Regler för behandling av personuppgifter vid Högskolan Dalarna

Transkript

1 Regler för behandling av personuppgifter vid Högskolan Dalarna Beslut: Rektor Reviderad: - Dnr: DUC 2015/1924/10 Ersätter: Tillämpning av personuppgiftslagen (PUL) inom HDa, DUF 2001/1433/12 samt DUC 2003/106/19 Relaterade dokument: Informationssäkerhetspolicy DUC 2014/2174/10, Plan för informationssäkerhet DUC 2015/769/10 Ansvarig: Rektor

2 Innehåll Bakgrund... 3 Regelverk... 3 Personuppgift... 3 Behandling av personuppgift... 3 Strukturerade eller ostrukturerade personuppgifter... 3 Känsliga personuppgifter... 4 Personuppgifter i forskningen... 4 Personnummer... 4 Tredje land... 4 Information till registrerade... 4 Samtycke... 5 Registerutdrag... 5 Ansvar och roller... 5 Personuppgiftsansvarig... 5 Personuppgiftsombud... 5 Medhjälpare... 5 Personuppgiftsbiträde... 5 Interna regler för behandling av personuppgifter vid Högskolan Dalarna... 6 Organisation och säkerhet... 6 Anmälan... 6 Biträdesavtal... 6 Registerutdrag

3 Bakgrund Vid Högskolan Dalarna behandlas en stor mängd personuppgifter, även så kallade känsliga personuppgifter. Det kan t.ex. vara personuppgifter som rör studenter, anställda eller deltagare i ett forskningsprojekt. För att skydda människor mot att deras personliga integritet kränks vid behandling av personuppgifter finns i Sverige personuppgiftslagen (PuL). I detta styrdokument finns Högskolan Dalarnas lokala tillämpning av lagen och en beskrivning av ansvarfördelningen. Reglerna ersätter tidigare fastställda tillämpning (DUC 2003/106/19). Dokumentet omfattar inte rutiner för hanteringen av skyddade personuppgifter vid Högskolan Dalarna. Regelverk Nedan ges en sammanfattning av innehållet i PuL. För mer information se Datainspektionens webbsida, lagtexten eller kontakta personuppgiftsombudet. Personuppgift Med personuppgift avses all slags information som direkt eller indirekt kan kopplas till en fysisk person som är i livet, t.ex. namn, personnummer, adress, foto samt mer indirekta uppgifter som IP-adress eller fastighetsbeteckning. Även kodade eller krypterade uppgifter är personuppgifter så länge kod- eller krypteringsnyckeln finns kvar och det finns möjlighet att identifiera personer. Behandling av personuppgift Med behandling av personuppgifter avses all slags hantering av personuppgifter, oavsett om det sker manuellt eller automatiskt med hjälp av IT, t.ex. insamling, registrering, lagring, bearbetning, användande, utlämnande, spridning eller utplåning av personuppgifter. Strukturerade eller ostrukturerade personuppgifter Regelverket ser olika ut beroende på om personuppgifterna är strukturerade eller ostrukturerade. PuL omfattar nämligen främst strukturerade personuppgifter, det vill säga uppgifter som behandlas helt eller delvis automatiserat, t.ex. i ett IT-baserat register med god sökbarhet och möjligheter till sammanställningar. Behandlingen av strukturerade personuppgifter är endast tillåten vid samtycke eller nödvändighet. En nödvändig behandling kan t.ex. vara vid avtal med den registrerade, rättslig skyldighet, skydd av vitala intressen för den registrerade eller arbetsuppgift av allmänt intresse, t.ex. forskning eller myndighetsutövning. 3

4 För strukturerade personuppgifter gäller alltid att de: ska behandlas lagligt, korrekt och i enlighet med god sed, får behandlas vid särskilda, uttryckliga, berättigade ändamål, ska vara relevanta, riktiga, aktuella och nödvändiga uppgifter, inte sparas längre tid än nödvändigt. Ostrukturerade personuppgifter är sådana som hanteras mer manuellt, t.ex. i en löpande text. Behandling av ostrukturerade personuppgifter är tillåten enligt PuL så länge det inte innebär en kränkning av den personliga integriteten och lämpliga säkerhetsåtgärder vidtas. Känsliga personuppgifter Känsliga personuppgifter är sådana som rör ras/etniskt ursprung, politiska åsikter, religiös/ filosofisk övertygelse, medlemskap i fackförening eller hälsa/sexualliv. Det är som huvudregel förbjudet att hantera känsliga personuppgifter. Undantag finns vid ett uttryckligt samtycke, eget offentliggörande, nödvändig behandling (arbetsrättslig), skydd av vitala intressen (liv och lem), hantering av rättsliga anspråk, för ideella organisationer (politiska, filosofiska, religiösa, fackliga), inom hälso- och sjukvård samt vid forskning och statistik. Personuppgifter i forskningen Enligt PuL får känsliga personuppgifter eller uppgifter om lagöverträdelser enbart behandlas för forskningsändamål om behandlingen godkänts av en etikprövningsnämnd i enlighet med etikprövningslagen. Detta gäller oavsett om forskningsdeltagarna gett sitt samtycke eller inte. Personnummer Personnummer är enligt PuL inte en känslig personuppgift, men däremot en särskilt skyddsvärd personuppgift. Det innebär att behandling av personnummer får ske först efter samtycke eller när det är klart motiverat med hänsyn till ändamålet, vikten av en säker identifiering eller något annat beaktansvärt skäl. Tredje land Enligt PuL är det inte tillåtet att föra över personuppgifter till tredje land (länder utanför EU/EES). Det är dock alltid tillåtet om samtycke finns, och även till länder med en adekvat skyddsnivå. För mer information om vilka länder som då avses hänvisas till Datainspektionens webbsida eller personuppgiftsombudet. Information till registrerade Information om personuppgiftsbehandlingen ska lämnas till den registrerade, både vid insamlande från den registrerade själv eller från annan källa. Undantaget om det finns någon annan lagstadgad reglering eller om det skulle kräva en omöjligt eller oproportionerligt stor arbetsinsats. 4

