Personuppgiftshantering utifrån EU:s dataskyddsförordning

Spara favorit 7 maj maj 2018

Den 25 maj 2018 träder EU:s Dataskyddsförordning i kraft. Den ersätter nuvarande personuppgiftslag (PuL) och ställer högre krav på tydlig information, dokumentation och hantering av personuppgifter. Även reglerna för samtycke vid forskning som rör fysiska personer samt hanteringen av känsliga personuppgifter skärps.

Förordningen kommer att gälla omedelbart och omfatta all behandling av personuppgifter som görs efter den 25 maj 2018. Det övergripande syftet är att säkerställa och förstärka individens rätt till sitt privatliv genom skydd av personuppgifter. Detta innebär att individen, när Mittuniversitetet på något sätt hanterar dennes personuppgifter, har rätt till insyn om hur och varför uppgifterna behandlas och kan efter begäran bland annat få sina uppgifter överförda till en annan extern part (företag, myndigheter m.m.).

Ökade krav på samtycke vid forskning som rör fysiska personer

Du som i din forskning använder människor eller hanterar personuppgifter behöver fundera över vilka konsekvenser förordningen får för din forskning och vad du eventuellt behöver göra för att säkerställa att du följer den. Den nya förordningen gäller även nu pågående forskning om det insamlade datamaterialet ska användas efter maj 2018.
Erika Tegström har sammanfattat några viktiga punkter om detta i ett informationsbrev.Lyssna

Hur förbereder vi oss inför dataskyddsförordningen

Mittuniversitetet håller på att genomföra olika aktiviteter för att anpassa sig till dataskyddsförordningen. Erika Tegström, universitetsjurist vid ULS, projektleder implementeringen vid Mittuniversitetet, med utgångspunkt från den uppdragsbeskrivning som arbetats fram (dnr 2017/675).
Processbild som pdfLyssna

Eftersom Mittuniversitetet är en myndighet så är vi skyldiga att utse ett formellt dataskyddsombud som bland annat ska övervaka efterlevnaden av den nya förordningen. Förvaltningschefen har utsett Emelie Holmlund vid ULS till universitetets dataskyddsombud från och med den 25 maj (dnr 2018/713).

Implementeringsprojektet har slutdatum den 24 maj. Men vårt arbete med kraven i dataskyddsförordningen slutar inte i och med att den börjar tillämpas utan är kontinuerligt och långsiktigt. För att detta arbete ska bli effektivt och praktiskt genomförbart har förvaltningschefen tillsatt en arbetsgrupp där följande funktioner ska vara representerade: arkiv, informationssäkerhet, IT och juridik, till gruppen ska även en kommunikatör knytas. Dataskyddsombudet ska ha en rådgivande roll i arbetsgruppen men inte delta vid interna ställningstaganden (dnr 2018/713).

Krav som Mittuniversitetet ska uppfylla

Mittuniversitetet ska se till att individens rättigheter säkerställs vid alla skeden av en hantering av personuppgifter och oavsett på vilket sätt. Detta gör vi bland annat genom att:

  • Vi på ett tydligt och lättbegripligt sätt kan redogöra för hur Mittuniversitetet behandlar personuppgifter.
  • Vi säkerställer att vi alltid har rättslig grund för behandling av personuppgifter.
  • Vi kan motivera varför Mittuniversitetet samlar in, bearbetar och förvarar personuppgifterna samt varifrån vi har fått uppgifterna. Det ska finnas ett tydligt ändamål med hanteringen.
  • Vi ser till att personuppgifterna är relevanta och inte för omfattande i relation till syftet med insamlingen, bearbetningen eller förvarandet.
  • Vi håller personuppgifterna korrekta och uppdaterade.
  • Vi vidtar tekniska och organisatoriska åtgärder för att säkerställa tillräckligt skydd så att personuppgifterna inte riskerar att komma i orätta händer eller bli manipulerade.
  • Vi jobbar aktivt med dataskydd, bl.a. att se till att de system, molntjänster eller andra ställen som vi använder för att samla in, bearbeta eller spara personuppgifter är utformade så att dataskyddsförordningen upprätthålls. Detta kan exempelvis vara funktioner som omöjliggör att fler personuppgifter än vad som är nödvändig samlas in.

 Mittuniversitetet ska kunna visa att detta följs, till exempel genom egna regelbundna kontroller, anvisningar och dokumentation.

Det ska alltid finnas en laglig grund för all hantering av personuppgifter. De vanligaste lagliga grunderna som Mittuniversitetet följer är:

  • att behandlingen är nödvändig för att kunna utföra en uppgift av allmänt intresse eller för myndighetsutövning, till exempel examinera studenter eller att publicera ”mingelbilder” på webbplatsen från event som öppet hus då myndigheten har som uppdrag att informera om vår verksamhet.
  • att behandlingen är nödvändig för att fullgöra ett avtal eller en rättslig förpliktelse, till exempel internationella studenter och utredning av arbetsskador.
  • samtycke från den registrerade, till exempel vid rekrytering och anmälan till konferenser.

Vilka rättigheter har individen?

Individen har flera rättigheter gentemot Mittuniversitetet:

  • Rätt till information – individen ska få information när personuppgifterna hanteras och vid vissa speciella situationer, så som dataintrång (så kallade personuppgiftsincidenter).
  • Rätt till rättelse – ska få möjlighet att rätta, komplettera och justera sina egna personuppgiftuppgifter.
  • Rätt till radering ("rätten att bli bortglömd") – i vissa fall har individen rätt att få sina uppgifter raderade.
  • Rätt till begränsning av behandling – i vissa fall har individen rätt att begära att hanteringen begränsas. Detta kan ske genom att personuppgifterna markeras för att på så sätt i framtiden hanteras endast för vissa avgränsade syften.
  • Dataportabilitet – under vissa förutsättningar har individen rätt att få ut och överföra personuppgifterna till ett annat ställe (till exempel annan organisation).
  • I vissa fall rätt att göra invändningar mot vidare hantering.
  • Rätt att inte bli föremål för ett beslut, som har rättslig verkan, genom ett automatiserat beslutsfattande (inklusive profilering), om det inte finns ett undantag i annan lag eller samtycke har givits.
  • Klagomål och skadestånd– individen har rätt att lämna klagomål till Mittuniversitetet och Datainspektionen.

Om du vill veta mer

Sidor i medarbetarportalen med koppling till hantering av personuppgifter

Datainspektionens information

Film med fördjupad information

Kontakt

Vad är en personuppgift?

Det är bland annat uppgifter om namn, personnummer, e-postadresser, bilder eller annan information som går att koppla till en levande fysisk person.

Presentation

Presentation från Erika Tegströms föreläsning 9 nov:
GDPR och påverkan på forskningen