Kapitel 4 Behandling av personuppgifter Sida 1 av 5

Relevanta dokument
Personuppgiftsbehandling i forskning

Personuppgiftsbehandling för forskningsändamål

Lathund Personuppgiftslagen (PuL)

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Personuppgiftslagen (PuL) - En kort introduktion

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Personuppgiftsbiträdesavtal

Bilaga Personuppgiftsbiträdesavtal

PERSONUPPGIFTSLAGEN (PUL)

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

Riktlinjer för hantering av personuppgifter

Personuppgiftslagen konsekvenser för mitt företag

Integritetspolicy Våra Gårdar

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Personuppgifter. Behandling av personuppgifter

Svensk författningssamling

BILAGA Personuppgiftsbiträdesavtal

Juridiska förutsättningar för datahantering. Ledningsdagarna i Uppsala

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Södertörns brandförsvarsförbund

Etikprövningslagen. Reglering efter 2:a världskriget. Lagar som reglerar forskning i Sverige.

Riktlinjer för webbpublicering enligt PuL

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Etikprövningslagen. Reglering efter 2:a världskriget. Lagar som reglerar forskning i Sverige. Nürnbergskoden 1947

Personuppgiftsbiträdesavtal

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Datainspektionen informerar

SKARPNÄCKS STADSDELSFÖRVALTNING

Tillsyn enligt personuppgiftslagen (1998:204)

Omfattning och syfte Denna policy gäller för Volvo Cars-koncernens (kallad Volvo Cars eller vi ) behandling av kunders personuppgifter.

Regler för behandling av personuppgifter vid Högskolan Dalarna

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Personuppgifter i forskningen vilka regler gäller?

Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med känsliga personuppgifter om barn

Dataskyddspolicy för Rotsunda Utbildning AB

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Svensk författningssamling

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL)

Denna policy gäller för Fordonsmäklarna (kallad Fordonsmäklarna eller "vi") behandling av kunders personuppgifter.

Anmälan om att en arbetsgivare brister i det förebyggande och främjande arbetet

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

PuL och GDPR en översiktlig genomgång

GDPR. Ulrika Harnesk 17 oktober 2018

Personuppgiftsansvar och ändamålsprövning enligt fastighetsregisterlagen

Instruktion till mall för registerförteckning

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Dataskyddsförordningen

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Dataskyddsförordningen GDPR

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Behandling av personuppgifter vid Göteborgs universitet

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Integritetspolicy - SoftOne

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Dataskyddsförordningen för prefekter och administrativa chefer

Anmälan om att en utbildningsanordnare brister i arbetet med aktiva åtgärder

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Fyll i blanketten noga det underlättar DO:s arbete med din anmälan.

M E L L A N P E R S O N U P P G I F T S A N S V A R I G O C H P E R S O N U P P G I F T S B I T R Ä D E

Intresseavvägning enligt personuppgiftslagen

1. Bakgrund. 2. Parter. 3. Definitioner

Anmälan om att en arbetsgivare brister i arbetet med aktiva åtgärder

Kvalitetsregisterdag

Den nya dataskyddsförordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

INTEGRITETSTSPOLICY AVSEENDE RESTAURANGGÄSTER MED FLERA

Personuppgiftslagen 20 april 2010

Lindesbergs kommuns arbete med dataskyddsförordningen

Regler för behandling av personuppgifter enligt personuppgiftslagen

Mertzig Asset Management AB

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

Riktlinjer för behandling av personuppgifter

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

PERSONUPPGIFTSBITRÄDESAVTAL

Kerstin Wardman, 25 april 2018

Policy för hantering av personuppgifter

UPPDATERAD

Anmälan av en arbetsgivare för diskriminering eller missgynnande

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Policy för behandling av personuppgifter vid uthyrning av bostäder

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Personuppgiftspolicy

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Kommunstyrelsen. Godkänt av kommunstyrelsen , 77 Kompletterad av kommunstyrelsen , 162

Dataskyddsförordningen - GDPR

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

Svensk författningssamling

Transkript:

Kapitel 4 Behandling av personuppgifter Sida 1 av 5 Kapitel 4 Behandling av personuppgifter KAPITEL 4 Behandling av personuppgifter Behandling av personuppgifter enligt personuppgiftslagen... 2 Samtycke till behandling av personuppgifter (exempel)... 5