5 Informationen ska innehålla uppgift om vem som är personuppgiftsansvarig, ändamålen med behandlingen, mottagare av uppgifterna, skyldigheten för Högskolan att lämna ut uppgifter och rätten för registrerad att ansöka om information samt att få rättelse. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Samtycke Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter. Registerutdrag En registrerad har rätt till ett kostnadsfritt registerutdrag en gång per år efter skriftlig ansökan ställd till personuppgiftsansvarig. Ansvar och roller Personuppgiftsansvarig Högskolans ledning (styrelse/rektor) är personuppgiftsansvarig. De bestämmer ändamålen med och medlen för behandling av personuppgifter. De fastställer även lokala styrdokument. Personuppgiftsombud Utses av personuppgiftsansvarig. Ger information och råd till verksamheten angående tillämpningen av PuL. Utarbetar förslag till lokala styrdokument rörande behandling av personuppgifter. Bevakar självständigt att personuppgifter behandlas lagligt, korrekt och i enlighet med god sed. Påpekar eventuella brister för personuppgiftsansvarig, och om ingen rättelse sker därefter, anmäler dessa till tillsynsmyndigheten. Samråder med tillsynsmyndigheten vid tveksamhet kring lagens tillämpning. Tar emot anmälningar av personregister och förtecknar dessa. Fungerar som kontaktperson gentemot registrerade och hjälper registrerade med rättelser av felaktiga eller ofullständiga personuppgifter. Medhjälpare Fysisk person inom organisationen som behandlar personuppgifter under den personuppgiftsansvariges ansvar och enligt dennes instruktion, t.ex. en anställd vid Högskolan Dalarna. Personuppgiftsbiträde Extern part som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige, t.ex. en leverantör av ett IT-system. 5

6 Interna regler för behandling av personuppgifter vid Högskolan Dalarna Organisation och säkerhet Behandling av personuppgifter vid Högskolan Dalarna ska ske i enlighet med gällande lagar och förordningar. Vid all behandling av personuppgifter ska risken för kränkning av den personliga integriteten beaktas. Lämpliga tekniska och organisatoriska säkerhetsåtgärder ska vidtas, med hänsyn till tekniska möjligheter, kostnader, risker och känslighet. Interna regler för informationssäkerhet ska beaktas vid behandling av personuppgifter. Så kallade strukturerade personuppgifter (i register/it-system) ska behandlas lagligt, korrekt och i enlighet med god sed vid särskilda, uttryckliga och berättigade ändamål. Uppgifterna ska vara relevanta, riktiga, aktuella och nödvändiga. De ska inte sparas längre tid än nödvändigt, om inte annan lagstiftning föreskriver något annat (t.ex. överlämnande till arkivet). Alla anställda som behandlar personuppgifter på uppdrag av personuppgiftsansvarig ska ges tillräcklig information för uppdraget. Det omfattar även studenter som behandlar personuppgifter i samband med ett examensarbete. De verksamheter som behandlar stora mängder eller särskilt känsliga personuppgifter kan utse en kontaktperson som samordnar verksamhetens arbete med att säkerställa sin personuppgiftsbehandling. Dessa utses då av närmaste chef och meddelas personuppgiftsombudet. Anmälan All strukturerad personuppgiftsbehandling ska anmälas/avanmälas till Högskolan Dalarnas personuppgiftsombud, oavsett om behandlingen sker inom stöd- eller kärnverksamheten. Biträdesavtal Om extern part (t.ex. IT-leverantör) behandlar personuppgifter på uppdrag av den personuppgiftsansvarige ska personuppgiftsbiträdesavtal upprättas och delges personuppgiftsombudet. Registerutdrag En begäran om registerutdrag kan samordnas av personuppgiftsombudet, som för förteckning över alla förekommande register och vilka som är ansvariga för dessa. Registerutdrag skickas efter skriftlig begäran till den registrerades folkbokföringsadress för att minimera risken att informationen når obehörig. 6