Behandling av personuppgifter vid Göteborgs universitet

Relevanta dokument
INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

BEHANDLING AV PERSONUPPGIFTER VID UPPSATSARBETEN. En handledning för lärare och studenter

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Dataskyddsförordningen - GDPR

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

Kerstin Wardman, 25 april 2018

Till dig som använder bildspelet för att presentera!

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen 2018

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Vården och reglerna om dataskydd

GDPR- Seminarium 2017

Dataskyddsförordningen 2018

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Personuppgiftsinformation för Svedala kommun

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

GDPR General data protection regulation Dataskyddsförordningen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Den nya Dataskyddsförordningen

Dataskyddsförordningen i utbildningsverksamhet

GDPR. Ulrika Harnesk 17 oktober 2018

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen

Personuppgiftsbehandling Dataskydd

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

PuL och GDPR en översiktlig genomgång

Koncernkontoret Enheten för juridik

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Information om behandling av personuppgifter

Så behandlar vi dina personuppgifter

Dataskyddsförordningen för prefekter och administrativa chefer

Så behandlar vi dina personuppgifter

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Dataskyddsförordningen (GDPR)

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Dataskyddsförordningen

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Policy för personuppgiftsbehandling

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Mertzig Asset Management AB

Dataskyddsförordningen GDPR

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

GDPR. General Data Protection Regulation. dataskyddsförordningen

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Dataskydd och forskning i Europa och Sverige

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Dataskyddsförordningen

Strand Kapitalförvaltning AB:s integritetspolicy

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

Södertörns brandförsvarsförbund

Dataskyddsförordningen

EU:s dataskyddsförordning

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

GDPR definition och hur utbildningen berör(t)s av förordningen

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Regler för behandling av personuppgifter vid Högskolan Dalarna

GDPR NYA DATASKYDDSFÖRORDNINGEN

Riktlinjer för behandling av personuppgifter

Instruktion till mall för registerförteckning

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

Den nya dataskyddsförordningen

Säkerhetspolicy rev. 0.1

INFORMATIONSSÄKERHET OCH DATASKYDD

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Riktlinjer för hantering av personuppgifter

GDPR Presentation Agenda

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

Dataskydd och personuppgifter vid Linköpings universitet

GDPR Utbildning Varför görs denna förändring? När börjar den nya lagen gälla? Individens rätt Likformighet Uppdatering Kostnadsbesparingar

GDPR. Dataskyddsförordningen

Dataskyddsförordningen

GDPR - Riktlinjer för hantering av personuppgifter

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Information om GDPR. Nya regler för personuppgifts hantering Förbered din bostadsrättsförening

Samtycke och dataskyddsförordningen (GDPR)

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Personuppgiftslagen (PuL) - En kort introduktion

Policy för behandling av personuppgifter

Regler för behandling av personuppgifter vid Högskolan Dalarna

Novare Peritos - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Dataskyddsförordningen

Transkript:

Behandling av personuppgifter vid Göteborgs universitet Illustrationer: Dolling Tahko 1

Personuppgifter vid Göteborgs universitetet Universitet behandlar personuppgifter för Studenter (till exempel i Ladok) Medarbetare (till exempel i Agresso och Primula) Övriga (forskningspersoner, alumner, affärskontakter, konferensgäster med flera) Från och med den 25 maj 2018 regleras behandlingen av personuppgifter i ny lagstiftning. 2

Syftet med dataskyddsförordningen är ett enhetligt regelverk och underlättandet av fritt flöde av personuppgifter inom EU/EES att skydda den enskildes personliga integritet Dataskyddsförordningen är en EU-förordning, vilket innebär att reglerna kommer att gälla som lag direkt och tillämpas på samma sätt i alla EU:s medlemsstater. Allmän dataskyddsförordning (DSF) = General Data Protection Regulation (GDPR) 3

Dataskyddsförordningen ersätter EU:s dataskyddsdirektiv (95/46/EG) Personuppgiftslagen, PuL (1998:204) Personuppgiftsförordningen (1998:1191) Datainspektionens föreskrifter Förordningen medger också vissa nationella särregler. I Sverige kompletteras DSF med: Dataskyddslagen Forskningsdatalagen Eventuellt en studiedatalag 4

Vad skiljer DSF från tidigare lagstiftning? I princip alla krav från personuppgiftslagen finns kvar i DSF. Mycket av det som beskrivs i denna presentation är alltså inte något nytt. Om du är förtrogen med reglerna i PuL är du i stort sett i hamn! Det finns dock några regler som har tillkommit i DSF. 5

