Utbildning och stöd

På denna sida hittar du utbildningsmaterial och mallar för stöd i arbetet med att följa GDPR.

Enligt den grundläggande ansvarsprincipen i GDPR så ska Stockholms universitet kunna visa att dataskyddslagstiftningen efterlevs. Detta ska bl.a. ske genom att hålla dokumentation över personuppgiftsbehandlingar och riskbedömningar samt att se till att korrekta avtal finns på plats.

Ansvaret för att ta fram sådan dokumentation följer av besluts- och delegationsordningar på universitetet. Universitetsjurister och dataskyddsombud (Rättssekretariatet, Rektors kansli) tillhandhåller utbildningsfilmer och stödmaterial på denna sida, i syfte att öka kunskapen om GDPR och som stöd till verksamheten i arbetet med att uppfylla kraven på dokumentation.

För frågor gällande materialet eller annat behov av juridiskt stöd inom frågor relaterade till GDPR kan verksamheten vända sig Fråga juristen. För frågor gällande registerförteckning, konsekvensbedömning och personuppgiftsincident ska dataskyddsombudet kontaktas på dso@su.se.

Integritetsskyddsmyndigheten (IMY) är tillsynsmyndighet rörande dataskydd i Sverige. På IMY:s webbplats finns utbildning och stöd till verksamheter såsom vägledningar, kunskapsfilmer och quiz. Där hittar du bl.a. filmer rörande grundläggande principer, rättslig grund och registrerades rättigheter.

Rättssekretariatet arbetar kontinuerligt med att ta fram utbildningar inom dataskydd och att hålla övrigt stödmaterial på denna sida uppdaterat. Sidan är under utveckling och nytt material kommer att publiceras löpande.

Mallbibliotek

Här hittar du mallar för sådan dokumentation som GDPR kräver, bl.a. mall för registerförteckning och konsekvensbedömning.

Utbildningsfilmer

Här hittar du utbildningsfilmer för arbetet med personuppgiftsbehandling

Att föra register över personuppgiftsbehandling

Stockholms universitet är skyldig att föra register över de personuppgiftsbehandlingar som sker vid universitetet. Registret ska innehålla information om de olika personuppgiftsbehandlingarna som förekommer vid universitetet, men inte personuppgifterna i sig. I denna film ger universitetets dataskyddsombud en kort introduktion till dataskydd och en genomgång av den mall för registerförteckning som verksamheten kan använda i syfte att föra register över sina personuppgiftsbehandlingar.

Introduktion till dataskydd

I denna film får du en bakgrund och introduktion till regelverket om skydd för personuppgifter som universitetet har att följa.

Begreppet personuppgift

I den här filmen får du veta vad som juridiskt sett är en personuppgift, känslig respektive integritetskänslig personuppgift och vad anonymisering samt pseudonymisering innebär enligt GDPR.

Lagligt stöd för personuppgiftsbehandling

För all personuppgiftsbehandling krävs lagligt stöd, en så kallad rättslig grund. I den här filmen får du veta vad rättslig grund innebär och du får exempel på rättsliga grunder inom Stockholms universitets verksamhet.

Behandling av personuppgifter utanför EU/EES

I den här filmen får du veta vad som gäller när personuppgifter behöver behandlas utanför EU/EES gränser, s.k. tredjelandsöverföring.

Principer för behandling av känsliga personuppgifter och behandling av personuppgifter om lagöverträdelser

I denna film får du veta vilka krav som gäller vid behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser.

FAQ – Föra register över personuppgiftsbehandlingar (artikel 30 register)

Nedan återges inkomna frågor till och svar från dataskyddsombudet på universitetet gällande förande av registerförteckning enligt artikel 30 GDPR som bedöms kan vara av intresse och hjälp för verksamheten.

