GDPR i kommunikationen vid Mittuniversitetet

Spara favorit 22 okt oktober 2018

Detta är en samlingssida om dataskyddsförordningen (GDPR) för kommunikationsavdelningen. Den kommer att fyllas på och uppdateras allt eftersom vi utvecklar ytterligare rutiner, standardtexter o. dyl. utifrån de behov vi har i rollen som kommunikatörer.

Den grundläggande informationen för alla medarbetare om dataskyddsförordningen (GDPR) finns samlad under Stöd och service/Personuppgiftshantering. Var och en måste ha grundläggande kunskap om vad GDPR innebär, dvs. veta vad som gäller. På den gemensamma sidan finns exv. ett utbildnings- och informationsmaterial som är sammanställt utifrån ett universitetsperspektiv, en miniutbildning med 8 korta filmer som är framtagna i samverkan mellan Mittuniversitetet och några andra lärosäten, och en sida med exempel på tillämpningar.

Börja med att ta del av miniutbildningen som en introduktion!

GDPR-info utifrån kommunikatörers ansvarsområden

Kort om vad som krävs

Vi får inte samla in fler personuppgifter än nödvändigt

  • Enbart för ett visst i förväg bestämt ändamål
  • Den enskilde ska informeras om att vi samlar in personuppgifter

–      vilka uppgifter det handlar om

–      varför vi gör det

–      om uppgifterna ska lämnas vidare.

Inte spara personuppgifter längre än nödvändigt (Vad som ska gallras och bevaras framgår av Mittuniversitetets dokumenthanteringsplan)

  • sparad info måste ha ett syfte och förvaras säkert
  • syftet får inte ändras
  • endast de som behöver informationen ska ha tillgång.

Ha stöd i lagen för att samla in uppgifterna, dvs. det ska finnas en rättslig grund:

  • Rättslig förpliktelse (exv. bokföringsskyldighet, myndighetsutövning)
  • Samtycke (att person efter att ha fått info om hur uppgifterna ska användas godkänner)
  • Avtal (t. ex. anställningsavtal, leverantörsavtal)
  • Intresseavvägning kan också vara rättslig grund, dock ej för oss som myndighet.

Dokumentera hur vi behandlar människors personuppgifter – det finns ett register, Draft-IT, där all behandling av personuppgifter inom universitetet på sikt ska vara registrerade. Detta rör såväl olika system och verktyg som olika studieadministrativa förteckningar etc. Erika Tegström är kontaktperson för detta. Lista över vilka som är systemansvariga inom KOM finns på gemensamma servern under Avdelningen/Personuppgiftshantering. 

Det ska finnas personuppgiftsbiträdesavtal med andra som hanterar ”våra” personuppgifter (exv. Know-IT). 

Ett projekt pågår under 2018 om att ta fram ett ledningssystem för informationssäkerhet där GDPR är en viktig del.

E-post

Se sid 23–24 i Informations- och utbildningsmaterialet på personuppgiftshanteringssidan

Vid e-postutskick till grupp av personer där externa mottagare ingår tänk på att lägga in adresserna i fältet hemlig kopia för att ej sprida personuppgifter (om du inte har mottagarnas samtycke).

Event – anmälningsformulär, deltagarlistor

När det gäller hur vi får använda uppgifter vi samlar in vid anmälningar och hur länge de ska sparas, så behöver det bedömas från fall till fall. Vi får inte samla in mer uppgifter om personer än vad som behövs för att genomföra det event som anmälan gäller. Personerna ska samtycka till att vi som arrangör behandlar de personuppgifter de lämnar. Det finns generell info om vår personuppgiftshantering att länka till; miun.se/personuppgifter/ (finns även i engelsk version).

Finns tankar på att återanvända personuppgifterna för kommande inbjudningar så måste personerna i fråga ha gett sitt samtycke. Det kan exv. lösas genom att i anmälningsformulär fråga om de vill få inbjudningar till liknande event vid Mittuniversitetet framöver. Det får inte finnas för-ikryssade rutor för frågor med koppling till personuppgiftshantering i våra formulär, det krävs ett aktivt ställningstagande av den som anmäler sig genom att de själva ska kryssa i. 

