DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som jobbar med utbildning och administration

Relevanta dokument
DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som är forskare

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som jobbar med utbildning och administration

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som är forskare

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som är forskare

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som är forskare

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Personuppgiftsinformation för Svedala kommun

GDPR. Ulrika Harnesk 17 oktober 2018

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

GDPR- Seminarium 2017

Dataskyddsförordningen

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Behandling av personuppgifter vid Göteborgs universitet

Dataskyddsförordningen för prefekter och administrativa chefer

Kerstin Wardman, 25 april 2018

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen GDPR

Dataskyddsförordningen - GDPR

Nya dataskyddsförordningen GDPR

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Vården och reglerna om dataskydd

GDPR NYA DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen

Dataskyddsförordningen i utbildningsverksamhet

Information om behandling av personuppgifter

Att hantera personuppgifter

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Dataskyddsförordningen

GDPR definition och hur utbildningen berör(t)s av förordningen

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

EU:s dataskyddsförordning

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Dataskyddsförordningen GDPR - General Data Protection Regulation

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Information om dataskyddsförordningen

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Den nya Dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen

GDPR. General Data Protection Regulation. dataskyddsförordningen

Instruktion till mall för registerförteckning

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Strand Kapitalförvaltning AB:s integritetspolicy

GDPR General data protection regulation Dataskyddsförordningen

Policy för personuppgiftsbehandling

GDPR. Dataskyddsförordningen

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Dataskyddsförordningen, GDPR

Dataskyddsförordningen

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

Lindesbergs kommuns arbete med dataskyddsförordningen

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Personuppgiftsbehandling Dataskydd

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

GDPR - Riktlinjer för hantering av personuppgifter

AMF Fastigheters integritetspolicy

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Den nya dataskyddsförordningen

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Personuppgiftsbiträdesavtal

INFORMATIONSSÄKERHET OCH DATASKYDD

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

GDPR- Vad har hänt och hur ser tillämpningen ut?

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Mertzig Asset Management AB

PuL och GDPR en översiktlig genomgång

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Riktlinjer för behandling av personuppgifter

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Välkomna till kurs i den nya dataskyddsförordningen

Lathund Dataskydd för krögare

(5) Integritetspolicy - Kumla Bostäder AB

Dataskyddsförordningen och kvalitetsregister

PUL OCH DATASKYDDSFÖRORDNINGEN

Integritetspolicy. Med anledning av ny lagstiftning den 25/ GDPR. General Data Protection Regulation

INTEGRITETSPOLICY Max Mitteregger Kapitalförvaltning AB. INTEGRITETSPOLICY Den 25 maj 2018

Information om GDPR. Nya regler för personuppgifts hantering Förbered din bostadsrättsförening

PERSONUPPGIFTSBITRÄDESAVTAL

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Personuppgiftsbehandling i forskning

I de fall du är direkt kund hos NS är NS den personuppgiftsansvarige.

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Transkript:

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som jobbar med utbildning och administration

VAD ÄR GDPR? Dataskyddsförordningen (GDPR - The General Data Protection Regulation) är EU-förordning som gäller som svensk lag. Lagen trädde i kraft den 25 maj 2018. Lagen är till för att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Samma lag gäller inom hela EU.

DATASKYDDSFÖRORDNINGEN (GDPR) EU-nivå Dataskyddslagen Registerförfattningar Nationell nivå I Sverige kompletteras dataskyddsförordningen av den kompletterande dataskyddslagen. Till skillnad från personuppgiftslagen är dataskyddslagen inte heltäckande utan reglerar bara de frågor där dataskyddsförordningen medger kompletterande nationell reglering.

NÄR GÄLLER GDPR? GDPR gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg (alltid om uppgifterna finns i datorn). GDPR gäller också helt manuell behandling av personuppgifter om personuppgifterna ingår eller är avsedda att ingå i ett register som är sökbart enligt särskilda kriterier (ibland om uppgifterna finns på papper)

VAD HÄNDER OM MAN INTE FÖLJER GDPR? Datainspektionens verktyg o Tillsyn, föreläggande, varning och reprimand o Administrativa sanktionsavgifter För mindre allvarliga överträdelser ska avgiften för myndigheter uppgå till högst 5 miljoner kronor och för allvarligare överträdelser till högst 10 miljoner kronor. Den registrerades egna möjligheter o Lämna in klagomål till Datainspektionen o Begära skadestånd Allmänhetens förtroende för universitetet och vår verksamhet skadas.