Kapitel 4 Behandling av personuppgifter Sida 2 av 5 Personuppgiftslagen, PuL Behandling av uppgifter enligt personuppgiftslagen Under åren har användare av våra tjänster haft frågor om hur alla resultat bör hanteras. Det gäller Hälsoprofilbedömningar, konditionstester eller andra tjänster hos oss på HPI Health Profile Institute. Hur länge får resultat sparas? Vem äger resultaten? Och vad får de användas till? Vi besvarar därför dessa frågor i följande övergripande beskrivning av vad Personuppgiftslagen, PuL (SFS 1998:204), säger gäller om behandling av personuppgifter. Personuppgiftslagen PuL reglerar hur personuppgifter får behandlas. Syftet med lagen är att skydda människor mot att deras personliga integritet kränks. Utgångspunkten i PuL är att den enskilde själv ska avgöra om känsliga personuppgifter får behandlas och kräver i så fall ett samtycke från den som de känsliga personuppgifterna avser. PuL gäller för all behandling av personuppgifter, manuell eller helt eller delvis automatiserad. Med behandling avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, inhämtande, användning, spridning, sammanställning eller samkörning, utplåning (m.m.). När du arbetar med tjänster från HPI så behandlar du därför personuppgifter. Verksamma inom hälso- och sjukvård omfattas även av Hälso- och sjukvårdslag (1982:763), Lag (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, samt Patientdatalag (2008:355). PuL gäller dock inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur. Vad är en personuppgift? Som personuppgift betraktas all slags information som direkt eller indirekt kan kopplas till en fysisk person som är i livet. Personuppgifter som avslöjar hälsa klassas i PuL som känsliga personuppgifter och omfattas av högre krav på korrekt behandling. Exempel på andra känsliga personuppgifter är sexualliv, ras eller etniskt ursprung, religiös eller filosofisk övertygelse, politiska åsikter och fackligt medlemskap. I t ex en Hälsoprofilbedömning eller konditionstest behandlas därför känsliga personuppgifter. En avidentifierad Hälsoprofilbedömning innehåller däremot inga känsliga personuppgifter eftersom den inte kan kopplas till en fysisk person som är i livet. Detsamma gäller en Hälsoprofilbedömning som tillhör en avliden person.

Kapitel 4 Behandling av personuppgifter Sida 3 av 5 Roller och ansvar Den person som personuppgifterna avser benämns i PuL som den registrerade, exempelvis deltagaren i en Hälsoprofilbedömning. Den som har det yttersta juridiska ansvaret för att personuppgifterna behandlas korrekt benämns i PuL som personuppgiftsansvarig (se SFS 1998:204 9 för fullständig beskrivning av grundläggande krav på behandlingen av personuppgifter). Det är leverantören av t ex en Hälsoprofilbedömning som är personuppgiftsansvarig gentemot den registrerade. En medarbetare hos en leverantör är ej personuppgiftsansvarig. De parter som behandlar personuppgifter åt en personuppgiftsansvarig benämns i PuL som personuppgiftsbiträde. Det gäller kontrakterade underleverantörer som utför hälsotjänster åt leverantören samt även HPI Health Profile Institute som genom webbsajten Todaytoo och programvaran Plustoo behandlar personuppgifter åt sina kunder. Förhållandet mellan personuppgiftsansvarig och personuppgiftsbiträde kan regleras i ett personuppgiftsbiträdesavtal. Det innebär dock ej att personuppgiftsansvarigs juridiska ansvar gentemot den registrerade överförs på personuppgiftsbiträdet. Det är alltid personuppgiftsansvarig som bär det fullständiga juridiska ansvaret för korrekt behandling av personuppgifter. Vid händelse av brott mot PuL som leder till rättssak blir detta ett ärende mellan målsägande privatperson(er) och personuppgiftsansvarig. Behandling av personuppgifter kräver samtycke Personuppgifter får endast behandlas om den registrerade har lämnat sitt samtycke till behandlingen. Ett samtycke är en frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information om behandlingen, godtar behandling av dennes personuppgifter (se Datainspektionen informerar: Samtycke enligt personuppgiftslagen (2007) för närmare detaljer kring samtycke). Samtycket ska avse behandling för ett eller flera preciserade ändamål. Personuppgifter får inte användas till andra ändamål än vad som uttryckligen framgår i samtycket. Det godtas inte som samtycke att hälsouppgifter får behandlas för allehanda ändamål eller framtida forskning. Känsliga personuppgifter får dock behandlas för forskningsändamål även om det saknas samtycke för det, under förutsättning att behandlingen uppfyller PuL SFS 1998:204 10 eller godkänts enligt lagen (2004:460) om etikprövning av forskning som avser människor. Samtycket ger personuppgiftsansvarig tillåtelse från den registrerade att behandla dennes personuppgifter enligt specificerade ändamål. Samtycket skall vara skriftligt och inhämtas före det att insamling sker. Vid tvist har nämligen personuppgiftsansvarig bevisbördan för att ett samtycke existerar varpå samtycket måste vara skriftligt och sparas av personuppgiftsansvarig så länge denne behandlar personuppgifterna. Att endast informera den registrerade om en tilltänkt behandling och ge denne en viss frist för att motsätta sig behandlingen är ej godtagbart enligt PuL. Personuppgiftsansvarig kan heller ej kräva att den registrerade själv ska vara aktiv för att slippa en planerad behandling som kräver samtycke.

