Utskrift från Malmö universitets webbplats www.mah.se

Dataskyddsförordningen – GDPR

Read about the new General Data Protection Regulation (GDPR) in English

Från och med den 25 maj 2018 gäller den nya Dataskyddsförordningen. Syftet är att stärka skyddet för den personliga integriteten och att skapa ett enhetligt regelverk för hela EU.

Vad är viktigast för mig som universitetsmedarbetare att tänka på när det gäller GDPR?

Register

Direkt till universitetets register över personuppgiftsbehandlingar: dsfregister.mau.se

Mer om lagen och grundläggande begrepp

Vad innebär den nya lagen?
Vad är en personuppgift?
Vad är en personuppgiftsbehandling?
När är det tillåtet att samla in personuppgifter?
Vilka krav finns det på hanteringen av personuppgifter?
Vilka uppgifter räknas som känsliga?
Varför måste vi ha ett register över våra behandlingar?

Hur gör vi hos oss?

Var ska jag förvara material som innehåller personuppgifter?
Om jag arrangerar en konferens eller ett seminarium med anmälan, behöver anmälningar finnas med i universitetets register?
Hur ska jag utforma informationstexten i exempelvis en enkät eller ett anmälningsformulär för att göra rätt?
Hur gör vi med personuppgifter som vi redan har, behöver vi inhämta nytt samtycke?
Är jag som lärare ansvarig för att personuppgiftsbehandlingarna sker på korrekt sätt i mina studenters uppsatser?
Hur ska personuppgifter hanteras i e-post?
Hur ska vi göra med fotografier på enskilda personer på webb eller i bildbank?
Vad gäller för publicering av mingelbilder och andra bilder där det inte går att få samtycke från alla?

Mer om att registrera behandlingar av personuppgifter

Hur vet jag om jag är ansvarig för en behandling av personuppgifter?
Vilka uppgifter ska jag lämna till universitetets register om jag är ansvarig för en behandling?
Vilken information har de som är registrerade rätt att få?
Checklista för behandling av personuppgifter

Vad händer om...

någon begär ut "alla uppgifter som finns om mig"?
Dataskyddsförordningen krockar med nationella lagar, till exempel offentlighetsprincipen och svensk arkivlagstiftning?
jag vet att jag har gjort fel, till exempel skickat känsliga personuppgifter vidare, eller om någon har stulit mitt forskningsmaterial eller hackat ett system?

Vad är viktigast för mig som universitetsmedarbetare att tänka på när det gäller GDPR?

  • I grunden är skillnaden mellan personuppgiftslagen (PUL) och dataskyddsförordningen (GDPR) inte så stor, de flesta kan fortsätta använda personuppgifter ungefär likadant som idag, men vi måste skaffa oss bättre rutiner. Det handlar om att vara tydliga från början med vad vi ska samla in, vad personuppgifterna ska användas för, ge bättre information till den registrerade, och ha bättre rutiner för gallring och radering (både formella och praktiska).
  • Håll dig till universitetsgemensamma system i ditt yrkesutövande. Information måste behandlas på ett säkert sätt och vi måste kunna visa hur vi behandlar den. Externa lagringstjänster (verktyg som inte tillhandahålls genom Malmö universitet) får inte användas för personuppgifter. Detta gäller exempelvis Dropbox, Google docs, iCloud med flera. För att få lov att använda en extern tjänst måste vi dels kunna garantera att informationen inte används till annat (exempelvis profilering för reklam) och vi måste har ett skriftligt biträdesavtal med tjänsteleverantören vilket gör att många tjänster faller bort.
  • Vi har ett register för universitetets alla behandlingar av personuppgifter men större delen av universitetets behandlingar av personuppgifter sker inom våra universitetsgemensamma system där personuppgiftsbehandlingsavtal skrivs universitetsgemensamt. Det gäller till exempel hanteringen av studenters personuppgifter i Ladok och medarbetares personuppgifter i Primula, Retendo och IDService. Kunskap om registret är viktigt för dig som upprättar en behandling, exempelvis köper in ett nytt system eller startar ett forskningsprojekt som behandlar personuppgifter. Läs checklistan för hantering av personuppgifter i forskning.
  • Alla medarbetare är dock ansvariga för hantera personuppgifter på ett lagenligt och ansvarsfullt sätt. Förutom att inte föra in personuppgifter i externa system, tänk på att inte e-posta känsliga personuppgifter och inte sprida eller publicera bilder på personer som inte har lämnat dokumenterat samtycke till publiceringen till exempel. Se till att kontinuerligt gallra och radera information som inte längre behövs eller som ska sparas för framtida forskning.

