Riktlinjer för arbete med personuppgifter vid GIH

Transkript

1 Styrdokument Diarienummer: /12 Beslutat av: Rektor Beslutsdatum: Giltighetstid: Tills vidare Riktlinjer för arbete med personuppgifter vid GIH Gymnastik- och idrottshögskolan Lidingövägen 1 Box Stockholm Tel Orgnr info@gih.se

2 INNEHÅLLSFÖRTECKNING Riktlinjer för arbete med personuppgifter i forskningen... 3 Bakgrund... 3 Organisation... 3 Riktlinjer vid arbete med personuppgifter i forskningen... 4 Anmälan av personuppgifter enligt PUL Förteckning över behandlingar av personuppgifter enligt PUL 36 och Registerutdrag enligt PUL Länkar... 5 Personuppgiftslagen... 6 Personuppgifter... 6 Känsliga personuppgifter... 6 Personuppgiftsansvarig... 7 Personuppgiftsombud... 7 Personuppgiftsbiträde... 7 Samtycke och information till de registrerade... 7 Registerutdrag... 8 Förhandskontroll... 8 Säkerhet vid behandling av personuppgifter... 8 Överföring av personuppgifter till tredje land... 8 Etikprövningslagen... 9 Ansökan... 9 Datainspektionens roll... 9 Informationssäkerhet Gymnastik- och idrottshögskolan Lidingövägen 1 Box Stockholm Tel Orgnr info@gih.se

3 RIKTLINJER FÖR ARBETE MED PERSONUPPGIFTER I FORSKNINGEN Bakgrund Inom ramarna för verksamheten vid GIH behandlas personuppgifter i olika sammanhang t.ex. inom forskningen. Det finns flera olika lagar och regelverk som måste följas när man behandlar personuppgifter inom forskningen. Personuppgiftslagen (PuL) har som syfte att skydda människor mot att deras integritet kränks när personuppgifter behandlas och etikprövningslagen avser forskning på människor. Därutöver kan även regler om sekretess och tystnadsplikt bli aktuella när det gäller viss typ av forskning och/eller uppgifter. Med anledning av ovanstående har dessa riktlinjer avseende organisation och rutiner i samband med upprättande av förteckningar över personuppgifter och registerutdrag enligt nedan tagits fram. Bifogat finns även en kort sammanfattning över PuL och etikprövningslagen. Organisation Personuppgiftsansvarig Gymnastik- och idrottshögskolan är personuppgiftsansvarig avseende all personuppgiftsbehandling inom högskolan. Personuppgiftsombud Vid GIH finns ett personuppgiftsombud som är anmält till Datainspektionen (Dnr /12). Personuppgiftsombudets uppgifter är att: se till att personuppgifter behandlas på ett korrekt och lagligt sätt inom myndigheten ge råd och anvisningar som rör tillämpningen av PuL samråda med Datainspektionen se till att förteckningar över behandlingar av personuppgifter förs vid myndigheten fungera som kontaktperson för de registrerade och hjälpa de registrerade att få rättelse ingripa vid felaktig behandling av personuppgifter Medhjälpare Fysisk person som behandlar personuppgifter under personuppgiftsansvariges ledning inom organisationen, t.ex. en anställd forskare. Personuppgiftsbiträde Personuppgiftsbiträde är den som behandlat personuppgifter för den personuppgiftsansvariges räkning utanför organisationen (t.ex. ett labb som utför laboratorietester på materialet, eller en servicebyrå som tillhandahåller serverutrymme för lagring av data). Den registrerade Fysisk person som en personuppgift avser. Gymnastik- och idrottshögskolan Lidingövägen 1 Box Stockholm Tel Orgnr info@gih.se

