Gemensamt personuppgiftsansvar i den gemensamma inlämningsfunktionen för skogsägare (Nemus)
Skogsstyrelsen har i samverkan med länsstyrelserna och utifrån dessa myndigheters regeringsuppdrag tagit fram en e-tjänst, Skogsärenden för företag. Syftet är att skapa enkelhet, helhetssyn och nytta för kunden (skogsägaren) samt en effektivare förvaltning hos myndigheterna. Uppdraget regleras i förordningen (2013:44) om en gemensam inlämningsfunktion för skogsägare.
Gemensamt personuppgiftsansvar
Ett gemensamt personuppgiftsansvar uppstår då en eller flera aktörer bestämmer ändamålen över uppgifterna.
Länsstyrelsernas och Skogsstyrelsens ändamål med att inrätta systemet med en gemensam inlämningsfunktion är för att förenkla skogsägares myndighetskontakter genom att möjliggöra att skogsägaren i ett sammanhang och till en myndighet ska kunna inleda myndighetsförfaranden som rör frågor inom skogsområdet.
Länsstyrelsernas ändamål med att samla in uppgifterna är att kunna utföra sitt ansvar enligt lag att handlägga ärenden och lämna tillstånd gällande fornlämningar och markavvattning. Uppgifterna kommer att användas för det ändamålet, men även för att ge den som ansökt om tillstånd eller har ett pågående ärende hos länsstyrelserna bättre tillgänglighet till myndigheten och en mer effektiv handläggning.
Skogsstyrelsens ändamål med att samla in uppgifterna är att kunna kommunicera med den som ska utföra en åtgärd, den som har fastigheten där åtgärden ska utföras och med allmänheten. Dessutom behövs uppgifterna för att följa upp ärenden i syfte att kontrollera att lagar och förordningar följs och för att ta fram statistik.
Beskrivning
Systemet ägs och driftas av Skogsstyrelsen. Kärnan i systemet är webb-API:et (applikationsprogrammeringsgränssnittet) Nemus. I nuläget finns det elva olika system som företag och andra aktörer använder för att lämna in ärenden via Skogsärenden för företag och det är ungefär 80 olika aktörer som använder dessa system. Dessutom har Skogsstyrelsen ett eget system, Mina sidor, där markägare och mindre företag har möjlighet att lämna in ärenden.
För varje ärendetyp finns ett särskilt formulär (schema), där användaren fyller i de uppgifter som behövs och efterfrågas i formuläret. Respektive formulär är kopplad till och utgår från en ärendetyp enligt aktuell lagstiftning.
Följande ärendetyper går i nuläget att lämna in via tjänsten.
- Avverkningsärenden
- Samrådsärenden
- Fornlämningsärenden
- Markavvattningsärenden
Avverknings- och samrådsärenden går till Skogsstyrelsen för handläggning och fornlämnings- och markavvattningsärenden går till länsstyrelsen för handläggning.
Det förekommer inte att myndigheterna delar på ärenden. De handläggs alltid antingen hos Skogsstyrelsen eller länsstyrelsen, utifrån tillämplig lagstiftning.
De uppgifter som hanteras i den gemensamma inlämningsfunktionen nyttjas av Skogsstyrelsen och länsstyrelserna i deras respektive ärendehandläggning. Fördelning av ärenden till rätt länsstyrelse sker med utgångspunkt i var fastigheten är belägen. Vid markområden som täcker flera län är det huvuddelen av marken eller den största fastighetens belägenhet som avgör vilken länsstyrelse som tilldelas ärendet. Även om två eller flera länsstyrelser berörs tilldelas endast en länsstyrelse ärendet via Nemus.
Behandlingar som omfattas
Behandlingen omfattar mottagande av personuppgifter från de anslutna systemen till Nemus. I Nemus sker registrering, lagring, bearbetning, utlämning genom överföring till länsstyrelsernas ärendehanteringssystem samt radering eller förstöring.
Nemus levererar handlingen i ett ärende till en SHS-server. På SHS-servern sparas också en teknisk version av de geometrier som skickats in, så att länsstyrelsen kan se dessa i sitt kartprogram. Om ärendet innehåller bilagor skapas det egna filer för dessa i SHS-servern. När länsstyrelsen hämtar handlingen, geometrin och eventuella bilagor för ett ärende från SHS-servern övergår personuppgiftsansvaret till länsstyrelsen. När länsstyrelsen har hämtat filerna försvinner dessa från SHS-servern. Originalversionen ligger fortfarande kvar i Nemus.
Ansvarsfördelning
Skogsstyrelsen är ansvarig för behandlingar som krävs för systemets tekniska drift. Vidare är Skogsstyrelsen ansvarig för behandlingar som görs i ärendetyper som handläggs av Skogsstyrelsen. Skogsstyrelsen är ansvarig för behandlingar som görs i ärendetyper som handläggs av länsstyrelsen fram till att personuppgifterna i ett ärende hämtas av länsstyrelsen från SHS-servern.
