Personuppgifter och dataskydd

Dataskydd handlar om att skydda personuppgifter i enlighet med krav som ställs i lagstiftning bl.a. GDPR. På denna sida kan du läsa om personuppgifter och dataskydd på Stockholms universitet. Informationen har utformats av dataskyddsombudet vid Stockholms universitet.

Personuppgifter är information som innebär att en fysisk person kan identifieras. Avgörande är att informationen, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person för att informationen också ska bedömas som en personuppgift. Vid Stockholms universitet hanteras personuppgifter inom all verksamhet. Verksamheten är skyldig att skydda de personuppgifter som hanteras i enlighet med den lagstiftning som gäller för personuppgifter. Skydd av personuppgifter kallas vanligtvis för dataskydd och lagstiftningen som gäller inom detta område kan därför sammanfattas som Dataskyddslagstiftningen.

Dataskyddsombud samt Utbildning och stöd

Vid Stockholms universitet finns ett Dataskyddsombud som bistår verksamheten med rådgivning och rekommendationer. Dataskyddsombudets råd och rekommendationer hittar du här:
Dataskyddsombud

Rättssekretariatet har tagit fram utbildningar och stödmaterial till verksamheten gällande dataskydd som du hittar här:
Utbildning och stöd

Om regelverket

Den allmänna dataskyddsförordningen eller GDPR är det övergripande regelverket. Dataskyddslagen är en kompletterande nationell lagstiftning och även Etikprövningslagen innehåller bestämmelser kopplat till personuppgifter. Dataskydd förhåller sig i övrigt alltid till de lagar och regler som gäller verksamheten i övrigt. Därmed innebär dataskydd ett relativt komplext regelverk som ställer krav på alla verksamheter i förhållande till hur verksamheten får hantera personuppgifter. Kraven kan sammanfattas i tre övergripande krav: Dokumentation, Transparens och Säkerhet.

Roller och ansvar

Det är viktigt att förstå de olika rollerna som dataskyddslagstiftningen pekar ut. Medarbetare på Stockholms universitet som hanterar personuppgifter behöver förstå och dokumentera universitetets och övriga inblandade parters roll i hanteringen för att uppfylla kraven i lagstiftningen. Lagstiftningen ställer också krav på avtal mellan olika roller för att ansvaret för personuppgiftsbehandlingar ska vara tydligt.

De registrerade är begreppet som används avseende de individer vars personuppgifter verksamheten behandlar, dvs de individer som berörs av personuppgiftsbehandlingen och vars information universitetet hanterar i någon form. Det kan t.ex. röra anställda och studenter, respondenter inom forskning eller uppdragstagare i någon form etc. De registrerade skulle enkelt uttryckt kunna sägas vara huvudpersonerna i dataskyddslagstiftningen, eftersom det är de registrerades uppgifter som ska skyddas och tas omhand på ett adekvat sätt. I dataskyddslagstiftningen tillerkänns de registrerade ett antal rättigheter, såsom den allmänt kända rättigheten ”att bli bortglömd” (mer om de registrerades rättigheter nedan).

Dataskyddsombudet är ett ombud för de registrerade och har därmed en oberoende roll. De flesta organisationer och verksamheter som behandlar personuppgifter måste enligt lagstiftningen utse ett dataskyddsombud. Dataskyddsombudets uppgift är att övervaka att organisationen följer dataskyddslagstiftningen. Detta kan ske dels genom kontroller, men också genom information och rådgivning till organisationen. Dataskyddsombudet kan t.ex. utfärda rekommendationer till den personuppgiftsansvarige. Dataskyddsombudet kan inte ta över den personuppgiftsansvariges uppgifter i förhållande till lagstiftningen och utöva ett ansvar. Det innebär i praktiken att verksamheten behöver förstå med vilken rätt de utför personuppgiftsbehandlingar och se till att lagstiftningen efterlevs genom att uppfylla de krav på dokumentation, transparens och riskanalyser som lagstiftningen ställer.

I varje medlemsstat ska det finnas en tillsynsmyndighet för övervakningen av tillämpningen av dataskyddslagstiftningen. I Sverige utövar Integritetsskyddsmyndigheten (IMY) tillsyn över verksamheter som har att följa dataskyddslagstiftningen. Privatpersoner som är missnöjda med hur en verksamhet behandlar deras personuppgifter kan vända sig till IMY med klagomål och IMY kan fatta beslut och utfärda sanktionsavgifter om de bedömer att en verksamhet inte följer lagstiftningen.

Den verksamhet som bestämmer varför personuppgifter ska behandlas och hur det ska gå till är personuppgiftsansvarig. En verksamhet kan vara ensamt personuppgiftsansvarig eller gemensamt personuppgiftsansvarig tillsammans med annan verksamhet. Ansvaret för personuppgiftsbehandlingar inom Stockholms universitet följer de besluts- och delegationsordningar som gäller på universitetet. Detta innebär att rektor har ett övergripande ansvar som är delegerat till de olika verksamhetsgrenarna inom universitetet, som i sin tur har att se till att uppfylla regelverket.

Gemensamt ansvarig

Om universitetet bestämmer varför och hur personuppgifter ska behandlas tillsammans med annan part, t.ex. vid samverkan och forskning, så innebär det ett gemensamt personuppgiftsansvar. Vid gemensamt personuppgiftsansvar ställer lagstiftningen krav på avtal mellan parterna. Kravet på avtal i lagstiftningen finns där för att ansvarsuppfyllande och utförande, såsom till vem de registrerade ska vända sig för att utöva sina rättigheter, ska vara tydligt. Här (länk till wordmall) hittar du en exempelmall för avtal gällande gemensamt personuppgiftsansvar.

Ensamt ansvarig

Ibland förekommer flöden av personuppgifter mellan två organisationer utan att situationen innebär ett gemensamt ansvar eller att någon agerar på uppdrag av annan som personuppgiftsbiträde. I dessa fall är organisationerna ensamt ansvariga för sina behandlingar. Det är viktigt att komma ihåg att ändamålen för de olika behandlingarna måste vara förenliga med varandra för att det ska vara tillåtet med en överföring av uppgifter från en part till en annan.

Exempel: När en arbetsgivare skickar personuppgifter till företagshälsovården för ändamålet förbättrad arbetsmiljö för medarbetaren och hälsvårdsföretaget därefter behandlar uppgifterna för ändamålet att erbjuda individen vård, så innebär det att de två olika organisationerna har ensamt ansvar, där ändamålen med de olika behandlingarna ändå är förenliga med varandra.

Ibland kan det finnas önskemål och anledning att reglera flödet av data mellan två ensamt ansvariga i ett datadelningsavtal. För rådgivning kontakta rättssekretariatet (länk till fråga juristen).

En verksamhet eller organisation som behandlar personuppgifter på uppdrag och instruktioner av någon annan agerar som personuppgiftsbiträde. Ett personuppgiftsbiträde har inget eget ändamål med behandlingen, utan behandlar uppgifter enbart på uppdrag av annan (dvs den personuppgiftsansvarige). Ett personuppgiftsbiträde kan inte kontrollera personuppgiftsbehandlingen eller ändra på syftet med behandlingen, utan agerar alltid på uppdrag av den personuppgiftsansvarige. Stockholms universitet agerar endast undantagsvis som personuppgiftsbiträde. Ett typiskt personuppgiftsbiträde är en leverantör av IT-system och leverantör av s.k. molntjänster som lagrar och hanterar personuppgifter åt den ansvarige. Om du har behov av ett personuppgiftsbiträdesavtal så finns standardavtalsklausuler för personuppgiftsbiträdesavtal (framtagna av EU-kommissionen). Obs att standardavtalsklausuler inte får ändras. Rättssekretariatet tillhandahåller också mall för personuppgiftsbiträdesavtal. Denna mall kan anpassas vid behov.

Registerförteckning

Stockholms universitet är skyldig att föra ett register över sina personuppgiftsbehandlingar. Registret ska inte innehålla de registrerades personuppgifter i sig, utan ska innehålla information om de olika personuppgiftsbehandlingarna som förekommer vid universitetet.

Registrets innehåll

Ett register ska enligt lagstiftningen innehålla:

  • Kontaktuppgifter till den personuppgiftsansvarige (dvs kontaktuppgifter till den som delegerats ansvar för den aktuella personuppgiftsbehandlingen enligt besluts- och delegationsordning)
  • Kontaktuppgifter till dataskyddsombudet
  • Ändamålen med behandlingen och rättslig grund för det (varför behandling sker och stödet i lagstiftningen för det, läs vidare ”här” (länk))
  • Beskrivning av kategorier av registrerade (t.ex. ”studenter”, ”anställda”)
  • Beskrivning av kategorier av personuppgifter (t.ex. ”namn och e-postadress”)
  • Kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut (t.ex. IT-leverantör), om möjligt specificerat (t.ex. ”Sunet, Vetenskapsrådet”)
  • Överföring av uppgifter till tredjeland (vilket land och vilket rättsligt stöd som finns för överföringen)
  • Tidsperioden för bevarande och gallring av uppgifterna
  • Beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna som tillämpas för behandlingen i fråga

Rättssekretariatet vid Rektors kansli förvaltar den centrala förvaltningens registerförteckning. Varje förvaltningsavdelning ansvarar för att hålla sina personuppgiftsbehandlingar uppdaterade i registret. Kontakta dataskyddsombudet för tillgång till den centrala förvaltningens registerförteckning på dso@su.se.

Personuppgiftsbehandling vid institution eller motsvarande (institut eller centrumbildning som sorterar under en fakultet) ska registreras särskilt. Varje institution ansvarar för att ha ett eget uppdaterat register över personuppgiftsbehandlingar inom sina administrativa processer, forskning och samverkan samt för personuppgiftsbehandlingar inom studentarbeten. Institutioner kan använda excelmallen Registerförteckning institution Excel, 76.5 kB. som tillhandahålls av Rättssekretariatet för detta syfte. Registerförteckningen ska vara tillgänglig i elektroniskt format, förvaras på institutionen och kontinuerligt hållas uppdaterad. På begäran ska det göras tillgängligt för dataskyddsombudet och IMY. Kontakta dataskyddsombudet vid frågor gällande registerförteckningen på dso@su.se.

Principer för personuppgiftsbehandling

Dataskyddslagstiftningen ställer upp ett antal huvudprinciper som universitetet behöver följa vid hantering av personuppgifter:

  • Principen om laglighet, korrekthet och öppenhet - Personuppgiftsbehandlingen ska följa dataskyddslagstiftningen och ske på ett transparent vis i förhållande till den registrerade.
  • Principen om ändamålsbegränsning - Personuppgifter får bara behandlas för särskilda, tydligt angivna och berättigade ändamål.
  • Principen om uppgiftsminimering – Endast de personuppgifter som är nödvändiga för att uppnå ändamålet får behandlas.
  • Principen om riktighet - Personuppgifterna ska vara riktiga och uppdaterade.
  • Principen om lagringsminimering - Personuppgifterna får inte sparas längre än nödvändigt.
  • Principen om integritet och konfidentialitet - Personuppgifterna ska hanteras säkert och ges tillräckligt skydd.
  • Principen om ansvarsskyldighet – Det ska alltid finnas en ansvarig för personuppgiftsbehandlingen som kan visa att principerna efterlevs

Rättslig grund

För att behandling av personuppgifter ska vara laglig så ställer dataskyddslagstiftningen krav på att det finns stöd för hanteringen i en av GDPR:s definierade rättsliga grunder. Den som ansvarar för en personuppgiftsbehandling måste känna till och dokumentera den rättsliga grunden för sin behandling. Vid universitetet tillämpas framförallt fem rättsliga grunder, där uppgift av allmänt intresse (art. 6.1 e GDPR) är den vanligaste grunden för universitetets behandling av personuppgifter.

I GDPR stadgas att personuppgiftsbehandling är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse som ska vara fastställd antingen genom unionsrätten eller en medlemsstats nationella rätt. Därför måste uppgiften av allmänt intresse alltid utgå från lag, förordning eller annat uppdrag som universitetet fått av riksdag eller regering, såsom exempelvis regleringsbrev.

I 1 kap. 2 § Högskolelagen (1992:1434), HL stadgas att universitetets uppdrag är att bedriva utbildning och forskning och att det i universitetets uppgift ska ingå att samverka med det omgivande samhället för ömsesidigt utbyte och verka för att den kunskap och kompetens som finns vid universitetet kommer samhället till nytta. Mycket av verksamheten vid ett lärosäte utgår från detta uppdrag, som därmed utgör grunden för att hantera de personuppgifter som är nödvändiga för att kunna utföra uppgiften.

Exempel på uppdrag av allmänt intresse:

  • Forskning och samverkan
  • Nödvändiga stödverksamheter som styrning och ledning, ekonomi, lokalförsörjning, IT-stöd med flera
  • Uppdragsutbildning
  • Publika evenemang
  • Nyhetsbrev

Om det finns en lag, författning eller ett kollektivavtal som säger att universitetet måste utföra vissa uppgifter så får du lov att hantera de personuppgifter som är nödvändiga för att kunna utföra dessa.

Rättslig förpliktelse är en vanligt förekommande rättslig grund inom personalarbetet. Detta eftersom personalarbetet till stor del grundar sig på lagar, författningar eller kollektivavtal.

Du får lov att hantera personuppgifter när det är nödvändigt som ett led i myndighetsutövningen. Myndighetsutövning motsvarar vid universitetet bland annat antagning av studenter, examination eller utfärdande av examensbevis.

Det är tillåtet att hantera personuppgifter när det behövs för att fullfölja avtal som universitetet har ingått eller kommer att ingå med en enskild person.

Vid vissa tillfällen kan en person ge sitt samtycke till att universitetet hanterar hens personuppgifter. Tänk på att samtycket ska vara frivilligt, informerat och dokumenterat. Du ska inte be personer som står i beroendeställning till universitetet om samtycke. Detta innebär att du som regel inte kan använda samtycke som rättslig grund för anställda och studenter.

Vid händelse av personuppgiftsincident

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Vissa personuppgiftsincidenter ska rapporteras till Integritetsskyddsmyndigheten.

Enligt förordningen definieras begreppet personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Det kan också vara fråga om en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna. Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång, måste verksamheten dokumentera incidenten och i de fall incidenten sannolikt leder till en risk för de registrerade, anmäla den till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. Universitetet kan också behöva informera de registrerade om incidenten till exempel om det finns risk för id-stöld eller bedrägeri.

Dataskyddsombudet (dso@su.se) ska hållas informerad om personuppgiftsincidenter vid universitetet och stöttar vid behov med rådgivning. Vid händelse av personuppgiftsincident ska verksamheten fylla i mall för dokumentation av personuppgiftsincident och skicka till Dataskyddsombudet. På Integritetsskyddsmyndighetens hemsida kan du läsa mer om vad en personuppgiftsincident är och när en incident ska anmälas till IMY: www.imy.se

Senast uppdaterad: 2024-11-28

Sidansvarig: Rättssekretariatet