English

Personuppgifter och dataskydd

Dataskydd handlar om att skydda personuppgifter i enlighet med krav som ställs i lagstiftning bl.a. GDPR. På denna sida kan du läsa om personuppgifter och dataskydd på Stockholms universitet. Informationen har utformats av dataskyddsombudet vid Stockholms universitet.

Personuppgifter är information som innebär att en fysisk person kan identifieras. Avgörande är att informationen, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person för att informationen också ska bedömas som en personuppgift. Vid Stockholms universitet hanteras personuppgifter inom all verksamhet. Verksamheten är skyldig att skydda de personuppgifter som verksamheten hanterar i enlighet med den lagstiftning som gäller för personuppgifter. Skydd för personuppgifter kallas vanligtvis för dataskydd och lagstiftningen som gäller inom detta område kan därför sammanfattas som Dataskyddslagstiftningen.

Den allmänna dataskyddsförordningen eller GDPR[i] är det övergripande regelverket. Dataskyddslagen[ii] är en kompletterande nationell lagstiftning och även Etikprövningslagen[iii] innehåller bestämmelser kopplat till personuppgifter. Dataskydd förhåller sig i övrigt alltid till de lagar och regler som gäller verksamheten i övrigt. Därmed innebär dataskydd ett relativt komplext regelverk som ställer krav på alla verksamheter i förhållande till hur verksamheten får hantera personuppgifter. Kraven kan sammanfattas i tre övergripande krav: Dokumentation, Transparens och Säkerhet. Nedan följer information och rekommendationer avseende hanteringen av personuppgifter inom Stockholms universitets verksamhet. Informationen och rekommendationerna har utformats av dataskyddsombudet vid Stockholms universitet, läs mer om rollen som dataskyddsombud under Roller och ansvar

Dataskyddsombud samt Utbildning och stöd

Vid Stockholms universitet finns ett Dataskyddsombud som bistår verksamheten med rådgivning och rekommendationer. Dataskyddsombudets råd och rekommendationer hittar du här:
Dataskyddsombud

Rättssekretariatet har tagit fram utbildningar och stödmaterial till verksamheten gällande dataskydd som du hittar här:
Utbildning och stöd

Om regelverket

Den allmänna dataskyddsförordningen eller GDPR är det övergripande regelverket. Dataskyddslagen är en kompletterande nationell lagstiftning och även Etikprövningslagen innehåller bestämmelser kopplat till personuppgifter. Dataskydd förhåller sig i övrigt alltid till de lagar och regler som gäller verksamheten i övrigt. Därmed innebär dataskydd ett relativt komplext regelverk som ställer krav på alla verksamheter i förhållande till hur verksamheten får hantera personuppgifter. Kraven kan sammanfattas i tre övergripande krav: Dokumentation, Transparens och Säkerhet.

Inom dataskydd används ett antal begrepp. Nedan följer en förklaring av de vanligaste.

Personuppgift

Personuppgifter är all information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Personuppgifter är inte bara namn, adress och personnummer utan inkluderar även till exempel bilder (foton) och ljudinspelningar av personer som behandlas/lagras i dator, även om inga namn nämns. Uppgifter som indirekt och/eller aggregerat kan innebära identifikation av en fysisk person räknas som personuppgifter. Krypterade, kodade eller pseudonymiserade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Du kan läsa mer om begreppet personuppgift på Integritetsskyddsmyndighetens (IMY) hemsida.

Känsliga personuppgifter och extra skyddsvärda uppgifter

Vilka personuppgifter som räknas som känsliga framgår av dataskyddslagstiftningen. Känsliga personuppgifter är uppgifter om

  • etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i en fackförening
  • hälsa
  • en persons sexualliv eller sexuella läggning
  • genetiska uppgifter
  • biometriska uppgifter som används för att entydigt identifiera en person

Personnummer och samordningsnummer är inte känsliga personuppgifter. I den svenska dataskyddslagen har dock personnummer och samordningsnummer fått ett särskilt skydd och betraktas därför som extra skyddsvärda. Personnummer och samordningsnummer får enligt lag endast behandlas när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl eller om särskild lag medger det.

För känsliga och särskilt skyddsvärda personuppgifter gäller särskilda krav, framförallt när det gäller säkerhet för uppgifterna. Läs mer om vad som gäller vid behandling av känsliga och särskilt skyddsvärda uppgifter hos Integritetsskyddsmyndigheten (IMY).

Behandling

Behandling innebär varje åtgärd som någon i verksamheten vidtar med personuppgifter. I GDPR definieras behandling som; en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Pseudonymiserade personuppgifter

Pseudonymiserade personuppgifter innebär att personnummer och namn har ersatts med en kod eller liknande. Koden kan kopplas ihop med namn och personnummer på nytt via en kodnyckel. Kodnyckeln och kodade data ska inte förvaras tillsammans. Så länge det finns en kodnyckel som kan användas för att identifiera individerna betraktas de pseudonymiserade uppgifterna fortfarande som personuppgifter och omfattas av dataskyddslagstiftningen, även om du inte har tillgång till kodnyckeln.

Anonymiserade uppgifter

Pseudonymiserade uppgifter anonymiseras när kodnyckeln förstörs och det inte längre är möjligt att koppla en person till uppgifterna. Anonymiserade uppgifter betraktas inte som personuppgifter och omfattas inte av dataskyddslagstiftningen. Pseudonymiserade data som är aggregerade skulle kunna anses vara anonymiserade om man säkerställer att det inte går att spåra individerna.

Roller och ansvar

Det är viktigt att förstå de olika rollerna som dataskyddslagstiftningen pekar ut. Medarbetare på Stockholms universitet som hanterar personuppgifter behöver förstå och dokumentera universitetets och övriga inblandade parters roll i hanteringen för att uppfylla kraven i lagstiftningen. Lagstiftningen ställer också krav på avtal mellan olika roller för att ansvaret för personuppgiftsbehandlingar ska vara tydligt.

De registrerade är begreppet som används avseende de individer vars personuppgifter verksamheten behandlar, dvs de individer som berörs av personuppgiftsbehandlingen och vars information universitetet hanterar i någon form. Det kan t.ex. röra anställda och studenter, forskningspersoner eller uppdragstagare i någon form etc. De registrerade skulle enkelt uttryckt kunna sägas vara huvudpersonerna i dataskyddslagstiftningen, eftersom det är de registrerades uppgifter som ska skyddas och tas omhand på ett adekvat sätt. I dataskyddslagstiftningen tillerkänns de registrerade ett antal rättigheter, såsom den allmänt kända rättigheten ”att bli bortglömd”.

Dataskyddsombudet är ett ombud för de registrerade och har därmed en oberoende roll. De flesta organisationer och verksamheter som behandlar personuppgifter måste enligt lagstiftningen utse ett dataskyddsombud. Dataskyddsombudets uppgift är att övervaka att organisationen följer dataskyddslagstiftningen. Detta kan ske dels genom kontroller, men också genom information och rådgivning till organisationen. Dataskyddsombudet kan t.ex. utfärda rekommendationer till den personuppgiftsansvarige. Dataskyddsombudet kan inte ta över den personuppgiftsansvariges uppgifter i förhållande till lagstiftningen och utöva ett ansvar. Det innebär i praktiken att verksamheten behöver förstå med vilken rätt de utför personuppgiftsbehandlingar och se till att lagstiftningen efterlevs genom att uppfylla de krav på dokumentation, transparens och riskanalyser som lagstiftningen ställer.