Länsstyrelsen är ansvarig för behandlingar som görs i ärendetyper som handläggs av länsstyrelsen från det att personuppgifterna hämtas av länsstyrelsen från SHS-servern.
Ändamål med behandlingen
Den gemensamma inlämningsfunktionen syftar till att förenkla skogsägares myndighetskontakter genom att möjliggöra att han eller hon i ett sammanhang och till en myndighet ska kunna inleda myndighetsförfaranden som rör frågor inom skogsområdet.
I 1 § förordningen om en gemensam inlämningsfunktion för skogsägare anges att syftet med en sådan funktion är att förenkla skogsägarnas kontakter med myndigheter i frågor som har anknytning till skog.
Rättslig grund
- Rättslig förpliktelse i form av förordningen (2013:44) om en gemensam inlämningsfunktion för skogsägare.
- Allmänt intresse avseende myndighetsutövning och övrig ärendehantering.
Personuppgifter som omfattas av arrangemanget
- Namn, personnummer, adress, telefonnummer och e-post till markägare och ombud som lämnar in ärendet.
- Fastighetsbeteckning, fastighetsnummer och geometrier, för den fastighet som omfattas av de aktuella åtgärderna.
- Ärendenummer, i inskickande system och mottagande system.
Systemet innehåller fritextfält i vilka alla sorters personuppgifter kan förekomma.
Medel för behandlingarna
Personuppgifter (till exempel namn, adress, telefonnummer och e-post till markägare och ombud samt bilagor) kommer in från olika användarsystem till Nemus. Den inkomna informationen valideras av Nemus och sparas sedan temporärt på en SHS-server, en mellanlagringsplats där informationen försvinner efter att den har hämtats. Länsstyrelsens system, Platina, har bestämda rutiner för att hämta informationen från SHS-servern.
Hela den ovannämnda processen, inklusive autentisering, sker digitalt mellan systemen. Drift och säkerhet av SHS-servern ansvarar Skogsstyrelsen för i enlighet myndighetens styrdokument om informationshantering.
Eftersom Nemus bara är en förmedlingstjänst, ligger arkiveringsansvaret för länsstyrelsens ärendetyper hos länsstyrelsen. Skogsstyrelsen har arkiveringsansvaret för Skogsstyrelsens ärendetyper.
Behörighetstilldelning och ansvar för teknisk utrustning
Skogsstyrelsen ansvarar för behörighetstilldelning. Det sker genom upprättande av servicekonton i Nemus. Alla företag som ansluter sig till Skogsärenden för företag får ett servicekonto.
Informationssäkerhet
Skogsstyrelsen har ansvaret för informationssäkerheten i Nemus och då även de uppgifter som tas in för länsstyrelsens ändamål. Däremot är länsstyrelsen ansvarig för att ställa krav på vilken säkerhet som behövs för deras information. Varje myndighet gör egna informationsklassificeringar och länsstyrelsen meddelar Skogsstyrelsen vilka krav de har.
Innebörden av det gemensamma ansvaret
Under rubriken ”Ansvarsfördelning” ovan framgår vilken myndighet som ansvarar för de olika personuppgiftsbehandlingarna som är aktuella i systemet. Eftersom systemet ägs och driftas av Skogsstyrelsen har vi gemensamt pekat ut Skogsstyrelsen som kontaktpunkt för de registrerade. Det är också Skogsstyrelsen som ansvarar för att teckna personuppgiftsbiträdesavtal där sådant är nödvändigt.
Om en incident eller ett klagomål avser personuppgiftsbehandling för vilken länsstyrelserna är ansvarig enligt ovan beskrivna ansvarsfördelning ska Skogsstyrelsen omgående översända incidenten eller klagomålet till länsstyrelsernas nationella organisation för dataskydd, NOD. Detsamma gäller om en registrerad vill utöva sina rättigheter i någon del där länsstyrelsen är personuppgiftsansvarig.
Information till de registrerade
Vid användning av systemet ska användare informeras om att Skogsstyrelsen och länsstyrelserna gemensamt är personuppgiftsansvariga. Användarna ska också informeras om vilka behandlingar som görs, vilka personuppgifter som behandlas, ändamålet med behandlingen samt den rättsliga grunden för behandlingen. Informationen ska finnas i de bekräftelser som går ut till användarna då ett ärende har tagits emot av Skogsstyrelsen respektive länsstyrelsen.
Detta arrangemang ska göras tillgängligt för de registrerade.
Gemensam kontaktpunkt
Eftersom systemet ägs och driftas av Skogsstyrelsen har vi gemensamt pekat ut Skogsstyrelsen som kontaktpunkt för de registrerade. Även om Skogsstyrelsen är utpekad som gemensam kontaktpunkt får de registrerade utöva sina rättigheter emot var och en av de personuppgiftsansvariga.
Skogsstyrelsens dataskyddsombud kan nås via skogsstyrelsen.se eller e-post: dataskyddsombud@skogsstyrelsen.se.