Personuppgifter och Dataskyddsförordningen
EU: s Dataskyddsförordning (ofta förkortad GDPR) syftar till att skydda individers personuppgifter och deras rätt till privatliv. Att följa GDPR är viktigt för att säkerställa att personuppgifter behandlas på ett rättvist, lagligt och transparent sätt. Dataskyddsförordningen ställer höga krav på hur Uppsala universitet och dess anställda hanterar personuppgifter i verksamheten.
Personuppgift
En personuppgift är all slags information som direkt eller indirekt kan kopplas till en levande identifierbar person, till exempel namn, personnummer, bilder, e-postadresser, IP-adress och kodnyckeln till kodat material som kan ge information om enskilda.
Känslig personuppgift
En känslig personuppgift är en uppgift som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter som entydigt identifierar en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Personnummer är inte en känslig personuppgift men omfattas av särskilda regler.
Behandling av personuppgifter
Med behandling av personuppgifter menas all hantering som görs med personuppgifter, oavsett om det sker elektroniskt eller inte. Detta inkluderar passiv hantering som lagring av uppgifterna och hantering som för att behandlingen upphör såsom radering.
Allmänna krav
För att behandla personuppgifter enligt lagens krav måste:
- Det finnas ett klart angivet ändamål,
- behandlingen måste vara nödvändig för ändamålet, och
- det finnas en laglig grund för behandlingen.
- Alla personuppgifter ska skyddas med tekniska och organisatoriska åtgärder.
- Om en behandling sker tillsammans med andra krävs någon form av personuppgiftshanteringsavtal beroende av hur relationen ser ut mellan de inblandade parterna.
Det ovanstående måste vara dokumenterat och all personuppgiftsbehandling vid Uppsala universitet ska anmälas och registreras centralt (se nedan).
Anmälan av personuppgiftsbehandling
Uppsala universitets rutin för anmälan om personuppgiftsbehandling inkluderar alla moment som ska vidtas och är tänkt att samla alla handlingar (anmälan, informationsklassificering, personuppgiftsavtal, ev. korrespondens m.m.) i ett och samma ärende.
Följande steg behöver beaktas och hanteras:
- Gör en informationsklassificering enligt de riktlinjer du hittar i denna länk (se bilagorna 2 och 6).
Om du har frågor kring detta kan du kontakta security@uu.se.
- Om personuppgiftsbehandlingen ska utföras åt någon annan (t.ex. ett annat lärosäte) och det bestämmer hur och varför detta ska ske, eller om UU anlitar någon annan krävs ett personuppgiftsbiträdesavtal. Detta är vanligt vid uppdragsforskning eller vid anlitande av tjänsteleverantörer, t. ex. IT-tjänster.
Om Uppsala universitet och en eller fler andra aktörer gemensamt ska genomföra personuppgiftsbehandling och aktörerna tillsammans bestämmer varför och hur personuppgiftsbehandlingen ska gå till så ska man ha ett avtal om gemensamt personuppgiftsansvar. Detta är det vanliga vid forskningssamarbeten.
Avtalen ovan ska, i första hand, upprättas baserat på ett av universitetets mallavtal.
- Känsliga personuppgifter omfattas av särskilda bestämmelser i GDPR och utgångspunkten är att behandling av känsliga personuppgifter är förbjuden. Etikprövning är en skyddsåtgärd som krävs för behandling av känsliga personuppgifter för forskningsändamål enligt GDPR. För att förbudet mot att behandla känsliga personuppgifter inte ska gälla vid forskning krävs alltså att behandlingen har godkänts vid etikprövning. Om du behöver ett etikgodkännande vänder du dig till Etikprövningsmyndigheten genom ett elektroniskt ansökningsförfarande. Här är en länk till frågor och svar kring etiskt godkännande.
- Rör din forskning barn eller i övrigt leder till en hög risk för deltagarnas fri- och rättigheter t.ex. genom att samla in en stor mängd personuppgifter, ska du behöva göra en konsekvensbedömning (se nedan).
Du kan vända dig till Dataskyddsombudet på dataskyddsombud@uu.se för att få hjälp med din konsekvensbedömning. Läs mer om planering av hanteringen av data i denna länk.
- Hos itsupport@uu.se kan du beställa en säker lagringsyta för forskningsdata från någon av universitetets centrala tjänster inklusive ALLVIS som beskrivs närmare i denna länk.
- Det sista steget i rutinen är själva anmälan av personuppgiftsbehandlingen (länkar återfinns i slutet av denna text). Anmälan görs på en elektronisk blankett där du samtidigt laddar upp övriga dokument som är relevanta för behandlingen (informationsklassificering, personuppgiftsavtal, etikbeslut m.m.).
Stöd vid anlitande av biträden
I länken finns ett flödesschema som stöd vid anlitande av personuppgiftsbiträde Pdf, 29 kB. i enlighet med Dataskyddsförordningen (GDPR)
Förklaring till flödesschemat
- För att ett biträde ska få behandla personuppgifter på universitetets uppdrag måste hanteringen regleras genom ett avtal mellan personuppgiftsansvarig (PUA) och personuppgiftsbiträde (PUB). Detta avtal brukar kallas personuppgiftsbiträdesavtal (PUBA eller DPA på engelska). Det är PUA: s ansvar att ett PUBA kommer på plats och att innehållet är sådant att de registrerades rättigheter skyddas. PUA får inte anlita ett biträde som inte kan ge tillräckliga garantier för att behandlingen sker korrekt och säkert samt att hanteringen endast sker enligt PUA: s dokumenterade instruktioner (i avtalet och efterkommande). Utan avtal eller bindande rättsakt som reglerar hanteringen är det inte tillåtet att anlita ett PUB (Se artikel 28.1 och 28.3).
- I vissa fall, särskilt när det handlar om ett PUB som tillhandahåller samma tjänst till fler PUA, vill man gärna ha enhetliga PUBA och PUB har därför tagit fram en egen avtalstext. Vems avtal som används är inte avgörande utan det är istället innehållet som inte får avvika från kravet om att säkerställa de registrerades rättigheter. Det är formellt PUA som ansvarar för all behandling som sker genom avtalet och det är därför nödvändigt att noga granska PUB: s avtalsförslag. Innehållet får i sak inte avvika från PUA:s instruktioner och det får inte innehålla villkor som gör det omöjligt för PUA att säkerställa de registrerades rättigheter, exempelvis genom att biträdet ges rätt att behandla personuppgifterna för egna ändamål. Kan inte PUA garantera de registrerades rättigheter får PUB inte anlitas (Se artikel 28.1 och 28.3 GDPR).
- Ett första steg för att avgöra vilken säkerhetsnivå som är nödvändig är att inventera vilka kategorier av personuppgifter som omfattas av behandlingen. I vissa fall är det en tydlig väldefinierad mängd där det kanske även finns tekniska åtgärder som göra att andra uppgifter inte kan komma ifråga. I andra fall är tjänsten mindre väldefinierad och det kan även finnas anledning att misstänka att uppgifter som tjänsten inte är avsedd för kan komma att behandlas.
- Är det så att ytterligare personuppgifter utöver de som behandlingen är avsedd att hantera kommer att omfattas av behandlingen är det viktigt att det är klarlagt vilka dessa är. Att veta vad som kommer att behandlas är en nödvändig förutsättning för att bestämma de tekniska och organisatoriska säkerhetsåtgärder som krävs (se artiklarna 24 och 25). Om det överhuvudtaget inte går att fastställa vilka kategorier som kommer att behandlas är det i praktiken mycket svårt att bestämma nödvändiga åtgärder.
- En konsekvensbedömning (DPIA, läs mer nedan) innan en behandling av personuppgifter påbörjas är nödvändig om känsliga personuppgifter ska behandlas men kan även vara ett krav om behandlingen på grund av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers fri- och rättigheter (artikel 35). Konsultera med dataskyddsombudet för att genomföra en DPIA.
- En DPIA kommer att identifiera en serie risker och åtgärder för att eliminera eller åtminstone reducera dessa. Skulle det, efter den egna konsekvensbedömningen, kvarstå en sannolikhet för hög risk kan man begära förhandssamråd med Integritetsskyddsmyndigheten som kan identifiera och värdera åtgärder för att öka säkerheten. Om åtgärderna inte är tillräckliga för att garantera den säkerhet för de registrerade som följer av artikel 24 kan behandlingen inte utföras.
- Om PUB genomför sin behandling inom EU/EES omfattas man av GDPR och det är inte en export av personuppgifter till ett tredjeland med mindre än att PUB har ett underbiträde utanför EU/EES. Se mer om överföring till tredjeland nedan.
Dataskyddsförordningens grundläggande begrepp och principer
EU: s Dataskyddsförordning (ofta förkortad GDPR) har som mål att skydda enskilda individers personuppgifter och deras rätt till privatliv. Att följa GDPR är viktigt för att säkerställa att personuppgifter behandlas på ett rättvist, lagligt och transparent sätt. Förordningen ställer höga krav på hur Uppsala universitet och dess anställda hanterar personuppgifter i verksamheten.
Nedan följer en beskrivning av grundläggande begrepp och centrala principer i Dataskyddsförordningen.
Grundläggande begrepp
Nedan följer en förklaring av centrala termer och begrepp som förekommer i regelverket om skydd av enskildas personuppgifter.
Vad är en personuppgift?
All information som handlar om fysiska personer som direkt eller indirekt kan identifieras är personuppgifter. Det spelar ingen roll om personen är direkt identifierbar genom uppgiften eller om det krävs ytterligare information för att hen ska kunna identifieras.
Exempel på personuppgifter är namn, adress, e-postadress, personnummer, id-kortnummer, telefonnummer, IP-adress, foton eller provkoden till prover från levande personer (information om avlidna kan dock i vissa fall kopplas till levande personer).
Exempel på uppgifter som inte räknas som personuppgifter är organisationsnummer (utom vid enskild firma, då anses det vara en personuppgift) och e-postadresser till juridiska personer.
Vad är känsliga personuppgifter?
Det är förbjudet att behandla känsliga personuppgifter (eller särskilda kategorier av personuppgifter) om inte ett eller fler undantag föreligger. För att en behandling av känsliga personuppgifter ska vara tillåten krävs dessutom att den lever upp till grundläggande principer och har stöd i en specifik laglig grund. Följande personuppgifter är känsliga:
- Ras eller etniskt ursprung
(gällande användningen av termen ”ras” i GDPR så innebär det uttryckligen inte att EU eller UU godtar teorier som söker fastställa förekomsten av skilda människoraser)
- Politiska åsikter
- Religiös eller filosofisk övertygelse
- Medlemskap i en fackförening
- Hälsa
- Sexualliv eller sexuell läggning
- Genetiska uppgifter
- Biometriska uppgifter som entydigt identifierar en person
Vad betyder personuppgiftsbehandling?
Behandling är ett brett begrepp och innefattar allt som kan göras med personuppgifter. Till exempel kan man samla in, registrera, lagra, lämna ut eller radera uppgifterna.
Vilka är de registrerade?
Med registrerad avses den levande person som en personuppgift avser, det vill säga handlar om.
Vad är en personuppgiftsansvarig?
Personuppgiftsansvarig är den organisation (till exempel myndighet, aktiebolag, stiftelse eller förening) som bestämmer för vilka ändamål personuppgifterna ska behandlas och med vilka medel detta ska ske (detta brukar beskrivas som att den ansvarige bestämmer hur och varför en behandling ska ske). Det är alltså inte den enskilda chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Även en fysisk person kan vara personuppgiftsansvarig, till exempel när det gäller enskilda firmor. Det är Uppsala universitet som är personuppgiftsansvarig för behandlingar som utförs inom ramen för universitetets verksamhet.
Vad är ett personuppgiftsbiträde?
Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning eller på dennes uppdrag. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. Ett biträde får inte bestämma ändamålen med en behandling men kan ofta ha synpunkter på hur behandlingen genomförs.
Grundläggande principer
De grundläggande principerna
Dataskyddsförordningen bygger på sex grundläggande principer som varje personuppgiftsansvarig organisation måste följa för att säkerställa korrekt behandling av personuppgifter. Dataskyddsförordningen ställer höga krav på behandling av personuppgifter, och potentiella sanktioner vid överträdelser kan vara allvarliga. Om Uppsala universitet inte följer de grundläggande principerna i Dataskyddsförordningen i sin behandling av personuppgifter det bland annat leda till höga administrativa sanktionsavgifter och allvarlig anseendeskada för universitetet. Nedan finner du information om dessa grundprinciper och som ska följas vid alla personuppgiftsbehandlingar.
De sex grundläggande principerna är:
- Principen om laglighet, korrekthet och öppenhet
- Principen om ändamålsbegränsning
- Principen om uppgiftsminimering
- Principen om riktighet
- Principen om lagringsminimering, och
- Principen om integritet och konfidentialitet.
All behandling av personuppgifter måste stödjas på en laglig grund (se nedan). personuppgifter bara får samlas in för berättigade ändamål som inte är alltför allmänt hållna och mängden uppgifter ska begränsas till vad som är nödvändigt för dessa ändamål. Det betyder att uppgifter inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål och inte heller sparas längre än nödvändigt. Som utgångspunkt måste följande krav vara uppfyllda för att man ska ha följt regelverket:
- Behandlingen är nödvändig (kan ej genomföras utan personuppgifterna.)
- Behandlingen omfattas av en laglig grund.
- Behandlingen beaktar de allmänna principerna (se nedan i mer detalj).
- Behandlingen skyddas av organisatoriska och tekniska skyddsåtgärder.
Den som behandlar personuppgifter ska kunna visa att principerna följs. Principerna ska iakttas vid all behandling och den som behandlar personuppgifter måste därför ha rutiner för att se till att de följs.
Laglighet, korrekthet och öppenhet (Eng. lawfulness, fairness and transparency)
Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.
Kravet på att behandlingen av personuppgifter ska vara laglig innebär bland annat att det måste finnas en laglig grund för behandlingen.
Kravet på en korrekt behandling förutsätter att de registrerade får kännedom om behandlingen, det vill säga att de informeras i enlighet med regleringen i Dataskyddsförordningen.
Kravet på öppenhet innebär bland annat att det ska vara klart och tydligt för en registrerad person hur hens personuppgifter samlas in och i övrigt behandlas. De registrerade måste därför få information om behandlingen, exempelvis efter begäran om registerutdrag få informationen på ett lättillgängligt sätt och formulerat med ett klart och tydligt språk.
Ändamålsbegränsning (Eng. purpose limitation)
Alla personuppgifter ska enligt Dataskyddsförordningen bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. De på förhand fastställda ändamålen är det som sätter ramarna för behandlingen. Ändamålen ska vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Det finns inte någon möjlighet att skjuta upp bestämmandet av ändamålet till ett senare tillfälle och ett ändamål kan inte läggas till efteråt.
Ändamålen ska dokumenteras skriftligt och den registrerade ska få information om ändamålen både när uppgifterna samlas in och annars när denne begär det. Om de insamlade personuppgifterna senare ska behandlas för andra ändamål som är förenliga med de ursprungliga ändamålen måste de registrerade också informeras om detta. De insamlade personuppgifterna får under vissa förutsättningar behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål utan att det anses oförenligt med de ursprungliga ändamålen om det finns lämpliga skyddsåtgärder för de registrerades rättigheter.
Ändamålen kan även finnas angivna i lagstiftning i vissa fall och den personuppgiftsansvarige ska då följa den regleringen. Oavsett om ändamålen fastställts i författning eller inte är det dock alltid den personuppgiftsansvarige som ansvarar för, och ska kunna visa, att de grundläggande principerna följs. Det är den personuppgiftsansvarige som är ansvarig för att behandlingen enbart sker för de angivna ändamålen. Vid en tvist är det denne som har bevisbördan eftersom det är den personuppgiftsansvarige som i första hand bestämmer ändamålen.
Uppgiftsminimering (Eng. data minimisation)
Principen om uppgiftsminimering innebär att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Det är med andra ord inte tillåtet att samla in personuppgifter för obestämda framtida behov, ”bra att ha”-uppgifter. Insamlade personuppgifter får inte heller behandlas om de till exempel är så gamla att de inte längre är relevanta för de ursprungliga ändamålen.
Att personuppgifterna inte ska vara för omfattande i förhållande till de ändamål för vilka de behandlas innebär att de ska vara begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. Samla varken in mer eller mindre personuppgifter, eller ovidkommande uppgifter, än vad som verkligen behövs i förhållande till ändamålet med behandlingen.
Man ska kunna förklara varför de olika uppgifterna behövs för att uppfylla ändamålen med behandlingen. Detta kan även i praktiken betyda att den personuppgiftsansvarige som t.ex. använder fritextfält bör utfärda skriftliga instruktioner om vilken information som är relevant att lämna i fältet. För att säkerställa att personuppgifter inte sparas längre än nödvändigt finns inom Uppsala universitet tidsfrister för radering för regelbunden kontroll.
Korrekthet (eng. accuracy)
Personuppgifter ska vara korrekta och uppdaterade. Den som behandlar personuppgifter måste vidta alla rimliga åtgärder för att säkerställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål. Om ändamålet kräver det ska personuppgifterna också vara uppdaterade. Det betyder att den personuppgiftsansvariga behöver vara aktiv för att säkerställa personuppgifternas kvalitet och att inte vänta med att agera förrän den registrerade utnyttjar sin rätt till rättelse av bl.a. felaktiga personuppgifter. Omständigheterna i varje enskilt fall såsom t.ex. ändamålen med behandlingen, hur många personuppgifter som behandlas och vilka konsekvenser en felaktig uppgift kan få för den registrerade kan vara faktorer som beaktas. Om det är nödvändigt att uppgifterna är uppdaterade torde avgöras med hänsyn till ändamålen med behandlingen.
Lagringsminimering (eng. storage limitation)
Personuppgifter får inte lagras i en form som möjliggör identifiering av den registrerade längre än nödvändigt för de avsedda ändamålen. När personuppgifterna inte längre behövs för de ändamålen ska de raderas eller avidentifieras. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den som behandlar personuppgifter införa tidsfrister och rutiner för radering eller avidentifiering.
De insamlade personuppgifterna får under vissa förutsättningar lagras under längre tid för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål om det finns lämpliga skyddsåtgärder för de registrerades rättigheter.
Det krävs också enligt Dataskyddsförordningen att den personuppgiftsansvarige ska tillhandahålla information till de registrerade om bl.a. den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period. Detta gäller oavsett om personuppgifterna kommer från den registrerade själv eller inte, dvs. om de har erhållits från någon annan. Samma information ska även ges om den registrerade begär ett registerutdrag.
Integritet och konfidentialitet (Eng. integrity and confidentiality)
Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Den som behandlar personuppgifter ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Personuppgifter ska alltså behandlas på ett sätt som säkerställer lämplig säkerhet och konfidentialitet för personuppgifterna samt förhindrar obehörigt tillträde till och obehörig användning av personuppgifter och den utrustning som används för behandlingen.
Integritet har i detta sammanhang karaktär av en säkerhetsprincip med innebörden att personuppgifterna inte ska förändras eller förstöras av misstag varken av en obehörig person eller den berörda processen.
Även konfidentialitet är också en säkerhetsprincip som innebär att informationen inte ska göras tillgänglig eller avslöjas för obehörig person eller genom processen. Båda begreppen ingår i generell informationssäkerhet.
Ansvarsskyldighet (Eng. accountability)
Den som behandlar personuppgifter ansvarar för att principerna om personuppgiftsbehandling följs och måste kunna visa på vilket sätt man följer dem. Det finns flera sätt att visa detta, till exempel genom att ha tydlig information till de registrerade, att dokumentera de behandlingar som pågår i organisationen och de överväganden man har gjort samt att ha dokumenterade interna riktlinjer för dataskyddet, en dataskyddspolicy. Dataskyddsombudet kontrollerar organisationens efterlevnad av förordningen och de interna riktlinjerna, vilket också är ett sätt att uppfylla kravet på ansvarsskyldighet.
Laglig grund för behandling av personuppgifter
För att behandla personuppgifter på ett lagligt sätt krävs ett tydligt och preciserat ändamål med behandlingen, att behandlingen är nödvändig för att uppnå ändamålet och att det finns en så kallad laglig grund (också kallad rättslig grund).
Att behandlingen ska vara nödvändig betyder i praktiken att man inte ska kunna uppnå sitt ändamål på ett annat sätt. Om man kan uppnå ändamålet med till exempel anonymiserade uppgifter anses inte behandlingen av personuppgifter nödvändig. Stora effektivitetsvinster får beaktas som faktor vid nödvändighetsbedömningen.
Dataskyddsförordningen ger (i artikel 6) ett antal olika lagliga grunder som man kan stödja en personuppgiftsbehandling på. Det är mycket viktigt att man har klart för sig vilken laglig grund man stödjer sin behandling på innan behandlingen påbörjas. Den som har tänkt att utföra en personuppgiftsbehandling på Uppsala universitet ska uppge vilken laglig grund som ligger till grund för behandlingen. Den lagliga grunden ska uppges i den e-blankett som personuppgiftsbehandlingen ska anmälas på.
Laglig grund i korthet
De lagliga (också kallat rättsliga) grunderna du kan stödja din behandling på är:
- Fullgörandet av en uppgift av allmänt intresse (den normala vid forskning/utbildning),
- Fullgörande av ett avtal (exempelvis anställningsavtal),
- Fullgörande av myndighetsutövning (för myndigheter, exempelvis examination),
- Samtycke (är oftast inte tillåtet för myndigheter och är förknippat med svårigheter),
- Fullgörande av en rättslig förpliktelse,
- Skydd av den registrerades grundläggande intressen,
- Intresseavvägning (ska inte kan användas av myndigheter).
Av de personuppgiftsbehandlingar som ska utföras på Uppsala universitet är det främst de lagliga grunderna uppgift av allmänt intresse och myndighetsutövning som kommer att användas.
Nedan följer en beskrivning av de viktigaste lagliga grunderna som du hittar i artikel 6. Läs noga igenom alla. Det är viktigt att du omsorgsfullt funderar på vilken grund som passar just din behandling.
Det är viktigt att känna till att grunden samtycke från den enskilde ofta inte är tillämplig eller lämplig vid Uppsala universitet. Och det finns vanligen andra grunder som passar bättre än samtycke.
Den vars personuppgifter ska behandlas kallas nedan ´registrerad´ eller ´den registrerade.
Lagliga grunder i detalj
Utförandet av en uppgift av allmänt intresse (artikel 6.1.e)
Behandling av personuppgifter är tillåten om den är nödvändig för att utföra en uppgift av allmänt intresse. För att en uppgift ska vara av allmänt intresse så ska den framgå av lag. Detta innebär att uppgiften också kan följa annan författning eller av ett beslut som meddelats med stöd av lag eller annan författning. Exempel på uppgifter som kan vara av allmänt intresse är arkivering, framställning av statistik för myndigheter, forskning och utbildning (se 1 kap. 2 § högskolelagen (1992:1434)). Det kan också vara uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering (regleringsbrev med mera).
Inom forskningsverksamheten är det oftast denna lagliga grund som stödjer personuppgiftsbehandling.
Utövande av myndighetsutövning (artikel 6.1.e)
Behandling av personuppgifter är också tillåten om den är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Myndighetsutövning innebär att någon har statens uppdrag att bestämma över enskilda medborgare. Detta inkluderar bl.a. i fall där man beslutar om att en enskild person ska få en viss förmån eller rättighet eller beslut som gynnar den enskilda eller beslut som är betungande (bl.a. examinering vid universitet). All myndighetsutövning ska grundas på lag, förordning eller annan författning. Fullgörande av ett avtal (artikel 6.1.b)
En laglig grund för personuppgiftsbehandling kan också vara att behandlingen är nödvändig för att fullgöra ett avtal i vilken den registrerade är part eller för att utföra åtgärder som begärts av den registrerade innan ett sådant avtal ingås. Ett exempel på detta är behandling av personuppgifter rörande universitetets anställda, rekrytering och personaladministrativa system för bland annat fakturering och löneberäkning.
Samtycke från den registrerade (artikel 6.1.a)
Registrerades samtycke till behandling av personuppgifter ska inte blandas samman med samtycke som lämnas av enskilda till att medverka i forskning i samband med etikprövning av denna forskning. Medan samtycke är nödvändigt i samband med etikprövning av forskning så ska samtycke normalt sett inte användas som laglig grund för hantering av personuppgifter hos myndigheter inklusive universitetet.
Personuppgifter får behandlas om det finns ett samtycke från den som personuppgifterna avser. I Dataskyddsförordningen ställs det särskilda krav på samtycket, bland annat att det ska vara frivilligt. Det gör att den enskilde inte kan samtycka till en personuppgiftsbehandling där hen är i beroendeställning till den som behandlar personuppgifterna. Eftersom Uppsala universitet är en myndighet är det normalt sett inte tillåtet att använda samtycke som laglig grund för personuppgiftsbehandling eftersom enskilda är en svagare part än en myndighet.
Samtycket ska vidare lämnas genom ett uttalande eller en entydig bekräftande handling (en aktiv handling). Det ställer krav på exempelvis ikryssande av en ruta, val av inställningsalternativ eller något annat beteende som tydligt visar på samtycke. En blankett som fylls i av den som ska samtycka kan vara en bra idé. Du måste senare kunna bevisa att samtycke har lämnats av den vars personuppgifter du behandlar.
Samtycket ska lämnas efter att den registrerade har fått information om personuppgiftsbehandlingen. Bland annat ska du informera den registrerade om att denne har rätt att när som helst återkalla sitt samtycke, vilket ändamål behandlingen har och hur länge den beräknas pågå.
Den som behandlar personuppgifter med stöd av ett samtycke måste kunna visa att ett giltigt samtycke har lämnats av den registrerade.
Varje ny behandling kräver ett nytt samtycke från den registrerade. Om samtyckena inte når upp till förordningens krav måste du inhämta nya för att behandlingen ska vara laglig.
Sammanfattningsvis är samtycke inte den grund UU använder för behandling av personuppgifter inom forskning.
Det kan dock tänkas att UU kan använda sig av ett samtycke vid personuppgiftsbehandling för att distribuera ex. ett nyhetsbrev.
Fullgörande av en rättslig förpliktelse (artikel 6.1.c)
Personuppgifter får behandlas om det är nödvändigt för att uppfylla en rättslig förpliktelse som den personuppgiftsansvarige har skyldighet att rätta sig efter. Då ska grunden för behandlingen följa av antingen EU-rätt eller svensk rätt. Som exempel på en rättslig förpliktelse kan nämnas bokföringsskyldigheten som anges i bokföringslagen (1999:1078).
Uppräkningen av lagliga grunder i artikel 6 är uttömmande och man måste därmed hitta stöd i någon av dem för att en behandling ska vara laglig. Det kan inträffa att flera grunder är tillämpliga på en och samma behandling. Om ingen av de i bestämmelsen uppräknade lagliga grunder är applicerbar på behandlingen är den inte laglig och får därmed inte utföras.
All behandling av personuppgifter måste även uppfylla de grundläggande principerna i artikel 5 i Dataskyddsförordningen. Principerna innebär bland annat att personuppgifter bara får samlas in för berättigade, specifika och inte för allmänt hållna ändamål. Mängden uppgifter ska begränsas till vad som är nödvändigt för dessa ändamål. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål och inte heller sparas längre än nödvändigt. Dataskyddsförordningen anger även att den som behandlar personuppgifter ska ansvara för och kunna visa att man följer bestämmelserna i den (ansvarsskyldighet). Den som behandlar personuppgifter måste därför ha rutiner för att se till att de följs. Det betyder att de rutiner som tas fram för Uppsala universitet måste följas vid varje behandling av personuppgifter.
De registrerades rättigheter
Den som får sina personuppgifter behandlade (den registrerade), har en rad rättigheter som återfinns i Dataskyddförordningen. Nedan följer en förklaring av rättigheterna.
Rätt till tillgång av personuppgifter
Den som är registrerad har rätt att veta om den personuppgiftsansvarige, behandlar personuppgifter om denne. Om så är fallet har den registrerade rätt att få tillgång till personuppgifterna och ytterligare information kring detta. För att som enskild få veta om Uppsala universitet behandlar dennes personuppgifter, och i så fall på vilken grund universitetet utför behandlingen, kan man begära ett registerutdrag genom att använda sig av ingången på den externa sidan för personuppgiftsbehandling via denna länk eller genom att skicka ett mail till dataskyddsombud@uu.se.
Rätt till rättelse
Den som är registrerad har rätt att utan onödigt dröjsmål få felaktiga personuppgifter rättade. Med beaktande av ändamålet med behandlingen har de registrerade också rätt att komplettera ofullständiga personuppgifter.
Rätt till begränsning
Den registrerade har under vissa omständigheter rätt att kräva att behandlingen begränsas, vilket bland annat kan vara om en registrerad anser att personuppgifter är felaktiga och vill ha dessa rättade. De kan då begära att behandlingen begränsas under den tid som personuppgifternas korrekthet utreds.
Universitetet har som personuppgiftsansvarig skyldighet att informera dem till vilka personuppgifterna lämnats ut (om så skett) om att den registrerade har begärt begränsning av behandlingen av sina uppgifter.
Rätt till radering
Den som är registrerad har rätt att utan onödigt dröjsmål få sina personuppgifter raderade i vissa situationer. Till exempel, om den lagliga grunden för behandling av personuppgifter är samtycke har den registrerade rätt till radering av sina personuppgifter om:
- Om personuppgifterna inte längre är nödvändiga för ändamålet för vilket personuppgifterna samlades.
- Om hen återkallar ditt samtycke till behandlingen.
- Om personuppgifterna behandlas för direkt marknadsföring och den registrerade motsätter sig detta.
- Om personuppgifterna har behandlats på ett olagligt sätt.
- Om personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse.
Universitetet har som personuppgiftsansvarig skyldighet att informera dem till vilka personuppgifterna lämnats ut (om så skett) om att den registrerade har begärt radering av sina uppgifter.
Men, det finns flertalet undantag från rätten till radering och skyldigheten för den personuppgiftsansvarige att informera andra. Bl.a. om det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet, för att uppfylla en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.
Rätt att inge klagomål till Integritetsskyddsmyndigheten
Integritetsskyddsmyndigheten är den svenska tillsynsmyndighet som har ansvar för att följa upp efterlevnaden av EU:s Dataskyddsförordning. Om en registrerad anser att dennes personuppgifter blir behandlade på ett sätt som strider mot dataskyddförordningen kan hen klaga hos Integritetsskyddsmyndigheten. Integritetsskyddsmyndigheten beaktar alla klagomål och avgör sedan om de bör inleda en tillsyn. Se Integritetsskyddsmyndighetens hemsida för mer information.
Rätt till återkallande
När samtycke lämnas till en viss personuppgiftsbehandling har den registrerade också rätt att när som helst återkalla samtycket om hen så vill. Detta gör den registrerade genom att meddela den som behandlar uppgifterna att hen vill återkalla sitt samtycke. Detta är i första hand relevant vid universitetet i samband med enskildas informerade samtycke till deltagande i forskningsstudier i samband med etikprövningen av denna och inte som laglig grund för behandling i allmänhet.
För behandling som utförs på annan laglig grund än samtycke, t.ex. de vanligt förekommande grunderna myndighetsutövning eller allmänt intresse, gäller inte ett återkallande.
Överföring av personuppgifter till tredjeland
Rätten till skydd av privatliv, kommunikationer (telefon, e-post, internetanvändning etc.) och personuppgifter är skyddad i EU-stadgan om de grundläggande rättigheterna.
En överföring av personuppgifter till tredjeland är som regel när personuppgifter skickas till eller görs tillgängliga för någon i ett land utanför EU/EES-området (tredjeland är ett land utanför EU/EES).
Den som skickar personuppgifter kallas för exportör och den som tar emot importör.
Exempel på överföringar av personuppgifter till tredjeland är att:
- skicka dokument som innehåller personuppgifter per e-post till en mottagare i ett land utanför EU/EES.
- anlita ett personuppgiftbiträde i ett land utanför EU/EES.
- ge någon utanför EU/EES tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES.
- lagra personuppgifter i en molntjänst som är baserad utanför EU/EES.
Överföring av personuppgifter till tredjeland får, enligt artikel 44 GDPR, bara ske under förutsättning att villkoren i kapitel V i GDPR är uppfyllda.
Europeiska dataskyddsstyrelsen (EDPB) har angivit nivån på skyddet av personuppgifter för EU-medborgare i fyra så kallade nödvändiga garantier:
- Uppgifter bör behandlas utifrån tydliga, precisa och tillgängliga bestämmelser.
- Nödvändighet och proportionalitet ska säkerställas för legitima mål.
- En oberoende tillsynsmekanism bör finnas.
- Enskilda personer ska ha tillgång till effektiva rättsmedel.
Dessa garantier måste respekteras och får bara begränsas för uppgifter som inte går utöver vad som är nödvändigt och proportionellt i ett demokratiskt samhälle.
Beslut om adekvat skyddsnivå
EU-kommissionen kan besluta att specifika länder har en så kallad ”adekvat skyddsnivå” för personuppgifter. Av artikel 45 GDPR framgår att överföring av personuppgifter till länder som har bedömts ha en adekvat skyddsnivå är tillåten och ska hanteras enligt GDPR som om det var inom EU/EES.
För närvarande är tolv länder helt eller delvis berörda av ett sådant beslut:
- Andorra
- Argentina
- Kanada (delvis)
- Färöarna
- Guernsey
- Israel
- Isle of Man
- Japan
- Jersey
- Nya Zealand
- Schweiz
- Storbritannien
- Sydkorea
- Uruguay
- USA (sedan juli 2023) för företag och organisationer som är certifierade enligt Trans Atlantic Data Privacy Framework (TADPF eller DPF).
Den adekvata skyddsnivån i de berörda länderna följs upp löpande och länder som omfattas av beslut eller är under utredning kan variera över tid.
Vilka företag och organisationer som är certifierade i TADPF framgår i denna länk: https://www.dataprivacyframework.gov/list. Observera att det endast är privata aktörer som kan vara certifierade.
Överföringsmekanismer enligt artikel 46
Av artikel 46 GDPR framgår ett antal mekanismer som möjliggör överföring av personuppgifter till ett tredje land. Mekanismerna kan användas om det finns ett skydd av de registrerade enskildas lagstadgade rättigheter och effektiva rättsmedel i det tredje land personuppgifterna överförs till. Detta kan vara en mycket komplicerad bedömning av rättsordningen i mottagarlandet. Den personuppgiftsansvarige exportören har även ha vidtagit lämpliga skyddsåtgärder som skyddar behandlingen.
EU-kommissionens standardavtalsklausuler (SCC) är den mekanism som vanligen ska användas som överföringsmekanism för överföring av personuppgifter till tredjeland. Läs mer om SCC nedan. I vissa fall kan avtal mellan offentliga aktörer vara ett instrument.
EU-standardavtalsklausuler för tredjelandsöverföringar (SCC)
EU-kommissionens standardavtalsklausuler (SCC) består av två dokument:
- genomförandebeslutet med skälen till införandet av de nya standardavtalsklausulerna, och en
- bilaga (ett annex) i fyra delar med 18 klausuler med de egentliga avtalsvillkoren.
SCC innehåller villkor för bl.a. ändamål, avtalets omfattning, specificering av överföringar, grundläggande principer för behandling, underbiträden, registrerades rättigheter, skadeståndsansvar, tillsyn, ansvarsskyldighet och dokumentation. Alltså ett väldigt omfattande regelverk.
Parterna, personuppgiftsansvarig (PUA) och personuppgiftsbiträde (PUB) måste efterleva mycket långtgående krav för att kunna tillämpa SCC som medel för tredjelandsöverföringar. I vissa fall kommer det inte att vara möjligt.
Logisk uppbyggnad av SCC
SCC ska kunna vara flexibla för olika personuppgiftsansvarsförhållanden. De har därför upprättats med fyra statiska moduler anpassade för olika scenarier:
- Modul 1 för överföring från personuppgiftsansvarig till personuppgiftsansvarig
- Modul 2 för överföring från personuppgiftsansvarig till personuppgiftsbiträde
- Modul 3 för överföring från personuppgiftsbiträde till personuppgiftsbiträde
- Modul 4 för överföring från personuppgiftsbiträde till personuppgiftsansvarig.
Det finns också tilläggsmoduler om avtalsförhållandet skulle omfatta flera parter.
Utgångspunkten är alltså att parterna först identifierar sina roller som antingen PUA, PUB eller personuppgiftsunderbiträde och sedan bedömer vem som är dataexportör respektive dataimportör. Det här är särskilt viktigt eftersom det styr vilka moduler som ska väljas till avtalet. Det är viktigt att välja rätt klausuler i avtalet för att skyddsnivån ska nå upp till det som krävs i artikel 44 GDPR. För att få hjälp med att sammanfoga modulerna och resonera kring partsförhållandena kontaktas Juridiska avdelningen: juravd@uu.se.
När parterna i exemplet är överens om vilka klausuler som är tillämpliga för den aktuella överföringen och de gör bedömningen att de går att uppfylla kan avtalet undertecknas.
En utmaning, är att parterna ska kunna garantera personuppgifternas integritet i förhållande till nationella myndigheters legala krav på tillgång till uppgifter hos dataimportören. Mer om det nedan.
Nationella lagar och förfaranden hos dataimportören
I klausul 14 SCC ska parterna bl.a. garantera att de:
- ”… inte har någon anledning att misstänka att de lagar och förfaranden i det mottagande tredjelandet som är tillämpliga på uppgiftsinförarens behandling av personuppgifter, däribland eventuella krav på att lämna ut personuppgifter eller åtgärder för att bevilja åtkomst för offentliga myndigheter, hindrar uppgiftsinföraren från att fullgöra sina skyldigheter enligt dessa klausuler.”
Att utställa en sådan garanti förutsätter att parterna har en uppfattning om vilka möjligheter mottagarlandets rättsordning skulle kunna ge nationella myndigheter rätt att ta del av uppgifter hos dataimportören. Klausulen säger inget explicit om hur långt parternas ansvar går i att utreda en eventuell misstanke om att nationell rätt, t.ex. Foreign Intelligence Surveillance Act i USA, skulle kunna hota dataintegritet för registrerade. Den vägledning klausulen däremot ger är att eventuella nationella lagar, för att vara acceptabla, ska vara förenliga med andemeningen i EU-stadgans skydd för mänskliga fri- och rättigheter. Klausulen hänvisar i det sammanhanget till artikel 23 GDPR som medger vissa undantag för nationell säkerhet, försvar och allmän säkerhet etc. Parterna ska bedöma om inskränkningar av nämnda rättigheter i så fall skulle vara del i en nödvändig och proportionell åtgärd i ett demokratiskt samhälle.
Av klausulens övriga led kan man sammanfattningsvis konstatera att parterna måste ha mycket stor kunskap om samtliga omständigheter rörande överföringen vilket specificeras i led b) i klausul 14. Led d) i samma klausul stadgar också att parterna ska dokumentera sina bedömningar för att på begäran kunna göra den tillgänglig för tillsynsmyndigheten. De långtgående kraven i klausulen motiveras i skäl nr 16 ff. i genomförandebeslutet.
Det arbete SCC kräver av parterna och den risk som följer med tredjelandsöverföringar torde ställas mot de vinster samarbetet med parten i tredjeland kan ge dataexportören.
Överföring av personuppgifter med stöd av undantagsbestämmelser i artikel 49
I GDPR finns ett antal undantagsbestämmelser som, i vissa begränsade situationer, möjliggör tredjelandsöverföringar av personuppgifter. Nedan följer en förenklad beskrivning av dessa. Vad du som ansvarig för överföringen behöver beakta i praktiken framgår av den elektroniska rutin som finns längst ner på denna sida. Artikel 49 reglerar när överföringar av personuppgifter får göras i särskilda enskilda situationer, t.ex. genom uttryckliga samtycken från registrerade (samtycke ska normalt inte användas av myndigheter), när överföringen görs i den registrerades eget intresse, för att uppfylla avtalsvillkor eller för ett viktigt allmänt intresse. Artikeln förutsätter att överföringarna är nödvändiga, vilket är ett högt ställt krav, och att de inte görs repetitivt.
Konsekvensbedömning enligt Dataskyddsförordningen (GDPR)
Dataskyddsförordningen (GDPR) finns för att skydda enskildas grundläggande rättigheter och friheter vid behandling av personuppgifter.
En konsekvensbedömning (Data Protection Impact Assessment, DPIA) är en metod för att identifiera, bedöma och dokumentera om en tänkt behandling av personuppgifter kan leda till en hög risk för att de registrerades rättigheter kan kränkas (se nedan).
Av artikel 35.1 i Dataskyddsförordningen följer att den personuppgiftsansvariga ska utföra en DPIA om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Enligt huvudregel ska den utföras innan en behandling påbörjas.
Konsekvensbedömningen ska betraktas som ett verktyg för efterlevnad av GDPR i allmänhet. Om de risker för de registrerade som framkommer av konsekvensbedömningen inte kan avhjälpas av den personuppgiftsansvarige ska en anmälan om ett så kallat förhandssamråd lämnas till Integritetsskyddsmyndigheten i enlighet med artikel 36 GDPR.
I vissa fall är konsekvensbedömningen ett krav och underlåtenhet att genomföra den kan innebära att den personuppgiftsansvarige drabbas av en sanktionsavgift.
Genomförande av konsekvensbedömning
En genomförd konsekvensbedömning ska dokumenteras, och i Uppsala universitets fall tillföras registerförteckningen för den aktuella studien. Registerförteckningen förs av Dataskyddsombudet.
Konsekvensbedömningen ska svara på om:
- Det föreligger stor risk för att mänskliga fri- och rättigheter kan komma att kränkas (se nedan).
- Behandlingen innebär profilering av registrerade vars resultat sedan används för att automatiskt kategorisera/värdera personer.
- Omfattande känsliga personuppgifter och/eller uppgifter om kriminell belastning förekommer i behandlingen.
- Behandlingen innebär omfattande inhämtning av personuppgifter.
Den som genomför konsekvensbedömningen ska själv avgöra om behandlingen kan utföras under säkra, legala och rimliga omständigheter genom en bedömning av om:
- sättet behandlingen utförs på innebär risker för uppgifternas kvalitet, autenticitet eller integritet.
- metoden för kontinuerlig kontroll av att behandlingen genomförs som planerat.
- identifierade risker med behandlingen kan motverkas.
- de som behandlar uppgifterna känner till rutinerna för att anmäla personuppgiftsincidenter.
Om de registrerade utsätts för risker som inte kan avhjälpas ska en begäran om förhandssamråd lämnas in till Integritetsskyddsmyndigheten.
När du skickar in konsekvensbedömningen genom den automatiska rutinen i länken nedan underrättas dataskyddsombudet automatiskt och kontaktar dig om det är aktuellt att begäran förhandssamråd hos Integritetsskyddsmyndigheten.
Klicka här för att göra en konsekvensbedömning i en elektronisk rutin.
Mänskliga fri- och rättigheter är rätten till liv, frihet och personlig säkerhet; förbud mot slaveri och träldom; förbud mot tortyr och grym, omänsklig eller förnedrande behandling; likhet inför lagen; rätten till opartisk domstolsprövning; förbud mot godtyckliga frihetsberövanden; rätten till skydd av privatliv och korrespondens; rätten till personlig rörelsefrihet; rätten till egendom; rätten till religionsfrihet, åsiktsfrihet och yttrandefrihet samt rätten till förenings- och församlingsfrihet.
Hantering av personuppgiftsincidenter
I Dataskyddsförordningen (GDPR) finns en skyldighet för den som är personuppgiftsansvarig att göra en anmälan till (i Sverige) Integritetsskyddsmyndigheten om det inträffat en personuppgiftsincident. Integritetsskyddsmyndigheten är den svenska tillsynsmyndighet som har ansvar för att följa upp efterlevnaden av EU:s Dataskyddsförordning.
Den personuppgiftsansvarige är även skyldig att informera den registrerade om den inträffade personuppgiftsincidenten. Även personuppgiftsbiträden har en skyldighet att rapportera personuppgiftsincidenter, men då till den personuppgiftsansvarige som ska anmäla incidenten till Integritetsskyddsmyndigheten. Hur personuppgiftsbiträdes ansvar ser ska regleras i ett så kallat personuppgiftsbiträdesavtal, PUBA.
Uppsala universitet kan agera som personuppgiftsansvarig eller som personuppgiftsbiträde och har därmed ansvar för att anmäla antingen till den personuppgiftsansvarige eller till Integritetsskyddsmyndigheten, beroende av hur det enskilda fallet ser ut.
Rutiner
För att fastställa om en personuppgiftsincident har ägt rum och vid behov skyndsamt informera Integritetsskyddsmyndigheten och den registrerade krävs även en redovisning av hur lämpliga tekniska och organisatoriska åtgärder har vidtagits.
Det är av stor vikt att ha säkerhetslösningar på plats för att undvika incidenter. Detta kan uppnås genom att säkerställa att IT-system innehåller funktioner som uppmärksammar incidenter snabbt och ger en god överblick över sådan information som ska rapporteras till Integritetsskyddsmyndigheten för att hinna göra anmälan i tid. Vidare ska personuppgiftsbiträdesavtal reglera hur personuppgiftsincidenter ska anmälas till Uppsala universitet. Enligt dagens lösning är IT-avdelningen ansvarig för att sammanställa och rapportera den information som krävs för dataskyddsombudet ska kunna göra en bedömning av om personuppgiftsincidenten medför en hög risk för fysiska personers rättigheter och friheter.
Personuppgiftsincident
En personuppgiftsincident definieras i Dataskyddsförordningen som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Blir du medveten om en incident av detta slag är det viktigt att du skyndsamt kontaktar IT-avdelningen på
it-incident@uu.se. IT-avdelningen kommer i sin tur att avgöra om incidenten ska anmälas till Dataskyddsombudet vilket i sin tur avgör om en anmälan ska sändas till Integritetsskyddsmyndigheten.
Anmälan av personuppgiftsincidenter
Kravet på att en anmälan ska göras till Integritetsskyddsmyndigheten syftar till att på ett snabbt och lämpligt sätt åtgärda och minska risken för att den registrerade lider fysisk, materiell eller immateriell skada. Dessa skador kan t.ex. vara förlust av kontrollen över de egna personuppgifterna, begränsning av de registrerades rättigheter, diskriminering, identitetsstöld, bedrägeri, skadat anseende eller ekonomisk förlust.
Vid upptäckt av en personuppgiftsincident ska Uppsala universitet, utan onödigt dröjsmål och inom 72 timmar göra en anmälan till Integritetsskyddsmyndigheten. Om det inte är möjligt att lämna all information inom 72 timmar kan man dela upp det och lämna uppgifter vid olika tillfällen allt eftersom det blir möjligt. Det är viktigt att förse Integritetsskyddsmyndigheten med så mycket information som möjligt så skyndsamt som möjligt. Anmälan görs av Dataskyddsombudet.
Hinner universitetet inte göra anmälan alls inom 72 timmar ska man informera Integritetsskyddsmyndigheten och ange skälen för förseningen. I de fall universitetet är personuppgiftsbiträde ska den personuppgiftsansvarige underrättas utan onödigt dröjsmål efter att ha fått vetskap om personuppgiftsincidenten. Det personuppgiftsbiträdesavtal som reglerar behandlingen som biträdet utför åt den ansvarige reglerar mer detaljerat vilka skyldigheter biträdet har vid en personuppgiftsincident.
En anmälan ska enligt förordningen innehålla:
- Vilken typ av incident det är fråga om.
- Vilka kategorier av personer som kan komma att beröras.
- Hur många personer incidenten berör.
- Vilka konsekvenser incidenten kan få.
- Vilka åtgärder man vidtagit för att motverka eventuella negativa konsekvenser för de registrerade.
Om du kontaktar itit-incident@uu.se med en befarad personuppgiftsincident så är det dessa frågor du bör kunna besvara, eller undersöka.
Information till de som kan drabbas
Om incidenten sannolikt leder till en hög risk för den registrerades rättigheter och friheter, ska de registrerade utan onödigt dröjsmål informeras om personuppgiftsincidenten. Syftet med att informera är att den registrerade ska kunna vidta försiktighetsåtgärder. Huruvida de registrerade behöver informeras avgörs av Dataskyddsombudet.
Huruvida incidenten sannolikt innebär en risk för de registrerade och riskens allvar bör bedömas utifrån behandlingens art, omfattning, sammanhang och ändamål. Utvärderingen av huruvida personuppgiftsbehandlingen medför hög risk ska ske objektivt. Med hög risk avses enligt Dataskyddsförordningen en särskild risk för menlig inverkan på registrerades rättigheter och friheter. Denna bedömning görs av Dataskyddsombudet efter att anmälan skett till denna epostadress: it-incident@uu.se.
När Uppsala universitet anser att skyldigheten att informera de registrerade föreligger, ska informationen innehålla:
- En tydlig och klar beskrivning av personuppgiftsincidentens art.
- Namnet på och kontaktuppgifterna till Dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas.
- De sannolika konsekvenserna av personuppgiftsincidenten.
- En beskrivning av de åtgärder som den personuppgiftsansvariga har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet (när så är lämpligt), åtgärder för att mildra dess potentiella negativa effekter.
Uppsala universitet behöver dock inte informera de registrerade om någon av följande omständigheter föreligger:
- Om universitet har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.
- Om universitetet har vidtagit ytterligare åtgärder som säkerställer att den höga risken för registrerades rättigheter och friheter sannolikt inte längre kommer att uppstå.
- Om det skulle innebära en oproportionell ansträngning. I så fall ska universitetet i stället informera allmänheten eller vidta en liknande åtgärd genom vilken de registrerade informeras på ett lika effektivt sätt.
Krav på dokumentation
Alla personuppgiftsincidenter ska dokumenteras, då särskilt omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen är avgörande för att universitetet ska kunna visa för Integritetsskyddsmyndigheten att myndigheten har vidtagit de åtgärder som krävs för att leva upp till de skyldigheter som följer av Dataskyddsförordningen.
Dokumentationen kan användas som underlag för hur säkerheten i verksamheten kan förbättras. Man kan då säkerställa att nödvändiga åtgärder vidtagits i syfte att förhindra nya och liknande incidenter.
Anmälan av personuppgiftsincidenter
Om du misstänker eller upptäcker en personuppgiftsincident är det viktigt att du så fort som möjligt meddelar detta till it-incident@uu.se så att IT-avdelningen kan utreda och vid behov anmäla detta till Integritetsskyddsmyndigheten och Dataskyddsombudet för vidare hantering. Märk ditt e-postmeddelande med PERSONUPPGIFTSINCIDENT och var tydlig med dina kontaktuppgifter så att Dataskyddsombudet kan komma i kontakt med dig.
Kontakt
- Kontakta juridiska avdelningen
- juravd@uu.se