Behandling av personuppgifter vid Göteborgs universitet Illustrationer: Dolling Tahko 1
Personuppgifter vid Göteborgs universitetet Universitet behandlar personuppgifter för Studenter (till exempel i Ladok) Medarbetare (till exempel i Agresso och Primula) Övriga (forskningspersoner, alumner, affärskontakter, konferensgäster med flera) Från och med den 25 maj 2018 regleras behandlingen av personuppgifter i ny lagstiftning. 2
Syftet med dataskyddsförordningen är ett enhetligt regelverk och underlättandet av fritt flöde av personuppgifter inom EU/EES att skydda den enskildes personliga integritet Dataskyddsförordningen är en EU-förordning, vilket innebär att reglerna kommer att gälla som lag direkt och tillämpas på samma sätt i alla EU:s medlemsstater. Allmän dataskyddsförordning (DSF) = General Data Protection Regulation (GDPR) 3
Dataskyddsförordningen ersätter EU:s dataskyddsdirektiv (95/46/EG) Personuppgiftslagen, PuL (1998:204) Personuppgiftsförordningen (1998:1191) Datainspektionens föreskrifter Förordningen medger också vissa nationella särregler. I Sverige kompletteras DSF med: Dataskyddslagen Forskningsdatalagen Eventuellt en studiedatalag 4
Vad skiljer DSF från tidigare lagstiftning? I princip alla krav från personuppgiftslagen finns kvar i DSF. Mycket av det som beskrivs i denna presentation är alltså inte något nytt. Om du är förtrogen med reglerna i PuL är du i stort sett i hamn! Det finns dock några regler som har tillkommit i DSF. 5
Det som är förändrat är bland annat ökade rättigheter för registrerade personer universitetet måste ha ett dataskyddsombud direkta skyldigheter och ansvar för personuppgiftsbiträden andra aktörer som behandlar uppgifter för vår räkning universitetet kan drabbas av sanktioner om vi inte följer regelverket 6
Viktiga roller och benämningar Roll Personuppgiftsansvarig Dataskyddsombud Personuppgiftsbiträden Tillsynsmyndighet Registrerad Detta innebär ansvarig offentlig myndighet, institution eller organ, i vårt fall universitetet roll hos universitetet som kontrollerar att vi behandlar personuppgifter korrekt enligt DSF andra aktörer som behandlar personuppgifter för universitetets räkning enligt avtal, exempelvis Statens Servicecenter Datainspektionen (kommande Integritetsskyddsmyndigheten) den vars personuppgifter behandlas 7
Vad är en personuppgift? 8
Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en identifierbar person som är i livet. Exempel är: namn identifikationsnummer (som personnummer) e-postadress postadress foton och videofilmer hårfärg onlineidentifierare, till exempel lokaliseringsuppgifter via mobilen Avgörande är om en uppgift går att koppla till en enskild person eller inte. Hårfärg i sig är ingen personuppgift om den inte kan användas tillsammans med en annan uppgift för att identifiera någon. 9
Ibland behövs det flera uppgifter för att identifiera en person: Kvinna som är rektor för ett svenskt universitet Eva Wiberg, 158 personer listade på Eniro Eva Wiberg, rektor på Göteborgs universitet 10
Vissa personuppgifter kategoriseras som känsliga Här ingår uppgifter om: ras eller etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i fackförening hälsa eller sexualliv genetiska och biometriska uppgifter Huvudprincipen är att känsliga uppgifter inte får behandlas. Det finns undantag från denna princip, till exempel när den som personuppgiften handlar om har gett sitt uttryckliga samtycke till behandling. 11
Personnummer och andra samordningsnummer får enbart behandlas i följande fall: A. Vid samtycke B. Utan samtycke om det är klart motiverat med hänsyn till: 1. ändamålet med behandlingen 2. vikten av en säker identifiering, eller 3. något annat beaktansvärt skäl 12
Vad innebär behandling av personuppgifter? 13
Behandling av personuppgifter omfattar insamling organisering och lagring läsning och användning bearbetning och ändring spridning och överföring radering och allt annat som rimligen kan göras med uppgifterna. 14
När en medarbetare vid universitetet till exempel administrerar examination av studenter administrerar medarbetares anställningar samlar in personuppgifter från deltagare i ett publikt evenemang samlar in forskningsdata med personuppgifter antingen från forskningspersonerna själva eller från annan källa innebär det att denne behandlar andras personuppgifter. 15
Laglig behandling av personuppgifter För behandling av personuppgifter måste ett antal grundläggande principer följas (artikel 5 i DSF) det finnas en rättslig grund för behandlingen (artikel 6 i DSF) 16
De grundläggande principerna innebär laglighet, korrekthet och öppenhet uppgifterna ska behandlas lagligt, korrekt och öppet i förhållande till den registrerade ändamålsbegränsning det ska finnas ett särskilt, uttryckligt och berättigat ändamål med behandlingen uppgiftsminimering uppgifterna ska vara relevanta, adekvata och inte för omfattande i relation till ändamålet korrekthet uppgifterna ska vara korrekta och om nödvändigt uppdaterade lagringsminimering uppgifterna får inte förvaras längre än nödvändigt integritet och konfidentialitet lämpliga tekniska och organisatoriska åtgärder ska vidtas för att säkerställa tillräckligt skydd för uppgifterna 17
