DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som är forskare

Transkript

1 DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som är forskare

2

3 VAD ÄR GDPR? Dataskyddsförordningen (GDPR - The General Data Protection Regulation) är EU-förordning som gäller som svensk lag. Lagen trädde i kraft den 25 maj Lagen är till för att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Samma lag gäller inom hela EU.

4 DATASKYDDSFÖRORDNINGEN (GDPR) EU-nivå Dataskyddslagen Registerförfattningar Nationell nivå I Sverige kompletteras dataskyddsförordningen av den kompletterande dataskyddslagen. Till skillnad från personuppgiftslagen är dataskyddslagen inte heltäckande utan reglerar bara de frågor där dataskyddsförordningen medger kompletterande nationell reglering.

5 NÄR GÄLLER GDPR? GDPR gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg (alltid om uppgifterna finns i datorn). GDPR gäller också helt manuell behandling av personuppgifter om personuppgifterna ingår eller är avsedda att ingå i ett register som är sökbart enligt särskilda kriterier (ibland om uppgifterna finns på papper)

6 VAD HÄNDER OM MAN INTE FÖLJER GDPR? Datainspektionens verktyg o Tillsyn, föreläggande, varning och reprimand o Administrativa sanktionsavgifter För mindre allvarliga överträdelser ska avgiften för myndigheter uppgå till högst 5 miljoner kronor och för allvarligare överträdelser till högst 10 miljoner kronor. Den registrerades egna möjligheter o Lämna in klagomål till Datainspektionen o Begära skadestånd Allmänhetens förtroende för universitetet och vår verksamhet skadas.

7 PERSONUPPGIFTER Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade) Avgörande är om uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Exempel - personnummer, namn, e-postadress, IP-nummer och cookies, bilder och ljudupptagningar, inlägg på sociala medier, inloggningsuppgifter, telefonnummer, adresser m.m. Information som har kodats, krypterats eller pseudonymiserats men som kan hänföras till en fysisk person med hjälp av kompletterande uppgifter är personuppgifter. Helt anonymiserade personuppgifter inte personuppgifter

8 VAD ÄR BEHANDLING AV PERSONUPPGIFTER? Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel: insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

9 PERSONUPPGIFTSANSVARIG En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter För den verksamhet som bedrivs inom universitetet är det Umeå universitet som är personuppgiftsansvarig och som har det yttersta ansvaret för all behandling av personuppgifter som sker inom ramen för verksamheten. Samtliga anställda är inom ramen för sin anställning skyldiga att följa de regler och rutiner som arbetsgivaren ställer. Detta gäller även behandling av personuppgifter. För vissa anställda, som exv forskare med ansvar för ett forskningsprojekt som behandlar känsliga personuppgifter eller systemägare är detta ansvar än större.

10 GEMENSAMT PERSONUPPGIFTSANSVAR I samarbetsprojekt är många gånger samtliga parter ansvariga för sin egen behandling av personuppgifter i det gemensamma projektet. Även om man inte kan avtala om vem som ska ha personuppgiftsansvaret är det lämpligt att i samarbetsavtal klargöra hos vem eller vilka av samarbetspartnerna personuppgiftsansvar ligger. Om det finns ett gemensamt personuppgiftsansvar (dvs alla samarbetspartners ansvarar för allas personuppgiftsbehandlingar, sk solidariskt ansvar) ska det klargöras i samarbetsavtalet vem som har respektive ansvar för att fullgöra skyldigheterna enligt GDPR.

11 PERSONUPPGIFTSBITRÄDE En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning Exempelvis ett företag som tillhandahåller en molntjänst, ett analysföretag, ett rekryteringsföretag Ett personuppgiftsbiträde får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvarige. Den personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett så ett så kallat personuppgiftsbiträdesavtal (PUBA). Om personuppgiftsbiträdet i sin tur vill anlita ett personuppgiftsbiträde kallas denna för underbiträde. Underbiträdet måste godkännas av den personuppgiftsansvarige och PUBA ska ingås mellan biträdet och underbiträdet.

12 RÄTTSLIG GRUND FÖR BEHANDLING Utan en rättslig grund är personuppgiftsbehandlingen inte laglig. Det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter. Myndigheter bör därför endast behandla personuppgifter med stöd av lag. De lagliga grunder vi normalt åberopar: Allmänt intresse (det ska finnas stöd i lag eller annan författning, kollektivavtal eller beslut som har meddelats med stöd av lag eller annan författning, ex vis högskolelagen) Myndighetsutövning Rättslig förpliktelse Avtal

13 SAMTYCKE SOM RÄTTSLIG GRUND ENLIGT GDPR Samtycke är också en rättslig grund för att personuppgiftsbehandlingen ska vara laglig enligt GDPR. Kan man stödja sin personuppgiftsbehandling på någon av de andra fem rättsliga grunderna, så får man inte dessutom inhämta samtycke. Samtycke kan inte användas som rättslig grund när det råder betydande ojämlikhet mellan den registrerade och personuppgiftsansvarige. En sådant ojämlikt förhållande kan vara särskilt vanligt mellan offentliga myndigheter och enskilda registrerade. Endast undantagsvis bör Umeå universitet åberopa samtycke som rättlig grund. Samtycke ex vis vid externa kontakter, anhöriguppgifter, studentarbeten

14 SAMTYCKE VID FORSKNING Vid forskning som 1.innebär ett fysiskt ingrepp på en forskningsperson, 2.utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt, 3.avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa, ska, enligt lag ( ) om etikprövning av forskning som avser människor, information lämnas till forskningspersonen och får bara utföras om forskningspersonen samtyckt till forskningen. Samtycke från de registrerade som rättlig grund enligt GDPR ska inte inhämtas den rättsliga grunden för personuppgiftsbehandlingen enligt GDPR är allmänt intresse.

15 KÄNSLIGA PERSONUPPGIFTER (SÄRSKILDA KATEGORIER AV PERSONUPPGIFTER) Huvudregeln är att det är förbjudet att behandla känsliga personuppgifter, men det finns en rad undantag. Man måste alltså hitta ett undantag som gäller om man vill behandla känsliga personuppgifter. etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter, biometriska uppgifter som entydigt identifierar en person Undantag ex vis: behandlingen krävs enligt lag, behandlingen är nödvändig för handläggningen av ett ärende, behandlingen är nödvändigt för att följa arkivföreskrifter behandlingen är nödvändig för forskning dock krävs etikprövning.

16 SÄRSKILT INTEGRITETSKÄNSLIGA PERSONUPPGIFTER Det finns många andra typer av personuppgifter som är särskilt skyddsvärda men som inte är känsliga personuppgifter. Det kan till exempel vara löneuppgifter uppgifter om lagöverträdelser värderande uppgifter, till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler information som rör någons privata sfär uppgifter om sociala förhållanden Tänk på att integritetskänsliga uppgifter kan kräva att man har en högre säkerhetsnivå än för mer harmlösa personuppgifter har betydelse för riskbedömningen när man gör konsekvensanalys kan vara avgörande för om man måste rapportera en personuppgiftsincident.

17 PERSONNUMMER Ett personnummer anses vara en extra skyddsvärd personuppgift. Datainspektionen anser därför att personnummer bör exponeras så lite som möjligt. Personnummer ska inte finnas på adressetiketter, i kuvertfönster eller i försändelser som sänds utan kuvert så att de är synliga för vem som helst. Undvik att skicka med e-post. Huvudregel: behandla bara personnummer om det är klart motiverat.

18 GRUNDLÄGGANDE PRINCIPER Laglighet, korrekthet och öppenhet: det ska finnas en rättslig grund, behandlingen ska vara rättvis, skälig, rimlig och proportionerlig, de registrerade ska informeras om hur deras personuppgifter behandlas. Ändamålsbegränsning: man får bara samla in och behandla personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Uppgiftsminimering: man får inte behandla fler personuppgifter än vad som behövs för ändamålen Riktighet: Uppgifterna ska vara korrekta, annars ska de rättas eller raderas. Lagringsminimering: personuppgifterna ska radera när de inte längre behövs (obs! vi har dock arkivskyldighet) Integritet och konfidentialitet: personuppgifterna ska skyddas, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs

19 ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND? Överföring av personuppgifter till tredje land är när personuppgifter blir tillgängliga för någon i ett land utanför EU/EES-området. Det är tillåtet i vissa fall, men reglerna är strikta. Dataskyddsförordningen innehåller därför regler om under vilka förutsättningar det är tillåtet att föra över personuppgifter till länder utanför EU/EES. Se Kontakta universitets jurister på pulo@umu.se för hjälp med dessa frågor. Exempel När ni skickar personuppgifter till samarbetspart i tredjeland När ni anlitar ett personuppgiftbiträde i ett land utanför EU/EES. När ni lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES. När ni lagrar personuppgifter, till exempel på en server, i ett land utanför EU/EES.

20 REGISTRERADES RÄTTIGHETER Den registrerade har rätt att få information när hans eller hennes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige i samband med att uppgifterna samlas in från den registrerade (inte i efterhand med andra ord). Information (checklista för hur information ska lämnas finns på etsforvaltningen/universitetsledningens- kansli/juridik/checklista-information-till-registrerad pdf/ Det finns undantag från huvudregeln om att informera den registrerade när personuppgifterna hämtas in från andra källor än de registrerade själv.

21 REGISTRERADES RÄTTIGHETER Om en registrerad kommer in med en begäran om registerutdrag, att bli glömd, raderad m.m. se instruktion på Aurora Begäran från den registrerade om att få registerutdrag, att bli glömd, raderad är inte samma sak som en begäran om utlämnande av allmän handling.

