Personuppgiftshantering utifrån EU:s dataskyddsförordning

Spara favorit 16 jan januari 2019

Den 25 maj 2018 trädde EU:s Dataskyddsförordning i kraft. Den ersatte den tidigare personuppgiftslag (PuL) och ställer högre krav på tydlig information, dokumentation och hantering av personuppgifter. Även reglerna för samtycke vid forskning som rör fysiska personer samt hanteringen av känsliga personuppgifter har skärpts.

Förordningen började gälla omedelbart och omfattar all behandling av personuppgifter efter den 25 maj 2018. Det övergripande syftet är att säkerställa och förstärka individens rätt till sitt privatliv genom skydd av personuppgifter. Detta innebär att individen, när Mittuniversitetet på något sätt hanterar dennes personuppgifter, har rätt till insyn om hur och varför uppgifterna behandlas och kan efter begäran bland annat få sina uppgifter överförda till en annan extern part (företag, myndigheter m.m.).

Har du frågor om dataskyddsförordningen? Hit vänder du dig i olika ärenden. 

Det fortsatta arbetet med dataskyddsförordningen

Implementeringsprojektetets slutdatum var den 24 maj 2018. Men vårt arbete med kraven i dataskyddsförordningen slutar inte i och med att den börjar tillämpas utan är kontinuerligt och långsiktigt. För att detta arbete ska bli effektivt och praktiskt genomförbart har förvaltningschefen tillsatt en arbetsgrupp där följande funktioner ska vara representerade: arkiv, informationssäkerhet, IT och juridik, till gruppen är även en kommunikatör knuten. Dataskyddsombudet ska ha en rådgivande roll i arbetsgruppen men inte delta vid interna ställningstaganden (dnr 2018/713).

Krav som Mittuniversitetet ska uppfylla

Mittuniversitetet ska se till att individens rättigheter säkerställs vid alla skeden av en hantering av personuppgifter och oavsett på vilket sätt. Detta gör vi bland annat genom att:

  • Vi på ett tydligt och lättbegripligt sätt kan redogöra för hur Mittuniversitetet behandlar personuppgifter.
  • Vi säkerställer att vi alltid har rättslig grund för behandling av personuppgifter.
  • Vi kan motivera varför Mittuniversitetet samlar in, bearbetar och förvarar personuppgifterna samt varifrån vi har fått uppgifterna. Det ska finnas ett tydligt ändamål med hanteringen.
  • Vi ser till att personuppgifterna är relevanta och inte för omfattande i relation till syftet med insamlingen, bearbetningen eller förvarandet.
  • Vi håller personuppgifterna korrekta och uppdaterade.
  • Vi vidtar tekniska och organisatoriska åtgärder för att säkerställa tillräckligt skydd så att personuppgifterna inte riskerar att komma i orätta händer eller bli manipulerade.
  • Vi jobbar aktivt med dataskydd, bl.a. att se till att de system, molntjänster eller andra ställen som vi använder för att samla in, bearbeta eller spara personuppgifter är utformade så att dataskyddsförordningen upprätthålls. Detta kan exempelvis vara funktioner som omöjliggör att fler personuppgifter än vad som är nödvändig samlas in.

Mittuniversitetet ska kunna visa att detta följs, till exempel genom egna regelbundna kontroller, anvisningar och dokumentation.

Det ska alltid finnas en laglig grund för all hantering av personuppgifter. De vanligaste lagliga grunderna som Mittuniversitetet följer är:

  • att behandlingen är nödvändig för att kunna utföra en uppgift av allmänt intresse eller för myndighetsutövning, till exempel examinera studenter eller att publicera ”mingelbilder” på webbplatsen från event som öppet hus då myndigheten har som uppdrag att informera om vår verksamhet.
  • att behandlingen är nödvändig för att fullgöra ett avtal eller en rättslig förpliktelse, till exempel internationella studenter och utredning av arbetsskador.
  • samtycke från den registrerade, till exempel vid rekrytering och anmälan till konferenser.

Vilka rättigheter har individen?

Individen har flera rättigheter gentemot Mittuniversitetet:

  • Rätt till information – individen ska få information när personuppgifterna hanteras och vid vissa speciella situationer, så som dataintrång (så kallade personuppgiftsincidenter).
  • Rätt till rättelse – ska få möjlighet att rätta, komplettera och justera sina egna personuppgiftuppgifter.
  • Rätt till radering ("rätten att bli bortglömd") – i vissa fall har individen rätt att få sina uppgifter raderade.
  • Rätt till begränsning av behandling – i vissa fall har individen rätt att begära att hanteringen begränsas. Detta kan ske genom att personuppgifterna markeras för att på så sätt i framtiden hanteras endast för vissa avgränsade syften.
  • Dataportabilitet – under vissa förutsättningar har individen rätt att få ut och överföra personuppgifterna till ett annat ställe (till exempel annan organisation).
  • I vissa fall rätt att göra invändningar mot vidare hantering.
  • Rätt att inte bli föremål för ett beslut, som har rättslig verkan, genom ett automatiserat beslutsfattande (inklusive profilering), om det inte finns ett undantag i annan lag eller samtycke har givits.
  • Klagomål och skadestånd– individen har rätt att lämna klagomål till Mittuniversitetet och Datainspektionen.

Ökade krav på samtycke vid forskning som rör fysiska personer

Du som i din forskning använder människor eller hanterar personuppgifter behöver fundera över vilka konsekvenser förordningen får för din forskning och vad du eventuellt behöver göra för att säkerställa att du följer den. Den nya förordningen gäller även nu pågående forskning om det insamlade datamaterialet ska användas efter maj 2018.
Erika Tegström har sammanfattat några viktiga punkter om detta i ett informationsbrev.Lyssna

Om du vill veta mer

Sidor i medarbetarportalen med koppling till hantering av personuppgifter

Datainspektionens information

Jurist

Erika Tegström, juriskt ansvarig för frågor om personuppgiftshantering

Dataskyddsombud

Eva Rodin Svantesson vid ULS är Mittuniversitetets dataskyddsombud (dnr 2018/1225).

Vad är en personuppgift?

Det är bland annat uppgifter om namn, personnummer, e-postadresser, bilder eller annan information som går att koppla till en levande fysisk person.