4 4(10) Riktlinjer vid arbete med personuppgifter i forskningen Kontrollera att arbetet är förenligt med lagar och förordningar Informerat och skriftligt samtycke från de registrerade ska föregå all dataregistrering som innehåller personuppgifter Forskning som avser människor ska etikprövas Vid behandling av genetiska data ska anmälan om förhandsprövning göras hos Datainspektionen senast tre veckor innan insamlandet påbörjas Datainspektionens och GIH:s egna anvisningar för datasäkerhet ska beaktas Känsliga uppgifter ska alltid krypteras Ett biträdesavtal ska upprättas när en annan organisation anlitas för att bearbeta uppgifter eller när registren läggs på datorer tillhörig någon annan Anmälan av personuppgifter enligt PUL 36 Enligt PuL ska all behandling av personuppgifter generellt anmälas till Datainspektionen, men den personuppgiftsansvarig som utser ett personuppgiftsombud slipper skyldigheten att anmäla viss behandling av personuppgifter till Datainspektionen. All behandling av personuppgifter för forsknings-, statistik- och administrativt ändamål där samtycke inhämtas eller där annat särskilt lagstöd gäller ska anmälas till GIH:s personuppgiftsombud. Om aktuellt ska nedanstående beslut bifogas anmälan till personuppgiftsombudet enligt följande: Beslut från den Regionala etikprövningsnämnden. Vid behandling av personuppgift för forsknings- och statistikändamål, innehållande känsliga personuppgifter där samtycke inte inhämtats och behandlingen godkänts av en Regional etikprövningsnämnd. Beslut från Datainspektionen. Vid behandling av personuppgift för forskningsoch statistikändamål, innehållande känsliga personuppgifter där samtycke inte inhämtats och där ansökan inte skall behandlas av Regional etikprövningsnämnd, skall anmälas till Datainspektionen för en förhandskontroll. Beslut från Datainspektionen. Vid behandling av personuppgifter där genetiska anlag kan framkomma skall behandlingen anmälas till Datainspektionen för en förhandskontroll. Avanmälan När en behandling av personuppgifter är avslutad skall dessa normalt avidentifieras. Ta kontakt med personuppgiftsombudet för vidare åtgärd. Förteckning över behandlingar av personuppgifter enligt PUL 36 och 39 GIH:s personuppgiftsombud ska enligt PuL 39 ansvara för att upprätthålla en förteckning över de behandlingar av personuppgifter som äger rum vid universitetet och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Som underlag till denna förteckning ska uppgifter lämnas till personuppgiftsombudet på särskild blankett.

5 5(10) Registerutdrag enligt PUL 26 Den registrerade har rätt till ett gratis registerutdrag en gång per år efter skriftlig signerad ansökan till personuppgiftsombudet. Den skriftliga ansökan fungerar som ett kvitto på att den registrerade själv signerat en begäran om detta. Registerutdraget skall vara skriftligt och innehålla information om vilka av den registrerades personuppgifter som har behandlas, varifrån dessa uppgifter har hämtats, vilka ändamålen med behandlingen är och till vilka mottagare som uppgifterna lämnas ut. Information om personuppgifter i löpande text behöver inte lämnas ut. Informationen skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får informationen dock lämnas senast fyra månader efter ansökan. Som exempel på särskilda skäl kan nämnas att personuppgifterna är krypterade, att sökmöjligheterna är begränsade eller att det rör sig om många uppgifter som är uppdelade på flera olika register eller databaser. Det efterfrågade registerutdraget skall skickas via posten till folkbokföringsadressen för att minimeras risken att registerutdraget kommer till fel person. Länkar

6 Bilaga 1 PERSONUPPGIFTSLAGEN Nedanstående text är endast en sammanfattning av innehållet i personuppgiftslagen och personuppgiftsförordningen. Se personuppgiftslagen (länk till lagtexten) och personuppgiftsförordningen (länk till lagtexten) för att se texterna i sin helhet. Personuppgiftslagen (PuL) trädde i kraft 1998 och bygger på gemensamma regler, det så kallade dataskyddsdirektivet som har beslutats inom EU. Övriga EU-länder har liknande lagar vilket underlättar flödet av information inom EU. Personuppgiftslagen är subsidär, dvs. träder åt sidan i förhållande till annan lagstiftning. Det betyder att PuL:s bestämmelser inte gäller i den utsträckningen bestämmelserna strider mot bestämmelser i andra lagar, t.ex. tryck- och yttrandefrihetslagen, patientdatalagen, arkivlagen eller sekretesslagen. Personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. PuL omfattar i princip all behandling av personuppgifter. Begreppet "behandlas" är brett och omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera. I personuppgiftslagen finns regler för hur personuppgifter får behandlas och lagen bygger i hög grad på samtycke och information till de registrerade. PuL gäller när den personuppgiftsansvarige (se definition nedan) är etablerad i Sverige eller då den personuppgiftsansvarige är etablerad i tredje land men där utrustningen som används för behandlingen av personuppgifter finns i Sverige. PuL gäller både vid automatiserad behandling och vid manuell behandling. Personuppgifter Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgifter är således inte bara namn, ID-nummer och personnummer, utan även t.ex. DNA, ägande, längd, kön, levnadsvanor, medlemskap och adress. Detta gäller även om det finns en kodnyckel i eller utanför den egna organisationen. Känsliga personuppgifter Enligt PuL 13 är det förbjudet att behandla personuppgifter som avslöjar: ras eller etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i fackförening hälsa eller sexualliv Dessa känsliga personuppgifter är det som huvudregel förbjudet att behandla, men det finns undantag. Ett av dessa undantag är forskning och statistik (19 PuL). Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. "Känsliga personuppgifter får behandlas för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära." Gymnastik- och idrottshögskolan Lidingövägen 1 Box Stockholm Tel Orgnr info@gih.se

7 7(10) Undantaget för forskning i 19 PuL innebär att det under viss förutsättning är tillåtet att behandla personuppgifter utan samtycke. Personuppgiftsansvarig Personuppgiftsansvarig, dvs. högskolan, är den som bestämmer ändamålen med och medlen för behandlingen (PuL 3 ). Det är den personuppgiftsansvariga som skall se till att personuppgifter bara behandlas på ett lagligt sätt. Det innebär bl.a. att personuppgifter: bara får behandlas för ett särskilt och uttryckligt angivet ändamål, är riktiga och inte fler än som behövs och inte bevaras längre än nödvändigt Det är också den personuppgiftsansvarigas ansvar att se till att information och samtycke till registreringen ges i de fall det är nödvändigt. Personuppgiftsombud Enligt PuL ska all behandling av personuppgifter generellt anmälas till Datainspektionen. Personuppgiftsansvarig som utser ett personuppgiftsombud slipper skyldigheten att anmäla viss behandlingar av personuppgifter till Datainspektionen och minskar därigenom sin administration. Ett personuppgiftsombud är en fysisk person som ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt inom den egna organisationen. Ansvaret ligger dock kvar hos personuppgiftsansvarig. Personuppgiftsombudet fungerar även som kontaktperson för de registrerade. Om ett personuppgiftsombud är utsett måste det anges i deltagarinformationen. Personuppgiftsbiträde Personuppgiftsbiträde är den som behandlat personuppgifter för den personuppgiftsansvariges räkning utanför organisationen (t.ex. ett labb som utför laboratorietester på materialet, eller en servicebyrå som tillhandahåller serverutrymme för lagring av data). Observera att det alltid ska upprättas ett skriftligt biträdesavtal och att ansvaret för personuppgifterna alltid vilar på den personuppgiftsansvarige. Skyddet för personuppgifterna ska inte bli sämre bara för att man väljer att anlita ett personuppgiftsbiträde. Samtycke och information till de registrerade Tillåten behandling av personuppgifter kräver ett samtycke och samtycket ska enligt PuL vara frivilligt, särskilt, otvetydigt, individuellt, informerat och skriftligt. Det finns grundläggande forskningsetiska krav på hur informerat samtycke skall ske och vad informationen skall innefatta på datainspektionens hemsida ( ). Samtycket kan alltid återkallas. Vid återkallning av samtycke kan redan erhållna resultat användas, men inga nya analyser får göras. För barn under ca 15 år ska båda vårdnadshavarnas samtycke inhämtas. Åldersgränsen är en godtycklig bedömning av när ett barn själv kan anses klara av att göra en adekvat bedömning av vad det innebär att låta sina personuppgifter behandlas av t.ex. forskare. Ansvaret att informera barnen ligger på föräldrarna. Ett barn kan från ca 12 års ålder dra tillbaka sina föräldrars samtycke (även här gäller en godtycklig bedömning av åldern).

