Riktlinjer för anställdas behandling av personuppgifter vid Högskolan i Borås

Transkript

1 Riktlinjer för anställdas behandling av personuppgifter vid Högskolan i Borås INLEDNING Dessa riktlinjer innehåller en sammanfattning av de viktigaste reglerna som anställda har att följa vid behandling av personuppgifter i arbetet. Riktlinjerna är inte kompletta. Samtliga regler med kommentarer finns på högskolans webbplats, Där finns också mallar och annan praktisk information. Det kan vara svårt att bedöma hur personuppgifter får behandlas. Vid högskolan finns det därför en dataskyddsfunktion bestående av jurist, arkivarie och informationssäkerhetssamordnare som kan hjälpa dig med frågor kring behandlingen av personuppgifter. Du är välkommen att kontakta oss via mejl, dataskydd@hb.se. LAGLIG GRUND När får personuppgifter behandlas? 1 Personuppgifter får behandlas om det är nödvändigt 2 för att utföra en uppgift a) som innebär myndighetsutövning, b) vars ändamål är av allmänt intresse 3, c) som följer av lag eller d) avtal med den vars uppgifter behandlas. - 3 Personuppgifter får behandlas med stöd av samtycke från den vars personuppgifter behandlas Se Regler för anställdas behandling av personuppgifter vid Högskolan i Borås (dnr ), tillgänglig på högskolans webbplats, 2 Med nödvändigt menas att det inte ska finnas något annat, rimligt, och mindre ingripande, sätt att uppnå samma resultat på. Läs mer om nödvändighetskravet på högskolans webbplats, 3 Med allmänt intresse menas att uppgiften har ett klart och tydligt samband med högskolans uppdrag att utbilda, forska, samverka med omgivande samhälle, informera om högskolans verksamhet och verka för att forskningsresultat kommer till nytta.

2 När krävs samtycke? All publicering av bild- och/eller ljudmaterial som innehåller personuppgifter på webben, sociala medier och Internet i övrigt kräver samtycke. Publicering kan få ske utan samtycke efter bedömning och godkännande av högskolans dataskyddsfunktion i det enskilda fallet. 5 (a) All behandling av personnummer (8 eller 10 siffror) kräver samtycke. All behandling av känsliga personuppgifter 4 kräver samtycke. Personnummer får bl.a. behandlas utan samtycke om det är klart motiverat för att säkert kunna identifiera en person, dvs. inte förväxlas med någon annan. Känsliga personuppgifter får bl.a. behandlas utan samtycke om det är nödvändigt vid handläggningen av ett ärende 5, eller vid forskning med godkänd ansökan om etikprövning. 5 (b) 5 (c) Hur ska samtycke samlas in och hanteras? Samtycke ska lämnas skriftligt och hämtas in innan behandlingen påbörjas. Använd högskolans mallar Rutin för hur inhämtade samtycken ska bevaras och hållas ordnade ska upprättas och dokumenteras i samråd med högskolans arkivarie innan samtycke hämtas in. Rutin som säkerställer att insamlade personuppgifter tas bort i det fall att samtycke återkallas ska upprättas och dokumenteras innan samtycke hämtas in Med känsliga personuppgifter menas alla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, genetiska uppgifter, biometriska uppgifter, medlemskap i fackförening samt uppgifter om hälsa, sexualliv och sexuell läggning. Till exempel: sjukfrånvaro, beskrivningar av sjukdomar eller annan fysisk eller psykisk ohälsa, uppgifter om funktionsvariationer, särskilda behov, allergier och hemland. Uppgifter som indirekt avslöjar känsliga uppgifter, är känsliga personuppgifter. Exempelvis kan matpreferenser avslöja religiös övertygelse. 5 Med ett ärende menas alla mellanhavanden inom högskolan, eller mellan högskolan och enskilda, som mynnar ut i något slags beslut från högskolans sida, dvs. ett uttalande eller ställningstagande som har någon form av återverkan eller vägledning för en student, anställd eller annan individ. 6 Kontakta högskolans dataskyddsfunktion vid behov av en ny mall.

3 Hur får personuppgifter behandlas med stöd av samtycke? Personuppgifter ska lagras, bearbetas, spridas/överföras och i övrigt behandlas i enlighet med vad som stadgas i samtycket. - 8 I det fall ett samtycke återkallas ska de personuppgifter som har samlats in tas bort och behandlingen i övrigt upphöra. Resultat av den behandling som redan har skett, t.ex. beräkningar, sammanställningar eller samkörningar, behöver inte tas bort. 9 LAGRING Vart får personuppgifter lagras? Personuppgift Tillåten lagring Åtkomst Aktuella bestämmelser Godkända och anvisade 14 (b) IT-system. EJ i PING PONG. 15 (a) Integritetskänsliga personuppgifter 7 Övriga personuppgifter (andra än integritetskänsliga personuppgifter) Högskolans egna lagringsytor F: och G: Krypterat flyttbart lagringsmedia 8 Godkända och anvisade IT-system Högskolans egna lagringsytor F: och G: Åtkomsten ska vara personlig och begränsad till medarbete som behöver uppgifterna i arbetet. Chef med verksamhetsansvar ansvarar för att upprätta och dokumentera rutin för tilldelning och borttagning av åtkomst till integritetskänsliga personuppgifter inom sitt ansvarsområde. Åtkomsten ska vara personlig och begränsad till medarbete som behöver uppgifterna i arbetet. 15 (b) 16 (b) (a) Box och Vibe Mobila enheter 7 Med integritetskänsliga personuppgifter menas dels känsliga uppgifter som ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, genetiska uppgifter, biometriska uppgifter, medlemskap i fackförening samt uppgifter om hälsa, sexualliv och sexuell läggning, dels extra skyddsvärda uppgifter så som uppgifter som omfattas av sekretess eller tystnadsplikt, skyddade personuppgifter, uppgifter om lagöverträdelser, känsliga uppgifter om ekonomiska förhållanden, samt beskrivningar och värderingar av personliga egenskaper eller förhållanden som ligger nära den privata sfären samt uppgifter som i övrigt kan betraktas som integritetskänsliga. 8 Beställs av IT-avdelningen

4 Hur länge får personuppgifter sparas? Av högskolans informationshanteringsplan 9 framgår vid vilken tidpunkt information som innehåller personuppgifter får raderas/gallras. När en information får raderas, bör informationen, eller personuppgifterna i informationen, också raderas 10. Personuppgifter får endast sparas ytterligare om det är nödvändigt med hänsyn till ändamålet med behandlingen av personuppgifter. Detsamma gäller om det inte finns en bestämd tidpunkt för när informationen får raderas, t.ex. när det i informationshanteringsplanen stadgas att informationen får raderas vid inaktualitet (17-18 ). Detta gäller oavsett vart informationen lagras, t.ex. mejl, hemkatalog, webbformulär, eller IT-system. Raderingstider för vanligt förekommande information: Skrivelser och korrespondens som är av ringa eller tillfällig betydelse för högskolans verksamhet får gallras vid inaktualitet (t.ex. enklare frågor, reklam, massutskick, kursinbjudningar). Korrespondens som bedöms leda till ett ärende/vara en del av ett ärende ska registreras och hanteras enligt högskolans rutiner i anvisat system (t.ex. högskolans diarium). Kopior och dubbletter där ett arkivexemplar har bevarats ska gallras. Intern korrespondens får gallras vid inaktualitet. Undantaget om handlingen tillför ett ärende sakuppgift. Arbetsmaterial/utkast får gallras när den slutgiltiga förslaget är upprättat. Administrativa listor av tillfällig betydelse, som inte är del av ett ärende, får raderas vid inaktualitet. Vem ansvarar för att personuppgifter raderas? Vem Vad Aktuell bestämmelse Enskilda medarbetare Mejl, webbformulär, och alla egna lagringsutrymmen t.ex. hemkatalog. 18 (a) Systemägare Chef IT-system inom sitt ansvarsområde. Gemensamma lagringsytor inom sitt ansvarsområde t.ex. G: och Box. 18 (b) 18 (c) Utöver ansvaret för att faktiskt se till att radering sker, ansvarar systemägare respektive chef med verksamhetsansvar för att upprätta och dokumentera rutin för när information som innehåller integritetskänsliga personuppgifter ska raderas (18 b och c ). 9 Högskolans informationshanteringsplan: 10 Radering kan ske genom att informationen som innehåller personuppgifter helt tas bort eller att informationen avidentifieras, dvs. att uppgifter som går att knyta till en individ tas bort medan andra uppgifter behålls.

5 ÖVERFÖRING Hur får personuppgifter spridas/överföras/lämnas ut? Personuppgifter får delas med andra som har ett behov av uppgifterna för att kunna utföra sitt arbete 19 I det fall behandlingen av personuppgifter sker med stöd av samtycke får uppgifterna delas med andra enligt vad som framgår av samtycket. Det kan finnas särskilda regler för hur personuppgifter får lämnas ut till tredje man, dvs. någon utanför högskolan, i andra författningar. Exempelvis finns sådana regler i förordning (1993:1153) om redovisning av studier m.m. vid universitet och högskolor. Det finns förbud mot att i vissa fall lämna ut känsliga personuppgifter till tredje man på arbetsrättens område i 3 kap. 2 dataskyddslagen. Personuppgifter ska i första hand delas med andra via länkar eller hänvisningar till uppgifterna i/på godkända IT-system och lagringsytor. Integritetskänsliga personuppgifter ska krypteras vid överföring, t.ex. genom mejl. Personuppgifter får inte föras över till ett land utanför EU/EES utan godkännande av högskolans dataskyddsfunktion. Varje konto, sida, kanal eller motsvarande på sociala medier med anknytning till arbetet vid högskolan ska godkännas av kommunikationschef. För varje konto, sida, kanel eller motsvarande på sociala medier ska det finnas en dokumenterad rutin för radering av personuppgifter. Det mesta av informationen vid högskolan är s.k. allmänna handlingar. Tryckfrihetsförordningen och offentlighets- och sekretesslagens regler har därför också betydelse för vilka uppgifter som får lämnas ut (d) - 23 (a) - 23 (b)