PERSONUPPGIFTER Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade) Avgörande är om uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Exempel - personnummer, namn, e-postadress, IP-nummer och cookies, bilder och ljudupptagningar, inlägg på sociala medier, inloggningsuppgifter, telefonnummer, adresser m.m. Information som har kodats, krypterats eller pseudonymiserats men som kan hänföras till en fysisk person med hjälp av kompletterande uppgifter är personuppgifter. Helt anonymiserade personuppgifter=inte personuppgifter

VAD ÄR BEHANDLING AV PERSONUPPGIFTER? Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel: insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

PERSONUPPGIFTSANSVARIG En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter För den verksamhet som bedrivs inom universitetet är det Umeå universitet som är personuppgiftsansvarig och som har det yttersta ansvaret för all behandling av personuppgifter som sker inom ramen för verksamheten. Samtliga anställda är inom ramen för sin anställning skyldiga att följa de regler och rutiner som arbetsgivaren ställer. Detta gäller även behandling av personuppgifter. För vissa anställda, som exv forskare med ansvar för ett forskningsprojekt som behandlar känsliga personuppgifter eller systemägare är detta ansvar än större.

PERSONUPPGIFTSBITRÄDE En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning Exempelvis ett företag som tillhandahåller en molntjänst, ett analysföretag, ett rekryteringsföretag Ett personuppgiftsbiträde får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvarige. Den personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett så ett så kallat personuppgiftsbiträdesavtal (PUBA). Umeå universitet är personuppgiftsbiträde i vissa fall - bland annat i den verksamhet som ITS bedriver.

RÄTTSLIG GRUND FÖR BEHANDLING Utan en rättslig grund är personuppgiftsbehandlingen inte laglig. Det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter. Myndigheter bör därför endast behandla personuppgifter med stöd av lag. De lagliga grunder vi normalt åberopar: Allmänt intresse (det ska finnas stöd i lag eller annan författning, kollektivavtal eller beslut som har meddelats med stöd av lag eller annan författning, ex vis högskolelagen) Myndighetsutövning Rättslig förpliktelse Avtal

SAMTYCKE Samtycke är också en rättslig grund. Kan man stödja sin personuppgiftsbehandling på någon av de andra fem rättsliga grunderna, så får man inte dessutom inhämta samtycke. Samtycke kan inte användas som rättslig grund när det råder betydande ojämlikhet mellan den registrerade och personuppgiftsansvarige. En sådant ojämlikt förhållande kan vara särskilt vanligt mellan offentliga myndigheter och enskilda registrerade. Endast undantagsvis kan Umeå universitet åberopa samtycke som rättlig grund. Samtycke ex vis vid externa kontakter, användning av foton och filmer, anhöriguppgifter, studentarbeten

KÄNSLIGA PERSONUPPGIFTER (SÄRSKILDA KATEGORIER AV PERSONUPPGIFTER) Huvudregeln är att det är förbjudet att behandla känsliga personuppgifter, men det finns en rad undantag. Man måste alltså hitta ett undantag som gäller om man vill behandla känsliga personuppgifter. etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter, biometriska uppgifter som entydigt identifierar en person Undantag ex vis: behandlingen krävs enligt lag, behandlingen är nödvändig för handläggningen av ett ärende, behandlingen är nödvändigt för att följa arkivföreskrifter behandlingen är nödvändig för forskning dock krävs etikprövning.