Fråga: Hur avgör vi vilken rättslig grund som gäller för vår behandling?
Svar: För att veta vilken rättslig grund som gäller för en behandling behöver man veta vilka krav som gäller för verksamheten/aktiviteten ifråga och vad som styr processen som innebär personuppgiftsbehandling. Det kan t.ex. vara så att bokföringslagen styr vissa processer inom ekonomi och då ställer krav på personuppgiftsbehandling (vilket innebär att den rättsliga grunden är rättslig förpliktelse enligt 6.1 c GDPR) eller att processen innebär myndighetsutövning eftersom det handlar om att bevilja eller avslå en förmån för en enskild (den rättsliga grunden myndighetsutövning framgår av artikel 6.1 e GDPR). Verksamheten behöver själva veta vilka lagkrav som gäller för den specifika processen, om det då är ett krav att verksamheten måste göra en åtgärd som innebär personuppgiftsbehandling (t.ex. diarieföring) då är det rättslig förpliktelse som är den rättsliga grunden för behandlingen. Inom många processer gällande anställda är det istället anställningsavtalet som utgör grunden för personuppgiftsbehandling och då är det artikel 6.1 b (avtal) som är den rättsliga grunden. Grundfrågan som behöver besvaras är: Varför gör vi detta med uppgifterna? Är det pga av anställningsavtal (6.1 b), för att vi måste det enligt en lag (6.1c) eller ska fatta ett beslut gällande en enskild (6.1 e myndighetsutövning)? Är det för att vi får göra det enligt lag? (allmänt intresse enligt 6.1 e GDPR).
Fråga: Är det ett krav att använda universitetets mall för registerförteckning eller kan vi använda en annan lösning?
Svar: Universitetet är som personuppgiftsansvarig skyldig att hålla ett register över behandling som utförs under universitetets ansvar. Verksamheten bör därför använda den framtagna mallen för att universitetets samlade registerförteckning ska vara enhetlig. Uppföljning och granskning av registerförteckningen försvåras om verksamhetsgrenar inom universitetet väljer annat system för registerförteckningen än den förordade mallen. Det går dock bra att dela upp mallen i fler filer, till exempel tre filer för forskning, samverkan och studentarbeten, istället för en fil med fler arbetsblad.
Fråga: Hur avgränsar vi processer som innebär personuppgiftsbehandling inom forskningsprojekt och studentarbeten? Kan vi samla personuppgiftsbehandlingarna under en gemensam process eller behöver varje projekt/studentarbete anges för sig i registret?
Svar: Vanligtvis registreras varje forskningsprojekt som innebär personuppgiftsbehandling för sig i registret (jfr rubrikerna i excelfilens kolumner som har rubriken ”Projekt”). Möjligtvis kan man ordna projekt i större grupper/ämnesområden om typen av personuppgiftsbehandling är densamma och ändamålet för behandlingen går att precisera utifrån det. Att ange processen för personuppgiftsbehandling som ”forskning” blir dock alltför brett. Den personuppgiftsansvarige måste kunna svara på frågorna i raderna, t.ex. vilka uppgifter som behandlas, det specifika ändamålet med behandlingen (vilket ofta är samma som projektets syfte) och mottagare (dvs om forskarna t.ex. samverkar med annan eller använder sig av ett biträde för databehandling). Det går oftast inte att ge sådan detaljerad information om processen för personuppgiftsbehandlingen anges som ”forskning”. Detsamma gäller studentarbeten, där det på liknande vis kan vara möjligt att organisera varje process under en kurs om det utifrån kraven på att ange ändamål och fylla i övriga rader i mallen är möjligt att gruppera studenternas personuppgiftsbehandlingar på det viset.
Fråga: Ska vi ange i vilka system som personuppgiftsbehandlingen förekommer?
Svar: Det finns inte någon särskild rad för att ange i vilket system som personuppgiftsbehandlingen förekommer. Uppgiften om system kan dock föras in i mallen, antingen på raden för tekniska och organisatoriska säkerhetsåtgärder eller i raden för kategorier av mottagare. I raden för kategorier av mottagare anges om systemet tillhandahålls av en extern leverantör och personuppgifter därmed behandlas av part utanför universitetet. I raden för tekniska och organisatoriska säkerhetsåtgärder kan även beskrivas vilket eller vilka interna system som används för personuppgiftsbehandlingen ifråga.
Fråga: Innebär citering och referenser till vetenskapliga, litterära eller andra verk en personuppgiftsbehandling som ska registreras i registerförteckningen?
Svar: Att studera och referera till ett vetenskapligt, litterärt, konstnärligt eller journalistiskt framtaget arbete bör falla under 1 kap. 7 § andra stycket Dataskyddslagen (2018:218) som stadgar att ”Artiklarna 5-30 och 35-50 i EU:s dataskyddsförordning samt 2-5 kap. denna lag ska inte tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.”
Därmed ska inte behandling i samband med att referera och citera bl.a. vetenskapliga arbeten registreras i registerförteckningen. Här bör man också tänka på att skilja på vad som utgör personuppgiftsbehandlingen. Innebär studien också studier av personuppgifter i något slag? Då är det en behandling som ska registreras, t.ex. ett forskningsprojekt där man genomför en undersökning av uppgifter som kan härledas till nu levande individer. När du studerar ett vetenskapligt (eller enligt ovan) verk så undersöker du inte själva uppgifterna som kan härledas till en individ, utan du studerar det vetenskapliga arbetet och innehållet i det. Personuppgifts-behandlingen som det innebär att namnge författaren (eller upphovsman till annat verk) är relaterad till upphovsrätten, men säger egentligen ingenting om individen utöver att den författat (skapat) arbetet. Syftet med att referera till arbetet är alltså inte att behandla personuppgifter eller någon egenskap som kan kopplas till individen.

Obs att det finns många områden som innebär en personuppgiftsbehandling och där de nämnda artiklarna i GDPR gäller, även om syftet med en studie primärt är ett annat än att studera just personuppgifter. Som ett exempel skulle en studie gällande utbredningen av parkslide i ett villaområde potentiellt kunna utgöra personuppgifter som behandlas och där behandlingen ska registreras i registret, om uppgifterna går att knyta till en fastighet som ägs av en eller två individer. Uppgiften huruvida det förekommer parkslide på deras fastighet kan kopplas till individerna och kopplas till deras ekonomiska identitet (genom värdet på fastigheten). Jfr definitionen av personuppgifter i art. 4.1 GDPR: ”personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.”

Sammanfattningsvis bedömer jag alltså att det är en personuppgiftsbehandling att referera till författare och upphovsmän utifrån definitionerna av personuppgifter och behandling i artikel 4 GDPR, men att behandlingen bör falla under undantaget i 1 kap. 7 § andra stycket dataskyddslagen enligt ovan och att den därmed inte ska registreras som en behandling i art. 30-registret.
Fråga: Vad ska vi (institutioner/motsvarande) göra när vi har fyllt i mallen för registerförteckningen?
Svar: Rektors beslut om att institutioner och motsvarande har upprättat en registerförteckning enligt artikel 30 GDPR senast den 30 september 2025 ska följas upp av rektors kansli (ledningssekretariatet och rättssekretariatet i samverkan) och återrapporteras till rektor senast den 1 november 2025. För uppföljningen ska den ifyllda mallen därför skickas till adressen artikel30-register@su.se senast tisdag den 30 september 2025. Registerförteckningen ska i övrigt förvaras och hållas ordnad av och hos institutionen. Registerförteckningen ska hållas uppdaterad och korrekt, vilket innebär att den behöver följas upp och aktualitetsgranskas med jämna mellanrum, exempelvis årligen.
Fråga: Finns det en mall för registerförteckningen på engelska och/eller kan vi fylla i mallen på engelska?
Svar: Språklagen (2009:600) gäller för universitetet som statlig myndighet vilket innebär att universitetets officiella dokument, som registerförteckningen är, ska vara på svenska. Både mallen och innehållet ska därför vara på svenska.
Fråga: Var går gränsen mellan institutionens behandling och den centrala förvaltningens, vad gäller exempelvis NAIS-intyg och hantering av disciplinärenden?
Svar: Institutionen och den centrala förvaltningen ansvarar för olika steg i sådana behandlingar och behöver registrera den behandling som sker på respektive avdelning/institution i sitt art. 30-register även om ändamålet med behandlingen kan vara detsamma.
Fråga: Ska institutionerna registrera behandling av uppgifter som sker i centralt tillhandahållna system?
Svar: Varje institution behöver identifiera sina behandlingar som de utför i olika system, även i de universitetsgemensamma systemen, och lista dem i sina register. Det är inte användningen av systemet som innebär en post i registret utan vad verksamheten gör med personuppgifter i systemet och för vilka ändamål som avgör det. T.ex. så examinerar ju alla institutioner studenter, men eftersom det inte är en centralt styrd process behöver alla institutioner ha med processen i sina registerförteckningar.
Fråga: Research Assistants och PHD:s använder ofta samma primärdata som "sina" forskare - men med en annan frågeställning. Ska det räknas som en egen behandling?
Svar: Ja, det är ändamålet med behandlingen som styr och om medarbetare använder samma data med en annan frågeställning kan det innebära att det blir för ett annat ändamål och ska registreras som en egen behandling. Det bör dock vara möjligt att inom ramen för ett ändamål få in flera frågeställningar. Så länge ändamålet är preciserat och tydligt, så att man som individ (den registrerade) kan förstå varför uppgifterna behandlas i den här/de här studien/studierna, då bör man också kunna få in fler frågeställningar under ett ändamål.

Vägledning från dataskyddsombudet

Vid Stockholms universitet finns ett dataskyddsombud som är placerat på Rättssekretariatet vid Rektors kansli. Dataskyddsombudet utgör en stöd- och kontrollfunktion för dataskyddsfrågor inom universitetet och rapporterar löpande till rektor och universitetsdirektör, samt årligen till universitetets styrelse.

I dataskyddsombudets uppdrag ingår att ge råd och rekommendationer om dataskydd till verksamheten, kontrollera att universitetet följer dataskyddsbestämmelserna och vara kontaktperson för de registrerade och för tillsynsmyndigheten (Integritetsskyddsmyndigheten). Dataskyddsombudet ska vara oberoende i sin roll och inte besluta om hur den personuppgiftsansvarige ska styra frågor rörande dataskydd. Dataskyddsombudet kan dock inom ramen för sitt uppdrag utfärda rekommendationer åt den personuppgiftsansvarige utifrån ombudets kunskap om lagstiftningen i förhållande till den verksamhet där ombudet verkar.

Om en organisation väljer att inte följa dataskyddsombudets råd bör det enligt Europeiska dataskyddsstyrelsen dokumentera sina skäl för det. På denna sida hittar du rekommendationer från dataskyddsombudet avseende personuppgiftsbehandling inom Stockholms universitets olika verksamheter.

Här nedan följer dataskyddsombudets rekommendationer

Studentarbeten och dataskydd

Bakgrund

Den allmänna dataskyddsförordningen (GDPR) gäller för den personuppgiftsbehandling som sker inom Stockholms universitets verksamhet. När universitetet bestämmer varför och hur personuppgifter ska behandlas, behöver universitetet följa GDPR och kunna visa på att lagen efterlevs. Om studenter inom ramen för en kurs, såsom en examensarbeteskurs, behandlar personuppgifter för att kunna genomföra ett kursmoment, innebär det ett ansvar för universitetet att efterleva GDPR i förhållande till de personuppgiftsbehandlingarna ((jfr samrådsyttrande från Integritetsskyddsmyndigheten (IMY), tidigare Datainspektionen 2005-02-25, dnr 919-2004). Detta ställer krav på universitetet att medvetandegöra för studenter vad som gäller enligt lagstiftningen när de ska behandla personuppgifter inom ramen för studier. Det ställer också krav på studenter att behandla personuppgifter i enlighet med gällande rätt.

Detta är en rekommendation från dataskyddsombudet vid Stockholms universitet som handlar om GDPR i förhållande till studentarbeten. Rekommendationen kan tjäna som rättslig vägledning för institutioner vid Stockholms universitet om det är aktuellt för studenter att behandla personuppgifter vid genomförande av utbildning.

Du kan läsa mer om personuppgifter och dataskydd på Stockholms universitets medarbetarwebb. Där hittar du bl.a. definitioner för vanliga begrepp och information om olika roller, t.ex. om rollen som personuppgiftsansvarig, dataskyddsombudet och Integritetsskyddsmyndigheten.

Ansvar

Stockholms universitet är personuppgiftsansvarig organisation för de personuppgifter som behandlas inom universitetets verksamhet. Ansvaret för det operativa genomförandet av dataskyddslagstiftningen inom Stockholms universitet följer de besluts- och delegationsordningar som gäller på universitetet. Studenter behöver inom ramen för sina studier sätta sig in i vad som gäller för att deras hantering av personuppgifter ska bli korrekt, men ansvaret för behandlingen vilar på lärosätet. Varje institution inom Stockholms universitet bör därför ha tydliga rutiner för hur arbetet med dataskydd ska organiseras. Det är också en god idé att institutionen ser till att handledare för examensarbeten har kunskap om vilka krav dataskyddslagstiftningen ställer vid behandling av personuppgifter.

Insamling och bearbetning av personuppgifter

Personuppgiftsbehandling får bara ske för ett uttryckligt ändamål (såsom färdigställandet av en uppsats), personuppgifterna får inte sparas längre än nödvändigt och ska hanteras säkert, både genom säkra tekniska lösningar och genom regelverk och administrativa åtgärder. Desto fler uppgifter som hanteras och ju känsligare uppgifterna är, desto högre säkerhet krävs för uppgifterna ifråga. Fler uppgifter än de som är nödvändiga för genomförandet av arbetet får inte behandlas (uppgiftsminimering).

Redan när uppgifterna samlas in måste man veta vad de ska användas till. På så vis undviker man att samla in mer information än nödvändigt, och man har klart för sig av vilken anledning behandling av uppgifterna sker.

Exempel på när studenter behandlar personuppgifter i sina studier är när de:

- skriver en uppsats eller examensarbete som innehåller uppgifter om nu levande personer

- utför en uppgift som går ut på att de skickar ut och tar in svar från enkäter

- utför en uppgift som går ut på att de filmar, spelar in ljudfiler eller tar bilder av personer

- hämtar uppgifter om personer från webbplatser, databaser eller andra typer av register för att sedan använda dessa uppgifter i ett arbete som genomförs inom ramen för utbildningen

Rättslig grund

För varje personuppgiftsbehandling måste det finnas en rättslig grund, (även kallad laglig grund). Denna rättsliga grund är fördefinierad i art. 6 GDPR och behöver i vissa fall kopplas till de lagar och regler som styr verksamheten ifråga.

Av artikel 6.1 (e) och artikel 6.3 GDPR följer att personuppgiftsbehandling är laglig om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som är fastställd i en medlemsstats nationella rätt. I svensk lagstiftning är det genom den kompletterande dataskyddslagen (2018:218), DL 2 kap. 2 § fastställt att personuppgifter får behandlas med stöd av artikel 6.1 (e) i GDPR, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning.

Stockholms universitets uppdrag utgår från högskolelagen (1992:1434), HL.

I 1 kap. 2 § HL stadgas att staten ska anordna högskolor för utbildning som vilar på vetenskaplig grund samt på beprövad erfarenhet. Av 1 kap. 7-9 §§ HL framgår sammanfattningsvis att utbildning ska ges på grundnivå, avancerad nivå och forskarnivå, att utbildningarna bl.a. ska utveckla studenternas förmågor att göra självständiga och kritiska bedömningar samt söka och värdera kunskaper på vetenskaplig nivå och att utbildning på avancerad nivå ska innebära fördjupning av kunskaper, färdigheter och förmågor i förhållande till utbildning på grundnivå.

Rättslig grund för studenters behandling av personuppgifter inom ramen för sina studier bör vara allmänt intresse jämlikt art. 6.1 (e) GDPR, 2 kap. 2 § DL och 1 kap. 2 § och 7-9 §§ HL. Det är dock alltid den personuppgiftsansvarige som har att bedöma vilken rättslig grund som ska tillämpas för en personuppgiftsbehandling. Om institutionen överväger annan rättslig grund för studenters behandling av personuppgifter kan dataskyddsombudet kontaktas för rådgivning.

Särskilt om samtycke

Stockholms universitet är en statlig myndighet och agerar som sådan utifrån sitt lagstadgade uppdrag (jfr ovan). Det är viktigt att skilja på samtycke som integritetsstärkande åtgärd (jfr nedan under Känsliga personuppgifter) och samtycke som rättslig grund för personuppgiftsbehandling. Samtycke som rättslig grund för personuppgiftsbehandling är omgärdat av strikta krav i GDPR och finns det annat rättsligt stöd för behandlingen bör det stödet användas för behandlingen. Ett samtycke kan t.ex. återkallas, vilket innebär att fortsatt behandling av uppgifterna inte är tillåten efter ett återkallande. Den personuppgiftsansvarige ska vidare kunna visa att samtycke har lämnats, vilket bl.a. innebär administration kring inhämtande och lagring av samtycket. Det får inte heller råda något tvivel om att samtycket är frivilligt lämnat och samtycket får inte blandas ihop med annan information eller frågor. Därför är det också lämpligare att allmänt intresse i första hand används som rättslig grund när studenter behandlar personuppgifter inom ramen för sina studier.

Nödvändighetskriterium

En ytterligare förutsättning för personuppgiftsbehandlingen är att den ska vara nödvändig för att studenten ska kunna tillgodogöra sig sin utbildning. För att en personuppgiftsbehandling ska anses vara nödvändig behöver behandlingen vara ändamålsenlig, effektiv och proportionerlig. Behandlingen får inte innebära ett onödigt intrång i enskildas privatliv. Inför ett studentarbete behöver detta nödvändighetskriterium beaktas. Om arbetet kan genomföras med bibehållen kvalitet utan att personuppgifter behandlas är personuppgiftsbehandlingen inte nödvändig. Arbetet bör då genomföras på det sätt som innebär att personuppgifter inte behandlas.

Känsliga personuppgifter

Behandling av känsliga personuppgifter är som huvudregel inte tillåten enligt GDPR. För att kunna behandla känsliga personuppgifter måste den som vill göra så hitta ett stöd i något av undantagen i art. 9.2 GDPR. Ett sådant undantag är viktigt allmänt intresse i art. 9.2 (g) GDPR. Enligt denna bestämmelse måste det också finnas grund för sådan behandling i den nationella rätten. Regeringen har i förarbeten (prop. 2017/18:218 s. 54 och 128) konstaterat att utbildning rör ett viktigt allmänt intresse. Av DL 3 kap. 3 § p 3 framgår att känsliga personuppgifter får behandlas av en myndighet om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Detta innebär att om en student planerar att behandla känsliga personuppgifter i sitt studentarbete måste institutionen se till att detta sker på ett sätt som inte skadar de registrerades integritet på ett otillbörligt sätt. Att analysera vad, hur och varför studenterna ska genomföra arbetet samt fundera på hur personuppgifterna kan skyddas genom exempelvis behörighetshantering, lösenordsskydd och pseudonymisering är en bra start för att se till så att de registrerades integritet får ett tillräckligt skydd och inte skadas på ett otillbörligt sätt. Nödvändighetskriteriet (jfr ovan) ska särskilt beaktas, dvs personuppgiftsbehandlingen ska vara nödvändig för att studenten ska kunna tillgodogöra sig utbildningen och den aktuella behandlingen ska vara ändamålsenlig, effektiv och proportionerlig i förhållande till syftet med behandlingen.

Studenters behandling av känsliga personuppgifter står inte under kontroll av Etikprövningsmyndigheten på samma vis som forskning, där ansökan om etikprövning enligt 3 § Etikprövningslagen (2003:460), EPL behöver ske vid forskning som innebär behandling av känsliga personuppgifter. Det är istället universitetet som måste säkerställa att ett studentarbete kan genomföras under etiskt säkerställda och trygga former (jfr prop. 2007/08:44 s 20 f). Ett integritetsstärkande samtycke bör därför, när det är möjligt, inhämtas av studenter som planerar att behandla känsliga personuppgifter inom ramen för sina studier. När den rättsliga grunden för personuppgiftsbehandlingen är allmänt intresse så kan ett inhämtat samtycke innebära en säkerhetsåtgärd för behandlingen som stärker skyddet för de registrerade och deras integritet. Institutionen bör därför tillhandahålla stöd och rutiner till studenter som förväntas genomföra sådana studier för att säkerställa att behandlingen sker på ett lagligt och etiskt försvarbart sätt.

I sammanhanget kan noteras att det finns möjlighet för institutionen att begära ett rådgivande yttrande från etikprövningsmyndigheten i enlighet med 4 a § förordning (2003:615) om etikprövning av forskning som avser människor, över arbeten eller studier som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.

Personuppgifter om lagöverträdelser

Studenter får behandla personuppgifter om lagöverträdelser när det är nödvändigt för att tillgodogöra sig utbildningen med stöd av den rättsliga grunden allmänt intresse (art. 6.1(e) GDPR jämlikt HL 1 kap. 2 § och 7-9 §§) och 3 kap 8 § DL, av vilken framgår att sådana uppgifter får behandlas av myndigheter. I likhet med studenters behandling av känsliga personuppgifter enligt ovan så gäller även för studenters behandling av personuppgifter om lagöverträdelser, att institutionen behöver tillhandahålla stöd och rutiner till studenter som förväntas genomföra sådana studier. Eftersom skyldighet att etikpröva sådan behandling inte gäller för studenter behöver institutionen också i dessa fall säkerställa att behandlingen sker på ett lagligt och etiskt försvarbart sätt.

Konsekvensbedömning

Om en personuppgiftsbehandling innebär ökad risk för de registrerade ställer GDPR krav på att den personuppgiftsansvarige genomför en särskild bedömning (konsekvensbedömning) av riskerna och analyserar samt dokumenterar vilka riskminimerande åtgärder som kan och ska vidtas i förhållande till personuppgiftsbehandlingen. IMY har, utifrån riktlinjer från den Europeiska dataskyddsstyrelsen (EDPB), upprättat en förteckning över när en konsekvensbedömning ska genomföras av den personuppgiftsansvarige. En konsekvensbedömning ska i enlighet därmed bl.a. genomföras om känsliga personuppgifter behandlas i stor omfattning. Det bör vara mycket sällsynt att studenters behandlingar av personuppgifter innebär att en konsekvensbedömning av behandlingen krävs. Vid osäkerhet om en konsekvensbedömning behöver genomföras kan dataskyddsombudet vid universitetet kontaktas för rådgivning.

De registrerades rättigheter

Genom GDPR har den registrerade individen en rad rättigheter som är till för att individen inte ska förlora, och kunna utöva, kontroll över sina personuppgifter.

Alla registrerade har rätt att i förväg få information på ett klart och tydligt sätt om den tänkta personuppgiftsbehandlingen. Tanken med denna information är att individen ska kunna förutse vad som kommer hända med de personuppgifter som behandlas.
De registrerade har också rätt att få del av vilka uppgifter som behandlas (registerutdrag), att få felaktig information korrigerad utan onödigt dröjsmål och att få personlig information raderad, om det är juridiskt möjligt. Individerna har vidare rätt att invända mot behandlingen, att återkalla eventuella samtycken och att klaga till tillsynsmyndigheten IMY om de anser att behandlingen är felaktig.

Informationsplikt

Vid insamling av personuppgifter finns en skyldighet att lämna information till den registrerade som bl.a. ska innehålla:

identitet och kontaktuppgifter för institutionen (personuppgiftsansvarig enligt delegation, jfr ovan)
kontaktuppgifter till dataskyddsombudet: dso@su.se
ändamålet med/anledningen till behandlingen samt det rättsliga stödet för denna
mottagare av/vem som kommer att ta del av uppgifterna (om uppgifter hanteras i en molntjänst, är t.ex. tjänsteleverantören mottagare av uppgifter)
eventuell överföring till länder utanför EU och information om skyddsnivån hos mottagaren
hur de registrerade ska gå tillväga för att utverka sina rättigheter, såsom radering, rättelse eller registerutdrag

Uppgifterna ska behandlas på ett korrekt och öppet sätt i förhållande till den registrerade. Om den registrerade har frågor eller vill använda sig av sina rättigheter finns det en skyldighet att hjälpa till. Detta gäller så länge som det inte finns hinder mot detta på grund av exempelvis sekretess- eller arkiveringsregler.

Säkerhet

De insamlade uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av tekniska eller organisatoriska åtgärder. Detta omfattar skydd mot obehörig eller otillåten behandling och skydd mot förlust, förstöring eller skada genom olyckshändelse. Institutionen har ett ansvar för att se till att studenten vidtar säkerhetsåtgärder såsom kodning, kryptering, lösenordsskydd och allmän uppgiftsminimering (dvs att inte behandla fler uppgifter än vad som är absolut nödvändigt för studentarbetets genomförande) samt att uppmana studenterna att inte dela med sig av uppgifter till obehöriga.

Registerförteckning

Stockholms universitet är enligt GDPR skyldig att föra ett register över sina personuppgiftsbehandlingar. Registret är en förteckning över de personuppgiftsbehandlingar som sker inom ramen för Stockholms universitets verksamhet. Registerförteckningen är därmed strukturerad information om de personuppgiftsbehandlingar som förekommer vid universitetet, men innehåller inte personuppgifter i sig.

Vid varje institution ska finnas ett behandlingsregister där bl.a. studenters behandling av personuppgifter är registrerade. Institutionen ansvarar för att rutiner finns för införande av dessa personuppgiftsbehandlingar i registret.

Personuppgiftsbehandlingarna ska registreras utifrån ändamålet med personuppgiftsbehandlingen. I enlighet med principen om ändamålsbegränsning (artikel 5.1 b i GDPR) behöver ändamålet med en personuppgiftsbehandling vara precist och definierat. I registerposten ska anges vilka kategorier av registrerade respektive vilka personuppgifter som behövs för att uppfylla ändamålet (art. 30.1 c i GDPR). Institutionen kan avgöra om det utifrån dessa krav är möjligt att gruppera studenternas personuppgiftsbehandlingar, t.ex. utifrån kurs och ange kursen som en process/post i registret. Kraven i GDPR om ändamålsbegränsning och vilka uppgifter som ska anges i registret måste dock kunna tillmötesgås för varje post i registret.

Dataskyddsombudet vid Stockholms universitet har tagit fram en mall i Excel som kan användas för att föra register över personuppgiftsbehandlingar vid institutionen. Registret ska föras på svenska, vara tillgängligt i elektroniskt format och hållas uppdaterat. På begäran ska det göras tillgängligt för dataskyddsombudet vid universitetet och för IMY.

Genomförande av konsekvensbedömning vid behandling av personuppgifter inom forskning

Inledning

Denna vägledning för genomförande av konsekvensbedömning har tagits fram av dataskyddsombudet vid Stockholms universitet med ett särskilt fokus avseende forskningsdata. Integritetsskyddsmyndigheten (IMY) har publicerat en vägledning inklusive praktisk guide gällande genomförande av konsekvensbedömning generellt. IMY:s vägledning kan med fördel läsas för fördjupad förståelse eller vid genomförande av konsekvensbedömning inom andra verksamhetsområden än forskning på Stockholms universitet.

Att genomföra konsekvensbedömning är ett lagkrav för viss typ av behandling av personuppgifter. Utöver det ställer vissa forskningsfinansiärer krav på genomförande av konsekvensbedömning för att anslag ska beviljas. Att genomföra en konsekvensbedömning kan också vara nödvändigt för att få tillgång till information som innehåller personuppgifter från myndighet (allmän handling). På Stockholms universitet finns mall för att genomföra en konsekvensbedömning både på svenska och engelska publicerad i mallbiblioteket på sidorna om utbildning och stöd gällande dataskydd på medarbetarwebben.

Vad är en konsekvensbedömning?

En konsekvensbedömning är en fördjupad riskanalys av en särskild typ av behandling av personuppgifter. Den handlar om att identifiera hur behandlingen påverkar individers integritet samt övriga grundläggande fri- och rättigheter och att besluta om, samt dokumentera åtgärder för att minimera sådan påverkan. En konsekvensbedömning behöver inte genomföras för all typ av personuppgiftsbehandling. Den är ett krav för vissa personuppgiftsbehandlingar som typiskt sett bedöms leda till höga risker för de individer vars uppgifter är föremål för behandlingen. Dessa individer kallas i dataskyddslagstiftningen för ”de registrerade” och kravet gällande genomförande av konsekvensbedömning framgår av den allmänna Dataskyddsförordningen (DF) artikel 35.

Art. 35.1 DF: Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker.

IMY har också i enlighet med lagstiftningen, publicerat en förteckning över sådan personuppgiftsbehandling som kräver att en konsekvensbedömning genomförs. Som huvudregel ska en konsekvensbedömning genomföras om den planerade personuppgiftsbehandlingen uppfyller minst två av nio kriterier i IMY:s förteckning. Samtliga kriterier finns angivna i universitetets mall för genomförande av konsekvensbedömning. Det kan t.ex. röra behandling av känsliga personuppgifter i stor omfattning eller användning av ny teknik för personuppgiftsbehandlingen ifråga.

Vem ska genomföra en konsekvensbedömning?

Det är den personuppgiftsansvarige som ska genomföra en konsekvensbedömning. På Stockholms universitet är detta ansvar delegerat genom den centrala besluts- och delegationsordningen, vilket innebär ett linjeansvar för omhändertagande av frågor rörande dataskydd, inklusive genomförande av konsekvensbedömning. För den forskande verksamheten innebär det att prefekt vid institution eller motsvarande beslutar om konsekvensbedömningar. Själva genomförandet av konsekvensbedömningen bör dock ske av den eller de som har detaljerad kunskap om den behandling av personuppgifter och hanteringen av forskningsdata som kommer att ske, t.ex. av huvudansvarig forskare eller forskningsgrupp.

När forskning sker i samarbete med en annan organisation (lärosäte eller annan forskningshuvudman) är det lämpligt att denna part också deltar i genomförandet av konsekvensbedömningen. En överenskommelse om gemensamt personuppgiftsansvar i enlighet med art. 26 DF ska upprättas för sådana samarbeten. I denna överenskommelse kan regleras vilken part som har huvudansvar för genomförande av konsekvensbedömningen.

På Stockholms universitet finns mall för överenskommelse om gemensamt personuppgiftsansvar publicerad på sidorna om utbildning och stöd gällande dataskydd på medarbetarwebben.

Personuppgiftsansvar

Forskningsdata kan inhämtas, bearbetas och flöda mellan en mängd olika aktörer under ett forskningsprojekts gång. Innan en konsekvensbedömning genomförs är det viktigt att bedöma vilka parter som har ansvar för olika delar av hanteringen av informationen för att också avgränsa personuppgiftsansvaret. En konsekvensbedömning har som syfte att identifiera risker och vidta riskminimerande åtgärder, något som ska genomföras av den personuppgiftsansvarige. Om personuppgiftsansvaret åligger en annan aktör kan universitetet inte påverka hanteringen av informationen och personuppgiftsbehandlingen. Detta har betydelse för vilken eller vilka delar av informationshanteringen som ska ingå i konsekvensbedömningen. För att tydliggöra ansvaret kan det vara hjälpsamt att beskriva hela informationshanteringen och de olika aktörernas roller i ett schema. Vid behov kan universitetsjuristerna vid Rättssekretariatet hjälpa till med att utreda de olika parternas roller och ansvar.

Dataskyddsombudets roll vid en konsekvensbedömning

Dataskyddsombudet vid Stockholms universitet ska ge vägledning vid genomförandet av en konsekvensbedömning. Det ska dock observeras att dataskyddsombudet har en oberoende roll i förhållande till den personuppgiftsansvarige (Stockholms universitet) och att det är verksamheten som ska behandla personuppgifterna som praktiskt genomför och beslutar om konsekvensbedömningen. Dataskyddsombudets roll är, förutom att vägleda den personuppgiftsansvarige, att oberoende granska och lämna rekommendationer till den personuppgiftsansvarige gällande konsekvensbedömningen. En konsekvensbedömning bör därför genomföras i dialog med dataskyddsombudet. I Stockholms universitets mall för konsekvensbedömning finns ett avsnitt som särskilt avser dataskyddsombudets rekommendationer till den personuppgiftsansvarige.

När ska en konsekvensbedömning genomföras?

En konsekvensbedömning ska genomföras före den planerade aktiviteten som innebär personuppgiftsbehandling. Konsekvensbedömningen handlar ju om att identifiera risker med behandlingen och att ta hand om dem innan personuppgiftsbehandlingen startar. En konsekvensbedömning ska följas upp och omprövas, särskilt vid förändrad aktivitet som kan innebära större integritetsrisker för de registrerade. Vid längre projekt kan det därför vara klokt att med visst intervall se över konsekvensbedömningen.

En konsekvensbedömning ska också genomföras för en typ av behandling. Därför är det viktigt att identifiera när personuppgiftsansvaret träder in, eftersom det är den personuppgiftsansvarige som ska se till att risker med behandlingen omhändertas (jfr ovan under Personuppgiftsansvar). I ett forskningsprojekt kan det också innebära att universitetet utövar ett personuppgiftsansvar för två eller flera olika typer av behandlingar under informationshanteringens gång eftersom data kan flöda mellan olika parter som utövar personuppgiftsansvar under olika delar av informationshanteringen (jfr ovan under rubriken Personuppgiftsansvar).

Inhämta synpunkter från de registrerade

Av DF framgår att den personuppgiftsansvarige, när det är lämpligt, ska inhämta synpunkter från de registrerade eller deras företrädare om personuppgiftsbehandlingen. Vilka som kan vara de registrerades företrädare ska tolkas brett. Det kan t.ex. vara organisationer med ett intresse för de registrerades integritet, såsom arbetstagarorganisation eller annan intresseorganisation. Det kan också vara vårdnadshavare eller ombud för de registrerade. Om det är ogenomförbart eller om arbetsinsatsen för att inhämta synpunkter från de registrerade är oproportionerlig i förhållande till riskerna med behandlingen behöver synpunkter från de registrerade inte hämtas in. Rådgör vid behov med dataskyddsombudet gällande huruvida det är lämpligt att inhämta synpunkter från de registrerade eller ej.

Begära förhandssamråd med IMY

Om det kvarstår höga risker efter att en konsekvensbedömning genomförts som universitetet inte kan åtgärda så måste universitetet begära förhandssamråd med IMY innan personuppgiftsbehandlingen påbörjas. Detta bör sällan vara fallet inom forskningsaktiviteter som innebär personuppgiftsbehandling på universitetet. I dialog med dataskyddsombudet kan universitetet avgöra om det kvarstår höga risker efter genomförd konsekvensbedömning som innebär att förhandssamråd med IMY ska begäras.

Hur ska en konsekvensbedömning genomföras?

Upprätta ett schema och en beskrivning av informationshanteringen inom hela forskningsprojektet. Identifiera därvid vilken organisation som har ansvar för olika delar av informationshanteringen, såsom ansvar för allmänna handlingar, bevarande och gallring samt informationssäkerhet. Avgränsa personuppgiftsansvaret för personuppgiftsbehandlingen genom att identifiera vilken eller vilka aktörer som bestämmer ändamål och medel (varför och hur) personuppgifter behandlas. Om Stockholms universitet bestämmer ändamål och medel för personuppgiftsbehandling tillsammans med annan aktör ska en överenskommelse om gemensamt personuppgiftsansvar upprättas. Om universitetet anlitar personuppgiftsbiträde för personuppgiftsbehandlingen ska ett personuppgiftsbiträdesavtal upprättas. Använd gärna avtalsmallarna på sidorna om dataskydd på medarbetarwebben.

Dokumentera konsekvensbedömningen genom att använda mallen för genomförande av konsekvensbedömning publicerad på universitetets medarbetarwebb. Mallen följer gällande rekommendationer från IMY och Europeiska dataskyddsstyrelsen (EDPB) över en godtagbar konsekvensbedömning. Den innehåller bl.a. arbetsblad för beskrivning av behandlingen, risklista inklusive riskbedömning, ett särskilt blad för dataskyddsombudets rekommendationer och ett för verksamhetens beslut.

En konsekvensbedömning är obligatoriskt endast om behandlingen ”sannolikt leder till en hög risk för fysiska personers rättigheter och friheter”. En behandling kan uppfylla två eller flera kriterier enligt IMY:s förteckning, men bedömningen kan ändå landa i att den ”sannolikt inte leder till en hög risk”. De första arbetsbladen i mallen för

konsekvensbedömning avser grundläggande information, dokumentation av behov av konsekvensbedömning och beslut. De arbetsbladen kan användas för att bedöma om konsekvensbedömning behövs eller ej. Om bedömningen är att konsekvensbedömning inte behöver genomföras, behöver resten av mallen inte fyllas i. Bedömningen ska dock dokumenteras i arbetsbladet för beslut och översikt.

Risklistan i mallen innehåller ett flertal exempel för att underlätta identifiering av risker. Om riskerna inte är applicerbara på personuppgiftsbehandlingen går det att ta bort de raderna från konsekvensbedömningen. Det går också att fylla på med egna risker eller redigera de befintliga exemplen för att de ska passa personuppgiftsbehandlingen ifråga. Det är alltså viktigt att självständigt bedöma risker samt ta ställning till dem och inte utgå från att samtliga risker i risklistan behöver och ska fyllas i. Om riskerna är applicerbara så bör de självfallet finnas kvar och bedömas.

Rådgör med dataskyddsombudet. Dataskyddsombudet på Stockholms universitet nås på dso@su.se.

Informationssäkerhetsfunktionen vid IT avdelningen kan göras delaktig i genomförandet av en konsekvensbedömning. De kan till exempel hjälpa till med att identifiera risker och föreslå riskreducerande åtgärder. Informationssäkerhetsfunktionen nås på informationssakerhet@su.se.

Konsekvensbedömning vid reigsterbaserad forskning

Dataskyddsombudet har upprättat en rekommendation gällande behov av konsekvensbedömning vid registerbaserad forskning i SCB:s miljö MONA som forskare som ska genomföra sådan forskning vid behov kan använda och hänvisa till. Ta del av rekommendationen här (på engelska under rubriken the Data protection officer och Recommendations).