Förutom namn och kontaktuppgifter är det även vanligt att känsliga personuppgifter såsom info om allergier eller funktionsnedsättningar samlas in i samband med anmälan till ett event. Innehåller en lista sådana personuppgifter ställs högre krav på hanteringen av listan. Du får samla in känsliga uppgifter som exv. om allergier för ett evenemang men uppgifterna måste raderas efter avslutat evenemang. Detta gäller oavsett om du använder en molntjänst eller har listor i Excel-dokument. När du för uppgifter vidare till exv en måltidsleverantör så undvik att koppla känslig uppgift till specifik person, utan förmedla i stället antal som behöver särskild kost. Förslag till ledtext i formulär när känsliga personuppgifter ska inhämtas:
Särskilda behov eller övriga upplysningar till arrangören.

Undantag gäller för anställda vid Mittuniversitetet, där krävs inte att vi inhämtar samtycke när de anmäler sig till olika arrangemang via miun.se eller medarbetarportalen, den behandlingen omfattas av anställningsavtal.

Anmälningslistor kan inte bara kastas när ett event är avslutat, dokumenthanteringsplan ska följas. Det kan exv. finnas ekonomiska skäl som uppföljning av kostnader som gör att de behöver sparas en tid. En grundfråga är: vem behöver ha tillgång till dessa personuppgifter för att göra sitt jobb? Det kan vara aktuellt att skapa behörighetsklassade mappar för dokument med personuppgifter som endast direkt berörda har tillgång till.

Deltagarlistor

Det kan anses OK att dela ut deltagarförteckning på papper till konferensdeltagare/motsvarande (dock ej att sprida digitalt), eftersom det kan uppfattas ingå i anordnandet av en konferens. Det viktiga är att informera om varför vi lämnar ut deltagarförteckning, exv: i vårt uppdrag ingår att samverka och därmed skapa kontakter, för att underlätta detta delar vi ut en deltagarförteckning på papper. Vi bör helst ha med denna information redan i inbjudan (i anslutning till anmälan) och där även uppmana till att meddela oss som arrangör om man ej vill finnas med på den tryckta deltagarförteckning som kommer att delas ut till alla konferensdeltagare.

Foto och film

Foto och film på personer klassas som personuppgift, samtycke krävs av de som medverkar (även av personal). Om minderåriga avbildas är det vårdnadshavare som ska ge samtycke. När vi låter andra ta bilder för oss ska vi tydliggöra att det krävs samtycke/fotoavtal om det gäller foton där personer går att identifiera.

Använd de framtagna blanketterna inkl informationsblad som finns i följande mapp på gemensamma servern Bildbank/Modellkontrakt_OBS_IFYLLDA_KONTRAKT_SKA_DIARIEFORAS. Ifyllda blanketter lämnas till diariet. Fotografering av personal – det kan inte ses som att anställning generellt innebär ett samtycke till att finnas på bild på exv. miun.se. Samtyckesblankett ska därför även fyllas i av anställda när vi fotograferar dem. Vid exv. inbjudan till personalfotografering ska det tydligt framgå att det är frivilligt och en möjlighet, inte ett krav, inkl. möjligheten att själv ta bort sitt foto från personliga sidan. Vi ska också vara noggranna med att tillfråga anställda när det blir aktuellt att använda ett personalfoto från personliga sidan i exv. en artikel för att få bekräftat att det är OK. Undantag gäller dock för mer publika funktioner där allmänheten kan förvänta sig att det finns en bild; rektor, prorektorer, avdelningschefer, studievägledare m. fl. 

Undantag från samtycke gäller för offentliga personer som exv. kungligheter, ministrar och ”myndighetsföreträdare” där det kan anses ingå i deras roll/uppdrag att synas på bild.

Vad gäller publicering av ”mingelbilder” så kan de anses vara av allmänt intresse. Detta grundar vi på Datainspektionens konstaterande att det kan vara svårt och onödigt krångligt att inhämta samtycke. Om syftet med publiceringen av bilderna är att informera om verksamheten kan den rättsliga grunden för myndigheter vara att utföra en uppgift av allmänt intresse (Enligt 6 § myndighetsförordningen framgår att det är myndigheters uppgift att tillhandahålla information om sin verksamhet).

Men personerna som är med på bilderna har rätt att få information och utöva sina rättigheter enligt förordningen. Besökarna på event el. dyl. måste i görligaste mån få information om att deras personuppgifter, alltså bilderna, kan komma att användas för att informera om verksamheten på webbplatsen och att de har möjlighet att invända mot detta. Om någon identifierar sig själv och vill utöva sina rättigheter, så gäller rättigheterna i förordningen. På sociala medier däremot krävs uttryckligt samtycke eftersom bilderna (personuppgifterna) lagras i tredje land (USA). 

Vid event ska vi informera både i inbjudan och på plats om vi avser att filma. När vi streamar exv. föreläsningar så ska vi endast zooma in den som talaroch inte klippa in publikbilder (att visa publikens huvuden bakifrån är OK). Vid start/välkomnande bör det informeras om att föreläsningen filmas och var man ska sitta för att inte synas i bild. Det är en fördel om det även framgår i inbjudan att föreläsningen kommer att filmas. Om vi ska streama på Youtube krävs avtal för alla som syns i bild.

I bildbanken vi har i Image Vault är rättigheterna för att ladda upp bilder begränsade till KOM. När bild laddas upp ska den även GDPR-säkras dvs. om avtal eller samtycke finns så ska bilden klassas som grön (OK att använda), gul (tidsbegränsad rätt) eller röd (användningsrätt saknas). Vi behöver inte aktivt plocka ner bilder som ligger ute på miun.se sedan tidigare, däremot ska vi inte använda dem igen om vi saknar fotoavtal för dem. 

Arbete pågår för att hitta app/motsvarande för att enkelt kunna hantera samtycken vid fotografering/filmning.

Foto i klasslistor

Under förutsättning att följande kriterier är uppfyllda så är det enligt vår jurist tillåtet för lärare att göra en klasslista med foton av studenter:

  • om avdelningen/ämnet kan ge en godtagbar motivering till vad denna klasslista kommer att användas till (ex att det främjar undervisningssituationen, handlar om ett säkerhetstänk i vissa miljöer m.m. - inte bara att ”det alltid varit så”)
  • den enbart används under en begränsad tid och sedan gallras/raderas när den inte längre behövs för undervisningens skull, t ex efter terminens/kursens/programmets slut, eller tidigare. Den som skapar listan ansvarar för att den blir gallrad när behovet inte längre finns.
  • man tillåter studenter att avstå från att delta när detta är möjligt (dvs. till viss del ändå använder frivillighet; även om vi anser oss ha rätt till att använda personuppgifterna på detta sätt ändå låter studenterna själva välja om de vill vara med i de fall det inte är absolut nödvändigt att de fotas) och
  • har en rutin för vad som händer om en student inte längre vill vara synlig med bild på en sådan intern lista (i de fall där det inte är tvingande).

Nyhetsbrev

Det ska finnas tydlig information i sidfot/motsvarande om hur vi hanterar personuppgifter och hur man avregistrerar sig. Detta finns inlagt i de mailshimp-mallar vi använder. De personuppgifter vi hanterar när det gäller nyhetsbrev begränsar sig till mottagarnas mejladresser.

Personuppgifter i jobbdatorn

Dataskyddsförordningen gäller även för personuppgifter i våra arbetsdatorer, eller i mappar/dokument i molntjänster på nätet. Så långt det går bör personuppgifter hanteras i gemensamma system med behörighetsstyrning och inte i enskilda anställdas datorer. Om någon ändå måste spara personuppgifter i en egen dator, så ska behandlingen följa dataskyddsförordningen. Den ska till exempel finnas med i förteckningen över universitetets personuppgiftsbehandling i DraftIT, som håller på att tas i bruk (från maj 2018) och kraven på lämplig säkerhet måste vara uppfyllda. Vår gemensamma server för KOM är listad för registrering i DraftIT. Personuppgifterna ska vara ordnade så att de går att komma åt, till exempel om den registrerade begär att få ut sina uppgifter.

Webben – miun.se

Se sid 22–23 i Informations- och utbildningsmaterialet på personuppgiftshanteringssidan

Det finns en generell info-sida om personuppgiftshantering på miun.se.

Studentintervjuer – skriftligt samtycke ska finnas. De redan framtagna fotoavtalen/modellkontrakten kan användas för detta. Om en student gett oss en egen privat bild så ska dokumentation om detta sparas. 

Vi behöver inte aktivt plocka ner bilder som ligger ute på miun.se fråm innan GDPR trädde i kraft, däremot ska vi inte använda dem igen om vi saknar fotoavtal för dem. Läs mer under Foto och filmning om vad som gäller för Image Vault.

25
7