Det som är förändrat är bland annat ökade rättigheter för registrerade personer universitetet måste ha ett dataskyddsombud direkta skyldigheter och ansvar för personuppgiftsbiträden andra aktörer som behandlar uppgifter för vår räkning universitetet kan drabbas av sanktioner om vi inte följer regelverket 6

Viktiga roller och benämningar Roll Personuppgiftsansvarig Dataskyddsombud Personuppgiftsbiträden Tillsynsmyndighet Registrerad Detta innebär ansvarig offentlig myndighet, institution eller organ, i vårt fall universitetet roll hos universitetet som kontrollerar att vi behandlar personuppgifter korrekt enligt DSF andra aktörer som behandlar personuppgifter för universitetets räkning enligt avtal, exempelvis Statens Servicecenter Datainspektionen (kommande Integritetsskyddsmyndigheten) den vars personuppgifter behandlas 7

Vad är en personuppgift? 8

Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en identifierbar person som är i livet. Exempel är: namn identifikationsnummer (som personnummer) e-postadress postadress foton och videofilmer hårfärg onlineidentifierare, till exempel lokaliseringsuppgifter via mobilen Avgörande är om en uppgift går att koppla till en enskild person eller inte. Hårfärg i sig är ingen personuppgift om den inte kan användas tillsammans med en annan uppgift för att identifiera någon. 9

Ibland behövs det flera uppgifter för att identifiera en person: Kvinna som är rektor för ett svenskt universitet Eva Wiberg, 158 personer listade på Eniro Eva Wiberg, rektor på Göteborgs universitet 10

Vissa personuppgifter kategoriseras som känsliga Här ingår uppgifter om: ras eller etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i fackförening hälsa eller sexualliv genetiska och biometriska uppgifter Huvudprincipen är att känsliga uppgifter inte får behandlas. Det finns undantag från denna princip, till exempel när den som personuppgiften handlar om har gett sitt uttryckliga samtycke till behandling. 11

Personnummer och andra samordningsnummer får enbart behandlas i följande fall: A. Vid samtycke B. Utan samtycke om det är klart motiverat med hänsyn till: 1. ändamålet med behandlingen 2. vikten av en säker identifiering, eller 3. något annat beaktansvärt skäl 12

Vad innebär behandling av personuppgifter? 13

Behandling av personuppgifter omfattar insamling organisering och lagring läsning och användning bearbetning och ändring spridning och överföring radering och allt annat som rimligen kan göras med uppgifterna. 14

När en medarbetare vid universitetet till exempel administrerar examination av studenter administrerar medarbetares anställningar samlar in personuppgifter från deltagare i ett publikt evenemang samlar in forskningsdata med personuppgifter antingen från forskningspersonerna själva eller från annan källa innebär det att denne behandlar andras personuppgifter. 15

Laglig behandling av personuppgifter För behandling av personuppgifter måste ett antal grundläggande principer följas (artikel 5 i DSF) det finnas en rättslig grund för behandlingen (artikel 6 i DSF) 16

De grundläggande principerna innebär laglighet, korrekthet och öppenhet uppgifterna ska behandlas lagligt, korrekt och öppet i förhållande till den registrerade ändamålsbegränsning det ska finnas ett särskilt, uttryckligt och berättigat ändamål med behandlingen uppgiftsminimering uppgifterna ska vara relevanta, adekvata och inte för omfattande i relation till ändamålet korrekthet uppgifterna ska vara korrekta och om nödvändigt uppdaterade lagringsminimering uppgifterna får inte förvaras längre än nödvändigt integritet och konfidentialitet lämpliga tekniska och organisatoriska åtgärder ska vidtas för att säkerställa tillräckligt skydd för uppgifterna 17

Rättsliga grunder för behandling För att behandla personuppgifter måste minst en av följande rättsliga grunder vara uppfyllda: samtycke från den registrerade allmänt intresse eller myndighetsutövning för att utföra arbetsuppgift av allmänt intresse eller i samband med myndighetsutövning avtal inför att ingå eller för att fullgöra ett avtal med den registrerade rättslig förpliktelse för att fullgöra en rättslig skyldighet grundläggande intressen för att skydda registrerades intressen berättigat intresse 18

Dessa rättsliga grunder ligger närmast till hands för universitetets verksamhet Rättslig grund Innebär Exempel från vår verksamhet Samtycke frivilligt informerat dokumenterat Avtal Rättslig förpliktelse Uppgift av allmänt intresse Myndighetsutövning för att fullfölja avtal med den registrerade att följa lagar och andra regler uppdrag från riksdag och regering nödvändigt som ett led i myndighetsutövning forskning samverkan marknadsföring anställningsavtal samarbetsavtal inköpsavtal LADOK-förordningen Arkivlagen Arbetsmiljölagen utbildning forskning samverkan examinering disciplinärenden 19

Särskilt om kraven för samtycke För att kunna använda samtycke som rättslig grund måste följande krav uppfyllas: samtycket ska vara frivilligt och individuellt avse ett särskild specifik behandling samtycket ska ha lämnats genom ett otvetydig eller uttrycklig viljeyttring den registrerade ska ha fått klar och tydlig information om syftet med behandlingen den registrerade har rätt att när som helst återkalla samtycket 20

Den registrerades rättigheter 21

Den registrerade har bland annat rätt till att få tillgång till sina uppgifter (registerutdrag) att få felaktiga personuppgifter rättade eller kompletterade att få personuppgifter raderade detta under förutsättning att uppgifterna inte längre behövs för ändamålet eller att uppgifter inte ska arkiveras enligt krav från annan lagstiftning att kunna flytta sina personuppgifter till annan (så kallad dataportabilitet) att göra invändningar mot personuppgiftsbehandlingen klar och tydlig information om personuppgiftsbehandlingen 22

Information till den registrerade Information som lämnas till den registrerade om behandlingen av dennes personuppgifter ska vara kortfattad och lättbegriplig. Det ska bland annat ingå information om: vilka uppgifter som behandlas för vilket ändamål behandlingen görs och med vilken rättslig grund om personuppgifterna ska överföras utanför EU/EES-området kontaktuppgifter till dataskyddsombud 23

Säker behandling av personuppgifter 24

Registerförteckning över alla behandlingar Universitetet ska föra register över de personuppgiftsbehandlingar som sker inom ramen för vår verksamhet. Registret ska bland annat innehålla information om: ändamålen med behandlingen beskrivning av kategorier av registrerade och kategorier av personuppgifter eventuella externa mottagare av personuppgifterna, och om uppgifter förs över till tredje land (utanför EU/EES) kontaktuppgifter till den som ansvarar för behandlingen, till exempel chef eller forskningsledare 25

Hantera personuppgifterna säkert! Det är av stor vikt att personuppgifter hanteras på ett säkert sätt så att de inte kan stjälas, raderas eller ändras. Du som behandlar personuppgifter i ditt arbete behöver tänka på att: hålla dig uppdaterad kring våra policys och riktlinjer enbart använda de verktyg som är godkända enligt universitetets regler arbeta säkert använd säkra lösenord, lås eller logga ut från datorn när du går ifrån den och lämna inte mobila enheter utan uppsikt 26

Incidenter ska rapporteras Om universitetet förlorar kontroll över personuppgifter ska detta rapporteras till Datainspektionen (kommande Integritetsskyddsmyndigheten). Det kan till exempel handla om: stöld av information information som tappats bort dataintrång att obehöriga fått tillgång till personuppgifter 27

Till sist: det här är viktigast att tänka på! 28

Följ alltid de grundläggande principerna behandla inte fler personuppgifter än vad som är nödvändigt samla bara in personuppgifter för specifika och i förväg bestämda ändamål spara inte personuppgifterna längre än vad som behövs 29

Se till att alltid ha en rättslig grund för behandlingen samtycke från den registrerade för att utföra arbetsuppgift av allmänt intresse eller i samband med myndighetsutövning inför att ingå eller för att fullgöra ett avtal med den registrerade för att fullgöra en rättslig skyldighet för att skydda registrerades grundläggande intressen för berättigat intresse 30

Det här är på gång Mer information, styrdokument och anvisningar kommer att samlas på gu.se/personuppgifter En stödorganisation för personuppgiftsbehandling ska ta form. Tänkt organisation består av ett dataskyddsombud, en dataskyddsgrupp samt kontaktpersoner på fakulteterna Utbildningar och information som berör olika aspekter kring personuppgiftsbehandling ska tas fram 31

Vem kan du kontakta vid frågor? Kontakta projektet via dsf@gu.se 32

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss