Utskrift från Malmö universitets webbplats www.mah.se

Dataskyddsförordningen

Från och med den 25 maj 2018 gäller den nya Dataskyddsförordningen. Syftet är att stärka skyddet för den personliga integriteten och att skapa ett enhetligt regelverk för hela EU.

Vad är skillnaden mot tidigare lagstiftning?

Dataskyddsförordningen innebär en förskjutning av rättigheter till den registrerades fördel och ställer större krav på hur vi samlar in och använder personuppgifter. Vi måste inte sluta arbeta med dessa uppgifter, tvärtom kan i stort sett all vår verksamhet fortsätta som tidigare, men vi måste bli tydligare i förhållandet till den registrerade och mer strukturerade i vår hantering.

Vad innebär den nya lagen?

Ett av kraven är exempelvis att vi ska registrera alla behandlingar i ett centralt register och kunna redovisa dessa när någon frågar. Ett annat krav är information till den registrerade där vi tydligt måste redovisa vad vi samlar in och vad vi ska använda uppgifterna till. För att se till att vi gör som vi ska så har man också höjt böterna rejält.

Vad är en personuppgift?

Som personuppgift räknas varje uppgift som direkt eller indirekt kan knytas till en levande person vilket gör att en stor mängd uppgifter som universitetet samlar in och hanterar omfattas av den nya lagstiftningen. 

Vanliga personuppgifter är till exempel personnummer, namn, adress, e-postadress, telefonnummer, bilder av personer, ljudupptagningar av personer, IP-nummer som kan knytas till fysiska personer och vissa typer av cookies som kan knytas till fysiska personer. Det kan också röra sig om kombinationer av uppgifter som inte var och en för sig kan identifiera en levande människa men som sammantaget pekar ut en enskild.

Vad behöver medarbetare som hanterar personuppgifter tänka på?

  • Samla inte in mer uppgifter än du behöver
  • Använd inte informationen till annat än du har uppgett vid insamlingen
  • Spara inte informationen längre än du behöver
  • Samtycket till att lämna personuppgifter ska vara klart, tydligt, lättfattligt och relevant – inte förvalt utan en aktiv handling
  • Tänk på var du förvarar personuppgifterna
  • Om du själv upprättar en behandling – det vill säga insamling, registrering, lagring, bearbetning eller spridning av personuppgifter, så behöver du anmäla den till universitetets register över personuppgiftsbehandlingar

När är det tillåtet att samla in personuppgifter?

Det måste finnas laglig grund för personuppgiftsbehandlingen. Det finns sex tillåtna grunder för behandling och det räcker med att en av dem är uppfylld för att behandlingen ska vara tillåten.

  • Samtycke – den registrerade har lämnat sitt informerade samtycke till behandlingen. Samtycke måste registreras och kan när som helst återkallas.
  • Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är delaktig i.
  • Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse.
  • Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade.
  • Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
  • Behandlingen är nödvändig för tredje parts berättigade intressen (om inte den registrerades intressen, fri- eller rättigheter väger tyngre). Observera att möjligheten att använda denna grund är kraftigt begränsad för myndigheter.

För Malmö universitet faller mycket av vår verksamhet under myndighetsutövning och här har vi normalt allt som exempelvis hör till utbildning och examination. Vidare anses vår forskning vara av ett allmänt intresse vilket även förtydligas genom lagen om forskningsdata. De arbeten som våra studenter producerar, företrädesvis inom ramen för sina examensarbeten, når sannolikt inte upp till allmänt intresse och behöver företrädesvis baseras på samtycke. Övriga grunder kan bli aktuella beroende på omständigheterna och vid osäkerhet bör du kontakta dataskyddsombudet (dataskyddsombud@mau.se).

Vad måste Malmö universitet veta om min personuppgiftsbehandling?

Malmö universitet är skyldig att hålla reda på vilka personuppgiftsbehandlingar som pågår inom universitetet. Detta görs genom ett register över personuppgiftsbehandlingar. Den som är ansvarig för en personuppgiftsbehandling, det vill säga den som upprättat en behandling exempelvis inom ramen för sin forskning, ansvarar också för att anmäla behandlingen till registret.

När du anmäler en personuppgiftsbehandling behöver du uppge följande:

  • Namn och kontaktuppgifter för den personuppgiftsansvarige, ev. företrädare och dataskyddsombudet.  
  • Ändamålen med behandlingen. 
  • En beskrivning av vilka de registrerade är och vad som registreras.  
  • Vem/vilka som kommer att ta del av uppgifterna. 
  • Eventuell överföring till länder utanför EU och information om skyddsnivån hos mottagaren. 
  • Om möjligt, när uppgifterna kommer att raderas. 
  • Om möjligt, en beskrivning av säkerheten för behandlingen (både teknisk och administrativ säkerhet). 

För den som ansvarar för en behandling av personuppgifter är det utöver plikten att anmäla behandlingen nödvändigt att känna till de tillåtna grunderna, informationsplikten och följa principerna för personuppgiftsbehandling. För den som arbetar i ett system som behandlar personuppgifter är det viktigt att ha kunskap om gällande regelverk.

Checklista för behandling av personuppgifter

Om du hanterar personuppgifter kontrollera att din personuppgiftsbehandling lever upp till följande:

  • Se till att du har laglig grund för din personuppgiftsbehandling.
  • Anmäl din behandling av personuppgifter till universitetets register över personuppgiftsbehandlingar. Anmälan gör du här
  • Se till att din hantering av personuppgifter följer Dataskyddsförordningens krav
  • Se till att den registrerade får den information hen har rätt till. 
  • Se till att teckna eventuella personuppgiftsbiträdesavtal med tredje part.

Har du generella frågor om dataskyddsförordningen, vänd dig till Jesper Wokander.