Vad innebär den nya lagen?

Ett av kraven är exempelvis att vi ska registrera alla behandlingar i ett centralt register och kunna redovisa dessa när någon frågar. Ett annat krav är information till den registrerade där vi tydligt måste redovisa vad vi samlar in och vad vi ska använda uppgifterna till. För att se till att vi gör som vi ska så har man också höjt böterna rejält.

Vad är en personuppgift?

Som personuppgift räknas varje uppgift som direkt eller indirekt kan knytas till en levande person vilket gör att en stor mängd uppgifter som universitetet samlar in och hanterar omfattas av den nya lagstiftningen. 

Vanliga personuppgifter är till exempel personnummer, namn, adress, e-postadress, telefonnummer, bilder av personer, ljudupptagningar av personer, IP-nummer som kan knytas till fysiska personer och vissa typer av cookies som kan knytas till fysiska personer. Det kan också röra sig om kombinationer av uppgifter som inte var och en för sig kan identifiera en levande människa men som sammantaget pekar ut en enskild.

Vad är en personuppgiftsbehandling?

Alla former av åtgärder med personuppgifter räknas som behandling av personuppgifter, exempelvis insamling, registrering, strukturering, lagring, bearbetning eller ändring, läsning, användning, utlämning, spridning och slutligen även själva raderingen eller förstöringen av personuppgifterna. Att skicka personuppgifter via e-post är till exempel behandling av personuppgifter.

När är det tillåtet att samla in personuppgifter?

Det måste finnas laglig grund för personuppgiftsbehandlingen. Det finns sex tillåtna grunder för behandling och det räcker med att en av dem är uppfylld för att behandlingen ska vara tillåten.

  • Samtycke – den registrerade har lämnat sitt informerade samtycke till behandlingen. Samtycke måste registreras och kan när som helst återkallas.
  • Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är delaktig i.
  • Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse.
  • Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade.
  • Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
  • Behandlingen är nödvändig för tredje parts berättigade intressen (om inte den registrerades intressen, fri- eller rättigheter väger tyngre). Observera att möjligheten att använda denna grund är kraftigt begränsad för myndigheter.

För Malmö universitet faller mycket av vår verksamhet under myndighetsutövning och här har vi normalt allt som exempelvis hör till utbildning och examination. Vidare anses vår forskning vara av ett allmänt intresse vilket även förtydligas genom lagen om forskningsdata. De arbeten som våra studenter producerar, företrädesvis inom ramen för sina examensarbeten, når sannolikt inte upp till allmänt intresse och behöver företrädesvis baseras på samtycke. Övriga grunder kan bli aktuella beroende på omständigheterna och vid osäkerhet bör du kontakta dataskyddsombudet (dataskyddsombud@mau.se).

Vad behöver medarbetare som hanterar personuppgifter tänka på?

  • Samla inte in mer uppgifter än du behöver
  • Använd inte informationen till annat än du har uppgett vid insamlingen
  • Spara inte informationen längre än du behöver
  • Samtycket till att lämna personuppgifter ska vara klart, tydligt, lättfattligt och relevant – inte förvalt utan en aktiv handling
  • Tänk på var du förvarar personuppgifterna
  • Om du själv upprättar en behandling – det vill säga insamling, registrering, lagring, bearbetning eller spridning av personuppgifter, så behöver du anmäla den till universitetets register över personuppgiftsbehandlingar

Var ska jag förvara material som innehåller personuppgifter?

