört utredningar. Laglig grund för detta är rättslig förpliktelse (regeringsformen och förvaltningslagen) och allmänt intresse.

1. Remiss inkommer. Efter att remissen inkommit och diarieförts sätter nämndens kansli upp ett förslag till svar. De personuppgifter som behandlas är (namn, kontaktuppgifter från remissen samt diarienummer).
2. Beslut. När remiss inkommit föredras frågan ibland i nämnden, se processen Frågor som föredras i nämnden .
   I vissa fall kan även kanslichefen fatta beslut. I det fallet behandlas namn på föredragande och beslutsfattare.
3. Efterarbete och gallring. Ärendet avslutas i diariet. Det sparas och gallras därefter enligt de principer BFN har fastställt i sin dokumenthanteringsplan. Laglig grund är rättslig förpliktelse (arkivlagen) och allmänt intresse. Om ärendet föredragits i nämnden tillkommer viss behandling, se processen Frågor som föredras i nämnden.
   Remissyttranden publiceras på webben och beskrivs ibland i nyhetsbrev, se processen Nyheter.

Nyheter

Nedan beskrivs de sätt BFN sprider nyheter om sin verksamhet.

Nyhetsbrev

BFN tar fram nyhetsbrev för att sprida information om god redovisningssed. Underlaget till nyhetsbreven hämtas bland annat från de beslut nämnden fattar (se processen Frågor som föredras i nämnden). Innehållet kan även bestå av material nämndens kansli har tagit fram.

Vid rekrytering kan även annons ingå, se vidare processen Rekrytering.

Offentlighetsprincipen innebär att allmänna handlingar som förvaras hos myndigheten kan behöva lämnas ut om någon begär det, se vidare processen Begäran att få ta del av allmän handling.

Nedan beskrivs hur nyhetsbreven skapas och sprids. Laglig grund för behandlingen är allmänt intresse. Nämnden har även en rättslig förpliktelse att sprida information om nya regelverk enligt författningssamlingsförordningen.

1. Anmälan. Den som vill ha nyhetsbrev kan antingen anmäla sig via ett formulär på webbplatsen eller på adressen prenumeration@bfn.se. Görs detta behandlas namn, epost-adress och andra kontaktuppgifter som finns i e-postmeddelanden. BFN redovisar statistik för hur många som får nyhetsbrev, se processen Budget, bokslut och årsredovisning.
2. Skapa nyhetsbrev. Ett nyhetsbrev innehåller korta nyheter och länkar till webbplatsen. Några personuppgifter finns inte i nyhetsbrevet men det kan finnas sådana i de länkar som nyhetsbrevet hänvisar till (namn på de som deltagit i beslut eller föredragit dem).
3. Sprida nyhetsbrev. Nyhetsbrevet skickas vidare till de som anmält sig (se steg 1). Personuppgifterna namn och e-postadress behandlas.
4. Ändra/avsluta. Vill man ändra eller avsluta en prenumeration kan man kontakta BFN på adressen prenumeration@bfn.se eller via en avregistreringslänk som bifogas nyhetsbrevet. Prenumerationen avbyts då omedelbart. Görs detta behandlas namn, epost-adress och andra kontaktuppgifter som finns i e-postmeddelanden.
   Utöver detta gallras namn och e-postadresser fortlöpande om BFN får felmeddelanden om att prenumeranten inte kan nås.

Publiceringar på webben

BFN publicerar fortlöpande nyheter på sin webbplats (ibland utgör det underlag till nyhetsbrev). Detta beskrivs fortlöpande i andra processer. I avsnittet Datakakor beskrivs BFN:s hantering av kakor.

Ekonomi

BFN:s arbete med sin ekonomi beskrivs i avsnitten nedan. Nämnden har en skyldighet att sköta sin löpande bokföring samt ta fram årsredovisning och budgetunderlag (regleras i förordningen om myndigheters bokföring och förordningen om årsredovisning och budgetunderlag samt föreskrifter från Ekonomistyrningsverket). Nämnden måste vidare följa skattelagstiftning rörande moms och arbetsgivaravgifter. Detta innebär att laglig grund för behandlingen till stor del utgörs av rättsliga förpliktelser.

Till detta kommer att nämnden måste planera och följa upp sin verksamhet fortlöpande. I denna del är den lagliga grunden allmänt intresse.

Löpande bokföring

Nedan beskrivs hur den löpande bokföringen går till.

1. Händelser. När leverantörer skickar in fakturor behandlas personuppgifter som namn, referens och beskrivning av köpt tjänst eller vara. Andra händelser som genererar bokföringsskyldighet är när nämnden betalar ut löner och gör pensionsavsättningar (se vidare processen Lön och arvoden).
   Även skatteinbetalningar är händelser som kräver bokföring (för att ta fram moms- och arbetsgivardeklarationer behöver uppgifter kopplade till leverantörsfakturor och löneutbetalningar behandlas).

2. Bokföring. Händelser i steg 1 bokförs. Innan fakturor betalas behöver de attesteras (innebär att namn på den som kontrollerar och attesterar behandlas).
3. Efterarbete och gallring. Underlag sparas och gallras därefter enligt de principer BFN har fastställt i sin dokumenthanteringsplan.

Budget, bokslut och årsredovisning

Nedan beskrivs hur BFN arbetar med budget och rapporterna bokslut och årsredovisning.

1. Budget. BFN tar fram en budget för att kunna följa verksamheten. I denna finns inga personuppgifter men underlag från löpande bokföring kan användas.
2. Rapporter. BFN tar även fram bokslut och årsredovisning. För att göra det behandlas personuppgifter från den löpande bokföringen. Även personuppgifter som medeltal anställda, antal kvinnor/män, medelålder, arbetstimmar per projekt/uppdrag, antal mejlfrågor/telefonfrågor, antal webbesök, antal prenumeranter på nyhetsbrev, arvode per nämndledamot, semesterlöneskuld och avsättning för lönerevision behandlas.
   Årsredovisningen föredras i nämnden, se vidare processen Frågor som föredras i nämnden.
   När årsredovisningen är klar  skrivs den under. Detta innebär att namnunderskrifter och namnförtydligande på nämndledamöter och revisorer behandlas.

3. Efterarbete och gallring. Årsredovisningen görs tillgänglig för Riksrevisionen (för revision) och Kungliga biblioteket (som pliktexemplar enligt lagen om pliktexemplar av elektroniskt material). Laglig grund är rättslig förpliktelse.
   Underlag sparas och gallras därefter enligt de principer BFN har fastställt i sin dokumenthanteringsplan.

Begäran att få ta del av allmän handling

Offentlighetsprincipen gäller i BFN:s verksamhet vilket innebär att myndigheten behöver följa Tryckfrihetsförordningen och offentlighets- och sekretesslagen (laglig grund är rättslig förpliktelse och allmänt intresse). Vidare omfattas myndigheten av arkivlagen och har därför arkivändamål av allmänt intresse.

En del i offentlighetsprincipen är att var och en kan begära att få ta del av allmänna handlingar. Nedan beskrivs processen för hur prövningen av en sådan begäran går till:

1. Begäran. En begäran kan skickas in av den som önskar ta del av en handling. Inkommer den per telefon eller vid ett besök skrivs en tjänsteanteckning om ärendet inte kan avgöras direkt (kan det avgöras direkt görs i stället ibland en notering för minnet som gallras direkt när ärendet är hanterat).
   Beroende på det sätt som väljs kan personuppgifter behandlas: från mejl (mejladress men kan även ibland uppgifter som lämnas i brevet) och i tjänsteanteckning (de uppgifter som lämnas vid besök/i telefon som behövs för att pröva begäran). Tänk på att man inte behöver uppge namn när man begär ut handlingar.
   Om begäran direkt kan bifallas lämnas handlingen ut. I annat fall kan frågan hänskjutas till myndigheten på begäran av den som vill ha ut handlingen. Då behöver ett formellt beslut fattas (se steg 2) vilket innebär att begäran diarieförs (då tillkommer diarienummer och namn på den handläggare som ska hantera ärendet.
2. Beslut. Beslut fattas av kanslichefen. Detta innebär att namn och titel behandlas. Om beslutet överklagas överlämnas ärendet till domstol tillsammans med överklagandet (innebär att personuppgifter i överklagandet behandlas).
3. Efterarbete och gallring. Ärendet avslutas i diariet. Det sparas och gallras därefter enligt de principer BFN har fastställt i sin dokumenthanteringsplan.

Hantering av GDPR-frågor

När en registrerad vill utöva sina rättigheter

Nedan beskrivs steg för steg hur BFN behandlar personuppgifter när en registrerad (det vill säga person som bedömer att hens personuppgifter kan behandlas av nämnden) begär att få utöva någon av sina rättigheter. Kansliet på BFN har en gemensam e-postadress bfn@bfn.se. När registrerade vill utöva sina rättigheter används oftast denna adress men det som sägs här gäller även om förfrågan görs på annat sätt.

Laglig grund för behandlingen är rättslig förpliktelse (artikel 12-21 GDPR som innehåller GDPR:s artiklar om rättigheter). Till det kommer att BFN har en skyldighet att diarieföra och bevara allmänna handlingar enligt offentlighetsprincipen (se processen Begäran att få ta del av allmän handling). Laglig grund i den delen är allmänt intresse och rättslig förpliktelse (2 kap. Tryckfrihetsförordningen och arkivlagen). Bevarandetid (se steg 4) har även bestämts utifrån ansvarsprincipen i 5.2 GDPR (dokumentation behöver sparas för att visa att BFN fullföljt sina skyldigheter).