8 8(10) Registerutdrag Den registrerade har rätt till ett gratis registerutdrag en gång per år efter skriftlig ansökan till personuppgiftsansvarig. Den skriftliga signerade ansökan fungerar som ett kvitto på att den registrerade själv signerat en begäran om detta. Genom att skicka efterfrågat registerutdrag via posten till folkbokföringsadressen minimeras risken att registerutdraget kommer till fel person. Den registrerade har rätt att få felaktiga uppgifter rättade. Vid oenighet kan den registrerade anmäla ärendet till Datainspektionen. Förhandskontroll Vid behandling av personuppgifter där genetiska anlag kan framkomma, t.ex. efter en genetisk undersökning, ska alltid en anmälan om förhandskontroll göras till Datainspektionen senast tre veckor innan planerad start. Förhandskontrollen innebär att Datainspektionen gör en bedömning av om den planerade behandlingen är förenlig med gällande lagstiftning. Blankett finns på datainspektionens hemsida ( Säkerhet vid behandling av personuppgifter 30 Personer som behandlar personuppgifter och 31 Säkerhetsåtgärder i PuL reglerar säkerheten vid behandling av personuppgifter. I 31 PuL står att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Med lämplig säkerhetsnivå menas, en säkerhet som med beaktande av samtliga omständigheter får anses tillräcklig. Det skall finnas en balans mellan nedlagda kostnader och ansträngningarna i relation till allvarlighetsgraden av de behandlade personuppgifterna. När det gäller fysisk säkerhet är det viktigt att se på tillträdeskontroll och skydd av utrustningen. Det bör upprättas rutiner för t.ex. mobila enheter och flyttbara lagringsmedia samt för autentisering, datakommunikation, säkerhetskopiering (externa nätverk, internet), utplåning, reparation och service (avtal med extern part om tystnadsplikt/sekretess) och skydd mot skadliga program. Vid anlitande av utomstående personuppgiftsbiträde för uppdrag som utgör behandling av personuppgifter, skall det finnas ett skriftligt avtal (personuppgiftsbiträdesavtal) som särskilt reglerar säkerhetsfrågorna. Det är dock alltid högskolan som har det slutgiltiga ansvaret och därtill det rättsliga ansvaret gentemot den registrerade. Känsliga uppgifter bör som regel alltid krypteras. Se informationsbladet Säkerhet för personuppgifter på datainspektionens hemsida för ytterligare information. Överföring av personuppgifter till tredje land Det finns ett generellt förbud mot att föra över personuppgifter som är under behandling till ett tredje land, d.v.s. ett land utanför EU och EES. Men om det finns en adekvat skyddsnivå i det tredje landet, samtycke från den registrerade eller vid särskilda situationer, avtal, rättsliga anspråk, vitala intressen finns det möjlighet att överföra personuppgifter till tredje land.

9 9(10) ETIKPRÖVNINGSLAGEN Nedanstående text är endast en sammanfattning av innehållet i de lagar och förordningar som styr etikprövning av forskning som avser människor. Se Lagen om etikprövning av forskning som avser människor (länk till lagtexten) och Förordning om etikprövning av forskning som avser människor (länk till lagtexten) för att se texterna i sin helhet. Från den 1 januari 2004 finns en lag om etikprövning av forskning som avser människor (etikprövningslagen, EPL). Den omfattar forskning på levande personer, men också forskning på avlidna och på biologiskt material från människor samt forskning som innebär hantering av känsliga personuppgifter. EPL gäller för forskning som: Innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott m.m. (3 EPL) innebär ett fysiskt ingrepp på en forskningsperson (4 1. EPL) utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt (4 2. EPL) avser studier på biologiskt material från en levande människa och kan härledas till denna människa (4 3. EPL) innebär ett fysiskt ingrepp på en avliden människa (4 4. EPL) avser studier på biologiskt material som tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa (4 5. EPL) Forskning som omfattas av EPL får endast utföras om den har godkänts vid etikprövning. Forskningen måste påbörjas inom två år från det att beslutet vunnit laga kraft, därefter upphör godkännandet. Ansökan Ansökan om etikprövning ska göras av forskningshuvudmannen (23 EPL). Forskningshuvudman är en statlig myndighet (t.ex. GIH) eller en fysisk eller juridisk person i vars verksamhet forskningen utförs. För hjälp att skriva en ansökan och blanketter, se Forskning förutsätter att det finns ett vetenskapligt syfte, dvs. en vetenskapligt relevant frågeställning som avses belysas på ett systematiskt sätt eller med vetenskapliga metoder. I vissa fall krävs dessutom en avsikt att göra resultaten tillgängliga. Studentarbeten behöver inte etikprövas förutsatt att de inte ska publiceras i vetenskaplig tidskrift eller användas i avhandling. Det går att få en studie etikprövad i efterhand i det fall studenten som vill använda sin uppsats för publikation eller i avhandling. Avslagen ansökan kan överklagas till Centrala etikprövningsnämnden av forskningshuvudmannen. DATAINSPEKTIONENS ROLL Datainspektionen är en tillsynsmyndighet som genom sin verksamhet ska bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet. Om Datainspektionen i sin tillsynsverksamhet finner att en personuppgiftsansvarig behandlar uppgifter i strid med lagen och organisationen inte ändrar sitt agerande efter påpekande har Datainspektionen möjlighet att sätta ut vite (böter). Andra

10 10(10) straffmöjligheter som finns är att den som registrerats kan få skadestånd vid felaktigheter i registren. INFORMATIONSSÄKERHET För GIH:s allmänna policy och riktlinjer gällande informationssäkerhet hänvisas till övriga styrdokument rörande informationssäkerhet. Kortfattat ska följande beaktas beträffande informationssäkerhet vid behandling av personuppgifter i forskningen. Åtkomstskydd: När datorutrustning och löstagbara datamedier inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall skall personuppgifterna krypteras. I bärbara datorer ska personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade. Säkerhetskopia Personuppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna skall förvaras avskilt och väl skyddade så att personuppgifterna kan återskapas efter en störning. Det är viktigt att det finns en rutin för test av återläsning. Behörighetskontroll Ett tekniskt system för behörighetskontroll ska styra åtkomsten till personuppgifterna. Behörigheten skall begränsas till de som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord skall vara personliga och får inte överlåtas på någon annan. Åtkomst till personuppgifter ska i efterhand kunna följas upp genom en maskinell logg eller liknande maskinellt underlag om datorn används av mer än en person. Av underlaget ska framgå vem som har haft åtkomst, tidpunkten för åtkomsten samt till vilken persons uppgifter åtkomsten har skett. Underlaget skall kontrolleras i erforderlig utsträckning. Datakommunikation Personuppgifter som överförs via datorkommunikation (t.ex. E-post) ska skyddas med kryptering. Utplåning När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre ska användas för sitt ändamål ska lagringsmedierna förstöras. Alternativt ska personuppgifterna raderas på sådant sätt att de inte kan återskapas. Reparation och service Vid servicebesök ska lagringsmedier som innehåller personuppgifter avlägsnas. Är detta inte möjligt ska servicen ske under medhjälparen/personuppgiftsbiträdets överinseende. Service via datakommunikation får endast ske efter säker identifiering av den som utför servicen. Servicepersonal skall ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service ska den vara stängd när service inte pågår.