SÄRSKILT INTEGRITETSKÄNSLIGA PERSONUPPGIFTER Det finns många andra typer av personuppgifter som är särskilt skyddsvärda men som inte är känsliga personuppgifter. Det kan till exempel vara löneuppgifter uppgifter om lagöverträdelser värderande uppgifter, till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler information som rör någons privata sfär uppgifter om sociala förhållanden Tänk på att integritetskänsliga uppgifter kan kräva att man har en högre säkerhetsnivå än för mer harmlösa personuppgifter har betydelse för riskbedömningen när man gör konsekvensanalys kan vara avgörande för om man måste rapportera en personuppgiftsincident.

PERSONNUMMER Ett personnummer anses vara en extra skyddsvärd personuppgift. Datainspektionen anser därför att personnummer bör exponeras så lite som möjligt. Personnummer ska inte finnas på adressetiketter, i kuvertfönster eller i försändelser som sänds utan kuvert så att de är synliga för vem som helst. Undvik att skicka med e-post. Huvudregel: behandla bara personnummer om det är klart motiverat.

GRUNDLÄGGANDE PRINCIPER Laglighet, korrekthet och öppenhet: det ska finnas en rättslig grund, behandlingen ska vara rättvis, skälig, rimlig och proportionerlig, de registrerade ska informeras om hur deras personuppgifter behandlas. Ändamålsbegränsning: man får bara samla in och behandla personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Uppgiftsminimering: man får inte behandla fler personuppgifter än vad som behövs för ändamålen Riktighet: Uppgifterna ska vara korrekta, annars ska de rättas eller raderas. Lagringsminimering: personuppgifterna ska raderas när de inte längre behövs (obs! vi har dock arkivskyldighet) Integritet och konfidentialitet: personuppgifterna ska skyddas, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs

REGISTRERADES RÄTTIGHETER Den registrerade har rätt att få information när hans eller hennes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige i samband med att uppgifterna samlas in (inte i efterhand med andra ord). Information (checklista för hur information ska lämnas finns på https://www.aurora.umu.se/globalassets/dokument/universit etsforvaltningen/universitetsledningens- kansli/juridik/checklista-information-till-registrerad-2018-10- 17.pdf/

REGISTRERADES RÄTTIGHETER Om en registrerad kommer in med en begäran om registerutdrag, att bli glömd, raderad m.m. se instruktion på Aurora https://www.aurora.umu.se/regler-ochriktlinjer/juridik/personuppgifter/ Begäran från den registrerade om att få registerutdrag, att bli glömd, raderad - är inte samma sak som en begäran om utlämnande av allmän handling.

OFFENTLIGHETSPRINCIPEN OCH ARKIVSKYLDIGHET Dataskyddsförordningen hindrar inte myndigheter att lämna ut allmänna handlingar enligt offentlighetsprincipen. Allmänna handlingar som innehåller personuppgifter bör lämnas ut i pappersform. Dataskyddsförordningen hindar inte myndigheter att arkivera handlingar som innehåller personuppgifter i det fall vi har en skyldighet enligt lag att arkivera handlingarna.

PERSONUPPGIFTER I ANSTÄLLDAS DATORER Det finns troligen personuppgifter i era arbetsdatorer. Dataskyddsförordningen (GDPR) gäller för dessa uppgifter också. Så långt det går bör personuppgifter hanteras i gemensamma system med behörighetsstyrning.

E-POST Innehåller alltid personuppgifter Används i vår verksamhet med de lagliga grunder vi stödjer oss på där E-post ett särskilt utsatt färdmedel : flytta epost till andra system/diarieför, arbeta inte i e-posten känsliga personuppgifter; undvik eller kryptera personnummer; undvik eller kryptera

E-POST Sprid inte i onödan, skicka inte adresser synligt utom organisationen Informera de behandlade - Länka i din signatur till vår hemsida: https://www.umu.se/om-webbplatsen/juridiskinformation/behandling-av-personuppgifter/ Undvik att använda din e-post vid UmU för privat e-post eller e-post du skickar i inom ramen för någon annan roll du har, exempelvis som facklig företrädare.

ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND Överföring av personuppgifter till tredje land är när personuppgifter blir tillgängliga för någon i ett land utanför EU/EES-området. Det är tillåtet i vissa fall, men reglerna är strikta. Exempel När man anlitar ett personuppgiftbiträde i ett land utanför EU/EES. När man lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES. När man lagrar personuppgifter, till exempel på en server, i ett land utanför EU/EES.

ANMÄLAN OM BEHANDLING Universitetet måste ha kontroll över de personuppgiftsbehandlingar vi är ansvariga för och vi ska kunna visa att vi har kontroll. Det finns därför krav på att myndigheten ska föra register över var och hur personuppgiftsbehandling sker - anmäl era behandlingar dataskyddsombudet om inte en generell anmälan finns Det finns också krav på myndigheten att föra register över när UmU är personuppgiftsbiträde anmäl era behandlingar som personuppgiftsbiträden till dataskyddsombudet. Avanmäl behandlingen när den upphör.

VILKA BEHANDLINGAR MÅSTE JAG ANMÄLA? Utbildning central generell anmälan av förutsägbar behandling Administration/myndighetsärenden central generell anmälan av förutsägbar behandling It-system varje systemägare ansvarar för att anmälan sker Personuppgiftsbiträde varje biträdesförhållande ska anmälas av ansvarig för avtalsförhållandet Forskning varje forskningsprojekt där personuppgifter behandlas måste anmälas av ansvarig forskare Umu använder sig av Draft-It som registersystem. Begär att få länk till anmälan via pulo@umu.se och ange vilken kategori av behandling det är fråga om Studentarbeten anmäls på institutionsnivå

SÄKERHET I SAMBAND MED PERSONUPPGIFTSBEHANDLINGAR

INBYGGT DATASKYDD OCH DATASKYDD SOM STANDARD Dataskyddsförordningen ställer krav på att våra IT-system ska vidta lämpliga tekniska åtgärder. Inbyggt dataskydd (privacy by design) som innebär att man redan vid utformningen av IT-system tar hänsyn till integritetsskyddsreglerna Dataskydd som standard (privacy by default) innebär att Umu ska se till att personuppgifter i standardfallet inte behandlas i onödan genom inställningar och liknande i systemen. Detta innebär att systemägare som ska införskaffa ett nytt system behöver ta kontakt med pulo@umu.se redan i förberedelsestadiet av inför upphandling av systemet så att dessa krav kan ingå i skallkravet i upphandlingen.

LAGRINGSLÖSNINGAR OCH SAMARBETSYTOR

VAR LAGRAR NI DOKUMENT? Filytor personliga och gemensamma Gemensamma samarbetsytor och centrala system o Undvik att sprida informationen genom att ta ut informationen från systemet! Använd godkända molntjänster! o Var lagras informationen? Vem äger informationen? Går det att radera uppgifterna?

INCIDENTRAPPORTERING Personuppgiftsincident är en säkerhetsincident som kan innebära risker för den registrerade uppgifterna förstörs eller kommer i orätta händer vilket kan leda till ID-stöld, bedrägeri, ekonomisk förlust, sekretessbrott m.m. Misstänker du att det har skett en personuppgiftsincident vänder du dig till IRT (Incident Response Team). IRT når du på abuse@umu.se. Dataskyddsombudet gör anmälan till datainspektionen.

HUR GÖR VI? Personuppgiftsincident har uppstått. Finns styrning från Umu? Hur gör vi utifrån vår enhet/institution? Var lagrar vi vår information? Har vi ett internt styrande och vägledande dokument (utifrån Umu:s riktlinjer)? Anmäla personuppgiftsbehandlingar. Hur gör vi det vid vår enhet/institution? Förfrågan om personuppgiftsbehandlingar. Hur hanterar vi det utifrån vår enhet/institution? Rätten att bli glömd. Hur hanterar vi det utifrån vår enhet/institution?

MER INFORMATION https://www.aurora.umu.se/regler-ochriktlinjer/juridik/personuppgifter/ https://www.aurora.umu.se/globalassets/dokument/universit etsforvaltningen/universitetsledningens-kansli/juridik/gdpr- informations-och-utbildningsmaterial-umu ver1-2018-05-22.pdf https://www.datainspektionen.se/

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss