Juridisk vägledning för it-användningen vid SU

Transkript

1 Stockholms universitet Juridisk vägledning för it-användningen vid SU Förord Stockholms universitet en öppen myndighet Förvaltningslagen vår juridiska plattform Allmänt E-post Elektronisk skräppost (spam) Offentlighetsprincipen ska prägla verksamheten Allmänna handlingar Sekretess Allmänna handlingar som innehåller personuppgifter Sekretess för att förebygga och beivra brott Sekretess till skydd för enskild i utbildningsverksamhet m.m Utlämnande av allmänna handlingar Bevarande och gallring av allmänna handlingar En god offentlighetsstruktur Information om offentlighetsprincipen Personuppgiftslagen skyddar den personliga integriteten Inledning Personuppgiftslagens tillämpningsområde Tillåten personuppgiftsbehandling Information till de registrerade Säkerheten vid behandlingen Rättelse och ansvar Anmälnings- och förteckningsskyldighet Ensamrätter upphovsrätt till myndighetens och andras verk Allmänt Upphovsrätt och allmänna handlingar SU på webben ansvar m.m Inledning BBS-lagen Etablering i sociala medier och användning av molntjänster m.m Sociala medier Molntjänster Mer information Författningar m.m Litteratur m.m Förord Vägledningen utgör en introduktion till den juridik som omgärdar användningen av informations- och kommunikationsteknik vid Stockholms universitet (SU). Avsikten är att komplettera gällande regelverk med förklaringstexter och praktiska exempel. Detta innebär att vägledningen inte tar upp alla de rättsregler 1

2 som kan komma att bli tillämpliga t.ex. när studenter och andra begär att få ut uppgifter ur våra informationssystem. Vägledningen innehåller inte heller några nya bindande föreskrifter eller riktlinjer som ska styra verksamheten. Vägledningen belyser däremot vilka rättsområden och överväganden som medarbetarna har anledning att särskilt observera. Det dagliga arbetet vid institutionerna kommer att ge upphov till frågor som förutsätter ytterligare studier och konsultationer. Ett särskilt avsnitt innehåller därför tips för vidareläsning (Avsnitt 7, Mer information). Vägledningen är utarbetad av Cecilia Magnusson Sjöberg, professor i rättsinformatik vid juridiska institutionen, på uppdrag av IT-avdelningen. 1. Stockholms universitet en öppen myndighet Stockholms universitet utgör en del av den offentliga förvaltningen. Det faktum att SU är en förvaltningsmyndighet och inte en näringslivsorganisation ställer särskilda krav på hur vi hanterar e-post och elektroniska dokument, behandlar personuppgifter i dataregister och på webben m.m. Genom att universitetsmiljön kännetecknas av utspridda campusområden med stora mängder studenter, gästforskare, andra besökare liksom personal förstås, skiljer den sig en hel del från myndigheter som har inpasseringskontroller med legitimering av besökare och mer snävt avgränsade arbetsuppgifter. Universitetet kan beskrivas som en kombination av en akademi och en jämförelsevis öppen myndighet. Detta har sin bakgrund i att det övergripande uppdraget omfattar såväl utbildning och forskning som kontakter med det omgivande samhället både nationellt och internationellt. Dessa verksamhetsmässiga förutsättningar präglar inte minst vårt mångfasetterade sätt att använda it som kommunikationsform där givetvis internet spelar en central roll. Den juridik som präglar en myndighets verksamhet är vanligen inte medieberoende utan den allmänna lagstiftningen gäller också när vi utvecklar och inför it-baserade arbetsrutiner av skilda slag. I den moderna e-förvaltningen, som SU alltså utgör en del av, är det viktigt att inta ett proaktivt förhållningssätt genom att tidigt uppmärksamma aktuella rättsfrågor. Det är nämligen ofta både tidskrävande, kostsamt och besvärligt att i efterhand anpassa t.ex. det sätt på vilket personuppgifter behandlas digitalt till bestämmelser i olika lagar, förordningar och myndighetsföreskrifter. Att tänka på: Stockholm universitet är en förvaltningsmyndighet som styrs av offentligrättsliga regelverk. Den juridik som omgärdar en myndighets verksamhet är tillämplig också vid utnyttjande av informations- och kommunikationsteknik (it). Genom att vara juridiskt proaktiv, dvs. uppmärksamma juridiska aspekter tidigt, skapas förutsättningar för effektiva och enkla it-baserade arbetsrutiner. 2

3 2. Förvaltningslagen vår juridiska plattform 2.1 Allmänt Rättssäkerhet utgör ett fundament för den offentliga förvaltningens verksamhet. Det innebär att enskilda ska kunna förutse vilka principer som ligger till grund för en myndighets beslutsfattande, att lika ärenden behandlas lika och att det finns en omfattande rätt till insyn m.m. Krav på rättssäkerhet kommer bl.a. till uttryck i förvaltningslagen (1986:223, FL) som gäller för myndigheternas ärendehandläggning och till viss del även för annan myndighetsverksamhet. Det går alltså en juridisk skiljelinje mellan ärendehandläggning i form av att t.ex. bevilja en student dispens för att hon eller han inte uppfyller förkunskapskraven till en viss kurs och s.k. faktiskt handlande, t.ex. när en lärare håller en föreläsning. Om det finns bestämmelser i annan lag eller förordning som avviker från förvaltningslagen har dessa företräde. Lagstiftaren har endast i begränsad utsträckning it-anpassat bestämmelserna i förvaltningslagen men lagen ska ändå tillämpas i digitala myndighetsmiljöer. Detta innebär att it-användningen vid SU måste uppfylla förvaltningslagens krav på service, enskildas rätt att få del av uppgifter, bestämmelserna om beslutsmotivering, underrättelse om beslut, omprövning av beslut m.m. 2.2 E-post Förvaltningslagen reglerar bl.a. när handlingar ska anses inkomna till en myndighet vilket bl.a. har betydelse för bedömningen av om olika tidsfrister är uppfyllda. Lagen föreskriver uttryckligen att myndigheter ska se till att det är möjligt för enskilda att kontakta dem med hjälp av elektronisk post och att svar kan lämnas på samma sätt (5 2 st. förvaltningslagen). I mer konkreta termer innebär denna skyldighet följande: - Servicebestämmelsen tar sikte på just e-post och anger t.ex. inte någon skyldighet för SU att öppna upp för annan digital kommunikation. I den utsträckning medarbetare får sms eller mms som rör arbetet måste dessa meddelanden emellertid tas om hand, t.ex. genom en tjänsteanteckning (15 förvaltningslagen). Detta gäller oavsett om meddelandet kommer till en tjänstemobil eller en privat mobil. - Kravet på att kunna kommunicera externt via e-post avser myndigheten som helhet. Det finns med andra ord ingen skyldighet för SU att förse alla anställda med individuella e-postadresser enligt modellen förnamn.efternamn@institutionsnamn.su.se. Juridiskt sett går det alltså alldeles utmärkt att bygga upp den elektroniska meddelandehanteringen kring funktionsadresser, t.ex. registrator@, prefekt@, kursadministratör@ eller studievägledare@. - Förvaltningslagen kräver inte att myndigheter ska kunna ta del av filer i alla de olika format som kan följa med ett enskilt e-postmeddelande som bilaga. Enskilda bör dock upplysas om eventuellt oläsbara bilagor och vilket/vilka format som SU kan hantera. - Den som kontaktar en myndighet via e-post kan inte utgå från att exklusivt få kommunicera med en viss person vid SU utan får räkna med att meddelandet kan komma att vidarebefordras till någon annan anställd. - Bara för att SU har tagit emot ett e-postmeddelande innebär inte detta att en avsändare också har rätt att få svar elektroniskt. Bestämmelser om sekretess 3

4 kan t.ex. förutsätta svar via traditionell pappersbaserad postgång. I möjligaste mån ska dock den enskildas intresse av att också få svar elektroniskt beaktas. Legala krav i kombination med den ökande användningen av e-post som kommunikationsform i samhället i stort gör det angeläget att utforma arbetsrutiner för hantering av e-post. Utgångspunkten är att e-post rent juridiskt är att jämställa med konventionella brev i form av pappersdokument som inkommer till och sänds iväg från myndigheten. 2.3 Elektronisk skräppost (spam) Elektronisk skräppost (spam) utgör ett särskilt problem främst med tanke på belastningen på kommunikationskanalen i sig, förvaltningslagens principiella krav på att myndigheter ska kunna ta emot e-post oavsett avsändare och risken för att riktiga meddelanden s.a.s. stoppas på vägen genom att de fastnar i programvara som används för att motverka spam. Den rättsliga utgångspunkten är att det är avsändaren som bär risken för att t.ex. ett e-postmeddelande med felstavad adressat resigrator@ inte kommer fram. En myndighet har samtidigt inte rätt att på teknisk väg t.ex. stänga ute e- post från vissa avsändaradresser. Av Statskontorets juridiska vägledning kring myndigheternas spamhantering framgår dock att det med hänvisning till allmänna krav på skydds- och kontrollåtgärder i akuta situationer kan vara befogat att tillfälligt avvisa e-post från en viss server. 2 Till bilden hör vidare att all e-post som inte undantagsvis avvisas ska tas om hand som till myndigheten inkomna handlingar. För att arbetsbelastningen förknippad med hantering av spam inte ska bli fullständigt orimlig finns det således ett behov av att utnyttja sorteringsprogram som anger vilka meddelanden som förmodligen utgör skräppost. Med stöd i Statskontorets vägledning finns det vidare visst utrymme för automatiserad radering av skräppost som med hjälp av tillförlitliga sorteringsprogram bedömts som handling av tillfällig eller ringa betydelse (se Riksarkivets föreskrifter RA-FS 1991:6 ändrad genom 1997:6). Förstöring av e-post är emellertid formellt sett att betrakta som gallring vilket principiellt sett förutsätter att någon vid myndigheten konstaterat att dess förstörelse inte åsidosätter allmänhetens insynsrätt liksom att handlingarna bedöms sakna värde för rättskipning, förvaltning och forskning Att tänka på: Förvaltningslagens bestämmelser gäller för it-användningen vid SU. SU måste se till att det går att det via e-post kommunicera till och från myndigheten. Skilj mellan avvisning av elektronisk skräppost (spam) och hantering av icke avvisad spam. 3. Offentlighetsprincipen ska prägla verksamheten 3.1 Allmänna handlingar Offentlighetsprincipen manifesterar den öppenhet som utgör ett av den svenska förvaltningens särdrag. Den s.k. handlingsoffentligheten har rötter bakåt i tiden till 2 Statskontorets rapport 2005:5, Myndigheternas spamhantering. 4

5 1700-talet. I takt med myndigheternas digitalisering har tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet it-anpassats. Det övergripande syftet har varit att insynsrätten inte ska naggas i kanten till följd av övergången från pappersbaserad till elektronisk dokumenthantering. Rätten att ta del av allmänna handlingar regleras i 2 kap tryckfrihetsförordningen (TF). Lagstiftaren har valt att i digitala miljöer beteckna handlingar som upptagningar för automatiserad behandling (2 kap. 3 TF). Genom att detta uttryck principiellt sett omfattar varje meningsfull uppgiftskonstellation kan det elektroniska handlingsbegreppet sägas ha en mer vidsträckt innebörd än vad som gäller för traditionella pappersdokument. En handling i TF:s mening behöver inte ha någon anknytning till myndighetens verksamhet utan avgörande är vad som är meningsfullt för den som begär att få ut uppgifterna. För att det ska vara fråga om en allmän handling måste den vara förvarad hos myndigheten. Här gör TF återigen en skillnad mellan pappershandlingar och upptagningar genom att istället för att knyta an till fysisk förvaring låta tillgänglighet vara bestämmande för vad som utgör en inkommen elektronisk handling. Det spelar med andra ord ingen roll om en upptagning är fysiskt lagrad hos SU utan det avgörande är om den är tillgänglig med tekniskt hjälpmedel som universitetet utnyttjar. Avgränsningen till myndighetens egna tekniska hjälpmedel har tillkommit för att undvika situationen att enskilda begär att få bearbeta myndigheters uppgifter med egen programvara och datorutrustning eftersom detta skulle innebära alltför stora säkerhetsrisker. Bedömningen av om en elektronisk handling är att anse som förvarad hos en myndighet är även beroende av om det rör sig om en s.k. färdig elektronisk handling eller en uppgiftssammanställning. En myndighet är nämligen bara skyldig att göra en sammanställning av uppgifter ur allmän handling om detta kan ske med rutinbetonade åtgärder, dvs. med en begränsad arbetsinsats och utan nämnvärda kostnader eller andra komplikationer för myndigheten. I praktiken är det inte lätt att dra en skarp gräns mellan färdiga elektroniska handlingar och uppgiftssammanställningar. Typexempel på färdiga elektroniska handlingar är enskilda e-postmeddelanden, elektroniska kursbeskrivningar och rapporter. Om någon i stället begär att få uppgifter om antagna studenters nationalitet på olika magisterutbildningar vid en viss fakultet rör det sig i stället om en sammanställning. Konsekvensen av att låta rutinbetonade åtgärder utgöra parametern för myndigheters skyldigheter att göra uppgiftssammanställningar blir givetvis att ju mer kraftfulla tekniska plattformar SU utnyttjar desto mer information kan bli föremål för offentlighet. Å ena sidan är denna vidsträckta insynsrätt helt i linje med principen om den öppna förvaltningen. Å andra sidan kan det med hänsyn till inte minst studenters rätt till integritetsskydd finnas anledning till eftertanke innan informationssystem utvecklas som banar vägen för sammanställningar av personuppgifter. Ytterligare kriterier för att det ska vara fråga om en allmän handling är att handlingen antingen är inkommen (2 kap. 6 TF) till eller upprättad hos myndigheten (2 kap. 7 TF). Tillgängligheten är avgörande också för när en elektronisk handling ska anses inkommen till en myndighet (se ovan). Det finns emellertid inga särregler för när en elektronisk handling anses upprättad. En handling är upprättad när den fått sin slutliga utformning, när den har expedierats, eller när det ärende till vilket den hör är avslutat. Om en handling inte hör till 5

6 något visst ärende anses den upprättad när den har justerats eller färdigställts på annat sätt. Vissa typer av handlingar blir aldrig allmänna (2 kap. 11 TF). Hit hör handlingar som ingår i myndighetens bibliotek, t.ex. kommersiellt anskaffade dvd-skivor som är bärare av informationsprodukter av olika slag. Ytterligare exempel på handlingar som inte är allmänna är personliga meddelanden, t.ex. privat e-post eller sådana meddelanden som ställts till en tjänsteman i dess egenskap som fackligt förtroendevald. Minnesanteckningar som hör till ett visst ärende blir bara allmän handling om de tillför sakuppgifter till ärendet i fråga, expedieras, dvs. skickas iväg från SU eller omhändertas för arkivering. På liknande sätt blir s.k. mellanprodukter i form av utkast till beslut, tidiga versioner av en rapport etc. allmän handling först efter expediering eller omhändertagande för arkivering. I digitala miljöer är det inte alltid lätt att fastställa olika handlingars rättsliga status. Arbetsmaterial i form av mötesanteckningar som efter granskning av t.ex. prefekt eller enhetschef distribueras internt via e-post eller läggs ut på intranätet blir på så vis färdigställda och upprättade. Medarbetarna måste också känna till att e-post från studenter utgör inkomna handlingar och att en lärares svar via e-post genererar hos institutionen upprättade handlingar. Det är med andra ord viktigt med internutbildning och tydliga arbetsrutiner. 3.2 Sekretess Även om villkoren för att det ska vara fråga om en allmän handling är uppfyllda är det, som redan framkommit, inte självklart att handlingen är offentlig och ska lämnas ut. Uppgifterna i den allmänna handlingen kan nämligen vara hemliga enligt vad som framgår av någon bestämmelse i offentlighets- och sekretesslagen (2009:400, OSL). Till skillnad från många andra länders lagstiftning innebär inte förekomsten av viss sekretess att handlingen i sin helhet är hemlig utan den är föremål för utlämnande i sina offentliga beståndsdelar. Frågan om sekretess ska prövas vid varje utlämnandetillfälle med utgångspunkt i en tillämplig bestämmelse i offentlighets- och sekretesslagen. Man kan alltså inte hänvisa till sekretess i största allmänhet som ett skäl till att inte lämna ut en allmän handling. Det är också så att sekretessbestämmelserna i sig är utformade med olika s.k. skaderekvisit som antingen presumerar att en skadebedömning ska leda till ett utlämnade eller tvärtom att uppgifterna är sekretesskyddade Allmänna handlingar som innehåller personuppgifter Det är vanligt att allmänna handlingar i universitetets olika informationssystem innehåller personuppgifter. Om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204, PUL) gäller sekretess för personuppgiften enligt 21 kap. 7 offentlighets- och sekretesslagen. Sekretessbestämmelsen avser den personuppgiftsbehandling som kan komma att ske efter ett eventuellt utlämnande från SU. Bestämmelsen är vidare utformad med sikte på att uppgifterna om möjligt ska lämnas ut, dvs. offentlighet är huvudregel. Det ska vidare vara någon särskild omständighet som gör att det finns anledning att befara att den som begär ut handlingen inte kommer att efterleva bestämmelserna i personuppgiftslagen. Det kan röra sig om att någon begär att få 6

7 en sammanställning av en stor mängd personuppgifter som sammantaget blir känsliga vid en fortsatt automatiserad behandling. Om det är nödvändigt för att kunna utföra skadebedömningen har myndigheten till skillnad mot vad som annars gäller rätt att fråga vem det är som begär att få del av uppgifterna samt syftet med begäran. I detta sammanhang kan nämnas att rättspraxis under de senaste åren har utvecklats i riktning mot offentlighet när det gäller massuttag av personuppgifter för direktreklamändamål. Observera att personuppgiftslagen inte är tillämplig på personuppgiftsbehandlingar av rent privat natur. Inte heller behandlingar som sker uteslutande för journalistiska ändamål omfattas av PUL Sekretess för att förebygga och beivra brott Sekretess gäller enligt 18 kap 8 offentlighets- och sekretesslagen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser bl.a. telekommunikation eller system för automatiserad behandling av information (p. 3) och behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling (p. 4). I syfte att förebygga och beivra brott finns det alltså stöd i offentlighets- och sekretesslagen för att hemlighålla uppgifter om informationssäkerhet. Bestämmelsen kan bl.a. utnyttjas för att inte lämna ut uppgifter som rör kryptering vid utnyttjande av telekommunikation. Av samma övergripande sekretesshänsyn kan det även bli aktuellt att sekretessbelägga såväl behörighetskoder och behörighetsnycklar som dess administration. I praktiken handlar det om att i vissa situationer förhindra åtkomst till uppgifter i informationssystem som annars skulle vara att betrakta som offentliga (allmänna handlingar) och därigenom förhindra förvanskning, förstörelse m.m. Regleringen är utformad med ett s.k. rakt skaderekvisit vilket innebär en strävan efter offentlighet (utlämnande av uppgifter) ska prägla myndighetens sekretessprövning Sekretess till skydd för enskild i utbildningsverksamhet m.m. Av 23 kap. 5 2 st. offentlighets- och sekretesslagen framgår att sekretess gäller inom universitet- och högskoleområdet för uppgift om enskilds identitet, adress och andra liknande uppgifter om enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Regleringen är utformad med ett rakt skaderekvisit, dvs. presumtion för offentlighet. Av förarbetena framgår att regeringen anser att sekretessintresset är lika starkt för uppgifter om en förföljd students identitet på ett universitet eller högskola som inom skolväsendet i övrigt och där sekretess gällt sedan än längre tid tillbaka. Enligt regeringens mening bör avvägningen mellan insynsintresset och sekretessintresset på universitets- och högskoleområdet och inom vuxenutbildningen i övrigt utfalla på samma sätt som på skolområdet. Sekretesskyddet för studenters identitet m.m. aktualiserar frågor om hanteringen av denna slags personuppgifter i Ladok-systemet. Förordningen 7

8 (1993:1153) om redovisning av studier m.m. vid universitet och högskolor föreskriver nämligen att varje students identitet ska anges med hjälp av namn och personnummer i studieregistret. Om ett svenskt personnummer saknas, anges ett för denna student vid högskolan unikt nummer (2 kap 5 ). Studentavdelningen har i ett prefektutskick lämnat information om rutiner för studenter med skyddade personuppgifter. 3 Dessa går i stora drag ut på att skyddsvärda studenters verkliga identitet döljs i Ladok för vanliga systemanvändare. Dessa personer får i stället en alias -identitet och endast ansvariga vid Studentavdelningen har tillgång till de verkliga uppgifterna. Mer information om utfärdande av studieintyg, examen, externa förfrågningar och sekretess för denna kategori av studenter lämnas av Studentavdelningen och i vissa fall av Ladok-gruppen. 3.3 Utlämnande av allmänna handlingar Den som begär att få del av en allmän handling har som huvudregel rätt att vara anonym och inte heller tala om syftet med sin framställan (2 kap.14 3 st. TF). Om det är nödvändigt för att en myndighet ska kunna göra en sekretessprövning har tjänstemän, som framkommit ovan, dock rätt att fråga efter såväl identitet som vad uppgifterna ska användas till. Observera att sådan efterforskning förutsätter att det verkligen finns en tillämplig sekretessbestämmelse. Frågan om utlämnande prövas normalt av den som förvarar handlingen vid den institution eller motsvarande till vilken framställningen görs. Vid mer komplicerade bedömningar blir det en fråga för prefekten eller någon annan på chefsnivå som vid avslag har att upplysa sökanden om rätten att få ett formellt (skriftligt) beslut av myndigheten, vilket är en förutsättning för överklagande. I praktiken innebär detta att slutligt beslut fattas av företrädare för universitetsledningen som då har att lämna besked om hur beslutet kan överklagas till förvaltningsdomstol (6 kap. 3 offentlighets- och sekretesslagen). Tryckfrihetsförordningen föreskriver två olika sätt för utlämnande av allmänna handlingar. Antingen kan det ske genom att låta den enskilde genast eller så snart det är möjligt gratis ta del av handlingen på universitetet eller att mot fastställd avgift skyndsamt få en utskrift (2 kap TF). För närvarande föreligger ingen skyldighet att lämna ut allmänna handlingar i elektronisk form. Myndigheten kan dock som ett uttryck för service välja utlämnande genom exempelvis e-post. Om den allmänna handlingen innehåller personuppgifter måste dock den behandling som själva utlämnandet innebär vara tillåten enligt personuppgiftslagen. Allmänna bestämmelser om sekretess och säkerhet måste också beaktas. En begäran att ta del av allmänna handlingar måste alltså hanteras mycket snabbt men ändå inte ske på bekostnad av den bedömning av handlingens rättsliga status som är nödvändig för att t.ex. undvika oriktigt utlämnande av hemliga uppgifter. Även om bl.a. journalister kan vara angelägna om att genast få läsa dagens post eller få del av någon medarbetares inkorg i e-postsystemet är det alltid myndigheten som först ska avgöra vad som är offentligt , Dnr SU

9 3.4 Bevarande och gallring av allmänna handlingar Enligt 3 arkivlagen (1990:782) bildas en myndighets arkiv av de allmänna handlingar som hör till myndighetens verksamhet samt de minnesanteckningar och mellanprodukter som tas om hand för arkivering (se ovan). Huvudprincipen är således att allmänna handlingar ska bevaras så att inte rätten till insyn blir alltför begränsad i tiden. En grundläggande förutsättning för insyn är vidare att handlingar registreras eller hålls ordnade så att det utan svårighet kan fastställas om de har kommit in till SU eller upprättats hos myndigheten. Handlingar som uppenbarligen är av ringa betydelse för verksamheten, som t.ex. spam, behöver dock varken registreras eller hållas särskilt ordnade (se vidare 5 kap. offentlighets- och sekretesslagen). Diarieföring är med andra ord inte en förutsättning för allmänna handlingars offentlighet. Den viktiga skiljelinjen går istället mellan handlingar som omfattas av sekretess och som ska registreras å ena sidan och andra handlingar som kan ordnas med beaktande av rätten till insyn å andra sidan. I praktiken har detta alternativ till registrering av enskilda handlingar kommit att prägla dagens e- förvaltning, inte minst när det gäller inkommande e-post. I princip är det även den enda praktiskt genomförbara lösningen också för många studieadministrativa system som innehåller scheman, kursbeskrivningar, kursvärderingar, diskussionsforum m.m. Med tanke på hur mycket dokument av skilda slag som användning av informations- och kommunikationsteknik ger upphov till är det nödvändigt att gallra allmänna handlingar och rensa bort annat material. Rent faktiskt utgör gallring ett inslag i den dagliga verksamheten vid SU på så vis att uppgifter i allmänna handlingar förstörs genom överföring till annan databärare, förlust av möjliga informationssammanställningar, sökmöjligheter samt förlust av möjligheter att fastställa informationens autenticitet (äkthet). Gallring förutsätter stöd i författning och myndighetsbeslut. Detta innebär att Stockholms universitet bl.a. har beslutat att tillämpa en föreskrift från Riksarkivet om gallring av handlingar av ringa eller tillfällig betydelse (se ovan om spam) En god offentlighetsstruktur Det är viktigt att medarbetarna är medvetna om vikten av att bidra till och upprätthålla en s.k. god offentlighetsstruktur i de system man arbetar med (4 kap. 1 offentlighets- och sekretesslagen.). I digitala miljöer handlar det också om att uppmärksamma offentlighetslagstiftningen i ett tidigt skede av systemutveckling så att det verkligen går att konstatera när handlingar blir inkomna och upprättade, vilka uppgiftssammanställningar som vanligen går att åstadkomma med rutinbetonade åtgärder, vilka handlingar som typiskt inte är allmänna etc. Det är också angeläget att ha beredskap för sekretessprövningar och att kunna tillgodose allmänhetens villkorade rätt att själv använda myndighetens tekniska hjälpmedel för att ta del av allmänna handlingar. En särskild fråga rör förekomsten av privat e-post i våra meddelandesystem. Utgångspunkten är att man som anställd inte har någon rätt att utnyttja arbetsgivarens utrustning för privata ändamål. Det är arbetsgivaren som leder och 4 Se Beslut om gallring av allmänna handlingar av tillfällig eller ringa betydelse vid Stockholms universitet , SU Dnr

10 fördelar arbetet och som bestämmer vilken utrustning som ska användas och hur. Denna arbetsledningsrätt ska utövas inom ramen för lag och god sed. Vissa myndigheter har bl.a. av säkerhetsskäl uttryckligen förbjudit all privat användning av sina datornät. Ett sådant strikt synsätt på medarbetarnas itanvändning är dock inte helt okomplicerat. Man kan t.ex. inte utesluta att någon utan den anställdes förskyllan sänder privata meddelanden till en officiell myndighetsadress. Inte minst mot bakgrund av att SU är en öppen myndighet där kontakter med det omgivande samhället utgör en central del av uppdraget accepterar därför myndigheten förekomsten av privata e-postmeddelanden i rimlig utsträckning och under förutsättning att gällande regelverk efterlevs. 3.6 Information om offentlighetsprincipen Även om offentlighetsprincipen är grundlagsreglerad kan man inte utgå från att alla som har kontakt med Stockholms universitet är införstådda med vad bestämmelserna om handlingsoffentlighet innebär. Detta gäller särskilt våra utländska studenter och gästforskare från andra länder. Det finns därför anledning att i samband med kursstarter och liknande informera om att t.ex. e-post som sänds till en lärare blir en till SU inkommen handling och att meddelanden som utväxlas i diskussionsforum kan bli föremål för offentlighet. Att tänka på: Den grundlagsstadgade offentlighetsprincipen går inte att avtala bort genom överenskommelser om att t.ex. vissa insamlade uppgifter uteslutande kommer att hanteras inom universitetet. Det är viktigt att utforma arbetsrutiner för hantering av inkommande e- post vid medarbetarnas frånvaro. En enskild student får t.ex. inte missa att bli antagen till en kurs på grund av att någon som är sjuk vid institutionen inte har ordnat så att en kollega tar hand om e-posten. Studenter utgör från myndigheten fristående rättssubjekt. Detta innebär att e-post från studenter till medarbetare vid SU blir inkomna handlingar samtidigt som e-post som skickas till studenter från myndigheten blir att betrakta som upprättade handlingar. Studenters användning av exempelvis SU:s e-postkonto för att sända meddelanden sinsemellan och till det omgivande samhället gör dock inte att det uppstår allmänna handlingar. Vid utformning av studieadministrativa system liksom användning av digitala samverkansplattformar är det särskilt angeläget att uppmärksamma kravet på en god offentlighetsstruktur. Det finns ett direkt samband mellan informationssystemens kapacitet att bearbeta uppgifter och bedömningen av vad som ska anses utgöra s.k. rutinbetonade åtgärder, och därmed ligga till grund för enskildas insynsrätt när det gäller uppgiftssammanställningar. Allmänna handlingar ska som huvudregel bevaras och gallring förutsätter särskilt gallringsbeslut. Stäm vid behov av med ansvariga vilka gallringsbeslut som Stockholms universitet har fattat. Handlingsoffentlighet är en av flera insynsrätter som SU måste ha beredskap för. Enligt 16 förvaltningslagen har en sökande, klagande eller annan part rätt att ta del av det som har tillförts ett ärende som avser myndighetsutövning mot enskild, dvs. partsinsyn. Personuppgiftslagens 10

11 bestämmelser om registrerades rätt till information är också centrala (23-27 ). 4. Personuppgiftslagen skyddar den personliga integriteten 4.1 Inledning Mycket av it-användningen vid SU omfattar behandling av personuppgifter. Historiskt sett anses riskerna för integritetskränkningar särskilt stora vid automatiserad databehandling. Detta synsätt i kombination med behovet av ett fritt flöde av personuppgifter på den inre marknaden är bakgrunden till EU:s dataskyddsdirektiv som Sverige genomfört genom personuppgiftslagen (1998:204). I syfte att stärka integritetsskyddet, öka harmoniseringen, minska byråkratiseringen och göra en anpassning till den globala användningen av modern informations- och kommunikationsteknik är EU:s regelverk föremål för revidering. Den 25 januari 2012 offentliggjorde EU-kommissionen ett förslag till dataskyddsförordning som efter ett antagande blir direkt tillämplig i medlemsstaterna till skillnad från ett direktiv som först måste implementeras i den nationella lagstiftningen. Trots att vissa bestämmelser i den nu gällande personuppgiftslagen kan te sig omständliga i sin praktiska tillämpning kan vi ändå konstatera att PUL inte reser några hinder mot de arbetsuppgifter som hör till universitetets löpande verksamhet, t.ex. studie- och personaladministration. Samtidigt som en behandling av personuppgifter formellt sett är tillåten är det förstås väsentligt att uppfylla lagens krav på information till registrerade och att vidta nödvändiga säkerhetsåtgärder etc. Det finns vidare anledning att tänka sig för noga innan man som ett uttryck för allmän servicevilja sträcker sig längre än vad myndigheten faktiskt är ålagd att göra genom att t.ex. publicera omdömen om studenter och anställda i digitala nätverk av olika slag. 4.2 Personuppgiftslagens tillämpningsområde Personuppgiftslagen är tillämplig på helt eller delvis automatiserad behandling av personuppgifter (5 PUL). Under vissa förutsättningar är PUL tillämplig också när personuppgifter behandlas manuellt. Detta förutsätter dock att uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Avvikande bestämmelser i annan lag eller förordning (2 PUL) har företräde framför personuppgiftslagen. Med personuppgift förstås all slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet (3 PUL). Begreppet behandling (av personuppgifter) omfattar all slags databearbetning som insamling, registrering, lagring, beräkning, etc. Lagens begreppsdefinitioner för med sig att personuppgiftsbehandling kan ske i form av såväl ett enkelt e-postmeddelande till en student vars identitet framgår av e-postadressen som genom ett anonymt inlägg i ett diskussionsforum som indirekt pekar ut en viss lärare. Efter en lagändring som trädde ikraft den 1 januari 2007 har den s.k. missbruksmodellen fått genomslag i den svenska integritetsskyddslagstiftningen. 11

12 Lagstiftaren har infört lättnader för vardaglig behandling av personuppgifter så länge den registrerades personliga integritet inte kränks, dvs. det sker ett missbruk behandlingen av personuppgifter missbrukas. Det gäller således vissa undantag för behandling av personuppgifter i s.k. ostrukturerat material (5 a ). Härmed förstås behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Det handlar t.ex. om textbehandling utanför särskilda dokumenthanteringssystem, e-post i generella meddelandesystem, publicering av löpande text på internet och enstaka ljud- och bildupptagningar Under förutsättning att den registrerades personliga integritet inte kränks är behandling av personuppgifter i s.k. ostrukturerat material undantaget följande bestämmelser i PUL: 9 Grundläggande krav på behandlingen av personuppgifter 10 När behandling av personuppgifter är tillåten Förbud mot behandling av känsliga personuppgifter 21 Uppgifter om lagöverträdelser 22 Behandling av personnummer Information till den registrerade 28 Rättelse och information till den registrerade Förbud mot överföring av personuppgifter till tredje land 42 Upplysningar till allmänheten om behandlingar som inte anmälts Uppräkningen ovan visar att tillämpningsområdet för missbruksregeln respektive de övriga ca. hanteringsreglerna skiljer sig markant åt. Med tanke på att dagens informations- och kommunikationsteknik i princip alltid ger förutsättningar för strukturerad databehandling kan det i praktiken vara svårt att dra en skarp skiljelinje mellan behandlingar som faller in under missbruksmodellen och de som inte gör det. Av förarbetena framgår att det faktum att en behandling är strukturerad i sig inte är detsamma som att hanteringsreglerna ska tillämpas. De mer betungande integritetsskyddsreglerna slår nämligen bara till om det är fråga om kvalificerad personuppgiftsanknuten behandling. Konsekvensen av detta är att personuppgiftsbehandling i enkla strukturer och vad som beskrivs som sedvanligt utnyttjande av allmänna funktioner faller in under missbruksmodellen. Den som t.ex. använder programvara som ingår i Microsofts Officepaket kan med hänvisning till lagmotiven hävda att det vid användning av Word rör sig om ett nyttjande av allmänna funktioner. Detta resonemang kan dock inte appliceras rakt av på mer avancerad användning av exempelvis Excel. Om man däremot ägnar sig åt (basal) textbehandling inom ramen för ett mer specialiserat dokumenthanteringssystem kan konsekvensen bli att hanteringsmodellen kommer att omfatta även rena textdokumentet genom att dessa knyts till ett relativt sett mer specialdesignat system. Det finns med andra ord en risk för att en specialdesignad teknisk lösning s.a.s. kan smitta ner dokument som annars skulle kunna gå att inlemma i missbruksmodellen. Den juridiska osäkerhet som är förknippad med gränsdragningen mellan de olika integritetsskyddsmodellerna gör att det för en organisation kan finnas anledning att tillämpa hanteringsreglerna på all sin personuppgiftsbehandling trots att det formellt sett också finns utrymme för missbruksreglerna. En förutsättning för att få behandla personuppgifter enligt missbruksmodellen är som sagt att den registrerades personliga integritet inte kränks. Som ett 12

13 förtydligande av vad som redan tidigare gäller anger lagmotiven att personuppgifter inte får behandlas för otillbörliga syften, såsom förföljelse eller skandalisering. Den personuppgiftsansvarige får inte heller utan godtagbara skäl samla in en stor mängd uppgifter om en person och är det finns också en skyldighet att rätta personuppgifter som visar sig vara felaktiga eller missvisande. Det finns också ett krav på att inte förtala eller förolämpa någon annan eller att bryta mot tystnadsplikten. 4.3 Tillåten personuppgiftsbehandling Det är den personuppgiftsansvariges uppgift att se till att personuppgiftsbehandlingar är tillåtna enligt PUL. Stockholms universitet som juridisk person blir personuppgiftsansvarig genom att vara den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (3 PUL). Personuppgiftslagen ställer inom ramen för hanteringsmodellen ett antal grundläggande krav på behandlingen av personuppgifter (9 PUL). Dessa integritetsskyddsprinciper tar bl.a. sikte på vikten av ändamålsbestämning, dvs. att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det är alltså inte tillåtet att samla på sig personuppgifter bara för att de i framtiden kan visa sig vara bra att ha. Inte heller får personuppgifter insamlade för ett visst ändamål utan vidare börja behandlas för ett annat som är oförenligt med det för vilket uppgifterna samlades in, dvs. den s.k. finalitetsprincipen. Den som har för avsikt att behandla personuppgifter måste alltså finna uttryckligt stöd för detta i PUL. Som framkommit ovan hindrar inte PUL personuppgiftsbehandlingar som knyter an till SU:s kärnverksamhet, t.ex. kursadministration och betygsrapportering. Med tanke på att it i allt större utsträckning kommit att prägla verksamheten är det dock viktigt att känna till gränserna för vad som utgör tillåten behandling av personuppgifter. Till att börja med gör PUL en distinktion mellan (vanliga) personuppgifter och s.k. känsliga personuppgifter. Enligt 10 PUL får (vanliga) personuppgifter bara behandlas om den registrerade lämnat sitt samtycke eller behandlingen är nödvändig för att t.ex. en arbetsuppgift av allmänt intresse ska kunna utföras. Det kan också vara så att en behandling framstår som nödvändig efter en intresseavvägning mellan den personuppgiftsansvariges respektive registrerades behov. Även om samtycke från den registrerade är ett sätt att göra en behandling tillåten är det inte detsamma som att man rutinmässigt bör begära in ett. För det första är en hel mängd behandlingar nödvändiga för SU och alltså tillåtna även utan samtycke. Om exempelvis en institution ändå begär in samtycke utan att få något uppstår den intrikata situationen att det kan bli aktuellt att s.a.s. köra över de registrerade och genomföra den planerade behandlingen utan något medgivande. Detta är givetvis inte ett särskilt lämpligt tillvägagångssätt. För det andra är det viktigt att känna till vad som i lagens mening utgör ett giltigt samtycke. Det ska nämligen röra sig om en frivillig, särskild och otvetydig viljeyttring efter det att den registrerade fått tillräckligt med information om aktuell behandling. Så kallade hypotetiska samtycken är inte tillåtna. Detta innebär t.ex. att en lärare inte själv kan föra att teoretiskt resonemang om att studenterna på en kurs säkert inte har något emot att få sina personliga utbildningsmål utlagda på webben. Inte heller är tysta samtycken giltiga. Härmed förstås att de 13

14 registrerade visserligen får information om förestående behandling men bara kan undvika denna genom att själv aktivt säga ifrån. Samtycke genom så kallat konkludent handlande får i dagsläget anses tillåtet åtminstone om det inte rör känsliga personuppgifter (se nedan). Det kan gå till så att de registrerade t.ex. på en institutions webbplats får information om dels den aktuella behandlingen, dels att ifyllandet av ett visst webbformulär som därefter sänds in till universitetet är att betrakta som ett samtycke. Här har alltså den registrerade själv efter information medverkat aktivt i uppgiftsinsamlingen. Om tveksamhet uppstår är det den personuppgiftsansvarige som har att visa förekomsten av ett giltigt samtycke. Även om det inte finns några formkrav som går ut på att samtycken ska vara skriftliga och egenhändigt undertecknade är det klokt att dokumentera samtycken. Det behöver inte vara mer avancerade rutiner än att t.ex. elektroniskt inhämtade samtycken samlas i en särskild mapp i e- postsystemet. Enligt huvudregeln i 13 PUL är det förbjudet att behandla känsliga personuppgifter, dvs. sådana uppgifter som avslöjar ras 5 eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Till kategorin känsliga personuppgifter hör även uppgifter som rör hälsa eller sexualliv. Enligt vad som framkommit i rättspraxis ska uttrycket hälsa ges en vidsträckt innebörd. En uppgift om att någon skadat sin fot med efterföljande sjukskrivning är t.ex. att betrakta som en känslig personuppgift. Under vissa förutsättningar får även känsliga personuppgifter behandlas, bl.a. efter den registrerades uttryckliga samtycke eller offentliggörande, eller om behandlingen är nödvändig för forskningsändamål. Det kan vidare vara nödvändigt för en arbetsgivare att behandla uppgifter som rör anställdas hälsa som ett led i ett rehabiliteringsprogram. Även om personnummer formellt sett inte hör till kategorin känsliga personuppgifter föreskriver PUL restriktivt utnyttjande av detta slags identitetsbeteckning (22 PUL). Det kan t.ex. inte anses motiverat att i samband med publicering av tentamensresultat rutinmässigt ha med uppgift om personnummer. Det finns särskilda bestämmelser i PUL som tar sikte på överföring av personuppgifter till tredje land (33-35 ). Med tredje land förstås land som inte ingår i EU eller är anslutet till EES (Europeiska Ekonomiska Samarbetsområdet, se definition i 3 ). Utgångspunkten är ett principiellt förbud mot vad som kan betecknas för export av personuppgifter utanför detta område (33 PUL). 6 I likhet med flera andra bestämmelser i PUL är emellertid denna förbudsregel omgärdad av ett betydande antal undantag. En tredjelandsöverföring blir nämligen tillåten om kravet på en adekvat skyddsnivå är uppfyllt. Skyddsnivån ska bestämmas med hänsyn till samtliga omständigheter som har samband med överföringen, bl.a. uppgifternas art, ändamålet med behandlingen och hur länge behandlingen ska pågå. Vid samarbete med forskare i t.ex. USA eller annat tredje land, om forskningsmaterial som innehåller personuppgifter krävs som regel att det skrivs ett avtal mellan de berörda forskarna som bygger på EU:s standardavtalsklausuler. 7 5 Begreppet ras har utmönstrats ur regeringsformen men kvarstår i personuppgiftslagen med anledning av att det är den terminologi som används i EU:s bakomliggande dataskyddsdirektiv. 6 Europeiska Ekonomiska Samarbetsområdet 7 Här finns information om EU:s standardavtalsklausuler: Se vidare 14

15 När det gäller publicering av personuppgifter på internet har det genom rättspraxis tydliggjorts att det inte är fråga om tredjelandsöverföring när någon gör det möjligt att få del av personuppgifter på en webbplats som är åtkomlig från en server (dator) som tillhandahålls från någon som är etablerad i ett EU-land. Trots detta finns det anledning att vara uppmärksam på att tillgängliggörande av personuppgifter via en allmänt åtkomlig webbplats principiellt sett är mer integritetskänslig än en motsvarande informationsspridning på exempelvis ett intranät. En särskild fråga, som trots statligt utredningsarbete ännu inte blivit föremål för någon lagstiftningsåtgärd, rör arbetsgivarens rätt att ta del av arbetstagares privata e-post. Utgångspunkten är att arbetsgivaren inom ramen för arbetsledningsrätten har rätt att inom ramen för lag och god sed bestämma hur arbetet skall utföras och vilken utrustning som skall användas. Som framkommit ovan framstår det som främmande att i SU:s öppna miljö förbjuda utväxling av privat e-post. Samtidigt kan ett behov att ta del av enskilda e-postmeddelanden aktualiseras av säkerhetsskäl. Även i samband med sjukfrånvaro kan det uppstå situationer när det finns skäl att gå igenom medarbetares all e-post med risk för att få del av privata meddelanden. I PUL:s mening är detta en personuppgiftsbehandling och de grundläggande integritetsskyddsprinciperna (9 ) och bestämmelserna om när en behandling är tillåten (10 m.fl.) måste alltså vara uppfyllda. Av särskild vikt i detta sammanhang är att informera medarbetarna om att deras privata e-post under vissa förutsättningar kan komma att läsas av någon annan. 4.4 Information till de registrerade Informationsskyldigheten enligt personuppgiftslagen är vidsträckt och omfattar dels sådan information som den personuppgiftsansvarige ska lämna självmant (23-25 ), dels sådan som ska lämnas efter den registrerades ansökan (26 ). När det gäller information som den personuppgiftsansvarige måste ge självmant ska detta ske vid själva insamlingen när uppgifterna samlas in direkt från den registrerade. När uppgifterna inte samlas in direkt ska information ges vid uppgifternas registrering eller senast vid det första utlämnandet. I denna sistnämnda situation behöver dock inte information lämnas om behandlingen följer av lag eller någon annan författning, vilket givetvis är ett undantag av stor betydelse för ett universitets verksamhet. Information behöver inte heller lämnas självmant om det är omöjligt eller kräver en oproportionerligt stor arbetsinsats, förutsatt att inte uppgifterna används för att vidta åtgärder som rör den registrerade. Informationen ska avse den personuppgiftsansvariges identitet, ändamålet med behandlingen, samt övrig information som den registrerade behöver för att kunna ta tillvarata sina rättigheter. Informationsskyldigheten omfattar inte sådant som den registrerade redan känner till. Ansökan om s.k. registerutdrag, ska vara skriftlig och undertecknad. De registrerade har rätt att en gång per kalenderår gratis få besked om vilka uppgifter om den sökande som behandlas, varifrån uppgifterna hämtats, ändamålet med Datainspektionens faktabroschyr: Personuppgifter i forskningen vilka regler gäller (2011) 15

16 behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Information ska lämnas inom en månad från ansökan och om det föreligger särskilda skäl senast fyra månader efter ansökan. 4.5 Säkerheten vid behandlingen Personuppgiftslagen innehåller särskilda bestämmelser om säkerhet vid behandling av personuppgifter (30-32 ). Med säkerhet förstås i detta sammanhang såväl tekniska som organisatoriska åtgärder. Lagen föreskriver inte användning av några speciella tekniska lösningar utan säkerhetsnivån förutsätts vara lämplig med hänsyn till tillgängliga lösningar och de metoder som används i samhället i stort. I ett SU-perspektiv är det angeläget att t.ex. data- och systemansvariga har fått tillräckliga instruktioner från arbetsgivaren hur de ska förfara med personuppgifter som de kommer i kontakt med i sitt dagliga arbete eller i samband med särskilda insatser med anledning av olika säkerhetsincidenter. 4.6 Rättelse och ansvar Rättelse av oriktiga personuppgifter liksom en möjlighet att utkräva ansvar för illegala personuppgiftsbehandlingar utgör grundläggande integritetsskyddsprinciper som även regleras särskilt i PUL. Om exempelvis en student påtalar förekomsten av oriktiga personuppgifter i ett studieadministrativt system eller i övrigt fäster uppmärksamheten på brister i förhållande till personuppgiftslagen måste SU vidta rättelser (28 PUL). Om de oriktiga uppgifterna spridits vidare utanför universitetet kan det under vissa förutsättningar bli nödvändigt att informera tredje man om rättningsåtgärderna. Även om det är den personuppgiftsansvarige, dvs. universitetet som juridisk person, som ansvarar för efterlevnaden av bestämmelserna i PUL ska detta inte sammanblandas med det straffrättsliga ansvaret som är knutet till den person som gör sig skyldig till en straffbar handling. Böter eller fängelse kan enligt 49 PUL bli straffet för den som uppsåtligen eller av grov oaktsamhet lämnar osann uppgift i information till registrerade eller gör sig skyldig till otillåten behandling av känsliga personuppgifter. Detta gäller även vid tillämpning av missbruksregeln i 5 a PUL. 4.7 Anmälnings- och förteckningsskyldighet Det föreligger en principiell anmälningsskyldighet till Datainspektionen för helt eller delvis automatiserade personuppgiftsbehandlingar (36 PUL) som dock är omgärdad av en hel mängd undantag. Om den personuppgiftsansvarige utsett ett s.k. personuppgiftsombud, med uppgift att bl.a. föra företeckning över behandlingar, behöver anmälan till tillsynsmyndigheten ej ske. Särskilt integritetskänsliga behandlingar förutsätter dock förhandskontroll enligt vad regeringen föreskriver (41 PUL och 9 personuppgiftsförordningen (1998:1191, PUF). Ett personuppgiftsombud kan kortfattat beskrivas som en slags internrevisor med uppgift att se till att den personuppgiftsansvarige efterlever integritetsskyddslagstiftningen. Här kan nämnas att Stockholms universitet har ett personuppgiftsombud som medarbetare kan vända sig till med frågor om behandling av personuppgifter. 16

17 Att tänka på: Tillämpa missbruksregeln vid ostrukturerad behandling av personuppgifter och tillämpa hanteringsreglerna vid kvalificerad personuppgiftsanknuten strukturerad behandling. Missbruksmodellen tar alltså sikte på personuppgiftsbehandling i enkla strukturer med s.k. sedvanligt utnyttjande av allmänna funktioner. Behandling i strukturerat material, dvs. behandling som ingår i eller är avsedd att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter omfattas av hanteringsmodellen. Inhämta bara samtycke från de registrerade om detta är en egentlig förutsättning för att en behandling ska vara tillåten. Uppfyll dock alltid informationsskyldigheten m.m. Informera de anställda om att det bl.a. av säkerhetsskäl kan bli nödvändigt att ta del av privat e-post men att berörda medarbetare har tystnadsplikt för vad som härvid framkommer. Inhämta gärna även en fullmakt från de anställda. Det är lämpligt att vid varje institution eller motsvarande dels gå igenom vilka personuppgiftsbehandlingar som det finns skäl att informera de registrerade om, dels försäkra sig om att den tekniska infrastrukturen gör det möjligt att lämna registerutdrag efter ansökan. Observera att bestämmelser om sekretess har företräde framför informationsskyldigheten enligt PUL. Anmäl personuppgiftsbehandlingar till personuppgiftsombudet vid SU som även kan ge råd om tillämpningen av PUL. 5. Ensamrätter upphovsrätt till myndighetens och andras verk 5.1 Allmänt Stockholms universitets olika digitala miljöer innehåller mångfasetterad information som härrör från såväl lärare, forskare, administratörer, studenter, representanter för andra myndigheter, konsulter, m.fl. Utöver personuppgiftslagen, lagen (1998:112) om ansvar för elektroniska anslagstavlor (BBS-lagen, se nedan) och andra regelverk som tar sikte på ansvar är det viktigt att SU:s webbpublicering inte innebär intrång i ensamrätter. Upphovsrätt till myndighetens och andras verk är central i sammanhanget. Upphovsrätten är ett skydd mot efterbildning och otillåtet offentliggörande, som uppkommer automatiskt när verk skapas. I 1 upphovsrättslagen (1960:729, URL) återfinns en icke-uttömmande lista på alster som omfattas av upphovsrätten. De verk som skyddas är bl.a. målningar, bilder, skisser, fotografier, musik, nottexter, seriefigurer, tidningsartiklar, texter, broschyrmateriel, tekniska ritningar, böcker, datorprogram och sammanställningar. Upphovsrätten skyddar också dem som framför verk, t.ex. skådespelare, musiker, sångare och dansare. Producenter av bl.a. databaser har också ett skydd, enligt det s.k. katalogskydd (49 URL). Dessa prestationer brukar benämnas som närstående rättigheter. Ett visst mått av självständighet och originalitet, allmänt benämnt verkshöjd, är en förutsättning för upphovsrätt, vilket däremot inte inbegriper kvalitetskrav. 17

18 Alltför enkla och banala alster skyddas över huvud taget inte. Kraven på självständighet och originalitet brukar dock sättas mycket lågt. Ensamrätten består av en ekonomisk del och en ideell del. Den ekonomiska delen (2 URL) omfattar exemplarframställning och tillgängliggörande för allmänheten. Med tillgängliggörande av verk avses spridning av exemplar, visning av verk, överföring av verk och offentligt framförande av verk. Den ideella delen (3 URL) omfattar krav på att namnge upphovsmannen i den omfattning och på det sätt som god sed kräver vid nyttjanden av verket samt att verket inte får ändras på ett kränkande vis och att verket inte får göras tillgängligt i ett kränkande sammanhang. Den ideella rätten kan inte i alla delar avtalas bort. Även om det finns tillåtelse att publicera ett upphovsrättsligt skyddat verk på internet måste alltså den ideella rätten beaktas. Upphovsrätten tillkommer en eller flera (fysiska) upphovsmän och kan överföras till en fysisk eller juridisk person (27-29 URL). Överlåtelse kan ske fullständigt genom försäljning eller upplåtelse för nyttjande i form av licensiering. Upphovsmannen kan emellertid inte sälja eller efterge den ideella rätten i vidare utsträckning än att han eller hon kan överblicka konsekvenserna vid avtalstillfället. Förvärvaren av upphovsrätt kan i sin tur bara överlåta rätten vidare efter samtycke från upphovsmannen. Det finns vissa inskränkningar i upphovsrätten (2 kap. URL) som bl.a. avser en viss rätt att kopiera verk för enskilt bruk och att citera och referera ur offentliggjorda verk samt att sprida förvärvade verk vidare. Till följd av EUrättslig harmonisering har det skett en insnävning av rätten till privat kopiering och förbud mot att sälja och använda teknik som används för att forcera säkerhetsspärrar, kopieringsskydd och liknande. Det avgörande för överföring av upphovsrätt i ett anställningsförhållande är vad som framgår av kollektivavtal och/eller det enskilda anställningsavtalet, dvs. om avtalet uttryckligen eller underförstått innefattar en överföring av rätten och i så fall dess omfattning. Saknas avtal brukar en allmän princip tillämpas, benämnd tumregeln. Den innebär att arbetsgivaren förvärvar en begränsad rätt att använda verket i sin normala verksamhet, om det skapats vid utförande av den anställdes normala arbetsuppgifter eller särskilda uppdrag. När det däremot gäller datorprogram finns det inom upphovsrätten en särskild reglering av rätten till anställdas program, nämligen 40 a URL. Upphovsrätten övergår nämligen till arbetsgivaren om datorprogrammet skapats som ett led i arbetstagarens arbetsuppgifter eller efter arbetsgivarens instruktioner och annat inte avtalats. I detta sammanhang finns även anledning att uppmärksamma det s.k. lärarundantaget som går ut på att lärare innehar upphovsrätten till verk framställda inom ramen för sin anställning. Det råder i viss utsträckning delade meningar om såväl grunden för och räckvidden av lärarundantaget som närmast kan beskrivas som en omdiskuterad sedvana. 5.2 Upphovsrätt och allmänna handlingar Även om den grundlagsreglerade offentlighetsprincipen generellt har företräde framför upphovsrätten är denna ensamrätt av betydelse för myndigheters hantering av allmänna handlingar. Om någon med stöd i offentlighetsprincipen t.ex. begär att få del av upphovsrättsligt skyddad programkod utvecklad vid en institution utgör detta i sig inget hinder mot utlämnande från SU under 18

19 förutsättning att det rör sig om en allmän handling i TF:s mening. Eftersom ensamrätten kvarstår även efter utlämnandet har den som eventuellt får del av programkoden emellertid bara rätt att nyttja denna i enlighet med upphovsrättslagens bestämmelser. Det är med andra ord viktigt att skilja mellan en myndighets skyldighet att utlämna allmänna handlingar som omfattas av upphovsrätt och hur dessa sedan får användas. När det gäller upphovsrätt och allmänna handlingar behöver man göra en åtskillnad mellan upprättade och inkomna handlingar. I fråga om upprättade handlingar gäller inte upphovsrätt till författningar, beslut och yttranden av myndigheter samt officiella översättningar av dessa typer av handlingar. Däremot gäller upphovsrätt till övriga upprättade handlingar som är verk i upphovsrättslagens mening, t.ex. kartor, broschyrer, datorprogram och bilder. Upphovsrätten till verk som inges av enskilda, dvs. inkomna handlingar kvarstår. Om ett verk återges i ett beslut eller yttrande, tappar dock verket upphovsrätten. Är verket däremot fogat som en bilaga eller om det görs en hänvisning till ett beslut eller yttrande gäller upphovsrätt för verket. Detta gäller såväl återgivande av upprättade handlingar som inkomna handlingar. Som framkommit ovan är huvudregeln att allmänna handlingar ska lämnas ut till den som begär det oavsett upphovsrätten (26 b URL). Under vissa förutsättningar kan dock upphovsrätt utgöra grund för sekretess. Enligt 31 kap 23 offentlighets- och sekretesslagen gäller nämligen sekretess för uppgift i upphovsrättsligt skyddat verk som inte kan antas sakna kommersiellt intresse: - om det av särskild anledning kan antas att verket inte tidigare har offentliggjorts i den mening som avses i upphovsrättslagen, - om det av särskild anledning kan antas att verket har kommit in till myndigheten utan rättighetshavarens samtycke och - om ett röjande av uppgiften innebär ett upphovsrättsligt förfogande, om det inte står klart att uppgiften kan röjas utan att rättighetshavaren lider skada. 6. SU på webben ansvar m.m. 6.1 Inledning Det är inte bara publicering av personuppgifter på internet som påkallar juridisk uppmärksamhet utan det finns en hel del andra rättsregler som uttryckligen tar sikte på digitala nätverk. Enligt 6 kap 18 lagen (2003:389) om elektronisk kommunikation är det t.ex. bara tillåtet med kakor ( cookies ) om användaren fått information om ändamålet med denna personuppgiftsbehandling och dessutom samtyckt till den. Det finns dock ett undantag för lagring eller åtkomst som behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller som är nödvändig för att tillhandahålla en tjänst som användaren eller abonnenten uttryckligen har begärt. Användning av cache, som förenklat kan beskrivas som temporär lagring av senast använda data, liksom stylesheets för att grafiskt kunna återge en webbsida på avsett sätt faller troligen inom ramen för detta undantag och är således tillåten. Det är Post- och telestyrelsen (PTS) som utövar tillsyn över denna reglering och mer information om den praktiska rättstillämpningen när det gäller bl.a. anpassning av gränssnitt etc. finns på myndighetens hemsida ( Lagstiftaren har i olika regelverk som berör ansvar m.m. valt att göra en distinktion mellan interaktiva respektive icke interaktiva, dvs. förmodererade 19

20 webbplatser. Ett exempel på detta är att göra det möjligt att efter ansökan hos Myndigheten för radio och tv få s.k. frivilligt utgivningsbevis för webbplatser som är tillgängliga för allmänheten under förutsättning att besökare inte kan delta interaktivt i informationsförsörjningen som alltså måste ske statiskt (förmodererat). Grundlagsskyddet omfattar skydd mot ingripanden från det offentliga som kan hämma yttrandefriheten. Exempelvis kan inte Datainspektionen invända mot publicering på webbplatser med utgivningsbevis. Det straffrättsliga ansvaret för vad som publiceras knyts till en enda person, dvs. den ansvarige utgivaren. Även om det finns myndigheter som ansökt om och beviljats utgivningsbevis är detta inte en lösning som är att rekommendera, tvärtom. Grundlagsskyddet avser yttrandefriheten gentemot det allmänna inte myndigheter emellan. Till bilden hör även att det ur Datainspektionens praxis går att utläsa att myndigheten inte avstår från inspektioner som avser personuppgiftslagens efterlevnad med anledning av att en myndighet skulle ha utgivningsbevis för en webbplats. 6.2 BBS-lagen Lagen (1998:112) om ansvar för elektroniska anslagstavlor, den s.k. BBS-lagen kan bli aktuell att tillämpa på vissa av SU:s webbplatser. Lagens tillämpningsområde omfattar hemsidor, konferenssystem, diskussionsforum, chattar m.m. som möjliggör elektronisk förmedling av meddelanden. Kravet på interaktivitet tar sikte på möjligheten för andra än den som tillhandhåller tjänsten, t.ex. studenter, att direkt publicera meddelanden och liknande. BBS-lagens bestämmelser tillämpas inte på meddelandeutväxling inom eller mellan myndigheter och inte heller på tjänster som skyddas av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen eller som är avsedda för en viss mottagare eller krets av mottagare, t.ex. e-post riktade till en viss grupp. Ansvarig är den som bestämmer över tjänstens användning (inklusive de tekniska och administrativa rutinerna). Ansvaret omfattar en informationsplikt avseende identiteten hos den som tillhandahåller tjänsten liksom en skyldighet att informera om inkomna meddelandens tillgänglighet för andra användare. Den ansvarige har även en uppsiktsskyldighet som går ut på att i vart fall inte lämna tjänsten obevakad längre tid än en vecka samt en gallringsskyldighet vad gäller uppenbart brottsliga meddelanden (uppvigling, hets mot folkgrupp, barnpornografibrott eller olaga våldsskildring) liksom meddelanden som innebär intrång i upphovsrätt eller närstående rättigheter 6.3 Etablering i sociala medier och användning av molntjänster m.m Sociala medier Med sociala medier förstås vanligen digitala miljöer där mycket av innehållet är användargenererat baserat på kommunikationstjänster som tillhandahålls av utländska aktörer. Facebook, Twitter, YouTube, Linkedin, itunesu, FlicR, bloggar är bara några få exempel. Mycket av informationsförmedlingen äger rum mellan privatpersoner men allt fler företag, myndigheter och andra organisationer 20