Att förvara insamlade personuppgifter i din hemkatalog är att rekommendera. Hemkatalogen har tillräcklig säkerhet även för känsliga personuppgifter. Universitetet tillhandahåller även ett antal ytterligare tjänster som kan vara praktiska vid arbetet som exempelvis Box och Sunet Survey. Dessa får användas för personuppgifter som inte är känsliga. Här hittar du ytterligare information om vilken typ av material som får lov att lagras var.

Vilka uppgifter räknas som känsliga? 

Dataskyddsförordningen gör skillnad mellan ”vanliga” personuppgifter och sådana uppgifter som bedöms vara känsliga:

  • ras eller etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i fackförening
  • uppgifter som rör hälsa eller sexualliv
  • genetiska och biometriska uppgifter

Huvudprincipen är att känsliga personuppgifter inte får behandlas, men det finns undantag från denna princip. Ett sådant undantag är till exempel då den som personuppgiften handlar om har lämnat sitt uttryckliga samtycke till behandling. Eftersom känsliga personuppgifter anses ha ett större skyddsvärde än andra personuppgifter ställs det högre krav på att dessa uppgifter ges ett mer omfattande skydd.

Om jag arrangerar en konferens eller ett seminarium med anmälan, behöver anmälningar finnas med i universitetets register?

Arrangerar du en konferens via universitetets konferensservice är det deras övergripande behandling som förs in i universitetets register över behandlingar. Skapar du en egen behandling som innehåller personuppgifter i Microsoft Office Forms eller Sunet Survey är det viktigt att du har en grund för behandlingen. Förmodligen är en sådan uppgiftsinhämtning del av en större behandling, kanske ett forskningsprojekt, och behöver då inte registreras ytterligare. 

Hur ska jag utforma informationstexten i exempelvis en enkät eller ett anmälningsformulär för att göra rätt?    

Oberoende av laglig grund för behandlingen av personuppgifter ska den registrerade informeras vid insamlingstillfället. Information skall lämnas om

  • ändamålet med behandlingen,
  • vilken rättslig grund det finns för behandlingen (ofta samtycke),
  • hur länge uppgifterna ska användas,
  • vem/vilka som ska använda uppgifterna, att Malmö universitet är personuppgiftsansvarig,
  • att den registrerade har rätt att få tillgång till uppgifterna och få fel rättade,
  • att det finns ett dataskyddsombud som kan nås via dataskyddsombud@mau.se och
  • att man kan vända sig till ansvarig tillsynsmyndighet med eventuella klagomål om inte universitetet och den registrerade kan komma överens. 

Mallar för hur du kan skriva informationstexter hittar du här. Mall för hur du kan skicka informationstexter som pdf.

Tänk på att inte samla in fler uppgifter än du behöver och att undvika att samla in känsliga personuppgifter. Om du gör ett anmälningsformulär till exempel, fråga inte om allergier, fråga om önskemål vad gäller kost.  

Hur gör vi med personuppgifter som vi redan har, behöver vi inhämta nytt samtycke?

Om det redan finns laglig grund för personuppgifterna kan vi fortsätta behandlingen som tidigare. Vi behöver inte informera om befintliga behandlingar men övriga regler kring lagring, säkerhet, gallring etc gäller enligt den nya lagstiftningen. Vill vi hämta in nya uppgifter till en pågående behandling måste vi informera den registrerade och detsamma gäller om vi vill använda gamla uppgifter till nya behandlingar. Observera om grunden för behandling är samtycke att samtycken måste på något sätt vara dokumenterade på något sätt så att de kan visas fram vid behov. Detta gäller även befintliga uppgifter.

Är jag som lärare ansvarig för att personuppgiftsbehandlingarna sker på korrekt sätt i mina studenters uppsatser?

Malmö universitet är personuppgiftsansvarig för alla behandlingar inom vår verksamhet och du som handleder studenter behöver se till att deras uppsatser följer gällande lagar. Här finns mer information om vad som gäller för uppsatser som innehåller personuppgifter. Läs checklistan för handledare när det gäller studenters hantering av personuppgifter vid examensarbeten.