22 OFFENTLIGHETSPRINCIPEN OCH ARKIVSKYLDIGHET Dataskyddsförordningen hindrar inte myndigheter att lämna ut allmänna handlingar enligt offentlighetsprincipen. Allmänna handlingar som innehåller personuppgifter bör lämnas ut i pappersform. Dataskyddsförordningen hindar inte myndigheter att arkivera handlingar som innehåller personuppgifter i det fall vi har en skyldighet enligt lag att arkivera handlingarna.

23 PERSONUPPGIFTER I ANSTÄLLDAS DATORER Det finns troligen personuppgifter i era arbetsdatorer. Dataskyddsförordningen (GDPR) gäller för dessa uppgifter också. Så långt det går bör personuppgifter hanteras i gemensamma system med behörighetsstyrning.

24 E-POST Innehåller alltid personuppgifter Används i vår verksamhet med de lagliga grunder vi stödjer oss på där E-post ett särskilt utsatt färdmedel : flytta epost till andra system/diarieför, arbeta inte i e-posten känsliga personuppgifter; undvik eller kryptera personnummer; undvik eller kryptera

25 E-POST Sprid inte i onödan, skicka inte adresser synligt utom organisationen Informera de behandlade - Länka i din signatur till vår hemsida: Undvik att använda din e-post vid UmU för privat e-post eller e-post du skickar i inom ramen för någon annan roll du har, exempelvis som facklig företrädare.

26 ANMÄLAN OM BEHANDLING Universitetet måste ha kontroll över de personuppgiftsbehandlingar vi är ansvariga för och vi ska kunna visa att vi har kontroll. Det finns därför krav på att myndigheten ska föra register över var och hur personuppgiftsbehandling sker - anmäl era behandlingar dataskyddsombudet om inte en generell anmälan finns Det finns också krav på myndigheten att föra register över när UmU är personuppgiftsbiträde anmäl era behandlingar som personuppgiftsbiträden till dataskyddsombudet. Avanmäl behandlingen när den upphör.

27 VILKA BEHANDLINGAR MÅSTE JAG ANMÄLA? Forskning varje forskningsprojekt där personuppgifter behandlas måste anmälas av ansvarig forskare Utbildning central generell anmälan av förutsägbar behandling It-system varje systemägare ansvarar för att anmälan sker Administration/myndighetsärenden central generell anmälan av förutsägbar behandling Personuppgiftsbiträde varje biträdesförhållande ska anmälas av ansvarig för avtalsförhållandet Umu använder sig av Draft-It som registersystem. Begär att få länk till anmälan via och ange vilken kategori av behandling det är fråga om. Studentarbeten anmäls på institutionsnivå

28 VAD BEHÖVER EN FORSKARE TÄNKA PÅ KRING SÄKERHET? VÄRDERA! Värdera informationen! Titta på forskningsdata kontra forskningsresultat. Vad blir konsekvenserna? Vad händer om forskningsdata läcker ut? Kan materialet anses vara publicerat och allmän kunskap? Vad händer om data förvanskas, förstörs eller inte längre är tillgängligt? Vikta utifrån: Konfidentialitet Riktighet Tillgänglighet Vilka lagar styr? Värderingen sätter säkerhetsnivån oftast behöver forskningsdata en högre skyddsnivå!

29 VAD BEHÖVER EN FORSKARE TÄNKA PÅ KRING SÄKERHET? RISKER? Gör riskanalys titta på hot och sårbarheter Förutspå vad som kan hända och försök minimera oönskade händelser!

30 VAD BEHÖVER EN FORSKARE TÄNKA PÅ KRING SÄKERHET? SKYDDSÅTGÄRDER! Behörighetstilldelning är viktigt! med en godkännandeprocess Starkare kontroll av behörig användare genom 2-faktorsautentisering Loggning behövs - värdet på forskningsdatat styr nivån på loggningen All kommunikation bör vara krypterad, överväg om informationen i sig behöver krypteras. Datalivscykelhantering Planera för lagring, gallring, arkivering och förstöring tänk på kommande kostnader Backuper återskapande av information kontra redundans hur länge kan ni vara utan forskningsdata? Välj lösningar som är mer isolerade från andra system och mindre exponerad mot internet.

31 INCIDENTRAPPORTERING Personuppgiftsincident är en säkerhetsincident som kan innebära risker för den registrerade uppgifterna förstörs eller kommer i orätta händer vilket kan leda till ID-stöld, bedrägeri, ekonomisk förlust, sekretessbrott m.m. Misstänker du att det har skett en personuppgiftsincident vänder du dig till IRT (Incident Response Team). IRT når du på abuse@umu.se. Dataskyddsombudet gör anmälan till datainspektionen.

32 MER INFORMATION etsforvaltningen/universitetsledningens-kansli/juridik/gdpr- informations-och-utbildningsmaterial-umu ver pdf