Personuppgifter och dataskydd
Dataskydd handlar om att skydda personuppgifter i enlighet med krav som ställs i lagstiftning bl.a. GDPR. På denna sida kan du läsa om personuppgifter och dataskydd på Stockholms universitet. Informationen har utformats av dataskyddsombudet vid Stockholms universitet.
Personuppgifter är information som innebär att en fysisk person kan identifieras. Avgörande är att informationen, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person för att informationen också ska bedömas som en personuppgift. Vid Stockholms universitet hanteras personuppgifter inom all verksamhet. Verksamheten är skyldig att skydda de personuppgifter som hanteras i enlighet med den lagstiftning som gäller för personuppgifter. Skydd av personuppgifter kallas vanligtvis för dataskydd och lagstiftningen som gäller inom detta område kan därför sammanfattas som Dataskyddslagstiftningen.
Dataskyddsombud samt Utbildning och stöd
Vid Stockholms universitet finns ett Dataskyddsombud som bistår verksamheten med rådgivning och rekommendationer. Dataskyddsombudets råd och rekommendationer hittar du här:
Dataskyddsombud
Rättssekretariatet har tagit fram utbildningar och stödmaterial till verksamheten gällande dataskydd som du hittar här:
Utbildning och stöd
Om regelverket
Den allmänna dataskyddsförordningen eller GDPR är det övergripande regelverket. Dataskyddslagen är en kompletterande nationell lagstiftning och även Etikprövningslagen innehåller bestämmelser kopplat till personuppgifter. Dataskydd förhåller sig i övrigt alltid till de lagar och regler som gäller verksamheten i övrigt. Därmed innebär dataskydd ett relativt komplext regelverk som ställer krav på alla verksamheter i förhållande till hur verksamheten får hantera personuppgifter. Kraven kan sammanfattas i tre övergripande krav: Dokumentation, Transparens och Säkerhet.
Roller och ansvar
Det är viktigt att förstå de olika rollerna som dataskyddslagstiftningen pekar ut. Medarbetare på Stockholms universitet som hanterar personuppgifter behöver förstå och dokumentera universitetets och övriga inblandade parters roll i hanteringen för att uppfylla kraven i lagstiftningen. Lagstiftningen ställer också krav på avtal mellan olika roller för att ansvaret för personuppgiftsbehandlingar ska vara tydligt.
Registerförteckning
Stockholms universitet är skyldig att föra ett register över sina personuppgiftsbehandlingar. Registret ska inte innehålla de registrerades personuppgifter i sig, utan ska innehålla information om de olika personuppgiftsbehandlingarna som förekommer vid universitetet.
Registrets innehåll
Ett register ska enligt lagstiftningen innehålla:
- Kontaktuppgifter till den personuppgiftsansvarige (dvs kontaktuppgifter till den som delegerats ansvar för den aktuella personuppgiftsbehandlingen enligt besluts- och delegationsordning)
- Kontaktuppgifter till dataskyddsombudet
- Ändamålen med behandlingen och rättslig grund för det (varför behandling sker och stödet i lagstiftningen för det, läs vidare ”här” (länk))
- Beskrivning av kategorier av registrerade (t.ex. ”studenter”, ”anställda”)
- Beskrivning av kategorier av personuppgifter (t.ex. ”namn och e-postadress”)
- Kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut (t.ex. IT-leverantör), om möjligt specificerat (t.ex. ”Sunet, Vetenskapsrådet”)
- Överföring av uppgifter till tredjeland (vilket land och vilket rättsligt stöd som finns för överföringen)
- Tidsperioden för bevarande och gallring av uppgifterna
- Beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna som tillämpas för behandlingen i fråga
Principer för personuppgiftsbehandling
Dataskyddslagstiftningen ställer upp ett antal huvudprinciper som universitetet behöver följa vid hantering av personuppgifter:
- Principen om laglighet, korrekthet och öppenhet - Personuppgiftsbehandlingen ska följa dataskyddslagstiftningen och ske på ett transparent vis i förhållande till den registrerade.
- Principen om ändamålsbegränsning - Personuppgifter får bara behandlas för särskilda, tydligt angivna och berättigade ändamål.
- Principen om uppgiftsminimering – Endast de personuppgifter som är nödvändiga för att uppnå ändamålet får behandlas.
- Principen om riktighet - Personuppgifterna ska vara riktiga och uppdaterade.
- Principen om lagringsminimering - Personuppgifterna får inte sparas längre än nödvändigt.
- Principen om integritet och konfidentialitet - Personuppgifterna ska hanteras säkert och ges tillräckligt skydd.
- Principen om ansvarsskyldighet – Det ska alltid finnas en ansvarig för personuppgiftsbehandlingen som kan visa att principerna efterlevs
Rättslig grund
För att behandling av personuppgifter ska vara laglig så ställer dataskyddslagstiftningen krav på att det finns stöd för hanteringen i en av GDPR:s definierade rättsliga grunder. Den som ansvarar för en personuppgiftsbehandling måste känna till och dokumentera den rättsliga grunden för sin behandling. Vid universitetet tillämpas framförallt fem rättsliga grunder, där uppgift av allmänt intresse (art. 6.1 e GDPR) är den vanligaste grunden för universitetets behandling av personuppgifter.
Vid händelse av personuppgiftsincident
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Vissa personuppgiftsincidenter ska rapporteras till Integritetsskyddsmyndigheten.
Enligt förordningen definieras begreppet personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Det kan också vara fråga om en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna. Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång, måste verksamheten dokumentera incidenten och i de fall incidenten sannolikt leder till en risk för de registrerade, anmäla den till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. Universitetet kan också behöva informera de registrerade om incidenten till exempel om det finns risk för id-stöld eller bedrägeri.
Dataskyddsombudet (dso@su.se) ska hållas informerad om personuppgiftsincidenter vid universitetet och stöttar vid behov med rådgivning. Vid händelse av personuppgiftsincident ska verksamheten fylla i mall för dokumentation av personuppgiftsincident och skicka till Dataskyddsombudet. På Integritetsskyddsmyndighetens hemsida kan du läsa mer om vad en personuppgiftsincident är och när en incident ska anmälas till IMY: www.imy.se