Kapitel 4 Behandling av personuppgifter Sida 4 av 5 Upphörande av behandling När ändamålen för behandlingen av personuppgifterna är uppfyllda skall behandlingen av personuppgifterna upphöra. Det innebär att personuppgifterna skall utplånas då personuppgifterna ej får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Avidentifierade resultat innehåller dock inga personuppgifter varpå det inte finns några hinder för att på obestämd tid spara t ex avidentifierade Hälsoprofilbedömningar. Det juridiska ansvaret för utplåning av personuppgifterna ligger hos personuppgiftsansvarig. Så länge som behandling av personuppgifter pågår har den registrerade rätt att högst en gång per kalenderår kostnadsfritt få ett utdrag av de personuppgifter som personuppgiftsansvarig behandlar om denne. Information om hur den registrerade går tillväga för detta lämnas med fördel ut till den i samband med att samtycket inhämtas. Tillsyn och påföljder Datainspektionen är tillsynsmyndighet gällande hantering av personuppgifter. Om behandlingen av personuppgifter sker i strid med kravet på samtycke kan följden bli ingripande från Datainspektionen, med skadestånd och i vissa fall straff som påföljd. HPI Health Profile Institute är ej tillsynsmyndighet och kommer ej utöva tillsyn gällande hur användare av våra tjänster behandlar personuppgifter i Plustoo. Det är alltid personuppgiftsansvariges juridiska ansvar att följa PuL och vara informerad om gällande lagar. För mer detaljerad information gällande PuL besök www.notisum.se eller Datainspektionen på www.datainspektionen.se. Där finns utförlig information gällande samtycke. Datainspektionen har bland annat till uppgift att ge personuppgiftsansvariga råd och vägledning om tolkningen av PuL. Friskrivning HPI Health Profile Institute avsäger sig allt juridiskt ansvar i den mån personuppgiftsansvariga till följd av tolkning av denna text hamnar i juridisk tvist med målsägande. HPI Health Profile Institute kommer heller ej agera medlare vid tvist. Denna dokumentation ersätter ej Personuppgiftslag SFS 1998:204 utan syftar till att skapa medvetenhet om de lagar som finns i arbetet med känsliga personuppgifter och därmed Hälsoprofilbedömningar.

Kapitel 4 Behandling av personuppgifter Sida 5 av 5 Samtycke till behandling av personuppgifter (exempel) Hälsoleverantören AB Friska stigen 11 2345 Byn tel. 012-345678 info@foretaget.se org.nr. 551122-3344 Hälsoleverantören AB vill att du lämnar vissa uppgifter om dig själv till bolaget. Vi skulle vilja behandla personuppgifter om dig för att få en bild av din egen och dina medarbetares hälsa för att på så vis kunna se behovet av hälsofrämjande aktiviteter inom Lilleboda kommunförvaltning. All behandling kommer ske i enlighet med personuppgiftslagen (1998:204). De uppgifter vi skulle vilja samla in och behandla är namn, ålder, personnummer, adress, telefonnummer, kön, familjesituation, fritidsvanor, fysisk aktivitet, motions-, kost- och tobaksvanor; bruk av alkohol och medicin; upplevd hälsa, stress samt kroppsliga symptom; förekomst av diabetes, astma, högt blodtryck; samt fysisk kondition. Du avgör själv om du vill lämna några uppgifter till oss. Dina personuppgifter kommer endast att behandlas av oss på Hälsoleverantören. Lilleboda kommunförvaltning kommer inte att ha tillgång till dessa. De kommer dock att ha tillgång till en helt avidentifierad gruppsammanställning för att på bästa möjliga vis se behovet av hälsofrämjande aktiviteter. Du har enligt 26 personuppgiftslagen (1998:204) rätt att gratis, en gång per kalenderår, efter skriftligt undertecknad ansökan ställd till oss, få besked om vilka personuppgifter om dig som vi behandlar och hur vi behandlar dessa. Vid skriftlig försändelse sker detta till din folkbokförda adress. Du har också rätt att enligt 28 personuppgiftslagen begära rättelse i fråga om personuppgifter som vi behandlar om dig. Jag samtycker till att Hälsoleverantören AB behandlar personuppgifter om mig i enlighet med det ovanstående. Namnteckning Ort Namnförtydligande Datum

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss