Personuppgifter och sekretess i W3D3
Det är viktigt att ärenden som innehåller personuppgifter eller sekretess hanteras korrekt i diariet och att universitetet följer de lagar och förordningar som gäller i förhållande till de här informationstyperna.
Personuppgifter i W3D3
Det är tillåtet att hantera personuppgifter i diariet och personuppgifter kan behöva registreras för att Stockholms universitet ska kunna utföra sina myndighetsuppgifter och följa rättsliga förpliktelser.
När man registrerar avsändare eller mottagare på en handling, vilket enligt offentlighets- och sekretesslagen ska göras när uppgifterna förekommer, kan det innebära att registrera ett personnamn. Det är ofta nödvändigt att registrera personnamn för att det ska framgå vem motparten i ett ärende är och för att kunna söka fram vem som är avsändare eller mottagare på en handling.
Registrera endast nödvändiga personuppgifter
Enligt dataskyddsförordningen ska inte fler personuppgifter än nödvändigt hanteras. Att registrera till exempel personnummer kan vara en hantering som ska undvikas om det inte står klart vad ändamålet med behandlingen är eller om det är nödvändigt för en säker identifiering av personen. Det rekommenderas att personnummer inte registreras i diariet.
Särskilt känsliga personuppgifter
Vissa personuppgifter är särskilt känsliga och behöver ett starkare skydd. Med känsliga personuppgifter menas uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening och uppgifter om hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en person, enligt Integritetsskyddsmyndigheten (IMY).
Utgångspunkten i dataskyddsförordningen är att det är förbjudet att behandla känsliga personuppgifter men att det finns undantag, exempelvis om det krävs för att utföra myndighetsuppgifter och följa rättsliga förpliktelser.
Begränsa behörigheten till känsliga personuppgifter
Behöver känsliga personuppgifter hanteras i diariet ska behörigheten till ärenden där de förekommer begränsas. Det är bättre att hantera handlingar där det förekommer känsliga personuppgifter genom att förvara dem i W3D3 än i exempelvis Outlook, eftersom känsliga personuppgifter inte får skickas med e-post.
Markera GDPR i W3D3
Funktionen GDPR-skyddad i W3D3 begränsar behörigheten i ärendet genom att obehöriga inte kan läsa uppgifterna motpart och avsändare/mottagare. Det går inte att öppna dokument i handlingskortet om man inte antingen står som handläggare i ärendet eller har behörighet som registrator eller huvudregistrator.
Behöver ytterligare person utöver handläggare få tillgång till dokument där känsliga personuppgifter förekommer kan handläggare eller registrator dela ut åtkomst till ärendet genom funktionen "direkt ärendeåtkomst".
Mer om personuppgiftsbehandling och dataskydd vid Stockholms universitet kan du läsa här:
Personuppgifter och dataskydd
Anvisning för personuppgiftsbehandling
Personuppgiftspolicy
Sekretess i W3D3
De flesta allmänna handlingar som universitetet hanterar är även offentliga. Men det finns undantag då handlingar eller uppgifter omfattas av sekretess enligt offentlighets- och sekretesslagen (OSL).
Sekretessbelagda handlingar ska registreras
Enligt offentlighets- och sekretesslagen (OSL) har myndigheter ett krav på sig att registrera handlingar som innehåller uppgifter som omfattas av sekretess. För dessa handlingar ska även en sekretessmarkering göras i diariet.
I Handbok i ärendehandläggning framtagen av Rättssekretariatet finns en genomgång av sekretess och för vilka ärenden och handlingar det kan råda sekretess.
Markera sekretess i W3D3
Handlingar med sekretess ska markeras i diariet med hjälp av funktionen Sekretess i W3D3. Du ska även skriva vilket lagrum som åberopas. Funktionen begränsar behörigheten till ärenden och handlingar och markerar att sekretess förekommer i ärendet. Ett hänglås symboliserar att ett ärende eller en handling är sekretessmarkerad.
Markera sekretess på ärendenivå
Markeras sekretess på ärendekortet begränsas behörigheten genom att obehöriga inte kan läsa alla uppgifter i ärendet. Ärendet syns fortfarande i W3D3, men går inte att öppna för en person utan behörighet. Handläggare i ärendet eller en person med registrator- eller huvudregistratorsbehörighet kan fortfarande öppna ärendet och söka på alla uppgifter som är registrerade i ärendet.
Markeras sekretess på ärendenivå behöver en offentlig ärendemening anges. Det är bara den som syns för den person som inte har behörighet. Den offentliga ärendemeningen ska vara densamma som den vanliga ärendemeningen.
Markera sekretess på handlingsnivå
Sekretess kan också markeras på handlingsnivå i W3D3. Det går då att öppna ärendet och se att handlingen finns, men det går inte att se vilka uppgifter som registrerats på handlingskortet. Det går inte heller att öppna handlingen om man inte står som handläggare i ärendet eller har behörighet som registrator eller huvudregistrator.
Tänk på att uppgifter om avsändare/mottagare i ett ärende kan omfattas av sekretess även om alla enskilda handlingar i ärendet i sig inte omfattas av sekretess.
Handlingar ska alltid sekretessprövas innan utlämning
Handlingar som ska lämnas ut måste genomgå en sekretessprövning, oavsett om ärendet eller handlingarna har sekretessmarkerats i diariet eller inte. Sekretessmarkeringen är en endast en indikator på att det kan förekomma sekretess.
Det finns mer information om vad som är sekretessbelagt och hur dessa handlingar ska hanteras här:
Offentlighet och sekretess