Anvisning för personuppgiftsbehandling

Universitetet har ett antal styrdokument som anställda, studenter, uppdragstagare med flera ska förhålla sig till. Anvisningarna ska ses som ett komplement och förtydligande av de styrdokument som berör personuppgiftsbehandling.

Kortadress: su.se/gdpranvisningar

Dataskyddsförordningens viktigaste delar

En personuppgift är en sådan uppgift som kan härledas till en nu levande fysisk person. Datasskyddsförordningen är tillämpbar på personuppgifter som finns på medium för automatiserad behandling (lagringsmedia som kan läsas av en dator) samt på fysiska handling i den utsträckning sådana handlingar ingår i ett register.

1. Dokumentation

Innan insamlandet av personuppgifter påbörjas ska personuppgiftsansvarig (SU) fastställa för vilket ändamål som personuppgifterna inhämtas (varför behöver du uppgifterna?), vilken personuppgiftsbehandling som ska ske, hur länge personuppgiftsansvarige kommer behålla uppgifterna (lagringstid) samt med vilket rätt personuppgiftsansvarig samlar in och kommer behandla uppgifterna (rättslig grund).

Dessa ställningstaganden ska dokumenteras och föras in i registerförteckningen. Det är du som avser att behandla personuppgifter som i samråd med universitetsförvaltningen ska ta fram denna dokumentation.

2. Information

I samband med insamlandet ska den personuppgiftsansvarige lämna information till den registrerade (den vars personuppgifter samlas in) som syftar till att upplysa om dennes rättigheter. Endast i vissa undantagsfall kan dessa uppgifter lämnas efter det att uppgifterna samlats in.

3. Säkerhet

Från den tidpunkt då den personuppgiftsansvarige får del av den registrerades personuppgifter ska dessa uppgifter behandlas säkert. Beroende på hur känsliga uppgifterna är och mängden uppgifter som behandlas åligger den SU att vidta olika omfattande säkerhetsåtgärder. Denna bedömning utgår ifrån hur stor skadan skulle bli för den registrerade om uppgifter kom någon obehörig till del.

Kontaktuppgifter till Dataskyddsombudet (DSO)

Cristina Pérez (från nov 2022)
E-post: dso@su.se

Dataskyddsombudet
Stockholms universitet
106 91 Stockholm

Viktiga frågor som verksamhetsansvarig bör kunna besvara

  • Vilka personuppgifter hanteras och för vilka syften?
  • Vems personuppgifter behandlas?
  • Vilken rättslig grund tillämpas för de olika behandlingarna?
  • Hur säkerställs att grundläggande principer för personuppgiftsbehandling följs?
  • Hanteras personuppgifter av någon utanför SU för institutionens/avdelningens räkning?
  • Vilken information lämnas till de registrerade och hur?
  • Hur hanteras de registrerades rättigheter?
  • Hur hanteras begäran om utlämning?

Anvisning för personuppgiftsincident

En personuppgiftsincident är t. ex. en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Vissa personuppgiftsincidenter ska rapporteras till Integritetsskyddsmyndigheten.

Enligt förordningen definieras begreppet personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Det kan också vara fråga om en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna. Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång, måste man dokumentera incidenten och i de fall incidenten sannolikt leder till en risk för de registrerade, anmäla den till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. Man kan också behöva informera de registrerade till exempel om det finns risk för id-stöld eller bedrägeri. För att kunna leva upp till de nya skyldigheterna enligt förordningen är det viktigt att institutioner/motsvarande som behandlar personuppgifter har tillräckliga rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter.

Dataskyddsombudet (dso@su.se) ska hållas informerad om personuppgiftsincidenten och stöttar vid behov. På Integritetsmyndighetens hemsida kan du läsa mer om vad en personuppgiftsincident är och när en incident ska anmälas till IMY.

Personuppgifter behöver ibland behandlas för att utifrån en rimlig kostnad och arbetsinsats kunna uppnå en hög kvalitet i forskningen. Det är dock viktigt att redan i den inledande planeringsfasen göra en bedömning av vilka personuppgifter som kan komma att behöva behandlas, vilka integritetsrisker som behandlingen innebär, huruvida dessa risker står i proportion till syftet med behandlingen, samt vilka förutsättningar som måste vara uppfyllda enligt gällande reglering. I denna anvisning tas några av de mest centrala frågorna upp. Vid osäkerhet kring dina skyldigheter enligt Dataskyddsförordningen kan Stockholms universitets dataskyddsombud kontaktas.

Grundläggande krav för personuppgiftsbehandling för forskningsändamål

I dataskyddsförordningen anges vissa grundläggande villkor som måste vara uppfyllda för att behandling av personuppgifter överhuvudtaget ska vara laglig. Listan över så kallade rättsliga grunder i artikel 6.1 är uttömmande, vilket innebär att man måste kunna hänvisa till minst en av dessa för att kunna visa att behandlingen i fråga är tillåten. Den rättsliga grund som framför allt kan komma i fråga för den forskning som bedrivs vid Stockholms universitet är nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e och i vissa fall, såsom ofta vid datainsamling i utlandet, samtycke enligt artikel 6.1 a. Du kan läsa mer om dessa rättsliga grunder längre ner.

Förutom att personuppgiftsbehandlingen måste vila på en rättslig grund gäller vissa grundläggande principer för själva behandlingen. Bland annat ska det finnas ett särskilt och uttryckligt angivet ändamål med behandlingen och uppgifterna skall vara korrekta, adekvata, relevanta och inte alltför omfattande i förhållande till detta ändamål. Den sistnämnda principen kallas för uppgiftsminimering, och betyder alltså att du behöver säkerställa att du inte samlar in, använder eller på andra sätt behandlar fler uppgifter än vad som krävs för att du ska kunna utföra din uppgift. Du hittar mer information om dessa principer här:

Personuppgifter och dataskydd

Forskning som innefattar behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. omfattas dessutom av ett krav på etikprövning enligt lag (2003:460) om etikprövning av forskning som avser människor (information om etikprövning av forskning som avser människor finns här).

De registrerades rättigheter enligt förordningen måste också respekteras och de registrerade ska också informeras om dessa rättigheter (mer information och mallar för informationsblad och samtyckes blanketter finns här). De registrerade ska även informeras om själva behandlingen, vilket innebär att man redan i den inledande planeringsfasen måste ta hänsyn till behovet av vidare behandling för arkivändamål samt upprätta en datahanteringsplan av vilken det bland annat ska framgå hur materialet ska samlas in och lagras samt vem som ska ges tillgång till materialet i olika skeden av behandlingen.

Om det finns en hög risk för integritetsintrång ska en konsekvensbedömning göras innan behandlingen påbörjas (se Integritetskyddsmyndighetens information). All personuppgiftsbehandling vid Stockholms universitet ska tas upp i universitetets registerförteckning.

Om personuppgifter ska behandlas av någon utanför organisationen för Stockholms universitets räkning ska ett personuppgiftsbiträdesavtal tecknas. Om personuppgifter ska publiceras på webben eller lagras i molntjänster finns det särskilda regler att ta hänsyn till. Om personuppgifter ska överföras till ett land utanför EU behöver du undersöka om detta är möjligt.

Nödvändig behandling för att utföra en uppgift av allmänt intresse

För Stockholms universitet (liksom för andra universitet och högskolor med staten som huvudman) är uppgiften att forska fastställd i nationell rätt genom bestämmelser i högskolelagen. Detta innebär att forskare vid Stockholms universitet kan tillämpa den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen vid behandling av personuppgifter som är nödvändig för att utföra forskningen. Att behandlingen måste vara nödvändig för att utföra forskningen innebär inte att det måste vara helt omöjligt att utföra forskningen utan behandlingen. Det handlar snarare om att göra en rimlighetsbedömning av vilka alternativ som står till buds. En sådan bedömning bör ta hänsyn till tidsåtgång, arbetsinsats, kostnader, och huruvida behandlingen bidrar till en högre kvalitet och tillförlitlighet i forskningsresultatet. Om syftet med forskningen kan uppnås i stort sett lika väl, enkelt och billigt med anonyma uppgifter som med personuppgifter kan behandlingen inte rimligen anses vara nödvändig för utförandet av forskningen.

Samtycke

För att ett samtycke ska kunna utgöra en giltig rättslig grund krävs att det är frivilligt, specifikt, informerat, samt lämnat genom ett uttalande eller en entydigt bekräftande handling. Är det fråga om behandling av känsliga personuppgifter måste samtycket dessutom vara uttryckligt. Det är viktigt att säkerställa att det inte råder någon form av beroendeförhållande mellan den registrerade och den personuppgiftsansvarige som gör att samtyckets frivillighet kan ifrågasättas. Begäran om samtycke måste enkelt kunna urskiljas från andra eventuella frågor som förekommer i samband med inhämtningen och det ska gälla tydligt avgränsade syften. Det är inte tillräckligt att ange ett generellt syfte som till exempel forskning inom ett visst område. Informationen om det aktuella forskningsprojektet bör vara så pass utförlig att den tillfrågade kan bilda sig en rimlig uppfattning om vad deltagande och därmed förknippad personuppgiftsbehandling innebär för dennes del. I den mån det är möjligt med hänsyn till behandlingens ändamål ska det gå att ge separata samtycken för olika delar av behandlingen. Den registrerade ska få tydlig information om behandlingen och sina rättigheter och samtycket ska kunna återkallas lika lätt som det gavs. Den personuppgiftsansvarige ska kunna visa att giltigt samtycke finns, vilket innebär att det är viktigt att dokumentera, i registerförteckningen, inhämtade samtycken. Ytterligare information om samtyckesinhämtning, inklusive mallar för informationsblad och samtyckesblanketter finns här.

Skyddsåtgärder

All personuppgiftsbehandling för forskningsändamål ska enligt dataskyddsförordningen omfattas av lämpliga skyddsåtgärder, d.v.s. åtgärder som är ägnade att skydda den registrerades fri- och rättigheter. En typ av skyddsåtgärd som ofta är lämplig vid personuppgiftsbehandling för forskningsändamål och som därmed bör användas är pseudonymisering. Detta innebär att personuppgifterna behandlas på ett sådant sätt att de inte kan knytas till en enskild individ utan att (separat förvarade) kompletterande uppgifter används, vilket kan uppnås tex. genom användning av kodnycklar eller särskilda algoritmer (s.k. ”hashfunktioner”). När det gäller behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. ställs det särskilda krav på skyddsåtgärder. För forskning som utförs i Sverige och innefattar behandling av sådana uppgifter gäller att den inte får påbörjas innan den har godkänts enligt Lag (2003:460) om etikprövning av forskning som avser människor (se information om etikprövning). Vid frågor om etikprövning, kontakta etikstödsfunktionen vid Avdelningen för forsknings- och samverkansstöd vid Stockholms universitet (etik@fs.su.se) eller Etikprövningsmyndigheten.

Vissa skyddsåtgärder är reglerade i nationell rätt, men det är den personuppgiftsansvariges ansvar att se till att förordningens krav avseende detta är uppfyllda vid varje enskild behandling. Exempelvis ska (med vissa undantag) behandlingen av personuppgifterna upphöra om den registrerade motsätter sig behandlingen. Det är normalt inte heller tillåtet att använda personuppgifter som behandlas enbart för forskningsändamål för att vidta åtgärder gentemot den registrerade. Även tekniska och administrativa skyddsåtgärder bör övervägas och vidtas när det bedöms lämpligt, t ex. kryptering, åtkomststyrning, samt certifiering av personal.

Om en personuppgiftsincident inträffar, till exempel ett dataintrång, måste det anmälas inom 72 timmar till tillsynsmyndigheten. Detta innebär att du behöver kontakta universitetets IT-avdelning omgående.

God forskningssed

Förutom de krav som ställs i gällande dataskyddsreglering finns det även väl etablerade riktlinjer om god forskningssed att ta hänsyn till, exempelvis de som återges i ALLEAs European Code of Conduct for Research Integrity, Vetenskapsrådets skrift God forskningssed (2017) och på webbplatsen CODEX.

Kontakt

Om en personuppgiftsincident inträffat ska du omgående kontakta IT-avdelningen.

Vid frågor som rör forskningsetik, kontakta etikstödsfunktionen vid Avdelningen för forsknings- och samverkansstöd: etik@fs.su.se.

Vid osäkerhet kring dina skyldigheter enligt Dataskyddsförordningen kan du kontakta Stockholms universitets dataskyddsombud: dso@su.se.

För juridiska frågor kan du även kontakta juristerna vid Rättssekretariatet.

Senast uppdaterad: 2024-04-11

Sidansvarig: