Juridisk vägledning för it-användningen vid SU

Storlek: px
Starta visningen från sidan:

Download "Juridisk vägledning för it-användningen vid SU"

Transkript

1 Stockholms universitet Juridisk vägledning för it-användningen vid SU Förord Stockholms universitet en öppen myndighet Förvaltningslagen vår juridiska plattform Allmänt E-post Elektronisk skräppost (spam) Offentlighetsprincipen ska prägla verksamheten Allmänna handlingar Sekretess Allmänna handlingar som innehåller personuppgifter Sekretess för att förebygga och beivra brott Sekretess till skydd för enskild i utbildningsverksamhet m.m Utlämnande av allmänna handlingar Bevarande och gallring av allmänna handlingar En god offentlighetsstruktur Information om offentlighetsprincipen Personuppgiftslagen skyddar den personliga integriteten Inledning Personuppgiftslagens tillämpningsområde Tillåten personuppgiftsbehandling Information till de registrerade Säkerheten vid behandlingen Rättelse och ansvar Anmälnings- och förteckningsskyldighet Ensamrätter upphovsrätt till myndighetens och andras verk Allmänt Upphovsrätt och allmänna handlingar SU på webben ansvar m.m Inledning BBS-lagen Etablering i sociala medier och användning av molntjänster m.m Sociala medier Molntjänster Mer information Författningar m.m Litteratur m.m Förord Vägledningen utgör en introduktion till den juridik som omgärdar användningen av informations- och kommunikationsteknik vid Stockholms universitet (SU). Avsikten är att komplettera gällande regelverk med förklaringstexter och praktiska exempel. Detta innebär att vägledningen inte tar upp alla de rättsregler 1

2 som kan komma att bli tillämpliga t.ex. när studenter och andra begär att få ut uppgifter ur våra informationssystem. Vägledningen innehåller inte heller några nya bindande föreskrifter eller riktlinjer som ska styra verksamheten. Vägledningen belyser däremot vilka rättsområden och överväganden som medarbetarna har anledning att särskilt observera. Det dagliga arbetet vid institutionerna kommer att ge upphov till frågor som förutsätter ytterligare studier och konsultationer. Ett särskilt avsnitt innehåller därför tips för vidareläsning (Avsnitt 7, Mer information). Vägledningen är utarbetad av Cecilia Magnusson Sjöberg, professor i rättsinformatik vid juridiska institutionen, på uppdrag av IT-avdelningen. 1. Stockholms universitet en öppen myndighet Stockholms universitet utgör en del av den offentliga förvaltningen. Det faktum att SU är en förvaltningsmyndighet och inte en näringslivsorganisation ställer särskilda krav på hur vi hanterar e-post och elektroniska dokument, behandlar personuppgifter i dataregister och på webben m.m. Genom att universitetsmiljön kännetecknas av utspridda campusområden med stora mängder studenter, gästforskare, andra besökare liksom personal förstås, skiljer den sig en hel del från myndigheter som har inpasseringskontroller med legitimering av besökare och mer snävt avgränsade arbetsuppgifter. Universitetet kan beskrivas som en kombination av en akademi och en jämförelsevis öppen myndighet. Detta har sin bakgrund i att det övergripande uppdraget omfattar såväl utbildning och forskning som kontakter med det omgivande samhället både nationellt och internationellt. Dessa verksamhetsmässiga förutsättningar präglar inte minst vårt mångfasetterade sätt att använda it som kommunikationsform där givetvis internet spelar en central roll. Den juridik som präglar en myndighets verksamhet är vanligen inte medieberoende utan den allmänna lagstiftningen gäller också när vi utvecklar och inför it-baserade arbetsrutiner av skilda slag. I den moderna e-förvaltningen, som SU alltså utgör en del av, är det viktigt att inta ett proaktivt förhållningssätt genom att tidigt uppmärksamma aktuella rättsfrågor. Det är nämligen ofta både tidskrävande, kostsamt och besvärligt att i efterhand anpassa t.ex. det sätt på vilket personuppgifter behandlas digitalt till bestämmelser i olika lagar, förordningar och myndighetsföreskrifter. Att tänka på: Stockholm universitet är en förvaltningsmyndighet som styrs av offentligrättsliga regelverk. Den juridik som omgärdar en myndighets verksamhet är tillämplig också vid utnyttjande av informations- och kommunikationsteknik (it). Genom att vara juridiskt proaktiv, dvs. uppmärksamma juridiska aspekter tidigt, skapas förutsättningar för effektiva och enkla it-baserade arbetsrutiner. 2

3 2. Förvaltningslagen vår juridiska plattform 2.1 Allmänt Rättssäkerhet utgör ett fundament för den offentliga förvaltningens verksamhet. Det innebär att enskilda ska kunna förutse vilka principer som ligger till grund för en myndighets beslutsfattande, att lika ärenden behandlas lika och att det finns en omfattande rätt till insyn m.m. Krav på rättssäkerhet kommer bl.a. till uttryck i förvaltningslagen (1986:223, FL) som gäller för myndigheternas ärendehandläggning och till viss del även för annan myndighetsverksamhet. Det går alltså en juridisk skiljelinje mellan ärendehandläggning i form av att t.ex. bevilja en student dispens för att hon eller han inte uppfyller förkunskapskraven till en viss kurs och s.k. faktiskt handlande, t.ex. när en lärare håller en föreläsning. Om det finns bestämmelser i annan lag eller förordning som avviker från förvaltningslagen har dessa företräde. Lagstiftaren har endast i begränsad utsträckning it-anpassat bestämmelserna i förvaltningslagen men lagen ska ändå tillämpas i digitala myndighetsmiljöer. Detta innebär att it-användningen vid SU måste uppfylla förvaltningslagens krav på service, enskildas rätt att få del av uppgifter, bestämmelserna om beslutsmotivering, underrättelse om beslut, omprövning av beslut m.m. 2.2 E-post Förvaltningslagen reglerar bl.a. när handlingar ska anses inkomna till en myndighet vilket bl.a. har betydelse för bedömningen av om olika tidsfrister är uppfyllda. Lagen föreskriver uttryckligen att myndigheter ska se till att det är möjligt för enskilda att kontakta dem med hjälp av elektronisk post och att svar kan lämnas på samma sätt (5 2 st. förvaltningslagen). I mer konkreta termer innebär denna skyldighet följande: - Servicebestämmelsen tar sikte på just e-post och anger t.ex. inte någon skyldighet för SU att öppna upp för annan digital kommunikation. I den utsträckning medarbetare får sms eller mms som rör arbetet måste dessa meddelanden emellertid tas om hand, t.ex. genom en tjänsteanteckning (15 förvaltningslagen). Detta gäller oavsett om meddelandet kommer till en tjänstemobil eller en privat mobil. - Kravet på att kunna kommunicera externt via e-post avser myndigheten som helhet. Det finns med andra ord ingen skyldighet för SU att förse alla anställda med individuella e-postadresser enligt modellen Juridiskt sett går det alltså alldeles utmärkt att bygga upp den elektroniska meddelandehanteringen kring funktionsadresser, t.ex. eller - Förvaltningslagen kräver inte att myndigheter ska kunna ta del av filer i alla de olika format som kan följa med ett enskilt e-postmeddelande som bilaga. Enskilda bör dock upplysas om eventuellt oläsbara bilagor och vilket/vilka format som SU kan hantera. - Den som kontaktar en myndighet via e-post kan inte utgå från att exklusivt få kommunicera med en viss person vid SU utan får räkna med att meddelandet kan komma att vidarebefordras till någon annan anställd. - Bara för att SU har tagit emot ett e-postmeddelande innebär inte detta att en avsändare också har rätt att få svar elektroniskt. Bestämmelser om sekretess 3

4 kan t.ex. förutsätta svar via traditionell pappersbaserad postgång. I möjligaste mån ska dock den enskildas intresse av att också få svar elektroniskt beaktas. Legala krav i kombination med den ökande användningen av e-post som kommunikationsform i samhället i stort gör det angeläget att utforma arbetsrutiner för hantering av e-post. Utgångspunkten är att e-post rent juridiskt är att jämställa med konventionella brev i form av pappersdokument som inkommer till och sänds iväg från myndigheten. 2.3 Elektronisk skräppost (spam) Elektronisk skräppost (spam) utgör ett särskilt problem främst med tanke på belastningen på kommunikationskanalen i sig, förvaltningslagens principiella krav på att myndigheter ska kunna ta emot e-post oavsett avsändare och risken för att riktiga meddelanden s.a.s. stoppas på vägen genom att de fastnar i programvara som används för att motverka spam. Den rättsliga utgångspunkten är att det är avsändaren som bär risken för att t.ex. ett e-postmeddelande med felstavad adressat inte kommer fram. En myndighet har samtidigt inte rätt att på teknisk väg t.ex. stänga ute e- post från vissa avsändaradresser. Av Statskontorets juridiska vägledning kring myndigheternas spamhantering framgår dock att det med hänvisning till allmänna krav på skydds- och kontrollåtgärder i akuta situationer kan vara befogat att tillfälligt avvisa e-post från en viss server. 2 Till bilden hör vidare att all e-post som inte undantagsvis avvisas ska tas om hand som till myndigheten inkomna handlingar. För att arbetsbelastningen förknippad med hantering av spam inte ska bli fullständigt orimlig finns det således ett behov av att utnyttja sorteringsprogram som anger vilka meddelanden som förmodligen utgör skräppost. Med stöd i Statskontorets vägledning finns det vidare visst utrymme för automatiserad radering av skräppost som med hjälp av tillförlitliga sorteringsprogram bedömts som handling av tillfällig eller ringa betydelse (se Riksarkivets föreskrifter RA-FS 1991:6 ändrad genom 1997:6). Förstöring av e-post är emellertid formellt sett att betrakta som gallring vilket principiellt sett förutsätter att någon vid myndigheten konstaterat att dess förstörelse inte åsidosätter allmänhetens insynsrätt liksom att handlingarna bedöms sakna värde för rättskipning, förvaltning och forskning Att tänka på: Förvaltningslagens bestämmelser gäller för it-användningen vid SU. SU måste se till att det går att det via e-post kommunicera till och från myndigheten. Skilj mellan avvisning av elektronisk skräppost (spam) och hantering av icke avvisad spam. 3. Offentlighetsprincipen ska prägla verksamheten 3.1 Allmänna handlingar Offentlighetsprincipen manifesterar den öppenhet som utgör ett av den svenska förvaltningens särdrag. Den s.k. handlingsoffentligheten har rötter bakåt i tiden till 2 Statskontorets rapport 2005:5, Myndigheternas spamhantering. 4

5 1700-talet. I takt med myndigheternas digitalisering har tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet it-anpassats. Det övergripande syftet har varit att insynsrätten inte ska naggas i kanten till följd av övergången från pappersbaserad till elektronisk dokumenthantering. Rätten att ta del av allmänna handlingar regleras i 2 kap tryckfrihetsförordningen (TF). Lagstiftaren har valt att i digitala miljöer beteckna handlingar som upptagningar för automatiserad behandling (2 kap. 3 TF). Genom att detta uttryck principiellt sett omfattar varje meningsfull uppgiftskonstellation kan det elektroniska handlingsbegreppet sägas ha en mer vidsträckt innebörd än vad som gäller för traditionella pappersdokument. En handling i TF:s mening behöver inte ha någon anknytning till myndighetens verksamhet utan avgörande är vad som är meningsfullt för den som begär att få ut uppgifterna. För att det ska vara fråga om en allmän handling måste den vara förvarad hos myndigheten. Här gör TF återigen en skillnad mellan pappershandlingar och upptagningar genom att istället för att knyta an till fysisk förvaring låta tillgänglighet vara bestämmande för vad som utgör en inkommen elektronisk handling. Det spelar med andra ord ingen roll om en upptagning är fysiskt lagrad hos SU utan det avgörande är om den är tillgänglig med tekniskt hjälpmedel som universitetet utnyttjar. Avgränsningen till myndighetens egna tekniska hjälpmedel har tillkommit för att undvika situationen att enskilda begär att få bearbeta myndigheters uppgifter med egen programvara och datorutrustning eftersom detta skulle innebära alltför stora säkerhetsrisker. Bedömningen av om en elektronisk handling är att anse som förvarad hos en myndighet är även beroende av om det rör sig om en s.k. färdig elektronisk handling eller en uppgiftssammanställning. En myndighet är nämligen bara skyldig att göra en sammanställning av uppgifter ur allmän handling om detta kan ske med rutinbetonade åtgärder, dvs. med en begränsad arbetsinsats och utan nämnvärda kostnader eller andra komplikationer för myndigheten. I praktiken är det inte lätt att dra en skarp gräns mellan färdiga elektroniska handlingar och uppgiftssammanställningar. Typexempel på färdiga elektroniska handlingar är enskilda e-postmeddelanden, elektroniska kursbeskrivningar och rapporter. Om någon i stället begär att få uppgifter om antagna studenters nationalitet på olika magisterutbildningar vid en viss fakultet rör det sig i stället om en sammanställning. Konsekvensen av att låta rutinbetonade åtgärder utgöra parametern för myndigheters skyldigheter att göra uppgiftssammanställningar blir givetvis att ju mer kraftfulla tekniska plattformar SU utnyttjar desto mer information kan bli föremål för offentlighet. Å ena sidan är denna vidsträckta insynsrätt helt i linje med principen om den öppna förvaltningen. Å andra sidan kan det med hänsyn till inte minst studenters rätt till integritetsskydd finnas anledning till eftertanke innan informationssystem utvecklas som banar vägen för sammanställningar av personuppgifter. Ytterligare kriterier för att det ska vara fråga om en allmän handling är att handlingen antingen är inkommen (2 kap. 6 TF) till eller upprättad hos myndigheten (2 kap. 7 TF). Tillgängligheten är avgörande också för när en elektronisk handling ska anses inkommen till en myndighet (se ovan). Det finns emellertid inga särregler för när en elektronisk handling anses upprättad. En handling är upprättad när den fått sin slutliga utformning, när den har expedierats, eller när det ärende till vilket den hör är avslutat. Om en handling inte hör till 5

6 något visst ärende anses den upprättad när den har justerats eller färdigställts på annat sätt. Vissa typer av handlingar blir aldrig allmänna (2 kap. 11 TF). Hit hör handlingar som ingår i myndighetens bibliotek, t.ex. kommersiellt anskaffade dvd-skivor som är bärare av informationsprodukter av olika slag. Ytterligare exempel på handlingar som inte är allmänna är personliga meddelanden, t.ex. privat e-post eller sådana meddelanden som ställts till en tjänsteman i dess egenskap som fackligt förtroendevald. Minnesanteckningar som hör till ett visst ärende blir bara allmän handling om de tillför sakuppgifter till ärendet i fråga, expedieras, dvs. skickas iväg från SU eller omhändertas för arkivering. På liknande sätt blir s.k. mellanprodukter i form av utkast till beslut, tidiga versioner av en rapport etc. allmän handling först efter expediering eller omhändertagande för arkivering. I digitala miljöer är det inte alltid lätt att fastställa olika handlingars rättsliga status. Arbetsmaterial i form av mötesanteckningar som efter granskning av t.ex. prefekt eller enhetschef distribueras internt via e-post eller läggs ut på intranätet blir på så vis färdigställda och upprättade. Medarbetarna måste också känna till att e-post från studenter utgör inkomna handlingar och att en lärares svar via e-post genererar hos institutionen upprättade handlingar. Det är med andra ord viktigt med internutbildning och tydliga arbetsrutiner. 3.2 Sekretess Även om villkoren för att det ska vara fråga om en allmän handling är uppfyllda är det, som redan framkommit, inte självklart att handlingen är offentlig och ska lämnas ut. Uppgifterna i den allmänna handlingen kan nämligen vara hemliga enligt vad som framgår av någon bestämmelse i offentlighets- och sekretesslagen (2009:400, OSL). Till skillnad från många andra länders lagstiftning innebär inte förekomsten av viss sekretess att handlingen i sin helhet är hemlig utan den är föremål för utlämnande i sina offentliga beståndsdelar. Frågan om sekretess ska prövas vid varje utlämnandetillfälle med utgångspunkt i en tillämplig bestämmelse i offentlighets- och sekretesslagen. Man kan alltså inte hänvisa till sekretess i största allmänhet som ett skäl till att inte lämna ut en allmän handling. Det är också så att sekretessbestämmelserna i sig är utformade med olika s.k. skaderekvisit som antingen presumerar att en skadebedömning ska leda till ett utlämnade eller tvärtom att uppgifterna är sekretesskyddade Allmänna handlingar som innehåller personuppgifter Det är vanligt att allmänna handlingar i universitetets olika informationssystem innehåller personuppgifter. Om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204, PUL) gäller sekretess för personuppgiften enligt 21 kap. 7 offentlighets- och sekretesslagen. Sekretessbestämmelsen avser den personuppgiftsbehandling som kan komma att ske efter ett eventuellt utlämnande från SU. Bestämmelsen är vidare utformad med sikte på att uppgifterna om möjligt ska lämnas ut, dvs. offentlighet är huvudregel. Det ska vidare vara någon särskild omständighet som gör att det finns anledning att befara att den som begär ut handlingen inte kommer att efterleva bestämmelserna i personuppgiftslagen. Det kan röra sig om att någon begär att få 6

7 en sammanställning av en stor mängd personuppgifter som sammantaget blir känsliga vid en fortsatt automatiserad behandling. Om det är nödvändigt för att kunna utföra skadebedömningen har myndigheten till skillnad mot vad som annars gäller rätt att fråga vem det är som begär att få del av uppgifterna samt syftet med begäran. I detta sammanhang kan nämnas att rättspraxis under de senaste åren har utvecklats i riktning mot offentlighet när det gäller massuttag av personuppgifter för direktreklamändamål. Observera att personuppgiftslagen inte är tillämplig på personuppgiftsbehandlingar av rent privat natur. Inte heller behandlingar som sker uteslutande för journalistiska ändamål omfattas av PUL Sekretess för att förebygga och beivra brott Sekretess gäller enligt 18 kap 8 offentlighets- och sekretesslagen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser bl.a. telekommunikation eller system för automatiserad behandling av information (p. 3) och behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling (p. 4). I syfte att förebygga och beivra brott finns det alltså stöd i offentlighets- och sekretesslagen för att hemlighålla uppgifter om informationssäkerhet. Bestämmelsen kan bl.a. utnyttjas för att inte lämna ut uppgifter som rör kryptering vid utnyttjande av telekommunikation. Av samma övergripande sekretesshänsyn kan det även bli aktuellt att sekretessbelägga såväl behörighetskoder och behörighetsnycklar som dess administration. I praktiken handlar det om att i vissa situationer förhindra åtkomst till uppgifter i informationssystem som annars skulle vara att betrakta som offentliga (allmänna handlingar) och därigenom förhindra förvanskning, förstörelse m.m. Regleringen är utformad med ett s.k. rakt skaderekvisit vilket innebär en strävan efter offentlighet (utlämnande av uppgifter) ska prägla myndighetens sekretessprövning Sekretess till skydd för enskild i utbildningsverksamhet m.m. Av 23 kap. 5 2 st. offentlighets- och sekretesslagen framgår att sekretess gäller inom universitet- och högskoleområdet för uppgift om enskilds identitet, adress och andra liknande uppgifter om enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Regleringen är utformad med ett rakt skaderekvisit, dvs. presumtion för offentlighet. Av förarbetena framgår att regeringen anser att sekretessintresset är lika starkt för uppgifter om en förföljd students identitet på ett universitet eller högskola som inom skolväsendet i övrigt och där sekretess gällt sedan än längre tid tillbaka. Enligt regeringens mening bör avvägningen mellan insynsintresset och sekretessintresset på universitets- och högskoleområdet och inom vuxenutbildningen i övrigt utfalla på samma sätt som på skolområdet. Sekretesskyddet för studenters identitet m.m. aktualiserar frågor om hanteringen av denna slags personuppgifter i Ladok-systemet. Förordningen 7

8 (1993:1153) om redovisning av studier m.m. vid universitet och högskolor föreskriver nämligen att varje students identitet ska anges med hjälp av namn och personnummer i studieregistret. Om ett svenskt personnummer saknas, anges ett för denna student vid högskolan unikt nummer (2 kap 5 ). Studentavdelningen har i ett prefektutskick lämnat information om rutiner för studenter med skyddade personuppgifter. 3 Dessa går i stora drag ut på att skyddsvärda studenters verkliga identitet döljs i Ladok för vanliga systemanvändare. Dessa personer får i stället en alias -identitet och endast ansvariga vid Studentavdelningen har tillgång till de verkliga uppgifterna. Mer information om utfärdande av studieintyg, examen, externa förfrågningar och sekretess för denna kategori av studenter lämnas av Studentavdelningen och i vissa fall av Ladok-gruppen. 3.3 Utlämnande av allmänna handlingar Den som begär att få del av en allmän handling har som huvudregel rätt att vara anonym och inte heller tala om syftet med sin framställan (2 kap.14 3 st. TF). Om det är nödvändigt för att en myndighet ska kunna göra en sekretessprövning har tjänstemän, som framkommit ovan, dock rätt att fråga efter såväl identitet som vad uppgifterna ska användas till. Observera att sådan efterforskning förutsätter att det verkligen finns en tillämplig sekretessbestämmelse. Frågan om utlämnande prövas normalt av den som förvarar handlingen vid den institution eller motsvarande till vilken framställningen görs. Vid mer komplicerade bedömningar blir det en fråga för prefekten eller någon annan på chefsnivå som vid avslag har att upplysa sökanden om rätten att få ett formellt (skriftligt) beslut av myndigheten, vilket är en förutsättning för överklagande. I praktiken innebär detta att slutligt beslut fattas av företrädare för universitetsledningen som då har att lämna besked om hur beslutet kan överklagas till förvaltningsdomstol (6 kap. 3 offentlighets- och sekretesslagen). Tryckfrihetsförordningen föreskriver två olika sätt för utlämnande av allmänna handlingar. Antingen kan det ske genom att låta den enskilde genast eller så snart det är möjligt gratis ta del av handlingen på universitetet eller att mot fastställd avgift skyndsamt få en utskrift (2 kap TF). För närvarande föreligger ingen skyldighet att lämna ut allmänna handlingar i elektronisk form. Myndigheten kan dock som ett uttryck för service välja utlämnande genom exempelvis e-post. Om den allmänna handlingen innehåller personuppgifter måste dock den behandling som själva utlämnandet innebär vara tillåten enligt personuppgiftslagen. Allmänna bestämmelser om sekretess och säkerhet måste också beaktas. En begäran att ta del av allmänna handlingar måste alltså hanteras mycket snabbt men ändå inte ske på bekostnad av den bedömning av handlingens rättsliga status som är nödvändig för att t.ex. undvika oriktigt utlämnande av hemliga uppgifter. Även om bl.a. journalister kan vara angelägna om att genast få läsa dagens post eller få del av någon medarbetares inkorg i e-postsystemet är det alltid myndigheten som först ska avgöra vad som är offentligt , Dnr SU