Hur ska personuppgifter hanteras i e-post?

Vi har en rättslig förpliktelse att vara tillgängliga via e-post och besvara frågor som kommer. Däremot är det viktigt att tänka sig för i hanteringen av e-post. Känsliga personuppgifter och uppgifter som kan antas omfattas av sekretess kräver extra säkerhetsåtgärder och får inte skickas via e-post. Det kan inträffa att utomstående opåkallat skickar in uppgifter om exempelvis sjukdomar men dessa uppgifter bör raderas från e-posten. Är det något som behöver hanteras gör det så snabbt som möjligt men radera e-posten.

Varför måste vi ha ett register över våra behandlingar? 

Som personuppgiftsansvarig måste universitetet kunna visa att lagstiftningen följs. För att kunna ha kontroll över de behandlingar av personuppgifter som sker vid universitetet ställs det krav på en så kallad registerförteckning. Registret ska bland annat innehålla information om vilka personuppgifter som behandlas, ändamålet med behandlingarna och kontaktuppgifter till den som är ansvarig för behandlingen. Denna person kan till exempel vara en systemägare, en chef eller en forskningsledare. Du hittar registret på dsfregister.mau.se och det finns hjälptexter på svenska och engelska som kort förklarar vad som ska skrivas in i de olika fälten.

Hur vet jag om jag är ansvarig för en behandling av personuppgifter?

Mycket av hanteringen av personuppgifter inom universitetet ingår i vår myndighetsutövning och registreringen av hur personuppgifterna behandlas sköts av övergripande systemansvariga, inte av enskilda lärare eller administratörer. Det gäller till exempel hanteringen av studenters personuppgifter i Ladok och medarbetares personuppgifter i Primula, Retendo och IDService.

Om du är ansvarig för en annan behandling av personuppgifter, om du arrangerar ett seminarium eller event med föranmälning till exempel, är du troligtvis ansvarig för behandlingen av de personuppgifterna. Även då gäller det att du ska använda universitetsgemensamma system där vi har personuppgiftsbiträdesavtal, inte externa leverantörer där vi inte kan garantera hur personuppgifterna behandlas. Om du är ansvarig för ett forskningsprojekt som använder personuppgifter är du också ansvarig för behandlingen av personuppgifterna. Då går du in på adressen dsfregister.mau.se och följer instruktionerna.

Vilka uppgifter måste jag skriva in i universitetets registret om jag är ansvarig för en behandling?

Malmö universitet är skyldig att hålla reda på vilka personuppgiftsbehandlingar som pågår inom universitetet. Detta görs genom ett register över personuppgiftsbehandlingar. Den som är ansvarig för en personuppgiftsbehandling, det vill säga den som upprättat en behandling exempelvis inom ramen för sin forskning, ansvarar också för att anmäla behandlingen till registret.

När du anmäler en personuppgiftsbehandling behöver du uppge följande:

  • Namn och kontaktuppgifter för den personuppgiftsansvarige, ev. företrädare och dataskyddsombudet.  
  • Ändamålen med behandlingen. 
  • En beskrivning av vilka de registrerade är och vad som registreras.  
  • Vem/vilka som kommer att ta del av uppgifterna. 
  • Eventuell överföring till länder utanför EU och information om skyddsnivån hos mottagaren. 
  • Om möjligt, när uppgifterna kommer att raderas. 
  • Om möjligt, en beskrivning av säkerheten för behandlingen (både teknisk och administrativ säkerhet).

Vilken information har de som är registrerade i våra system rätt att få?

De registrerade har rätt att bli informerade om vilka uppgifter vi samlar in, vad de ska användas till och hur länge, eventuell överföring till länder utanför EU/EES samt rätt att få information om att de kostnadsfritt kan få utdrag om vad som finns registrerat om dem och att de har rätt att klaga till tillsynsmyndigheten. De har också rätt att få veta vilken laglig grund vi har för att behandla uppgifterna och att Malmö universitet är personuppgiftsansvarig.

Hur ska vi göra med fotografier på enskilda personer på webb eller i bildbank? 

Här krävs samtycke från personen på bild. Universitet har många bilder med syftet att illustrera vår verksamhet och i dessa bilder syns ofta människor. Vi behöver ha dokumenterat samtycke från identifierbara personer på bild. Vid inspelning av filmer eller ljudfiler kan det vara lämpligt att i inledningen ställa frågan om samtycke och på så sätt få detta dokumenterat direkt i materialet. Medgivande för fotografering

Om någon av de personerna som finns på våra bilder vill att vi raderar dem måste hen kontakta oss och uppge vilka bilder som personen är med på och vill ha raderade. Därefter får universitetet ta beslut om bilderna ska raderas eller inte. Det kan finnas en laglig grund för att fortsatt behandla personuppgiften och då behöver vi alltså inte radera aktuell bild.

Vad gäller för publicering av mingelbilder och andra bilder där det inte går att få samtycke från alla?

Vi måste alltid följa reglerna i dataskyddsförordningen. Till exempel måste vi ha klart för oss vad syftet är och med vilken rättslig grund vi behandlar personuppgifterna, i detta fall bilderna. När det gäller mingelbilder är samtyckte ingen rättslig grund som i praktiken fungerar. Däremot kan det vara en rättslig förpliktelse att informera om vår verksamhet; att tillhandahålla information om verksamheten ingår i myndigheters uppdrag.

Om någon av de personerna som finns på våra bilder vill att vi raderar dem måste hen kontakta oss och uppge vilka bilder som personen är med på och vill ha raderade. Därefter får universitetet ta beslut om bilderna ska raderas eller inte. Det kan finnas en laglig grund för att fortsatt behandla personuppgiften och då behöver vi alltså inte radera aktuell bild.

Mer vägledning i frågan finns hos Datainspektionen: Publicera bilder, filmer och ljud på internet

Om någon begär ut ”alla uppgifter som finns om mig”, vad händer?

Det finns krav att kunna ta fram uppgifter redan idag. Vår skyldighet är att lämna ut de begärda uppgifterna efter att ha verifierat identiteten på mottagaren (till skillnad mot att begära ut en allmän handling där man får lov att vara anonym måste vi givetvis verifiera att inte lämnar ut någons personuppgifter till en obehörig). 

När Dataskyddsförordningen krockar med nationella lagar, till exempel offentlighetsprincipen och svensk arkivlagstiftning – vad gäller då?

Förhoppningsvis krockar inte reglerna. Dataskyddsförordningen lämnar åt nationell lagstiftning att reglera allmänhetens tillgång till allmänna handlingar och arkiv av allmänt intresse. Det blir alltså, precis som tidigare, Svenska lagar som exempelvis Offentlighets- och sekretesslagen och Arkivlagen som styr. 

Om jag vet att jag har gjort fel, till exempel skickat känsliga personuppgifter vidare, någon har stulit mitt forskningsmaterial eller hackat ett system, vad gör jag?

Vi hoppas att det inte ska hända men skulle det ske så ska personuppgiftsincidenter ska anmälas till helpdesk eller till dataskyddsombudet, dataskyddsombud@mau.se direkt.

Checklista för behandling av personuppgifter

Om du hanterar personuppgifter kontrollera att din personuppgiftsbehandling lever upp till följande:

  • Se till att du har laglig grund för din personuppgiftsbehandling.
  • Är det du som är ansvarig för personuppgiftsbehandlingen? Anmäl i så fall din behandling av personuppgifter till universitetets register över personuppgiftsbehandlingar. Anmälan gör du här
  • Se till att den registrerade får den information hen har rätt till.
  • Se till att din hantering av personuppgifter följer Dataskyddsförordningens krav
  • Så snart de avsedda personuppgifterna inte längre behövs för sitt ändamål ska de gallras. Anmälan om behandlingen ska tas bort ur universitetets register.