1. Begäran inkommer. När en begäran skickas till BFN via mejl eller post behandlas de personuppgifter som mejlskrivaren anger. Detta kan vara namn, e-postadresser, andra kontaktuppgifter samt vilken rättighet som hen vill utöva om dessa lämnas av avsändaren samt, vid mejlhantering, IP-adresser. Om någon begär att få utöva en rättighet vid ett telefonsamtal antecknas namn, kontaktuppgifter och vad som begärs i en tjänsteanteckning.
   För att hantera offentlighetsprincipen korrekt behöver inkommande frågor diarieföras vilket innebär att personuppgiften diarienummer tillkommer.

2. Utredning. I det här steget utreds om det finns personuppgifter och om BFN kan efterkomma begäran. Om det framkommer att uppgifterna som begärs ut är sekretessbelagda och den registrerade inte redan är känd kan BFN behöva säkerställa identitet vilket kan göras på olika sätt. BFN ser till att begränsa denna prövning så mycket som möjligt.  Dataskyddsombudet kan rådfrågas under denna process.
3. Svar. I detta steg lämnas ett svar. Om den registrerades begäran kan efterkommas sker även verkställighet av rättighetshanteringen (till exempel ett registerutdrag skickas eller en radering verkställs).
   Svar skickas på samma sätt som förfrågan inkom. Om det finns integritetskänsliga personuppgifter i svar som skickas ut krypteras mejlsvar (eller om den registrerade hellre vill skickas svaret med post). Vid telefonförfrågningar skickas svaren på det sätt man kommer överens om.

4. Efterarbete och gallring. Eftersom ärendet är diariefört avslutas det i diariet. Ärendet sparas och gallras därefter enligt BFN:s dokumenthanteringsplan.

När en personuppgiftsincident inträffar

BFN är skyldig att hantera personuppgiftsincidenter som inträffar hos myndigheten eller dess personuppgiftsbiträden.

Laglig grund för behandlingen är rättslig förpliktelse (artikel 33–34 GDPR som innehåller GDPR:s artiklar om incidenthantering). Till det kommer att BFN har en skyldighet att diarieföra och bevara allmänna handlingar enligt offentlighetsprincipen. Laglig grund i den delen är allmänt intresse och rättslig förpliktelse (2 kap. Tryckfrihetsförordningen och arkivlagen). Bevarandetid (se steg 4) har även bestämts utifrån ansvarsprincipen i 5.2 GDPR (dokumentation behöver sparas för att visa att BFN fullföljt sina skyldigheter).

1. Utredning. Efter att en personuppgiftsincident har upptäckts och någon på BFN fått vetskap om det påbörjas en utredning och dokumentation. Personuppgifter som namn och kontaktuppgifter på den som upptäckt/rapporterat incidenten samt vid behov namn på andra som handlägger frågan eller har kunskap om incidenten behandlas. Vidare görs en beskrivning av de personuppgifter som omfattas.
2. Åtgärder. Efter att incidenten utretts tas ställning till om den ska anmälas till Integritetsskydds­myndigheten och om registrerade ska underrättas. En annan åtgärd kan vara att stämma av besluten med dataskyddsombudet. Samma sorts personuppgifter som nämns i första steget behandlas.
3. Efterarbete och gallring. Senast i detta läge diarieförs inkomna, upprättade och expedierade handlingar, vilket innebär att även diarienummer behandlas. Ärendet sparas och gallras därefter enligt BFN:s dokumenthanteringsplan.

Dataskyddsombudets arbete

BFN har ett dataskyddsombud som har en kontrollerande och rådgivande roll. I det arbetet behandlas främst namn och kontaktuppgifter på anställda, nämndledamöter och andra som är i kontakt med verksamheten. Även personuppgifter som kan finnas i system eller ärenden som omfattas av arbetet kan komma att behandlas. Noteringar om iakttagelser kan sparas som underlag. Dataskyddsombudet kan ta kontakt med Integritetsskyddsmyndigheten eller kontaktas av den och då behandla personuppgifter från hens verksamhet.

När en registrerad eller annan tar kontakt med dataskyddsombudet kan namn, e-postadresser och andra kontaktuppgifter behandlas. Dataskyddsombudet kan även göra noteringar om det som sägs/utreds, vilket innebär att ärenderelaterade personuppgifter kan behandlas. I det sammanhanget kan även subjektiva bedömningar behandlas. Det kan vara bra att veta att dataskyddsombudet har tystnadsplikt i sitt arbete.

Laglig grund för behandlingen är rättslig förpliktelse (artikel 37–39 GDPR som innehåller GDPR:s artiklar om dataskyddsombud). Till det att BFN har en skyldighet att diarieföra och bevara allmänna handlingar enligt offentlighetsprincipen. Laglig grund i den delen är allmänt intresse och rättslig förpliktelse (2 kap. Tryckfrihetsförordningen och arkivlagen). Bevarandetid (se steg 4) har även bestämts utifrån ansvarsprincipen i 5.2 GDPR (dokumentation behöver sparas för att visa att BFN fullföljt sina skyldigheter).

Rekrytering

När BFN rekryterar nya medarbetare sker det enligt processen nedan. Laglig grund för processen är, om inget annat tillkommer i beskrivningen nedan, avtal (ingående av anställningsavtal).

BFN anlitar alltid en rekryteringsfirma för att få hjälp att genomföra bra rekryteringar. Ibland uppstår då gemensamt personuppgiftsansvar.

Offentlighetsprincipen innebär att allmänna handlingar som förvaras hos myndigheten kan behöva lämnas ut om någon begär det, se vidare processen Begäran att få ta del av allmän handling.

1. Annons. Efter att kraven på tjänsten formulerats tas en annons fram. I denna finns kontaktuppgifter och namn på rekryterande chef och kontaktperson i den rekryteringsfirma som anlitats.
   Annonsen publiceras på nämndens webbplats (innebär att datakakor kan behandlas). Vidare läggs den in i de verktyg rekryteringsbyrån har. Den publiceras även via nämndens nyhetsbrev. Ibland kan den även läggas in i Arbetsförmedlingens verktyg.

2. Ansökan. Ansökan skickas in till angiven rekryteringsfirma (namn och de uppgifter som finns i ett CV; BFN efterfrågar inte personliga brev och ser helst att CV:et begränsas till de personuppgifter som är relevanta enligt annonsens kravprofil). Ansökningarna diarieförs (innebär att namn, kontaktuppgifter och de personuppgifter som finns i ansökan samt diarienummer behandlas).
   Om det ingår i rekryteringsfirmans uppdrag kan den lämna andra förslag på kandidater utifrån sin databas.

3. Intervjuer. Rekryteringsfirman går igenom ansökningarna och redovisar ett urval för BFN. I detta arbete kan urvalsintervjuer ske.
   Därefter genomför BFN slutintervjuer. Från dessa görs anteckningar som förvaras under två år för att följa diskrimineringslagens krav (rättslig förpliktelse). I slutet av intervjun sammanfattar BFN innehållet i anteckningarna för den intervjuade (rätten till information enligt GDPR är en rättslig förpliktelse).

4. Referenser. Efter slutintervjuer inhämtar rekryteringsfirman referenser på den eller de kandidater som kvarstår. Underlaget från dessa sparas hos nämnden under två år för att följa diskrimineringslagens krav (rättslig förpliktelse). I uppdraget till rekryteringsfirman ingår att återkoppla till sökande vad referenspersoner sagt (rätten till information enligt GDPR är en rättslig förpliktelse). Personuppgifter som namn och subjektiva bedömningar från referenspersoner behandlas i detta steg.
5. Beslut. Därefter erbjuds en person anställning och andra sökande får besked att de inte fått tjänsten. När personen tackat ja fattas ett beslut om anställning. Beslutet diarieförs och sätts upp på en fysisk anslagstavla. I detta steg behandlas personuppgifter som namn, telefonnummer, e-postadresser och diarienummer.
   Ett anställningsbevis tas fram. I det finns namn, personnummer, tjänstebeteckning, lön och omfattning (hel- eller deltid). Detta underlag visar vilket avtal som ingåtts och används för att registrera löneuppgifter i systemet (se processen Lön och arvoden).

6. Efterarbete och gallring. Underlag sparas och gallras därefter enligt de principer BFN har fastställt i sin dokumenthanteringsplan.
   Den som fått anställning tas emot genom processen Introduktion av medarbetare och avslutning av anställning.

Behandling av personuppgifter för HR-ändamål

I nämndens HR-arbete är ett viktigt inslag att följa lagar och kollektivavtal, vilket innebär att rättslig förpliktelse ofta är en laglig grund för behandlingen. Även anställningsavtalet (laglig grund avtal) och statens intresse av att arbetet på dess myndigheter leds, fördelas och följs upp på ett bra sätt (laglig grund allmänt intresse) är vanliga lagliga grunder.

Till detta kommer att nämnden behöver följa bestämmelser kopplade till offentlighetsprincipen och arkivering (laglig grund rättslig förpliktelse och allmänt intresse). Se även avsnittet Begäran att få ta del av allmän handling.

Nämndens arbete med personalfrågor beskrivs under följande underrubriker i handlingen Bokföringsnämndens integritetspolicy:

• Introduktion av medarbetare och avslutning av anställning
• Lön och arvoden
• Sjukskrivning och rehabilitering
• Utvecklingssamtal
• Lönesamtal