Samtycke och dataskyddsförordningen (GDPR)

Relevanta dokument
Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Datainspektionen informerar

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Behandling av personuppgifter vid Göteborgs universitet

GDPR definition och hur utbildningen berör(t)s av förordningen

Dataskyddsförordningen

Information till den registrerade i samband med insamlande av personuppgifter

BlueStep Banks AB (publ) Integritetspolicy

Dataskyddsförordningen 2018

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen för prefekter och administrativa chefer

Dataskyddsförordningen 2018

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen (GDPR)

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

GDPR. Ulrika Harnesk 17 oktober 2018

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Personuppgiftsinformation för Svedala kommun

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

BEHANDLING AV PERSONUPPGIFTER VID UPPSATSARBETEN. En handledning för lärare och studenter

Personuppgiftsbehandling i forskning

Dataskyddsförordningen GDPR - General Data Protection Regulation

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

GDPR General data protection regulation Dataskyddsförordningen

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

GDPR- Seminarium 2017

Pass 6 Forskningsjuridik

Kerstin Wardman, 25 april 2018

Instruktion till mall för registerförteckning

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

Mertzig Asset Management AB

DATASKYDDSFÖRORDNINGEN. Webbinar den 26 april 2018

Riktlinjer för hantering av personuppgifter

Den nya Dataskyddsförordningen

GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

Personuppgiftsbehandling för forskningsändamål

Bilaga - Personuppgiftsbiträdesavtal

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Så behandlar vi dina personuppgifter

Dataskydd och forskning i Europa och Sverige

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Den nya dataskyddsförordningen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Dataskyddsförordningen - GDPR

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Koncernkontoret Enheten för juridik

PERSONUPPGIFTER SOM BEHANDLAS

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Nya Dataskyddsförordningen, GDPR. Advokat Josephine Borg

Kyrkostyrelsens cirkulär nr 18/

Personuppgiftspolicy

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

INTEGRITETSPOLICY Max Mitteregger Kapitalförvaltning AB. INTEGRITETSPOLICY Den 25 maj 2018

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Integritetspolicy. Vårt dataskyddsarbete

GDPR. Anders Ahlström

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Stiftelsen PETTER SILFVERSKIÖLDS MINNESFOND

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

För- och efternamn:... Personnummer:... Adress:... Postadress:... Tel. bostad:... Tel. arbete:... Målsmans namn:... Ändamål:

Lathund Dataskydd för krögare

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Riktlinje för hantering av personuppgifter i e-post och kalender

Till dig som använder bildspelet för att presentera!

Samspelets behandling av personuppgifter

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Allmänna råd. Datainspektionen informerar. Nr 2/2016

Manual för ansökan till Stiftelsen Kjellbergska Flickskolans Donationer

Regler för studenters behandling av personuppgifter vid Högskolan i Borås

Personuppgiftsbehandling vid examinerande moment och examensarbete vägledning för studenter med kommentarer för handledare och examinatorer

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

GDPR UTBILDNINGSDAG SKKF

GDPR Utbildning Varför görs denna förändring? När börjar den nya lagen gälla? Individens rätt Likformighet Uppdatering Kostnadsbesparingar

Dataskyddsförordningen GDPR

Dataskyddsförordningen för kommunikatörer

PuL och GDPR en översiktlig genomgång

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

I denna integritetspolicy används följande begrepp med den nedan angivna innebörden:

(5) Integritetspolicy - Kumla Bostäder AB

Vården och reglerna om dataskydd

Personuppgiftsbehandling Dataskydd

Ansökan insändes till: Stiftelsen Almåsa, Enskede. Namn. Personnummer. Adress. Postnr Ort. Målsman eller God man

Integritetspolicy Din integritet är av yttersta vikt för oss. I följande integritetspolicy förklaras på ett lättförståeligt sätt hur Cyklos AB, org.

Dataskyddsförordningen och kvalitetsregister

Transkript:

Samtycke och dataskyddsförordningen (GDPR) Genom införandet av dataskyddsförordningen, på engelska kallad General Data Protection Regulation (GDPR), som började gälla den 25 maj 2018, ställs högre krav på behandling av personuppgifter. Bland annat finns det krav på att alla behandlingar har en laglig grund. Innan organisationen kan behandla personuppgifter måste det finnas en laglig grund för behandlingen. Det finns mycket missförstånd kring detta, då många tror att det kommer att krävas samtycke till all behandling av personuppgifter. Detta är inte korrekt, då det finns många andra grunder att rättfärdiga sin behandling med. Samtycke bör som regel alltid övervägas sist av alla lagliga grunder då det kommer att kräva en aktiv handling från den enskilde, kan återkallas när som helst och det får inte förekomma någon större maktobalans mellan parterna (exempelvis mellan arbetsgivare och anställd). Det är viktigt att bara använda den lagliga grunden samtycke i de situationer där det verkligen behövs. Att använda fel laglig grund, exempelvis samtycke, kan medföra att behandlingen blir olaglig. Här kan du läsa om vad du behöver tänka på när du avser att behandla personuppgifter med samtycke som rättslig grund. Det räcker dock inte med att den registrerade samtycker till behandlingen. Du behöver även se över hur du inhämtar samtycke och hur din begäran om samtycke ska utformas. Samtycke som laglig grund Personuppgifter får behandlas om man har en så kallad laglig/rättslig grund. Samtycke är en av de sex olika rättsliga grunderna som återfinns i dataskyddsförordningen. I gällande lagstiftning ställs det särskilda krav på samtycket, bland annat att det ska vara frivilligt, att det ska lämnas genom ett uttalande eller en entydig bekräftande handling (vilket ställer krav på ikryssande av en ruta, val av inställningsalternativ eller något annat beteende som tydligt visar på samtycke), samt att samtycket ska ges efter att den registrerade har fått information om personuppgiftsbehandlingen. Den lagliga grunden måste vara fastställd innan behandlingen av personuppgifter påbörjas. Vidare gäller särskilt höga krav när samtycke avser behandling av känsliga personuppgifter, såsom uppgifter om hälsa. Den som behandlar personuppgifter med stöd av ett samtycke måste kunna visa att ett giltigt samtycke har lämnats av den registrerade. Villkor för samtycke När behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter. Om den registrerades samtycke ska lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lättillgänglig form, med användning av klart och

tydligt språk. Om en del av förklaringen innebär en överträdelse av dataskyddsförordningen är den delen inte bindande. De registrerade har rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten av behandling som grundar sig på samtycke, innan detta återkallas. Innan samtycke lämnas ska den registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge sitt samtycke. Behandling av känsliga (särskild kategorier av) personuppgifter Vissa personuppgifter är till sin natur mer känsliga än andra. I dataskyddsförordningen anses följande särskilda kategorier av personuppgifter kräva ett särskilt legalt skydd. Dessa kategorier är: Ras eller etniskt ursprung, Politiska åsikter, Religiös eller filosofisk övertygelse, Medlemskap i en fackförening, hälsa, En persons sexualliv eller sexuella läggning, Genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person. Uppsala universitet ska endast behandla känsliga personuppgifter när det finns särskilt stöd i lag eller om den registrerade särskilt samtyckt till den specifika behandlingen. Informerat, frivilligt, specifikt och otvetydig viljeyttring (aktiv handling) Samtycke ska lämnas genom en aktiv handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Tystnad, på förhand ikryssade rutor eller inaktivitet kan därför inte utgöra samtycke. Samtycket gäller all behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser.

Informerat Att ett samtycke ska vara informativt innebär att innan en person lämnar sitt samtycke ska denne ha fått tillgång till tillräcklig information avseende vad det är personen samtycker till. Tillräcklig information innebär att ni måste informera om vilka personuppgifter ni behandlar, vad ni har för ändamål/syfte med behandlingen, samtyckets giltighetslängd, vem som är mottagare av personuppgifterna, om uppgifterna kommer överföras till tredjeland 1, information om vem som är personuppgiftsansvarig 2 och hur personen kommer i kontakt med universitetets dataskyddsombud, att personen har rätt att när som helst återkalla sitt samtycke samt rätt att begära rättelse, dataportabilitet, radering eller begränsning av de personuppgifter ni behandlar. Frivilligt Frivillighetskravet innebär att den som ska ge sitt samtycke har en faktisk möjlighet att tacka nej utan att påverkas negativt. En person ska utan problem kunna välja att inte samtycka samt kunna ta tillbaka sitt lämnade samtycke. Uppfylls inte frivillighetskravet bör ni fundera på om någon annan rättslig grund är tillämplig. Om det föreligger obalans i maktförhållandet mellan den som ska samtycka och personuppgiftsansvarig kan det innebära att det inte är ett frivilligt samtycke. Sådan obalans kan föreligga till exempel vid anställningsförhållanden eller i förhållanden mellan enskild och myndighet. Tjänster eller avtal som är beroende av samtycket kan i vissa fall inte anses uppfylla kravet på frivillighet. Det finns då andra lagliga grunder som ni kan stödja er behandling på. För att läsa mer om detta, se dokumentet om lagliga grunder på sidan för dataskyddsförordningen. Ett ytterligare exempel är att ett samtycke inte kan vara frivilligt om en sjuk person får erbjudande från en läkare om vård i utbyte mot att man samtycker till att vara med i läkarens studie. Om den sjuke då inte kan få tillgång till vården utan att samtycka är samtycket inte är frivilligt. 3 Detta är också anledningen till att Uppsala universitet som myndighet så sällan ska stödja personuppgiftsbehandling på samtycke som laglig grund. Som myndighet är det svårt att inte ha enskilda i beroendeställning och därmed är det svårt att få till ett frivilligt samtycke. Samtycket kan inte heller vara förenat med olika villkor och krav som inte går att förhandla om det ska anses vara frivilligt, och den registrerade får inte heller drabbas av negativa konsekvenser, såsom extra avgifter, om de inte samtycker. 4 1 Land utanför EU/EES. 2 Personuppgiftsansvarig för behandlingarna som sker vid Uppsala universitet är universitetet i egenskap av juridisk person, såvida inte en annan juridisk person har ansvaret och Uppsala universitet är biträde. Läs gärna mer om hur detta bestäms på sidan för dataskyddsförordningen. Den personuppgiftsansvarige är i vilket fall inte den enskilde forskaren/doktoranden/studenten etc. 3 Man kan självklart erbjuda vård i samband med studier, exemplet ovan är endast för att illustrera att man inte kan göra det på samtyckesgrund om man inte kan få vården också utan att samtycka till att vara med i studien. 4 Article 29 Data Protection Working Party, Guidelines on Consent under Regulation 201/679, s 6.

Specifikt För att samtycket ska vara specifikt krävs att man tydligt förklarar för vilket ändamål man behandlar personuppgifter. Detta förklaras enklast genom att man anger vilket syfte personuppgiftsbehandlingen har. Om behandlingen har många olika ändamål är det viktigt att man säkerställer att den registrerade kan särskilja de olika ändamålen och kan samtycka eller välja att inte samtycka till de olika delarna var för sig. 5 Detta innebär inte att man inte på en och samma gång kan samtycka till olika behandlingar. Exempelvis kan den registrerade samtycka till insamling, lagring och bearbetning av sina personuppgifter på samma gång, så länge ändamålet, till exempel att upprätta en kontaktlista, för alla behandlingar är detsamma. Ska man däremot samtycka till en kontaktlista och även samtycka till att ens personuppgifter används i marknadsföringssyfte så är det fråga om olika ändamål och den registrerade behöver då samtycka till dessa separat. Det krävs också att den information som hänför sig till samtycket särskiljs från annan information som den personuppgiftsansvariga vill presentera för den registrerade. Man bör, även om det är en hel del information man ska ge till den registrerade undvika allt för långa texter och informationsmassor som i sig kan innebära att det är svårt för den registrerade att tillgodogöra sig den allra viktigaste informationen. Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta. En aktiv handling (Otvetydig viljeyttring) Samtycke ska ges genom en aktiv handling. Det innebär att den som ska samtycka till en behandling aktivt måste samtycka till en behandling. Att låta det finnas en redan ikryssad ruta och texten jag samtycker, eller att låta rutan för ja redan vara ifylld är inte att betrakta som ett otvetydigt samtycke. Personen i fråga måste själv, aktivt, klicka i rutan för att samtycket ska vara lagligt. En så kallad opt-out-klausul är därmed inte tillåten. Ett sätt att utföra en entydigt bekräftande handling är till exempel att man gör ett aktivt val av Samtycke till behandling från minderåring Den som lämnar ett samtycke ska ha möjlighet att förstå innebörden av samtycket. När det gäller informationssamhällets tjänster till barn, till exempel söktjänster, onlineaktiviteter och olika tjänster på internet måste den minderåriga vara 13 år för att kunna samtycka till behandling av sina egna personuppgifter. Är personen under 13 år krävs samtycke från den som har föräldraansvaret över den minderåriga. För personuppgiftsbehandling som sker i 5 Article 29 Data Protection Working Party, Guidelines on Consent under Regulation 201/679, s 11.

annat fall, det vill säga inte för informationssamhällets tjänster till barn, krävs en bedömning av den underåriges förmåga att förstå handlingen. En sådan bedömning måste göras i varje enskilt fall. Det är viktigt att komma ihåg att det är den som behandlar uppgifterna med samtycke som har bevisbördan för att samtycket uppfyller förordningens krav. Återkallande och bevisbörda Om ni anser att samtycke är den rättsliga grund som är aktuell måste ni ha i åtanke att den registrerade har rätt att återkalla sitt samtycke. Tänk på att om ni anser att den registrerade inte kan återkalla samtycket bör ni fundera på om frivillighetskravet verkligen är uppfyllt. Ett återkallande innebär dock inte att den behandling ni har utfört fram till återkallandet är olaglig. Det är endast framtida behandling som blir olaglig. Det är ni som har bevisbördan för huruvida ett giltigt samtycke finns eller inte. Det är därför viktigt att de interna rutiner/system som gör det möjligt att dokumentera att ett sådant samtycke finns är på plats. Att använda Uppsala universitets interna system som möjliggör lagring av texten och den samtyckandes aktiva handling kan vara ett sätt att visa att ett samtycke finns. Ett exempel på detta inom forskningsområdet: Om en provgivare återkallar sitt samtycke helt, kan inte personens prover och uppgifter längre användas för ny forskning. Att prover och uppgifter inte längre kan användas säkerställs genom markeringar i forskarens register. Sådana forskningsresultat som erhållits med hjälp av proverna och uppgifterna innan meddelandet om återkallelse av samtycket kommit in, tillhörande uppgifter och material som skapats utgående från dessa uppgifter kan dock användas i begränsad utsträckning. Övrig lagstiftning kan kräva att materialet sparas för att påvisa riktigheten i vetenskapliga forskningsresultat i efterhand eller för att övervaka kvaliteten på behandlingsprodukter som tagits fram.