I varje medlemsstat ska det finnas en tillsynsmyndighet för övervakningen av tillämpningen av dataskyddslagstiftningen. I Sverige utövar Integritetsskyddsmyndigheten (IMY) tillsyn över verksamheter som har att följa dataskyddslagstiftningen. Privatpersoner som är missnöjda med hur en verksamhet behandlar deras personuppgifter kan vända sig till IMY med klagomål och IMY kan fatta beslut och utfärda sanktionsavgifter om de bedömer att en verksamhet inte följer lagstiftningen.

Den verksamhet som bestämmer varför personuppgifter ska behandlas och hur det ska gå till är personuppgiftsansvarig. En verksamhet kan vara ensamt personuppgiftsansvarig eller gemensamt personuppgiftsansvarig tillsammans med annan verksamhet. Stockholms universitet är personuppgiftsansvarig organisation för de personuppgiftsbehandlingar som sker inom universitetets verksamhet och i samverkan med andra, där personuppgiftsansvarigt i sådana fall som huvudregel är gemensamt. Ansvaret att följa dataskyddslagstiftningens krav följer de besluts- och delegationsordningar som gäller på universitetet. Detta innebär att rektor har ett övergripande ansvar för att dataskyddslagstiftningen efterlevs och att arbetet med att säkerställa efterlevnaden av regelverket har delegerats till universitetets olika verksamhetsgrenar.

Gemensamt ansvarig

Om universitetet bestämmer varför och hur personuppgifter ska behandlas tillsammans med annan part, t.ex. vid samverkan och forskning, så innebär det ett gemensamt personuppgiftsansvar. Vid gemensamt personuppgiftsansvar ställer lagstiftningen krav på avtal mellan parterna. Kravet på avtal i lagstiftningen finns där för att ansvarsuppfyllande och utförande, såsom till vem de registrerade ska vända sig för att utöva sina rättigheter, ska vara tydligt. Här (länk till wordmall) hittar du en exempelmall för avtal gällande gemensamt personuppgiftsansvar.

Ensamt ansvarig

Ibland förekommer flöden av personuppgifter mellan två organisationer utan att situationen innebär ett gemensamt ansvar eller att någon agerar på uppdrag av annan som personuppgiftsbiträde. I dessa fall är organisationerna ensamt ansvariga för sina behandlingar. Det är viktigt att komma ihåg att ändamålen för de olika behandlingarna måste vara förenliga med varandra för att det ska vara tillåtet med en överföring av uppgifter från en part till en annan.

Exempel: När en arbetsgivare skickar personuppgifter till företagshälsovården för ändamålet förbättrad arbetsmiljö för medarbetaren och hälsvårdsföretaget därefter behandlar uppgifterna för ändamålet att erbjuda individen vård, så innebär det att de två olika organisationerna har ensamt ansvar, där ändamålen med de olika behandlingarna ändå är förenliga med varandra.

Ibland kan det finnas önskemål och anledning att reglera flödet av data mellan två ensamt ansvariga i ett avtal. För rådgivning kontakta rättssekretariatet (länk till fråga juristen).

En verksamhet eller organisation som behandlar personuppgifter på uppdrag och instruktioner av någon annan agerar som personuppgiftsbiträde. Ett personuppgiftsbiträde har inget eget ändamål med behandlingen, utan behandlar uppgifter enbart på uppdrag av annan (dvs den personuppgiftsansvarige). Ett personuppgiftsbiträde kan inte kontrollera personuppgiftsbehandlingen eller ändra på syftet med behandlingen, utan agerar alltid på uppdrag av den personuppgiftsansvarige. Stockholms universitet agerar endast undantagsvis som personuppgiftsbiträde. Ett typiskt personuppgiftsbiträde är en leverantör av IT-system och leverantör av s.k. molntjänster som lagrar och hanterar personuppgifter åt den ansvarige. Om du har behov av ett personuppgiftsbiträdesavtal så finns standardavtalsklausuler för personuppgiftsbiträdesavtal för personuppgiftsbiträdesavtal (godkända av IMY). Obs att standardavtalsklausuler inte får ändras. Denna exempelmall (länk till word-mall) kan också användas vid behov av personuppgiftsbiträdesavtal, och den mallen kan anpassas.

Registerförteckning

Stockholms universitet är skyldig att föra ett register över sina personuppgiftsbehandlingar. Registret ska inte innehålla de registrerades personuppgifter i sig, utan ska innehålla information om de olika personuppgiftsbehandlingarna som förekommer vid universitetet. Ett register ska enligt lagstiftningen innehålla:

  • Kontaktuppgifter till den personuppgiftsansvarige (dvs kontaktuppgifter till den som delegerats ansvar för den aktuella personuppgiftsbehandlingen enligt besluts- och delegationsordning)
  • Kontaktuppgifter till dataskyddsombudet
  • Ändamålen med behandlingen och rättslig grund för det (varför behandling sker och stödet i lagstiftningen för det) )
  • Beskrivning av kategorier av registrerade (t.ex. ”studenter”, ”anställda”)
  • Beskrivning av kategorier av personuppgifter (t.ex. ”namn och e-postadress”)
  • Kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut (t.ex. IT-leverantör), om möjligt specificerat (t.ex. ”Sunet, Vetenskapsrådet”)
  • Överföring av uppgifter till tredjeland (vilket land och vilket rättsligt stöd som finns för överföringen)
  • Tidsperioden för bevarande och gallring av uppgifterna
  • Beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna som tillämpas för behandlingen i fråga

Rättssekretariatet vid Rektors kansli förvaltar den centrala förvaltningens registerförteckning. Varje förvaltningsavdelning ansvarar för att hålla sina personuppgiftsbehandlingar uppdaterade i registret. Kontakta dataskyddsombudet för tillgång till den centrala förvaltningens registerförteckning på dso@su.se.

Personuppgiftsbehandling vid institution eller motsvarande (institut eller centrumbildning som sorterar under en fakultet) ska registreras särskilt. Varje institution ansvarar för att ha ett eget uppdaterat register över personuppgiftsbehandlingar inom sina administrativa processer, forskning och samverkan samt för personuppgiftsbehandlingar inom studentarbeten. Institutioner kan använda excelmallen Registerförteckning institution som tillhandahålls av Rättssekretariatet för detta syfte. På sidan om utbilding och stöd hittar du den aktuella mallen inklusive en utbildningsfilm om att föra register över personuppgiftsbehandlingar. Registerförteckningen ska vara tillgänglig i elektroniskt format, förvaras på institutionen och kontinuerligt hållas uppdaterad. På begäran ska det göras tillgängligt för dataskyddsombudet och IMY. Kontakta dataskyddsombudet vid frågor gällande registerförteckningen på dso@su.se.

Dataskyddslagstiftningen ställer upp ett antal krav och huvudprinciper som universitetet behöver följa vid hantering av personuppgifter.

  • Principen om laglighet, korrekthet och öppenhet - Personuppgiftsbehandlingen ska följa dataskyddslagstiftningen och ske på ett transparent vis i förhållande till den registrerade.
  • Principen om ändamålsbegränsning - Personuppgifter får bara behandlas för särskilda, tydligt angivna och berättigade ändamål.
  • Principen om uppgiftsminimering – Endast de personuppgifter som är nödvändiga för att uppnå ändamålet får behandlas.
  • Principen om riktighet - Personuppgifterna ska vara riktiga och uppdaterade.
  • Principen om lagringsminimering - Personuppgifterna får inte sparas längre än nödvändigt.
  • Principen om integritet och konfidentialitet - Personuppgifterna ska hanteras säkert och ges tillräckligt skydd.
  • Principen om ansvarsskyldighet – Det ska alltid finnas en ansvarig för personuppgiftsbehandlingen som kan visa att principerna efterlevs

Laglighet

För att en personuppgiftsbehandling ska vara laglig måste det först och främst finnas en rättslig grund för behandlingen.

Rättslig grund

För behandling av personuppgifter ställer dataskyddslagstiftningen krav på att det finns stöd i en av GDPR:s definierade rättsliga grunder. Den som ansvarar för en personuppgiftsbehandling måste känna till och dokumentera den rättsliga grunden för sin behandling. Vid universitetet tillämpas framförallt fem rättsliga grunder, där uppgift av allmänt intresse (art. 6.1 e GDPR) är den vanligaste grunden för universitetets behandling av personuppgifter.

Uppgift av allmänt intresse – art. 6.1 e) GDPR

I GDPR stadgas att personuppgiftsbehandling är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse som ska vara fastställd antingen genom unionsrätten eller en medlemsstats nationella rätt. Därför måste uppgiften av allmänt intresse alltid utgå från lag, förordning eller annat uppdrag som universitetet fått av riksdag eller regering, såsom exempelvis regleringsbrev.

Av 1 kap. 2 § Högskolelagen (1992:1434), HL framgår att universitetets uppdrag är att bedriva utbildning och forskning och att det i universitetets uppgift ska ingå att samverka med det omgivande samhället för ömsesidigt utbyte och verka för att den kunskap och kompetens som finns vid universitetet kommer samhället till nytta. Mycket av verksamheten vid ett lärosäte utgår från detta uppdrag, som därmed utgör grunden för att hantera de personuppgifter som är nödvändiga för att kunna utföra uppgiften.

Exempel på uppdrag av allmänt intresse:

  • Forskning och samverkan
  • Nödvändiga stödverksamheter som styrning och ledning, ekonomi, lokalförsörjning, IT-stöd med flera
  • Uppdragsutbildning
  • Publika evenemang
  • Nyhetsbrev

Rättslig förpliktelse – art. 6.1 c) GDPR

Om det finns en lag, författning eller ett kollektivavtal som säger att universitetet måste behandla vissa uppgifter så får du lov att hantera de personuppgifter som är nödvändiga för att kunna utföra dessa med stöd i den rättsliga grunden rättslig förpliktelse.

Exempel på rättsliga förpliktelser finns i förordning [1993:1153] om redovisning av studier m.m. vid universitet och högskolor (Ladokförordningen). Där anges bland annat att:

  • Universitetet ska dokumentera vissa uppgifter om varje student (2 kap. 3 §),
  • för vilka ändamål uppgifter i studieregistret får användas (2 kap. 2 §), och
  • till vilka universitetet får lämna ut uppgifter ur studieregistret med stöd av förordningen (2 kap. 6 §).

Myndighetsutövning – art. 6.1 e) GDPR

Du får lov att hantera personuppgifter när det är nödvändigt som ett led i myndighetsutövningen. Myndighetsutövning motsvarar vid universitetet bland annat antagning av studenter, examination eller utfärdande av examensbevis.

Avtal – art. 6.1 b) GDPR

Det är tillåtet att hantera personuppgifter när det behövs för att fullfölja avtal som universitetet har ingått eller kommer att ingå med en enskild person.

Samtycke – art. 6.1 a) GDPR

Vid vissa tillfällen kan en person ge sitt samtycke till att universitetet hanterar hens personuppgifter. Tänk på att samtycket ska vara frivilligt, informerat och dokumenterat. Du ska inte be personer som står i beroendeställning till universitetet om samtycke. Detta innebär att du som regel inte kan använda samtycke som rättslig grund för anställda och studenter. En vanlig missuppfattning är att det alltid krävs samtycke för att få behandla personuppgifter, men i många fall är det inte lämpligt eller ens möjligt att stödja sig på samtycke. Om behandlingen av personuppgifter kan ske med stöd av någon annan rättslig får dessutom inte samtycke användas. Överväg därför någon av de andra rättsliga grunderna i första hand.

Senast uppdaterad: 2025-01-23

Sidansvarig: Rättssekretariatet