Rättsliga grunder för behandling För att behandla personuppgifter måste minst en av följande rättsliga grunder vara uppfyllda: samtycke från den registrerade allmänt intresse eller myndighetsutövning för att utföra arbetsuppgift av allmänt intresse eller i samband med myndighetsutövning avtal inför att ingå eller för att fullgöra ett avtal med den registrerade rättslig förpliktelse för att fullgöra en rättslig skyldighet grundläggande intressen för att skydda registrerades intressen berättigat intresse 18
Dessa rättsliga grunder ligger närmast till hands för universitetets verksamhet Rättslig grund Innebär Exempel från vår verksamhet Samtycke frivilligt informerat dokumenterat Avtal Rättslig förpliktelse Uppgift av allmänt intresse Myndighetsutövning för att fullfölja avtal med den registrerade att följa lagar och andra regler uppdrag från riksdag och regering nödvändigt som ett led i myndighetsutövning forskning samverkan marknadsföring anställningsavtal samarbetsavtal inköpsavtal LADOK-förordningen Arkivlagen Arbetsmiljölagen utbildning forskning samverkan examinering disciplinärenden 19
Särskilt om kraven för samtycke För att kunna använda samtycke som rättslig grund måste följande krav uppfyllas: samtycket ska vara frivilligt och individuellt avse ett särskild specifik behandling samtycket ska ha lämnats genom ett otvetydig eller uttrycklig viljeyttring den registrerade ska ha fått klar och tydlig information om syftet med behandlingen den registrerade har rätt att när som helst återkalla samtycket 20
Den registrerades rättigheter 21
Den registrerade har bland annat rätt till att få tillgång till sina uppgifter (registerutdrag) att få felaktiga personuppgifter rättade eller kompletterade att få personuppgifter raderade detta under förutsättning att uppgifterna inte längre behövs för ändamålet eller att uppgifter inte ska arkiveras enligt krav från annan lagstiftning att kunna flytta sina personuppgifter till annan (så kallad dataportabilitet) att göra invändningar mot personuppgiftsbehandlingen klar och tydlig information om personuppgiftsbehandlingen 22
Information till den registrerade Information som lämnas till den registrerade om behandlingen av dennes personuppgifter ska vara kortfattad och lättbegriplig. Det ska bland annat ingå information om: vilka uppgifter som behandlas för vilket ändamål behandlingen görs och med vilken rättslig grund om personuppgifterna ska överföras utanför EU/EES-området kontaktuppgifter till dataskyddsombud 23
Säker behandling av personuppgifter 24
Registerförteckning över alla behandlingar Universitetet ska föra register över de personuppgiftsbehandlingar som sker inom ramen för vår verksamhet. Registret ska bland annat innehålla information om: ändamålen med behandlingen beskrivning av kategorier av registrerade och kategorier av personuppgifter eventuella externa mottagare av personuppgifterna, och om uppgifter förs över till tredje land (utanför EU/EES) kontaktuppgifter till den som ansvarar för behandlingen, till exempel chef eller forskningsledare 25
Hantera personuppgifterna säkert! Det är av stor vikt att personuppgifter hanteras på ett säkert sätt så att de inte kan stjälas, raderas eller ändras. Du som behandlar personuppgifter i ditt arbete behöver tänka på att: hålla dig uppdaterad kring våra policys och riktlinjer enbart använda de verktyg som är godkända enligt universitetets regler arbeta säkert använd säkra lösenord, lås eller logga ut från datorn när du går ifrån den och lämna inte mobila enheter utan uppsikt 26
Incidenter ska rapporteras Om universitetet förlorar kontroll över personuppgifter ska detta rapporteras till Datainspektionen (kommande Integritetsskyddsmyndigheten). Det kan till exempel handla om: stöld av information information som tappats bort dataintrång att obehöriga fått tillgång till personuppgifter 27
Till sist: det här är viktigast att tänka på! 28
Följ alltid de grundläggande principerna behandla inte fler personuppgifter än vad som är nödvändigt samla bara in personuppgifter för specifika och i förväg bestämda ändamål spara inte personuppgifterna längre än vad som behövs 29
Se till att alltid ha en rättslig grund för behandlingen samtycke från den registrerade för att utföra arbetsuppgift av allmänt intresse eller i samband med myndighetsutövning inför att ingå eller för att fullgöra ett avtal med den registrerade för att fullgöra en rättslig skyldighet för att skydda registrerades grundläggande intressen för berättigat intresse 30
Det här är på gång Mer information, styrdokument och anvisningar kommer att samlas på gu.se/personuppgifter En stödorganisation för personuppgiftsbehandling ska ta form. Tänkt organisation består av ett dataskyddsombud, en dataskyddsgrupp samt kontaktpersoner på fakulteterna Utbildningar och information som berör olika aspekter kring personuppgiftsbehandling ska tas fram 31
Vem kan du kontakta vid frågor? Kontakta projektet via dsf@gu.se 32