9 3.4 Bevarande och gallring av allmänna handlingar Enligt 3 arkivlagen (1990:782) bildas en myndighets arkiv av de allmänna handlingar som hör till myndighetens verksamhet samt de minnesanteckningar och mellanprodukter som tas om hand för arkivering (se ovan). Huvudprincipen är således att allmänna handlingar ska bevaras så att inte rätten till insyn blir alltför begränsad i tiden. En grundläggande förutsättning för insyn är vidare att handlingar registreras eller hålls ordnade så att det utan svårighet kan fastställas om de har kommit in till SU eller upprättats hos myndigheten. Handlingar som uppenbarligen är av ringa betydelse för verksamheten, som t.ex. spam, behöver dock varken registreras eller hållas särskilt ordnade (se vidare 5 kap. offentlighets- och sekretesslagen). Diarieföring är med andra ord inte en förutsättning för allmänna handlingars offentlighet. Den viktiga skiljelinjen går istället mellan handlingar som omfattas av sekretess och som ska registreras å ena sidan och andra handlingar som kan ordnas med beaktande av rätten till insyn å andra sidan. I praktiken har detta alternativ till registrering av enskilda handlingar kommit att prägla dagens e- förvaltning, inte minst när det gäller inkommande e-post. I princip är det även den enda praktiskt genomförbara lösningen också för många studieadministrativa system som innehåller scheman, kursbeskrivningar, kursvärderingar, diskussionsforum m.m. Med tanke på hur mycket dokument av skilda slag som användning av informations- och kommunikationsteknik ger upphov till är det nödvändigt att gallra allmänna handlingar och rensa bort annat material. Rent faktiskt utgör gallring ett inslag i den dagliga verksamheten vid SU på så vis att uppgifter i allmänna handlingar förstörs genom överföring till annan databärare, förlust av möjliga informationssammanställningar, sökmöjligheter samt förlust av möjligheter att fastställa informationens autenticitet (äkthet). Gallring förutsätter stöd i författning och myndighetsbeslut. Detta innebär att Stockholms universitet bl.a. har beslutat att tillämpa en föreskrift från Riksarkivet om gallring av handlingar av ringa eller tillfällig betydelse (se ovan om spam) En god offentlighetsstruktur Det är viktigt att medarbetarna är medvetna om vikten av att bidra till och upprätthålla en s.k. god offentlighetsstruktur i de system man arbetar med (4 kap. 1 offentlighets- och sekretesslagen.). I digitala miljöer handlar det också om att uppmärksamma offentlighetslagstiftningen i ett tidigt skede av systemutveckling så att det verkligen går att konstatera när handlingar blir inkomna och upprättade, vilka uppgiftssammanställningar som vanligen går att åstadkomma med rutinbetonade åtgärder, vilka handlingar som typiskt inte är allmänna etc. Det är också angeläget att ha beredskap för sekretessprövningar och att kunna tillgodose allmänhetens villkorade rätt att själv använda myndighetens tekniska hjälpmedel för att ta del av allmänna handlingar. En särskild fråga rör förekomsten av privat e-post i våra meddelandesystem. Utgångspunkten är att man som anställd inte har någon rätt att utnyttja arbetsgivarens utrustning för privata ändamål. Det är arbetsgivaren som leder och 4 Se Beslut om gallring av allmänna handlingar av tillfällig eller ringa betydelse vid Stockholms universitet , SU Dnr

10 fördelar arbetet och som bestämmer vilken utrustning som ska användas och hur. Denna arbetsledningsrätt ska utövas inom ramen för lag och god sed. Vissa myndigheter har bl.a. av säkerhetsskäl uttryckligen förbjudit all privat användning av sina datornät. Ett sådant strikt synsätt på medarbetarnas itanvändning är dock inte helt okomplicerat. Man kan t.ex. inte utesluta att någon utan den anställdes förskyllan sänder privata meddelanden till en officiell myndighetsadress. Inte minst mot bakgrund av att SU är en öppen myndighet där kontakter med det omgivande samhället utgör en central del av uppdraget accepterar därför myndigheten förekomsten av privata e-postmeddelanden i rimlig utsträckning och under förutsättning att gällande regelverk efterlevs. 3.6 Information om offentlighetsprincipen Även om offentlighetsprincipen är grundlagsreglerad kan man inte utgå från att alla som har kontakt med Stockholms universitet är införstådda med vad bestämmelserna om handlingsoffentlighet innebär. Detta gäller särskilt våra utländska studenter och gästforskare från andra länder. Det finns därför anledning att i samband med kursstarter och liknande informera om att t.ex. e-post som sänds till en lärare blir en till SU inkommen handling och att meddelanden som utväxlas i diskussionsforum kan bli föremål för offentlighet. Att tänka på: Den grundlagsstadgade offentlighetsprincipen går inte att avtala bort genom överenskommelser om att t.ex. vissa insamlade uppgifter uteslutande kommer att hanteras inom universitetet. Det är viktigt att utforma arbetsrutiner för hantering av inkommande e- post vid medarbetarnas frånvaro. En enskild student får t.ex. inte missa att bli antagen till en kurs på grund av att någon som är sjuk vid institutionen inte har ordnat så att en kollega tar hand om e-posten. Studenter utgör från myndigheten fristående rättssubjekt. Detta innebär att e-post från studenter till medarbetare vid SU blir inkomna handlingar samtidigt som e-post som skickas till studenter från myndigheten blir att betrakta som upprättade handlingar. Studenters användning av exempelvis SU:s e-postkonto för att sända meddelanden sinsemellan och till det omgivande samhället gör dock inte att det uppstår allmänna handlingar. Vid utformning av studieadministrativa system liksom användning av digitala samverkansplattformar är det särskilt angeläget att uppmärksamma kravet på en god offentlighetsstruktur. Det finns ett direkt samband mellan informationssystemens kapacitet att bearbeta uppgifter och bedömningen av vad som ska anses utgöra s.k. rutinbetonade åtgärder, och därmed ligga till grund för enskildas insynsrätt när det gäller uppgiftssammanställningar. Allmänna handlingar ska som huvudregel bevaras och gallring förutsätter särskilt gallringsbeslut. Stäm vid behov av med ansvariga vilka gallringsbeslut som Stockholms universitet har fattat. Handlingsoffentlighet är en av flera insynsrätter som SU måste ha beredskap för. Enligt 16 förvaltningslagen har en sökande, klagande eller annan part rätt att ta del av det som har tillförts ett ärende som avser myndighetsutövning mot enskild, dvs. partsinsyn. Personuppgiftslagens 10

11 bestämmelser om registrerades rätt till information är också centrala (23-27 ). 4. Personuppgiftslagen skyddar den personliga integriteten 4.1 Inledning Mycket av it-användningen vid SU omfattar behandling av personuppgifter. Historiskt sett anses riskerna för integritetskränkningar särskilt stora vid automatiserad databehandling. Detta synsätt i kombination med behovet av ett fritt flöde av personuppgifter på den inre marknaden är bakgrunden till EU:s dataskyddsdirektiv som Sverige genomfört genom personuppgiftslagen (1998:204). I syfte att stärka integritetsskyddet, öka harmoniseringen, minska byråkratiseringen och göra en anpassning till den globala användningen av modern informations- och kommunikationsteknik är EU:s regelverk föremål för revidering. Den 25 januari 2012 offentliggjorde EU-kommissionen ett förslag till dataskyddsförordning som efter ett antagande blir direkt tillämplig i medlemsstaterna till skillnad från ett direktiv som först måste implementeras i den nationella lagstiftningen. Trots att vissa bestämmelser i den nu gällande personuppgiftslagen kan te sig omständliga i sin praktiska tillämpning kan vi ändå konstatera att PUL inte reser några hinder mot de arbetsuppgifter som hör till universitetets löpande verksamhet, t.ex. studie- och personaladministration. Samtidigt som en behandling av personuppgifter formellt sett är tillåten är det förstås väsentligt att uppfylla lagens krav på information till registrerade och att vidta nödvändiga säkerhetsåtgärder etc. Det finns vidare anledning att tänka sig för noga innan man som ett uttryck för allmän servicevilja sträcker sig längre än vad myndigheten faktiskt är ålagd att göra genom att t.ex. publicera omdömen om studenter och anställda i digitala nätverk av olika slag. 4.2 Personuppgiftslagens tillämpningsområde Personuppgiftslagen är tillämplig på helt eller delvis automatiserad behandling av personuppgifter (5 PUL). Under vissa förutsättningar är PUL tillämplig också när personuppgifter behandlas manuellt. Detta förutsätter dock att uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Avvikande bestämmelser i annan lag eller förordning (2 PUL) har företräde framför personuppgiftslagen. Med personuppgift förstås all slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet (3 PUL). Begreppet behandling (av personuppgifter) omfattar all slags databearbetning som insamling, registrering, lagring, beräkning, etc. Lagens begreppsdefinitioner för med sig att personuppgiftsbehandling kan ske i form av såväl ett enkelt e-postmeddelande till en student vars identitet framgår av e-postadressen som genom ett anonymt inlägg i ett diskussionsforum som indirekt pekar ut en viss lärare. Efter en lagändring som trädde ikraft den 1 januari 2007 har den s.k. missbruksmodellen fått genomslag i den svenska integritetsskyddslagstiftningen. 11

12 Lagstiftaren har infört lättnader för vardaglig behandling av personuppgifter så länge den registrerades personliga integritet inte kränks, dvs. det sker ett missbruk behandlingen av personuppgifter missbrukas. Det gäller således vissa undantag för behandling av personuppgifter i s.k. ostrukturerat material (5 a ). Härmed förstås behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Det handlar t.ex. om textbehandling utanför särskilda dokumenthanteringssystem, e-post i generella meddelandesystem, publicering av löpande text på internet och enstaka ljud- och bildupptagningar Under förutsättning att den registrerades personliga integritet inte kränks är behandling av personuppgifter i s.k. ostrukturerat material undantaget följande bestämmelser i PUL: 9 Grundläggande krav på behandlingen av personuppgifter 10 När behandling av personuppgifter är tillåten Förbud mot behandling av känsliga personuppgifter 21 Uppgifter om lagöverträdelser 22 Behandling av personnummer Information till den registrerade 28 Rättelse och information till den registrerade Förbud mot överföring av personuppgifter till tredje land 42 Upplysningar till allmänheten om behandlingar som inte anmälts Uppräkningen ovan visar att tillämpningsområdet för missbruksregeln respektive de övriga ca. hanteringsreglerna skiljer sig markant åt. Med tanke på att dagens informations- och kommunikationsteknik i princip alltid ger förutsättningar för strukturerad databehandling kan det i praktiken vara svårt att dra en skarp skiljelinje mellan behandlingar som faller in under missbruksmodellen och de som inte gör det. Av förarbetena framgår att det faktum att en behandling är strukturerad i sig inte är detsamma som att hanteringsreglerna ska tillämpas. De mer betungande integritetsskyddsreglerna slår nämligen bara till om det är fråga om kvalificerad personuppgiftsanknuten behandling. Konsekvensen av detta är att personuppgiftsbehandling i enkla strukturer och vad som beskrivs som sedvanligt utnyttjande av allmänna funktioner faller in under missbruksmodellen. Den som t.ex. använder programvara som ingår i Microsofts Officepaket kan med hänvisning till lagmotiven hävda att det vid användning av Word rör sig om ett nyttjande av allmänna funktioner. Detta resonemang kan dock inte appliceras rakt av på mer avancerad användning av exempelvis Excel. Om man däremot ägnar sig åt (basal) textbehandling inom ramen för ett mer specialiserat dokumenthanteringssystem kan konsekvensen bli att hanteringsmodellen kommer att omfatta även rena textdokumentet genom att dessa knyts till ett relativt sett mer specialdesignat system. Det finns med andra ord en risk för att en specialdesignad teknisk lösning s.a.s. kan smitta ner dokument som annars skulle kunna gå att inlemma i missbruksmodellen. Den juridiska osäkerhet som är förknippad med gränsdragningen mellan de olika integritetsskyddsmodellerna gör att det för en organisation kan finnas anledning att tillämpa hanteringsreglerna på all sin personuppgiftsbehandling trots att det formellt sett också finns utrymme för missbruksreglerna. En förutsättning för att få behandla personuppgifter enligt missbruksmodellen är som sagt att den registrerades personliga integritet inte kränks. Som ett 12

13 förtydligande av vad som redan tidigare gäller anger lagmotiven att personuppgifter inte får behandlas för otillbörliga syften, såsom förföljelse eller skandalisering. Den personuppgiftsansvarige får inte heller utan godtagbara skäl samla in en stor mängd uppgifter om en person och är det finns också en skyldighet att rätta personuppgifter som visar sig vara felaktiga eller missvisande. Det finns också ett krav på att inte förtala eller förolämpa någon annan eller att bryta mot tystnadsplikten. 4.3 Tillåten personuppgiftsbehandling Det är den personuppgiftsansvariges uppgift att se till att personuppgiftsbehandlingar är tillåtna enligt PUL. Stockholms universitet som juridisk person blir personuppgiftsansvarig genom att vara den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (3 PUL). Personuppgiftslagen ställer inom ramen för hanteringsmodellen ett antal grundläggande krav på behandlingen av personuppgifter (9 PUL). Dessa integritetsskyddsprinciper tar bl.a. sikte på vikten av ändamålsbestämning, dvs. att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det är alltså inte tillåtet att samla på sig personuppgifter bara för att de i framtiden kan visa sig vara bra att ha. Inte heller får personuppgifter insamlade för ett visst ändamål utan vidare börja behandlas för ett annat som är oförenligt med det för vilket uppgifterna samlades in, dvs. den s.k. finalitetsprincipen. Den som har för avsikt att behandla personuppgifter måste alltså finna uttryckligt stöd för detta i PUL. Som framkommit ovan hindrar inte PUL personuppgiftsbehandlingar som knyter an till SU:s kärnverksamhet, t.ex. kursadministration och betygsrapportering. Med tanke på att it i allt större utsträckning kommit att prägla verksamheten är det dock viktigt att känna till gränserna för vad som utgör tillåten behandling av personuppgifter. Till att börja med gör PUL en distinktion mellan (vanliga) personuppgifter och s.k. känsliga personuppgifter. Enligt 10 PUL får (vanliga) personuppgifter bara behandlas om den registrerade lämnat sitt samtycke eller behandlingen är nödvändig för att t.ex. en arbetsuppgift av allmänt intresse ska kunna utföras. Det kan också vara så att en behandling framstår som nödvändig efter en intresseavvägning mellan den personuppgiftsansvariges respektive registrerades behov. Även om samtycke från den registrerade är ett sätt att göra en behandling tillåten är det inte detsamma som att man rutinmässigt bör begära in ett. För det första är en hel mängd behandlingar nödvändiga för SU och alltså tillåtna även utan samtycke. Om exempelvis en institution ändå begär in samtycke utan att få något uppstår den intrikata situationen att det kan bli aktuellt att s.a.s. köra över de registrerade och genomföra den planerade behandlingen utan något medgivande. Detta är givetvis inte ett särskilt lämpligt tillvägagångssätt. För det andra är det viktigt att känna till vad som i lagens mening utgör ett giltigt samtycke. Det ska nämligen röra sig om en frivillig, särskild och otvetydig viljeyttring efter det att den registrerade fått tillräckligt med information om aktuell behandling. Så kallade hypotetiska samtycken är inte tillåtna. Detta innebär t.ex. att en lärare inte själv kan föra att teoretiskt resonemang om att studenterna på en kurs säkert inte har något emot att få sina personliga utbildningsmål utlagda på webben. Inte heller är tysta samtycken giltiga. Härmed förstås att de 13

14 registrerade visserligen får information om förestående behandling men bara kan undvika denna genom att själv aktivt säga ifrån. Samtycke genom så kallat konkludent handlande får i dagsläget anses tillåtet åtminstone om det inte rör känsliga personuppgifter (se nedan). Det kan gå till så att de registrerade t.ex. på en institutions webbplats får information om dels den aktuella behandlingen, dels att ifyllandet av ett visst webbformulär som därefter sänds in till universitetet är att betrakta som ett samtycke. Här har alltså den registrerade själv efter information medverkat aktivt i uppgiftsinsamlingen. Om tveksamhet uppstår är det den personuppgiftsansvarige som har att visa förekomsten av ett giltigt samtycke. Även om det inte finns några formkrav som går ut på att samtycken ska vara skriftliga och egenhändigt undertecknade är det klokt att dokumentera samtycken. Det behöver inte vara mer avancerade rutiner än att t.ex. elektroniskt inhämtade samtycken samlas i en särskild mapp i e- postsystemet. Enligt huvudregeln i 13 PUL är det förbjudet att behandla känsliga personuppgifter, dvs. sådana uppgifter som avslöjar ras 5 eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Till kategorin känsliga personuppgifter hör även uppgifter som rör hälsa eller sexualliv. Enligt vad som framkommit i rättspraxis ska uttrycket hälsa ges en vidsträckt innebörd. En uppgift om att någon skadat sin fot med efterföljande sjukskrivning är t.ex. att betrakta som en känslig personuppgift. Under vissa förutsättningar får även känsliga personuppgifter behandlas, bl.a. efter den registrerades uttryckliga samtycke eller offentliggörande, eller om behandlingen är nödvändig för forskningsändamål. Det kan vidare vara nödvändigt för en arbetsgivare att behandla uppgifter som rör anställdas hälsa som ett led i ett rehabiliteringsprogram. Även om personnummer formellt sett inte hör till kategorin känsliga personuppgifter föreskriver PUL restriktivt utnyttjande av detta slags identitetsbeteckning (22 PUL). Det kan t.ex. inte anses motiverat att i samband med publicering av tentamensresultat rutinmässigt ha med uppgift om personnummer. Det finns särskilda bestämmelser i PUL som tar sikte på överföring av personuppgifter till tredje land (33-35 ). Med tredje land förstås land som inte ingår i EU eller är anslutet till EES (Europeiska Ekonomiska Samarbetsområdet, se definition i 3 ). Utgångspunkten är ett principiellt förbud mot vad som kan betecknas för export av personuppgifter utanför detta område (33 PUL). 6 I likhet med flera andra bestämmelser i PUL är emellertid denna förbudsregel omgärdad av ett betydande antal undantag. En tredjelandsöverföring blir nämligen tillåten om kravet på en adekvat skyddsnivå är uppfyllt. Skyddsnivån ska bestämmas med hänsyn till samtliga omständigheter som har samband med överföringen, bl.a. uppgifternas art, ändamålet med behandlingen och hur länge behandlingen ska pågå. Vid samarbete med forskare i t.ex. USA eller annat tredje land, om forskningsmaterial som innehåller personuppgifter krävs som regel att det skrivs ett avtal mellan de berörda forskarna som bygger på EU:s standardavtalsklausuler. 7 5 Begreppet ras har utmönstrats ur regeringsformen men kvarstår i personuppgiftslagen med anledning av att det är den terminologi som används i EU:s bakomliggande dataskyddsdirektiv. 6 Europeiska Ekonomiska Samarbetsområdet 7 Här finns information om EU:s standardavtalsklausuler: Se vidare 14

15 När det gäller publicering av personuppgifter på internet har det genom rättspraxis tydliggjorts att det inte är fråga om tredjelandsöverföring när någon gör det möjligt att få del av personuppgifter på en webbplats som är åtkomlig från en server (dator) som tillhandahålls från någon som är etablerad i ett EU-land. Trots detta finns det anledning att vara uppmärksam på att tillgängliggörande av personuppgifter via en allmänt åtkomlig webbplats principiellt sett är mer integritetskänslig än en motsvarande informationsspridning på exempelvis ett intranät. En särskild fråga, som trots statligt utredningsarbete ännu inte blivit föremål för någon lagstiftningsåtgärd, rör arbetsgivarens rätt att ta del av arbetstagares privata e-post. Utgångspunkten är att arbetsgivaren inom ramen för arbetsledningsrätten har rätt att inom ramen för lag och god sed bestämma hur arbetet skall utföras och vilken utrustning som skall användas. Som framkommit ovan framstår det som främmande att i SU:s öppna miljö förbjuda utväxling av privat e-post. Samtidigt kan ett behov att ta del av enskilda e-postmeddelanden aktualiseras av säkerhetsskäl. Även i samband med sjukfrånvaro kan det uppstå situationer när det finns skäl att gå igenom medarbetares all e-post med risk för att få del av privata meddelanden. I PUL:s mening är detta en personuppgiftsbehandling och de grundläggande integritetsskyddsprinciperna (9 ) och bestämmelserna om när en behandling är tillåten (10 m.fl.) måste alltså vara uppfyllda. Av särskild vikt i detta sammanhang är att informera medarbetarna om att deras privata e-post under vissa förutsättningar kan komma att läsas av någon annan. 4.4 Information till de registrerade Informationsskyldigheten enligt personuppgiftslagen är vidsträckt och omfattar dels sådan information som den personuppgiftsansvarige ska lämna självmant (23-25 ), dels sådan som ska lämnas efter den registrerades ansökan (26 ). När det gäller information som den personuppgiftsansvarige måste ge självmant ska detta ske vid själva insamlingen när uppgifterna samlas in direkt från den registrerade. När uppgifterna inte samlas in direkt ska information ges vid uppgifternas registrering eller senast vid det första utlämnandet. I denna sistnämnda situation behöver dock inte information lämnas om behandlingen följer av lag eller någon annan författning, vilket givetvis är ett undantag av stor betydelse för ett universitets verksamhet. Information behöver inte heller lämnas självmant om det är omöjligt eller kräver en oproportionerligt stor arbetsinsats, förutsatt att inte uppgifterna används för att vidta åtgärder som rör den registrerade. Informationen ska avse den personuppgiftsansvariges identitet, ändamålet med behandlingen, samt övrig information som den registrerade behöver för att kunna ta tillvarata sina rättigheter. Informationsskyldigheten omfattar inte sådant som den registrerade redan känner till. Ansökan om s.k. registerutdrag, ska vara skriftlig och undertecknad. De registrerade har rätt att en gång per kalenderår gratis få besked om vilka uppgifter om den sökande som behandlas, varifrån uppgifterna hämtats, ändamålet med Datainspektionens faktabroschyr: Personuppgifter i forskningen vilka regler gäller (2011) 15

16 behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Information ska lämnas inom en månad från ansökan och om det föreligger särskilda skäl senast fyra månader efter ansökan. 4.5 Säkerheten vid behandlingen Personuppgiftslagen innehåller särskilda bestämmelser om säkerhet vid behandling av personuppgifter (30-32 ). Med säkerhet förstås i detta sammanhang såväl tekniska som organisatoriska åtgärder. Lagen föreskriver inte användning av några speciella tekniska lösningar utan säkerhetsnivån förutsätts vara lämplig med hänsyn till tillgängliga lösningar och de metoder som används i samhället i stort. I ett SU-perspektiv är det angeläget att t.ex. data- och systemansvariga har fått tillräckliga instruktioner från arbetsgivaren hur de ska förfara med personuppgifter som de kommer i kontakt med i sitt dagliga arbete eller i samband med särskilda insatser med anledning av olika säkerhetsincidenter. 4.6 Rättelse och ansvar Rättelse av oriktiga personuppgifter liksom en möjlighet att utkräva ansvar för illegala personuppgiftsbehandlingar utgör grundläggande integritetsskyddsprinciper som även regleras särskilt i PUL. Om exempelvis en student påtalar förekomsten av oriktiga personuppgifter i ett studieadministrativt system eller i övrigt fäster uppmärksamheten på brister i förhållande till personuppgiftslagen måste SU vidta rättelser (28 PUL). Om de oriktiga uppgifterna spridits vidare utanför universitetet kan det under vissa förutsättningar bli nödvändigt att informera tredje man om rättningsåtgärderna. Även om det är den personuppgiftsansvarige, dvs. universitetet som juridisk person, som ansvarar för efterlevnaden av bestämmelserna i PUL ska detta inte sammanblandas med det straffrättsliga ansvaret som är knutet till den person som gör sig skyldig till en straffbar handling. Böter eller fängelse kan enligt 49 PUL bli straffet för den som uppsåtligen eller av grov oaktsamhet lämnar osann uppgift i information till registrerade eller gör sig skyldig till otillåten behandling av känsliga personuppgifter. Detta gäller även vid tillämpning av missbruksregeln i 5 a PUL. 4.7 Anmälnings- och förteckningsskyldighet Det föreligger en principiell anmälningsskyldighet till Datainspektionen för helt eller delvis automatiserade personuppgiftsbehandlingar (36 PUL) som dock är omgärdad av en hel mängd undantag. Om den personuppgiftsansvarige utsett ett s.k. personuppgiftsombud, med uppgift att bl.a. föra företeckning över behandlingar, behöver anmälan till tillsynsmyndigheten ej ske. Särskilt integritetskänsliga behandlingar förutsätter dock förhandskontroll enligt vad regeringen föreskriver (41 PUL och 9 personuppgiftsförordningen (1998:1191, PUF). Ett personuppgiftsombud kan kortfattat beskrivas som en slags internrevisor med uppgift att se till att den personuppgiftsansvarige efterlever integritetsskyddslagstiftningen. Här kan nämnas att Stockholms universitet har ett personuppgiftsombud som medarbetare kan vända sig till med frågor om behandling av personuppgifter. 16

17 Att tänka på: Tillämpa missbruksregeln vid ostrukturerad behandling av personuppgifter och tillämpa hanteringsreglerna vid kvalificerad personuppgiftsanknuten strukturerad behandling. Missbruksmodellen tar alltså sikte på personuppgiftsbehandling i enkla strukturer med s.k. sedvanligt utnyttjande av allmänna funktioner. Behandling i strukturerat material, dvs. behandling som ingår i eller är avsedd att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter omfattas av hanteringsmodellen. Inhämta bara samtycke från de registrerade om detta är en egentlig förutsättning för att en behandling ska vara tillåten. Uppfyll dock alltid informationsskyldigheten m.m. Informera de anställda om att det bl.a. av säkerhetsskäl kan bli nödvändigt att ta del av privat e-post men att berörda medarbetare har tystnadsplikt för vad som härvid framkommer. Inhämta gärna även en fullmakt från de anställda. Det är lämpligt att vid varje institution eller motsvarande dels gå igenom vilka personuppgiftsbehandlingar som det finns skäl att informera de registrerade om, dels försäkra sig om att den tekniska infrastrukturen gör det möjligt att lämna registerutdrag efter ansökan. Observera att bestämmelser om sekretess har företräde framför informationsskyldigheten enligt PUL. Anmäl personuppgiftsbehandlingar till personuppgiftsombudet vid SU som även kan ge råd om tillämpningen av PUL. 5. Ensamrätter upphovsrätt till myndighetens och andras verk 5.1 Allmänt Stockholms universitets olika digitala miljöer innehåller mångfasetterad information som härrör från såväl lärare, forskare, administratörer, studenter, representanter för andra myndigheter, konsulter, m.fl. Utöver personuppgiftslagen, lagen (1998:112) om ansvar för elektroniska anslagstavlor (BBS-lagen, se nedan) och andra regelverk som tar sikte på ansvar är det viktigt att SU:s webbpublicering inte innebär intrång i ensamrätter. Upphovsrätt till myndighetens och andras verk är central i sammanhanget. Upphovsrätten är ett skydd mot efterbildning och otillåtet offentliggörande, som uppkommer automatiskt när verk skapas. I 1 upphovsrättslagen (1960:729, URL) återfinns en icke-uttömmande lista på alster som omfattas av upphovsrätten. De verk som skyddas är bl.a. målningar, bilder, skisser, fotografier, musik, nottexter, seriefigurer, tidningsartiklar, texter, broschyrmateriel, tekniska ritningar, böcker, datorprogram och sammanställningar. Upphovsrätten skyddar också dem som framför verk, t.ex. skådespelare, musiker, sångare och dansare. Producenter av bl.a. databaser har också ett skydd, enligt det s.k. katalogskydd (49 URL). Dessa prestationer brukar benämnas som närstående rättigheter. Ett visst mått av självständighet och originalitet, allmänt benämnt verkshöjd, är en förutsättning för upphovsrätt, vilket däremot inte inbegriper kvalitetskrav. 17

18 Alltför enkla och banala alster skyddas över huvud taget inte. Kraven på självständighet och originalitet brukar dock sättas mycket lågt. Ensamrätten består av en ekonomisk del och en ideell del. Den ekonomiska delen (2 URL) omfattar exemplarframställning och tillgängliggörande för allmänheten. Med tillgängliggörande av verk avses spridning av exemplar, visning av verk, överföring av verk och offentligt framförande av verk. Den ideella delen (3 URL) omfattar krav på att namnge upphovsmannen i den omfattning och på det sätt som god sed kräver vid nyttjanden av verket samt att verket inte får ändras på ett kränkande vis och att verket inte får göras tillgängligt i ett kränkande sammanhang. Den ideella rätten kan inte i alla delar avtalas bort. Även om det finns tillåtelse att publicera ett upphovsrättsligt skyddat verk på internet måste alltså den ideella rätten beaktas. Upphovsrätten tillkommer en eller flera (fysiska) upphovsmän och kan överföras till en fysisk eller juridisk person (27-29 URL). Överlåtelse kan ske fullständigt genom försäljning eller upplåtelse för nyttjande i form av licensiering. Upphovsmannen kan emellertid inte sälja eller efterge den ideella rätten i vidare utsträckning än att han eller hon kan överblicka konsekvenserna vid avtalstillfället. Förvärvaren av upphovsrätt kan i sin tur bara överlåta rätten vidare efter samtycke från upphovsmannen. Det finns vissa inskränkningar i upphovsrätten (2 kap. URL) som bl.a. avser en viss rätt att kopiera verk för enskilt bruk och att citera och referera ur offentliggjorda verk samt att sprida förvärvade verk vidare. Till följd av EUrättslig harmonisering har det skett en insnävning av rätten till privat kopiering och förbud mot att sälja och använda teknik som används för att forcera säkerhetsspärrar, kopieringsskydd och liknande. Det avgörande för överföring av upphovsrätt i ett anställningsförhållande är vad som framgår av kollektivavtal och/eller det enskilda anställningsavtalet, dvs. om avtalet uttryckligen eller underförstått innefattar en överföring av rätten och i så fall dess omfattning. Saknas avtal brukar en allmän princip tillämpas, benämnd tumregeln. Den innebär att arbetsgivaren förvärvar en begränsad rätt att använda verket i sin normala verksamhet, om det skapats vid utförande av den anställdes normala arbetsuppgifter eller särskilda uppdrag. När det däremot gäller datorprogram finns det inom upphovsrätten en särskild reglering av rätten till anställdas program, nämligen 40 a URL. Upphovsrätten övergår nämligen till arbetsgivaren om datorprogrammet skapats som ett led i arbetstagarens arbetsuppgifter eller efter arbetsgivarens instruktioner och annat inte avtalats. I detta sammanhang finns även anledning att uppmärksamma det s.k. lärarundantaget som går ut på att lärare innehar upphovsrätten till verk framställda inom ramen för sin anställning. Det råder i viss utsträckning delade meningar om såväl grunden för och räckvidden av lärarundantaget som närmast kan beskrivas som en omdiskuterad sedvana. 5.2 Upphovsrätt och allmänna handlingar Även om den grundlagsreglerade offentlighetsprincipen generellt har företräde framför upphovsrätten är denna ensamrätt av betydelse för myndigheters hantering av allmänna handlingar. Om någon med stöd i offentlighetsprincipen t.ex. begär att få del av upphovsrättsligt skyddad programkod utvecklad vid en institution utgör detta i sig inget hinder mot utlämnande från SU under 18

19 förutsättning att det rör sig om en allmän handling i TF:s mening. Eftersom ensamrätten kvarstår även efter utlämnandet har den som eventuellt får del av programkoden emellertid bara rätt att nyttja denna i enlighet med upphovsrättslagens bestämmelser. Det är med andra ord viktigt att skilja mellan en myndighets skyldighet att utlämna allmänna handlingar som omfattas av upphovsrätt och hur dessa sedan får användas. När det gäller upphovsrätt och allmänna handlingar behöver man göra en åtskillnad mellan upprättade och inkomna handlingar. I fråga om upprättade handlingar gäller inte upphovsrätt till författningar, beslut och yttranden av myndigheter samt officiella översättningar av dessa typer av handlingar. Däremot gäller upphovsrätt till övriga upprättade handlingar som är verk i upphovsrättslagens mening, t.ex. kartor, broschyrer, datorprogram och bilder. Upphovsrätten till verk som inges av enskilda, dvs. inkomna handlingar kvarstår. Om ett verk återges i ett beslut eller yttrande, tappar dock verket upphovsrätten. Är verket däremot fogat som en bilaga eller om det görs en hänvisning till ett beslut eller yttrande gäller upphovsrätt för verket. Detta gäller såväl återgivande av upprättade handlingar som inkomna handlingar. Som framkommit ovan är huvudregeln att allmänna handlingar ska lämnas ut till den som begär det oavsett upphovsrätten (26 b URL). Under vissa förutsättningar kan dock upphovsrätt utgöra grund för sekretess. Enligt 31 kap 23 offentlighets- och sekretesslagen gäller nämligen sekretess för uppgift i upphovsrättsligt skyddat verk som inte kan antas sakna kommersiellt intresse: - om det av särskild anledning kan antas att verket inte tidigare har offentliggjorts i den mening som avses i upphovsrättslagen, - om det av särskild anledning kan antas att verket har kommit in till myndigheten utan rättighetshavarens samtycke och - om ett röjande av uppgiften innebär ett upphovsrättsligt förfogande, om det inte står klart att uppgiften kan röjas utan att rättighetshavaren lider skada. 6. SU på webben ansvar m.m. 6.1 Inledning Det är inte bara publicering av personuppgifter på internet som påkallar juridisk uppmärksamhet utan det finns en hel del andra rättsregler som uttryckligen tar sikte på digitala nätverk. Enligt 6 kap 18 lagen (2003:389) om elektronisk kommunikation är det t.ex. bara tillåtet med kakor ( cookies ) om användaren fått information om ändamålet med denna personuppgiftsbehandling och dessutom samtyckt till den. Det finns dock ett undantag för lagring eller åtkomst som behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller som är nödvändig för att tillhandahålla en tjänst som användaren eller abonnenten uttryckligen har begärt. Användning av cache, som förenklat kan beskrivas som temporär lagring av senast använda data, liksom stylesheets för att grafiskt kunna återge en webbsida på avsett sätt faller troligen inom ramen för detta undantag och är således tillåten. Det är Post- och telestyrelsen (PTS) som utövar tillsyn över denna reglering och mer information om den praktiska rättstillämpningen när det gäller bl.a. anpassning av gränssnitt etc. finns på myndighetens hemsida (www.pts.se). Lagstiftaren har i olika regelverk som berör ansvar m.m. valt att göra en distinktion mellan interaktiva respektive icke interaktiva, dvs. förmodererade 19

20 webbplatser. Ett exempel på detta är att göra det möjligt att efter ansökan hos Myndigheten för radio och tv få s.k. frivilligt utgivningsbevis för webbplatser som är tillgängliga för allmänheten under förutsättning att besökare inte kan delta interaktivt i informationsförsörjningen som alltså måste ske statiskt (förmodererat). Grundlagsskyddet omfattar skydd mot ingripanden från det offentliga som kan hämma yttrandefriheten. Exempelvis kan inte Datainspektionen invända mot publicering på webbplatser med utgivningsbevis. Det straffrättsliga ansvaret för vad som publiceras knyts till en enda person, dvs. den ansvarige utgivaren. Även om det finns myndigheter som ansökt om och beviljats utgivningsbevis är detta inte en lösning som är att rekommendera, tvärtom. Grundlagsskyddet avser yttrandefriheten gentemot det allmänna inte myndigheter emellan. Till bilden hör även att det ur Datainspektionens praxis går att utläsa att myndigheten inte avstår från inspektioner som avser personuppgiftslagens efterlevnad med anledning av att en myndighet skulle ha utgivningsbevis för en webbplats. 6.2 BBS-lagen Lagen (1998:112) om ansvar för elektroniska anslagstavlor, den s.k. BBS-lagen kan bli aktuell att tillämpa på vissa av SU:s webbplatser. Lagens tillämpningsområde omfattar hemsidor, konferenssystem, diskussionsforum, chattar m.m. som möjliggör elektronisk förmedling av meddelanden. Kravet på interaktivitet tar sikte på möjligheten för andra än den som tillhandhåller tjänsten, t.ex. studenter, att direkt publicera meddelanden och liknande. BBS-lagens bestämmelser tillämpas inte på meddelandeutväxling inom eller mellan myndigheter och inte heller på tjänster som skyddas av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen eller som är avsedda för en viss mottagare eller krets av mottagare, t.ex. e-post riktade till en viss grupp. Ansvarig är den som bestämmer över tjänstens användning (inklusive de tekniska och administrativa rutinerna). Ansvaret omfattar en informationsplikt avseende identiteten hos den som tillhandahåller tjänsten liksom en skyldighet att informera om inkomna meddelandens tillgänglighet för andra användare. Den ansvarige har även en uppsiktsskyldighet som går ut på att i vart fall inte lämna tjänsten obevakad längre tid än en vecka samt en gallringsskyldighet vad gäller uppenbart brottsliga meddelanden (uppvigling, hets mot folkgrupp, barnpornografibrott eller olaga våldsskildring) liksom meddelanden som innebär intrång i upphovsrätt eller närstående rättigheter 6.3 Etablering i sociala medier och användning av molntjänster m.m Sociala medier Med sociala medier förstås vanligen digitala miljöer där mycket av innehållet är användargenererat baserat på kommunikationstjänster som tillhandahålls av utländska aktörer. Facebook, Twitter, YouTube, Linkedin, itunesu, FlicR, bloggar är bara några få exempel. Mycket av informationsförmedlingen äger rum mellan privatpersoner men allt fler företag, myndigheter och andra organisationer 20

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET PUL i praktiken Vad är PuL? PuL betyder Personuppgiftslagen och trädde i kraft 1998. Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer

Läs mer

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg www.pulpedagogen.se Personuppgiftslagen (PuL) Vad tänka på i PuL när det gäller e-förvaltning? Missbruksregeln - Hanteringsregeln Ändamålet God

Läs mer

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) Kommunledningsförvaltningen STYRDOKUMENT Godkänd/ansvarig 1(5) Beteckning Riktlinjer behandling personuppgifter Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) 1.

Läs mer

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter Regel BESLUTSDATUM: 2013-11-06 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Åsa Sydén HANTERINGSKLASS Ö P P E N SVERIGES RIKSBANK SE-103

Läs mer

Skyldigheten att lämna registerutdrag blir mindre betungande

Skyldigheten att lämna registerutdrag blir mindre betungande Sammanfattning Hanteringen av personuppgifter som inte ingår i personregister underlättas Personuppgiftslagsutredningen har haft i uppdrag att göra en över-syn av personuppgiftslagen. Syftet har varit

Läs mer

Personuppgiftsbehandling i forskning

Personuppgiftsbehandling i forskning Personuppgiftsbehandling i forskning 4 mars 2014 Victoria Söderqvist, jurist Datainspektionen Personuppgiftslagen Bygger på dataskyddsdirektivet Generell lag bestämmelser i annan lag eller förordning gäller

Läs mer

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud Välkomna till Datainspektionen Grundkurs i personuppgiftslagen Grundkurs för personuppgiftsombud Ulrika Bergström, Jonas Agnvall, Agneta Runmarker och Ranja Bunni 15-16 mars 2016 Grundkurs i personuppgiftslagen

Läs mer

Personuppgiftslagen konsekvenser för mitt företag

Personuppgiftslagen konsekvenser för mitt företag Personuppgiftslagen konsekvenser för mitt företag I denna promemoria finns information om personuppgiftslagen ( PuL ) som från och med den 1 oktober i år börjar gälla för de flesta behandlingar av personuppgifter

Läs mer

Personuppgiftslagen 20 april 2010

Personuppgiftslagen 20 april 2010 Personuppgiftslagen 20 april 2010 Kristina Blomberg info@pulpedagogen.se 08-36 22 30, 070-751 90 41 www.pulpedagogen.se Historia FoB-arna startade diskussionen på 1960-talet Datalagen (och Datainspektionen)

Läs mer

Sociala medier ur ett rättsligt perspektiv. Johan Bålman, E-delegationen

Sociala medier ur ett rättsligt perspektiv. Johan Bålman, E-delegationen Sociala medier ur ett rättsligt perspektiv Johan Bålman, E-delegationen I stora drag. 1. Klargöra ändamålet 2. Myndigheten Anställda 3. Identifiera rättsliga krav Åstadkomma en god offentlighetsstruktur

Läs mer

Frågor & svar om nya PuL

Frågor & svar om nya PuL Frågor & svar om nya PuL Fråga 1: Varför ändras PuL? PuL ändras för att underlätta vardaglig behandling av personuppgifter som normalt inte medför några risker för att de registrerades personliga integritet

Läs mer

Rutin för webbpublicering av personuppgifter

Rutin för webbpublicering av personuppgifter 1(5) Kommunstyrelsens förvaltning Kommunstyrelsens kansli Caroline Uttergård, Administratör 0171-525 61 caroline.uttergard@habo.se Antagen av kommundirektören 2014-10-15 Rutin för webbpublicering av personuppgifter

Läs mer

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige, PERSONUPPGIFTSLAG Syftet med lagen 1 Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Avvikande bestämmelse i annan författning

Läs mer

PERSONUPPGIFTSLAGEN (PUL)

PERSONUPPGIFTSLAGEN (PUL) 1 (6) PERSONUPPGIFTSLAGEN (PUL) Lagens ikraftträdande PUL trädde ikraft den 24 oktober 1998 och genom PUL:s införande upphävdes 1973-års datalag. För behandling av personuppgifter, som påbörjats före den

Läs mer

Sociala medier + juridik = sant. Johan Bålman, E-delegationen

Sociala medier + juridik = sant. Johan Bålman, E-delegationen Sociala medier + juridik = sant Johan Bålman, E-delegationen I stora drag. 1. Klargöra ändamålet 2. Myndigheten Anställda 3. Identifiera rättsliga krav Åstadkomma en god offentlighetsstruktur Gränsen mellan

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Personuppgiftslag; SFS 1998:204 utfärdad den 29 april 1998. Enligt riksdagens beslut 1 föreskrivs 2 följande. Allmänna bestämmelser Syftet med lagen 1 Syftet med denna lag är

Läs mer

Personuppgiftsbehandling för forskningsändamål

Personuppgiftsbehandling för forskningsändamål Personuppgiftsbehandling för forskningsändamål 13 mars 2014 Victoria Söderqvist, jurist Datainspektionen Personuppgiftslagen Bygger på Dataskyddsdirektivet Bestämmelser i annan lag eller förordning gäller

Läs mer

Offentlighetsprincipen och allmänna handlingar

Offentlighetsprincipen och allmänna handlingar Offentlighetsprincipen och allmänna handlingar 2010 07 01 Producerat av Avdelningen för juridik, Region Skåne Form: Christian Andersson, Region Skåne Tryck: Servicelaget i Kristianstad 2010 Offentlighetsprincipen

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Åklagardatalag; utfärdad den 25 juni 2015. SFS 2015:433 Utkom från trycket den 7 juli 2015 Enligt riksdagens beslut 1 föreskrivs följande. 1 kap. Lagens syfte och tillämpningsområde

Läs mer

Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan

Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan 112591, 1 Bilaga 3, version 1.0 PM Till: Inera AB Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan Syfte Syftet

Läs mer

24 kap. 8 offentlighets- och sekretesslagen (2009:400)

24 kap. 8 offentlighets- och sekretesslagen (2009:400) Fastställd av GD 21 juni 2016 Upphör att gälla 21 juni 2019 Ansvarig: GD-stab Dnr: 2016/1002 SEKRETESSPOLICY Policyns omfattning Det finns regler som styr hur uppgifter får lämnas ut från SCB. SCB:s sekretesspolicy

Läs mer

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI Varför juridiska regelverk? Skapa rättssäkerhet Skapa förutsebarhet Behov av att balansera

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Utlänningsdatalag; utfärdad den 4 februari 2016. SFS 2016:27 Utkom från trycket den 5 februari 2016 Enligt riksdagens beslut 1 föreskrivs följande. Lagens syfte 1 Syftet med

Läs mer

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN Uppdaterad: 2009-08-20 SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN 2 INNEHÅLL 1. Regler för behandling av personuppgifter 3 2. Organisation 6 3. Rutin för att anmäla

Läs mer

Riktlinjer för behandling av personuppgifter

Riktlinjer för behandling av personuppgifter Riktlinjer för behandling av personuppgifter Antagna av kommunstyrelsen den 10 augusti 2016, 256. Inledning Personuppgiftslagen innehåller bestämmelser om när personuppgifter får samlas in, hur de insamlade

Läs mer

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet Lag om uppgifter i tullbrottsdatabasen [3701] Lagens tillämpningsområde 1 [3701] Denna lag gäller vid Tullverkets behandling

Läs mer

Riktlinjer för statliga myndigheters användning av sociala medier ur ett rättsligt perspektiv

Riktlinjer för statliga myndigheters användning av sociala medier ur ett rättsligt perspektiv Riktlinjer för statliga myndigheters användning av sociala medier ur ett rättsligt perspektiv En presentation från Johan Bålman 1 Myndigheterna medverkar på olika nivåer Delegationen beslutar generaldirektörerna

Läs mer

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal DNR 13-125/2325 SID 1 (9) Bilaga 9 Personuppgiftsbiträdesavtal Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm DNR 13-125/2325 SID 2 (9) INNEHÅLLSFÖRTECKNING

Läs mer

Personuppgifter. Behandling av personuppgifter

Personuppgifter. Behandling av personuppgifter Reviderad maj 2003 POLICYDOKUMENT från arbetsgruppen för forskningsetik vid ämnesrådet för medicin Personuppgifter För forskning på människor finns en omfattande reglering av såväl nationell som internationell

Läs mer

Regler för behandling av personuppgifter vid Högskolan Dalarna

Regler för behandling av personuppgifter vid Högskolan Dalarna Regler för behandling av personuppgifter vid Högskolan Dalarna Beslut: Rektor 2015-11-02 Reviderad: - Dnr: DUC 2015/1924/10 Ersätter: Tillämpning av personuppgiftslagen (PUL) inom HDa, DUF 2001/1433/12

Läs mer

Dessa riktlinjer utgör en del av kommunens Informations- och kommunikationsstrategi samt kommunens e-poststrategi och fastställs av Kommunstyrelsen.

Dessa riktlinjer utgör en del av kommunens Informations- och kommunikationsstrategi samt kommunens e-poststrategi och fastställs av Kommunstyrelsen. Fastställd av KS 120 Den 11 september 2001 Sida 1:1 Dessa riktlinjer utgör en del av kommunens Informations- och kommunikationsstrategi samt kommunens e-poststrategi och fastställs av Kommunstyrelsen.

Läs mer

Kommunstyrelsen. Godkänt av kommunstyrelsen 2007-04-18, 77 Kompletterad av kommunstyrelsen 2012-11-14, 162

Kommunstyrelsen. Godkänt av kommunstyrelsen 2007-04-18, 77 Kompletterad av kommunstyrelsen 2012-11-14, 162 Kommunstyrelsen Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning och regler för webbpublicering av personuppgifter på www.odeshog.se Godkänt av kommunstyrelsen 2007-04-18,

Läs mer

Lathund Personuppgiftslagen (PuL)

Lathund Personuppgiftslagen (PuL) Lathund Personuppgiftslagen (PuL) Behandling Alla former av åtgärder där man hanterar personuppgifter oavsett om det sker via datorn eller inte. Detta kan vara till exempel insamling, registrering och

Läs mer

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning. Innehållsförteckning Syftet 2 Personuppgiftslagen (1998:204) 3 Behandling av personuppgifter för administrativa ändamål 6 Känsliga uppgifter 6 Personnummer på klasslistor 8 Uppgifter om familjemedlemmar

Läs mer

Regler för behandling av personuppgifter enligt personuppgiftslagen

Regler för behandling av personuppgifter enligt personuppgiftslagen Regler för behandling av personuppgifter enligt personuppgiftslagen 2013-03-01 Innehåll 1. Kort om personuppgiftslagen... 1 2. Några begrepp i PuL... 1 3. Grundläggande krav på behandling av personuppgifter...

Läs mer

Antagen av kommunstyrelsen 2003-03-18 Reviderad 2011-05-31

Antagen av kommunstyrelsen 2003-03-18 Reviderad 2011-05-31 REGLER OCH RUTINER FÖR POST OCH E-POST Antagen av kommunstyrelsen 2003-03-18 Reviderad 2011-05-31 2 Allmän handling En handling kan beskrivas som någonting som innehåller information av något slag. Vanligen

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Förordning om behandling av personuppgifter inom Kustbevakningen; SFS 2003:188 Utkom från trycket den 13 maj 2003 utfärdad den 30 april 2003. Regeringen föreskriver följande.

Läs mer

Personuppgifter i forskningen vilka regler gäller?

Personuppgifter i forskningen vilka regler gäller? Personuppgifter i forskningen vilka regler gäller? Uppdaterad i mars 2013 Personuppgifter i forskningen vilka regler gäller? Vad gäller när en forskare hanterar integritetskänsligt material i sin forskning?

Läs mer

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte Författningssamling Fastställd av kommunfullmäktige: 2003-03-27 68 Reviderad: Personuppgiftslagen Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte 1 Lagens syfte är att skydda människor så

Läs mer

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013 Göteborgs universitet Kristina Ullgren November 2013 2 Personuppgiftslagen i sammandrag 1. Syftet att skydda den personliga integriteten 2. PuL gäller inte för privat behandling av personuppgifter 3. Vardaglig

Läs mer

Personuppgiftslagen PUL

Personuppgiftslagen PUL SFS nr: 1998:204 Departement/ myndighet: Justitiedepartementet L6 Rubrik: Personuppgiftslag (1998:204) Utfärdad: 1998-04-29 Ändring införd: t.o.m. SFS 2003:466 Personuppgiftslagen PUL Allmänna bestämmelser

Läs mer

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling enligt Personuppgiftslagen (1998:204) vid Göteborgs universitet. Regler för behandling av personuppgifter

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

OFFENTLIGHET OCH SEKRETESS

OFFENTLIGHET OCH SEKRETESS OFFENTLIGHET OCH Juristprogrammet Termin 6 Vårterminen 2015 Lars Bejstam YTTRANDEFRIHET Information kan finnas lagrad på olika sätt, t.ex. skriftliga dokument upptagningar, t.ex. datalagrad information

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09-09 685-2008 Produktionsnämnden för vård och bildning Uppsala kommun 753 75 UPPSALA Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Information till nyanställda inom barn- och utbildningsförvaltningen

Information till nyanställda inom barn- och utbildningsförvaltningen Nämndsekreterare 1 (5) Information till nyanställda inom barn- och Myndighet Myndigheter är de organ som ingår i den statliga och kommunala förvaltningen. Barn- och utbildningsnämnden är en myndighet som

Läs mer

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015 Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen 12 november 2015 1 Historik och processen mot en dataskyddsförordning Datalagen från 1973. Dataskyddsdirektivet

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 755-2011 Socialnämnden Södertälje Kommun 151 89 Södertälje Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

E-delegationen. Riktlinjer för statliga myndigheters användning av sociala medier ur ett rättsligt perspektiv. Vad behövs.

E-delegationen. Riktlinjer för statliga myndigheters användning av sociala medier ur ett rättsligt perspektiv. Vad behövs. Riktlinjer för statliga myndigheters användning av sociala medier ur ett rättsligt perspektiv Johan Bålman Myndigheterna medverkar på olika nivåer Delegationen beslutar generaldirektörerna Arbetsgruppen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation Datum Diarienr 2012-05-16 163-2012 Taxi Stockholm 15 00 00 AB Ombud: Advokat NN Sandart&Partners Advokatbyrå KB Box 7131 103 87 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter

Läs mer

8 Register med personuppgifter inom färdtjänsten och riksfärdtjänsten

8 Register med personuppgifter inom färdtjänsten och riksfärdtjänsten 8 Register med personuppgifter inom färdtjänsten och riksfärdtjänsten Såsom utredningen konstaterar i delbetänkandet, SOU 2003:4, krävs automatiserade och manuella register med personuppgifter för att

Läs mer

Statlig förvaltning och statstjänstemannarollen. Fredrik Qvist, Bolagsverket Mikael Norberg, Länsstyrelsen Petra Dalman, SPV Yohann Gilbert, CSN

Statlig förvaltning och statstjänstemannarollen. Fredrik Qvist, Bolagsverket Mikael Norberg, Länsstyrelsen Petra Dalman, SPV Yohann Gilbert, CSN Statlig förvaltning och statstjänstemannarollen Fredrik Qvist, Bolagsverket Mikael Norberg, Länsstyrelsen Petra Dalman, SPV Yohann Gilbert, CSN Presentation Programmet Statstjänstemannarollen Att handlägga

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2012-02-06 790-2011 Statens skolinspektion Box 23069 104 35 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m.

Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m. SVENSKA PM 1 (7) KOMMUNFÖRBUNDET 2001-09-25 Kommunalrättssektionen Staffan Wikell Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m. 1 Övergångsbestämmelser 1.1 Inventering

Läs mer

regel plan policy program regel riktlinje rutin strategi taxa regler för personuppgiftshantering ... Beslutat av: Kommunfullmäktige

regel plan policy program regel riktlinje rutin strategi taxa regler för personuppgiftshantering ... Beslutat av: Kommunfullmäktige plan policy regel regler för personuppgiftshantering program regel riktlinje rutin strategi taxa............................ Beslutat av: Kommunfullmäktige Beslutandedatum: 2015-02-16 16 Ansvarig: Kanslichef

Läs mer

Välkommen! Juridik för kommunikatörer. 28 november 2012

Välkommen! Juridik för kommunikatörer. 28 november 2012 Välkommen! Juridik för kommunikatörer 28 november 2012 Faktiskt handlande Serviceskyldighet (4 ) Tillgänglighet (5 ) Samverkan mellan myndigheter (6 ) Ärendehandläggning Rätt till tolk (8 ) Rätt att anlita

Läs mer

DIARIEFÖRING OCH DET JURIDISKA REGELVERKET. 2015-10-29 Version 0.1

DIARIEFÖRING OCH DET JURIDISKA REGELVERKET. 2015-10-29 Version 0.1 DIARIEFÖRING OCH DET JURIDISKA REGELVERKET 2015-10-29 Version 0.1 2 1. INTRODUKTION 1.1 INTRODUKTION I den här handboken finns anvisningar om hur Malmö högskola ska hantera och registrera allmänna handlingar.

Läs mer

Offentlighets principen

Offentlighets principen AlfBohlin Offentlighets principen Åttonde upplagan Norstedts Juridik Innehåll Förkortningar 15 1. Offentlighetsprincipen 17 1.1 Allmänt om offentlighet och sekretess i myndighetsverksamhet 17 1.2 Offentlighetsprincipen

Läs mer

Kommittédirektiv. Förutsättningar för registerbaserad forskning. Dir. 2013:8. Beslut vid regeringssammanträde den 17 januari 2013.

Kommittédirektiv. Förutsättningar för registerbaserad forskning. Dir. 2013:8. Beslut vid regeringssammanträde den 17 januari 2013. Kommittédirektiv Förutsättningar för registerbaserad forskning Dir. 2013:8 Beslut vid regeringssammanträde den 17 januari 2013. Sammanfattning Inom forskning som förutsätter tillgång till personanknutna

Läs mer

Riktlinjer för statliga myndigheters användning av sociala medier ur ett rättsligt perspektiv. Johan Bålman E-delegationen

Riktlinjer för statliga myndigheters användning av sociala medier ur ett rättsligt perspektiv. Johan Bålman E-delegationen Riktlinjer för statliga myndigheters användning av sociala medier ur ett rättsligt perspektiv Johan Bålman Myndigheterna medverkar på olika nivåer Delegationen beslutar generaldirektörerna Arbetsgruppen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 750-2011 Landstingsstyrelsen Landstinget Blekinge 371 81 Karlskrona Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut

Läs mer

STADSLEDNINGSKONTORET JURIDISKA AVDELNINGEN SIDAN 1. och sekretess. September 2012

STADSLEDNINGSKONTORET JURIDISKA AVDELNINGEN SIDAN 1. och sekretess. September 2012 SIDAN 1 Samverkan, informationsutbyte tb t och sekretess Äldrecentrum September 2012 Regeringsformen Tryckfrihets- förordningen Yttrandefrihetsgrundlagen Offentlighet och sekretesslagen EG-RÄTT Hälso-och

Läs mer

Allmänna handlingar i elektronisk form

Allmänna handlingar i elektronisk form Allmänna handlingar i elektronisk form - offentlighet och integritet Slutbetänkande av E-offentlighetskommittén Stockholm 2010 STATENS OFFENTLIGA UTREDNINGAR SOU 2010:4 Innehåll Sammanfattning 13 Författningsförslag

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet; SFS 2001:85 Utkom från trycket den 20 mars 2001 utfärdad den 8 mars 2001. Enligt riksdagens beslut

Läs mer

Malmö stads riktlinjer för sociala medier

Malmö stads riktlinjer för sociala medier Malmö stads riktlinjer för sociala medier Bakgrund Sociala medier är i första hand en plats för dialog och inte en traditionell reklamkanal. Det handlar först och främst om kommunikation, konversation

Läs mer

Tyresö kommuns riktlinjer för hantering av e-post

Tyresö kommuns riktlinjer för hantering av e-post 1(8) Tyresö kommuns riktlinjer för hantering av e-post Sammanfattning: Vid användning av e-post gäller samma lagar och regler som för pappershandlingar när det gäller vad som är allmän handling samt registrering,

Läs mer

Spam ur ett myndighetsperspektiv vilka åtgärder är tillåtna? Johan Bålman Verksjurist

Spam ur ett myndighetsperspektiv vilka åtgärder är tillåtna? Johan Bålman Verksjurist Spam ur ett myndighetsperspektiv vilka åtgärder är tillåtna? Johan Bålman Verksjurist 1 Skyldigheter för myndigheter 5 Förvaltningslagen Myndigheter skall se till att det är möjligt för enskilda att kontakta

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Riktlinjer för diariet på Internet

Riktlinjer för diariet på Internet 2008-05-21 Riktlinjer för diariet på Internet Beslutad av Kommunstyrelsen den 4 juni 2008, 246/2008 KOMMUNKANSLIET ADRESS Nämndhuset 442 81 Kungälv TELEFON 0303-23 80 00 vx FAX 0303-132 17 E-POST kommunstyrelsen@kungalv.se

Läs mer

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM 1 (6) meddelad i Stockholm den 5 juni 2012 KLAGANDE Försäkringskassan 103 51 Stockholm MOTPART Datainspektionen Box 8114 104 20 Stockholm ÖVERKLAGAT AVGÖRANDE Kammarrätten

Läs mer

ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL)

ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL) För kännedom Landstingsstyrelsen Landstingsjurist Per Blomberg Landstingsdirektör tf, Helena Söderquist ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL) Enligt revisionsplanen genomförs, på uppdrag

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 756-2011 Socialnämnden Sundsvalls kommun 851 85 Sundsvall Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ... modell plan policy program riktlinje för behandling av personuppgifter i socialnämndens dataregister regel rutin strategi taxa............................ Beslutat av: Socialnämnden Beslutandedatum: 2015-12-16

Läs mer

Läsplattor, e-diarium, sociala medier och annan e-förvaltning

Läsplattor, e-diarium, sociala medier och annan e-förvaltning 2013-04-05 13/21 OBS! Var vänlig distribuera inbjudan till berörd målgrupp inom förvaltningen Samtliga nämnder/styrelser i kommuner och landsting Läsplattor, e-diarium, sociala medier och annan e-förvaltning

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om behandling av personuppgifter inom socialförsäkringens administration; SFS 2003:763 Utkom från trycket den 25 november 2003 utfärdad den 13 november 2003. Enligt riksdagens

Läs mer

Härnösands kommun. Så använder Du. e-post i. Bestämmelser om e-post för kommunala förvaltningar och bolag. Antagna av kommunstyrelsen 2004-04-06, 62.

Härnösands kommun. Så använder Du. e-post i. Bestämmelser om e-post för kommunala förvaltningar och bolag. Antagna av kommunstyrelsen 2004-04-06, 62. Så använder Du e-post i Härnösands kommun Bestämmelser om e-post för kommunala förvaltningar och bolag Antagna av kommunstyrelsen 00-0-06, 6. Innehåll Sid. Regler för e-post som alla måste följa E-postadresser

Läs mer

Information till registrerade enligt personuppgiftslagen

Information till registrerade enligt personuppgiftslagen Information till registrerade enligt personuppgiftslagen Datainspektionens allmänna råd 1 2 Innehåll Inledning 5 Information som skall lämnas självmant (23 25 ) 6 Uppgifter som samlas in direkt från den

Läs mer

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL) Information till varje registrerad/anställd enligt personuppgiftslagen (PuL) Den 1 oktober 2001 upphörde datalagen att gälla och personuppgiftslagen (PuL) reglerar de allra flesta behandlingar av personuppgifter.

Läs mer

Lotta Kavtaradze. Jur. kand. och PUL-konsult PUL-Akademin

Lotta Kavtaradze. Jur. kand. och PUL-konsult PUL-Akademin Lotta Kavtaradze Jur. kand. och PUL-konsult PUL-Akademin 08-446 5100 lotta@pulakademin.se www.alltompul.se www.draftit.se www.moretime.se Dagens agenda Kort om den nya dataskyddsförordningen Grundläggande

Läs mer

och juridik = sant Johan Bålman E-delegationen

och juridik = sant Johan Bålman E-delegationen Sociala medier och juridik = sant Johan Bålman -delegationen Myndigheterna medverkar på olika nivåer Delegationen beslutar generaldirektörerna Arbetsgruppen bereder IT-chefer Projektgrupper Kanalstrategi,

Läs mer

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning Kommunstyrelsen Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning INNEHÅLLSFÖRTECKNING REGLER OCH RUTIN FÖR BEHANDLING AV PERSONUPPGIFTER... 3 Inledning... 3 Personuppgiftslagens

Läs mer

http://62.95.69.15/cgi-bin/thw?%24%7bhtml%7d=sfst_lst&%24...

http://62.95.69.15/cgi-bin/thw?%24%7bhtml%7d=sfst_lst&%24... 1 av 15 2007-10-26 18:01 Databas: SFST Ny sökning Sökresultat Föregående Nästa Post 1 av 1 i SFST Länk till register Observera att det kan förekomma fel i författningstexterna. Bilagor till författningarna

Läs mer

Sekretess, tystnadsplikt, anmälningsskyldighet mm Granskad av: Fastställd av: Fastställd datum: Reviderad datum: Socialförvaltningens ledningsgrupp

Sekretess, tystnadsplikt, anmälningsskyldighet mm Granskad av: Fastställd av: Fastställd datum: Reviderad datum: Socialförvaltningens ledningsgrupp Socialförvaltningens ledningssystem Dokumenttyp: Information Titel: Sekretess, tystnadsplikt, anmälningsskyldighet mm Granskad av: Fastställd av: Fastställd datum: Reviderad datum: Socialförvaltningens

Läs mer

Information om offentlighet och sekretess

Information om offentlighet och sekretess Information om offentlighet och sekretess MARS 2015 1. Inledning I det följande lämnas information om offentlighet och sekretess som berör alla anställda i Riksbanken. Alla anställda bör känna till vissa

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datum Dnr 2008-06-23 473-2008 Stadsdelsnämnden Södra Innerstaden, Malmö stad Box 7070 200 42 Malmö samt via e-post och fax sodrainnerstaden@malmo.se 040-346460 Beslut efter tillsyn enligt personuppgiftslagen

Läs mer

Regler för hantering av e-post

Regler för hantering av e-post 2008-09-30 1 (7) Kommunledningskontoret Antagen av kommunstyrelsen 186, 2008-11-11 Regler för hantering av e-post Rätten att ta del av allmänna handlingar är grundläggande i den kommunala verksamheten.

Läs mer

Information om hantering av allmänna handlingar och rekommendationer avseende hantering av post och e-post vid Högskolan i Borås

Information om hantering av allmänna handlingar och rekommendationer avseende hantering av post och e-post vid Högskolan i Borås HÖGSKOLAN I BORÅS Enheten Verksamhetsstöd, stab Åsa Dryselius, jurist 2014-07-01 Dnr 516-07-10 Information om hantering av allmänna handlingar och rekommendationer avseende hantering av post och e-post

Läs mer

Policy för hantering av personuppgifter

Policy för hantering av personuppgifter Policy för hantering av personuppgifter Dokumenttyp: Policy Beslutad av: Kommunstyrelsen Gäller för: Varbergs kommun Dokumentnamn: Policy för hantering av personuppgifter Beslutsdatum: 2013-10-15 Dokumentansvarig

Läs mer

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter STYRDOKUMENT DATUM 2013-08-26 1(6) Instruktion för behandling av personuppgifter i Älvsbyns kommun Detta dokument ersätter; barn- och utbildningsnämndens instruktion (Bun 33 2002-06-11), fritids- och kulturnämndens

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09- 09 810-2008 Utbildningsnämnden i Skövde kommun 541 83 SKÖVDE Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att

Läs mer

Datainspektionens beslut

Datainspektionens beslut Beslut 2007-12-20 D n r 998-2007 Datainspektionen Er beteckning 41791-2007 Försäkringskassan 103 51 Stockholm Beslut efter tillsyn enligt personuppgiftsiagen (1998:204) Datainspektionens beslut 1. Rutiner

Läs mer

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen Datainspektionen informerar 1 Dina rättigheter enligt personuppgiftslagen Innehåll Inledning... 4 Fakta om PuL... 5 Så här kan du få rättelse... 6 Rätten till registerutdrag... 6 Möjligheten att själv

Läs mer

Publicering på Internet

Publicering på Internet Publicering på Internet I personuppgiftslagen (PuL) finns inga särskilda regler för publicering på Internet. Personuppgiftslagens generella regler för behandling av personuppgifter gäller även när man

Läs mer

Behandling av personuppgifter

Behandling av personuppgifter Behandling av personuppgifter Justitiedepartemenet Tryck: Norstedts Tryckeri 1998. Upplaga: 5000 ex. 0101010101010101010101010101010101 1010101010101010101010101010101010 0101010101010101010101010101010101

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst Beslut Diarienr 1 (7) 2016-05-10 120-2016 Er referens JR 21/2016 TeliaSonera Sverige AB 123 86 Farsta Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst Datainspektionens

Läs mer

OFFENTLIGHET OCH SEKRETESS

OFFENTLIGHET OCH SEKRETESS OFFENTLIGHET OCH SEKRETESS Björn Jennbacken Offentlighetsprincipen HISTORIK Sverige föregångsland, År 1766 fick vi vår första TF SYFTE Främja rättssäkerheten Främja effektiviteten i folkstyret Främja effektiviteten

Läs mer

LAGEN.NU. Lag (2003:763) om behandling av personuppgifter inom socialförsäkrin... administration. Nyheter Lagar Domar Begrepp

LAGEN.NU. Lag (2003:763) om behandling av personuppgifter inom socialförsäkrin... administration. Nyheter Lagar Domar Begrepp 1 of 11 27/09/2010 13:03 LAGEN.NU Nyheter Lagar Domar Begrepp Lag (2003:763) om behandling av personuppgifter inom socialförsäkringens administration Departement Socialdepartementet Utfärdad 2003-11-13

Läs mer

Riktlinjer för sociala medier vid Försvarshögskolan

Riktlinjer för sociala medier vid Försvarshögskolan Riktlinjer 1 (7) 2011-09-21 Riktlinjer för sociala medier vid Försvarshögskolan 1 Riktlinjer i korthet 1.1 Riktlinjer för medarbetare vid Försvarshögskolan i allmänhet Medarbetare vid Försvarshögskolan

Läs mer

Användandet av E-faktura inom den Summariska processen

Användandet av E-faktura inom den Summariska processen 1(7) Användandet av E-faktura inom den Summariska processen Kronofogdemyndigheten fastställer att den bedömning som det redogörs för i bifogade rättsliga promemoria under rubriken Kronofogdemyndighetens

Läs mer