Lagstiftningens syfte
Behandling av personuppgifter regleras från och med 25 maj 2018 av den europeiska dataskyddsförordningen. Den ersätter den svenska personuppgiftslagen (PUL) som då blir upphävd. Det innebär förändrade krav vid behandling av personuppgifter där förordningen stärker enskildas rättigheter och skärper skyldigheterna för den som behandlar personuppgifter. Dessutom innebär förordningen en harmonisering av regelverket inom EU/EES.
När blir regelverket aktuellt?
Dataskyddsförordningen reglerar helt eller delvis automatiserad behandling av personuppgifter, samt annan behandling som ingår i eller kommer att ingå i ett sökbart register.
- Med automatiserad behandling avses datoriserad behandling, till exempel i IT-system, databaser, e-post, webbsidor, sociala medier eller ljud- och bildinspelningar.
- Delvis automatiserad behandling avser manuellt hanterade personuppgifter som även hanteras datoriserat, till exempel enkäter i pappersform som även registreras i en databas.
- Manuella behandlingar kan omfattas om de är kopplade till ett sökbart register.
Observera att dataskyddsförordningen till skillnad mot personuppgiftslagen inte enbart gäller för personregister, utan för alla slags behandlingar enligt ovan.
Gäller inom EU/EES: Förordningen gäller behandling av personuppgifter som har anknytning till EU/EES, antingen när den som behandlar personuppgifterna är etablerad inom EU/EES eller när någon utanför EU/EES erbjuder tjänster och varor till personer inom EU/EES eller övervakar personernas beteenden där.
Inte för privatpersoner: Privatpersoners behandling omfattas inte.
- Information om vad som gäller utanför EU/EES (tredje land) finns på sidan säkerhet och lagring
- Förordningens syfte och tillämpningsområde, Integritetsskyddsmyndigheten (imy.se)
- Dataskyddsförordningen, Integritetsskyddsmyndigheten (imy.se)
Vad är en personuppgift?
Begrepp
Personuppgift: En uppgift som direkt eller indirekt kan kopplas till en levande fysisk person. Till exempel namn och personnummer eller mer indirekta uppgifter som datorns ip-adress, mobilens platsdata eller kodade personuppgifter. Även en bild eller en ljudinspelning kan vara en personuppgift. Avgörande är att uppgiften, ensam eller i kombination med andra uppgifter, kan knytas till en levande person.
Behandling av personuppgift: All hantering av personuppgifter. Till exempel insamling, registrering, lagring, bearbetning, framtagning, användning, spridning eller utplåning.
Särskilt integritetskänsliga personuppgifter
Vissa personuppgifter är särskilt integritetskänsliga och har ett starkare skydd i förordningen. Dessa får bara behandlas i särskilda fall. Dit hör känsliga personuppgifter och extra skyddsvärda personuppgifter. Även personnummer, eller samordningsnummer för den som ännu inte fått personnummer, ses som en integritetskänslig personuppgift och får bara behandlas efter samtycke eller när det är nödvändigt för ändamålet.
Känsliga personuppgifter:
- ras eller etniskt ursprung,
- politiska åsikter, religiös eller filosofisk övertygelse,
- medlemskap i en fackförening,
- hälsa, sexualliv eller sexuell läggning,
- genetiska uppgifter,
- biometriska uppgifter.
Extra skyddsvärda personuppgifter
Det finns många andra typer av personuppgifter som är särskilt skyddsvärda och som man kan behöva bedöma om de behöver högre skyddsnivå är till exempel:
- löneuppgifter
- uppgifter om lagöverträdelser (brott, domar, straff och frihetsberövanden)
- personnummer och samordningsnummer
- värderande uppgifter, till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler
- information som rör någons privata sfär
- uppgifter om sociala förhållanden.
IMY brukar kalla sådana uppgifter integritetskänsliga personuppgifter. Tänk på att integritetskänsliga uppgifter:
- kan kräva att ni har en högre säkerhetsnivå än för mer harmlösa personuppgifter
- har betydelse för riskbedömningen när ni gör konsekvensbedömning
- kan vara avgörande för om ni måste rapportera en personuppgiftsincident.
Vilka krav ställs vid behandling av personuppgifter?
De grundläggande principerna
De grundläggande principerna i dataskyddsförordningen beskriver ramen för vad som är en tillåten personuppgiftsbehandling.
- Laglighet: Behandlingen ska vara laglig och baseras på en så kallad rättslig grund.
- Korrekthet: Uppgifterna ska vara korrekta och uppdaterade.
- Öppenhet: Registrerade ska veta vilka uppgifter som behandlas och hur.
- Ändamålsbegränsning: Uppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna kan utöver det behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
- Uppgiftsminimering: Uppgifterna ska vara adekvata, relevanta och får inte vara för omfattande i förhållande till ändamålet.
- Lagringsminimering: Uppgifterna får inte lagras som personuppgifter längre än vad som krävs för ändamålet. Därefter ska de raderas eller avidentifieras, om inte andra regelverk kräver arkivering. Uppgifter får lagras under längre tid för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
- Integritet och konfidentialitet: Uppgifterna ska skyddas mot obehörig eller otillåten behandling, förlust, förstöring eller skada med hjälp av lämpliga tekniska och organisatoriska åtgärder.
- Ansvarsskyldighet: Den som behandlar personuppgifter måste kunna visa att regelverket följs. Det kan ske genom tydlig information till registrerade, förteckning över pågående behandlingar, dokumentation av olika ställningstaganden och uppdaterade interna riktlinjer.
Grundläggande principer, Integritetsskyddsmyndigheten (imy.se)
Rättslig grund
Behandling av personuppgifter måste baseras på en rättslig grund. Nedan listas dessa. Kontakta dataskyddsombudet om du är osäker på vilken rättslig grund du kan basera en behandling på.
Obs: Myndigheter får inte använda sig av en intresseavvägning när det fullgör sina uppgifter.
Rättslig grund | Beskrivning | Tillämpning |
Avtal | För att uppfylla ett avtal | T.ex. anställningsavtal eller kundavtal |
Rättslig förpliktelse | För att uppfylla en rättslig förpliktelse | T.ex. förordningen om redovisning av studier vid universitet och högskolor eller bokföringslagen |
Myndighetsutövning |
Som ett led i myndighetsutövning |
T.ex. betygssättning eller beslut i ärenden |
Allmänt intresse | I enlighet med gällande rätt eller annat beslut baserat på denna | T.ex. utbildning, forskning och samverkan |
Skydd för grundläggande intressen | För att skydda enskilds vitala intressen | T.ex. akut vård där samtycke inte kan inhämtas |
Samtycke | Frivilligt, informerat och dokumenterat medgivande som kan återkallas | T.ex. deltagande i forskningsprojekt eller studentarbeten |
Intresseavvägning | Enskilds intressen vägs mot andra intressen |
Inte tillämpning för myndigheter vid utförande av ålagda uppgifter
|
- Tryckfrihetsförordningen, offentlighet- och sekretesslagen samt arkivlagen: Omfattar behandlingen av personuppgifter i den mån dessa ingår i allmänna handlingar. Reglerna om utlämnande och bevarande eller gallring av allmänna handlingar gäller fortsatt.
- Högskolelagen och högskoleförordningen: Innehåller den rättsliga grunden för många av högskolans behandlingar inom framförallt utbildningsområdet.
- Förvaltningslagen: Har också kopplingar till behandlingen av personuppgifter, bl.a. genom kravet på serviceskyldighet och insyn i egna ärenden.
- Lagen om etikprövning: Reglerar behandling av känsliga personuppgifter och uppgifter om lagöverträdelser inom forskning.
Roller och ansvar
- Personuppgiftsansvarig: Den eller de som bestämmer ändamålen och medlen för behandlingen, det vill säga högskolans ledning.
- Registrerad: Den person vars personuppgifter behandlas.
- Medarbetare: När medarbetare behandlar personuppgifter ska det ske enligt högskolans instruktioner.
- Studenter: När studenter behandlar personuppgifter som ett led i utbildning på högskolan ska det ske enligt högskolans instruktioner.
- Dataskyddsombud: Dataskyddombudet ska informera och ge råd till verksamheten, bevaka att förordningen efterlevs, på begäran ge råd vid konsekvensbedömningar och sköta kontakten med tillsynsmyndigheten.
- Personuppgiftsbiträde: Ett biträde är en tredje part som behandlar personuppgifter på uppdrag av högskolan. Till exempel en leverantör av en tjänst eller en samarbetspart. Förhållandet ska regleras med ett personuppgiftsbiträdesavtal.
- Personuppgiftsbiträdesavtal (PUBA): Avtal som reglerar förhållandet mellan personuppgiftsansvarig och tredje part, så kallat personuppgiftsbiträde.
- Integritetsskyddsmyndigheten (IMY): Sveriges tillsynsmyndighet gällande dataskydd och dataskyddsförordningen. Tidigare kallad Datainspektionen.
Rättigheter och skyldigheter
Den registrerades rättigheter
- Information: Den registrerade har rätt att få klar och tydlig information om vilka personuppgifter som behandlas och hur, både vid insamlandet och på begäran.
- Rättelse: Den registrerade har rätt att få felaktiga uppgifter rättade eller uppdaterade.
- Radering: Den registrerade kan i vissa fall be att få uppgifter raderade. Det kan dock finnas annan lagstiftning som gör att högskolan är skyldig att bevara uppgifterna.
- Begränsning: Den registrerade kan i vissa fall begära att behandlingen av uppgifter begränsas, till exempel i de fall den registrerade anser att uppgifterna är felaktiga och begär rättelse.
- Dataportabilitet: Den registrerade har i vissa fall rätt att flytta sina personuppgifter, om uppgifterna kommer från den registrerade själv och behandlingen stöds av samtycke eller avtal.
- Invända mot behandling: Registrerade kan invända mot behandling, till exempel direktmarknadsföring, men även annan behandling i vissa fall.
- Invända mot automatiserat beslutsfattande och profilering: Registrerade kan invända mot beslut som fattas automatiserat (maskinellt) och mot profilering (maskinell bedömning av personliga egenskaper) i den mån det förekommer.
- Klagomål: Registrerade kan klaga på behandlingen till Integritetsskyddsmyndigheten (IMY).
- Skadestånd: Registrerade som anser sig ha lidit skada kan begära skadestånd av högskolan, personuppgiftsbiträde eller hos domstol.
- Registerutdrag: Rätten till tillgång för registrerade att få ta del av vilken information som är registrerad och hur den används av myndigheten.
Registrerades rättigheter, Integritetsskyddsmyndigheten (imy.se)
Personuppgiftsansvarigas skyldigheter
- Information: När vi behandlar personuppgifter ska vi informera den registrerade i enlighet med kraven i dataskyddsförordningen.
- Anmäla och registrera pågående behandlingar: Vi ska föra förteckning över alla pågående behandlingar. För att en behandling ska kunna registreras måste den anmälas (via digitalt formulär) till högskolans dataskyddsombud.
- Registerförteckning: Ett register över pågående personuppgiftsbehandlingar. Förteckningen ska hållas uppdaterad, vara upprättad skriftligt samt vara tillgänglig i elektronisk form.
- Inbyggt skydd och dataskydd som standard: Vi ska säkerställa att skydd av personuppgifter byggs in i IT-tjänster och rutiner, samt att personuppgifter bara behandlas i dessa när det är nödvändigt.
- Säkerhet: Vi måste vidta lämpliga säkerhetsåtgärder, både tekniskt och organisatoriskt. Hur säkerheten ska utformas beror på bland annat på riskerna med behandlingen, vilken typ av uppgifter som behandlas, på de tekniska möjligheter som finns och kostnaderna för detta.
- Konsekvensbedömningar: Om en första riskanalys visar att en behandling innnebär särskilda risker ska en konsekvensbedömning göras. Det gäller till exempel vid storskaliga register med känsliga personuppgifter. Om konsekvensbedömningen visar på hög risk kan i vissa fall även samråd med Integritetsskyddsmynidgheten (IMY) ske innan behandlingen påbörjas.
- Personuppgiftsincidenter: Personuppgiftsincidenter som dataintrång eller förlust av uppgifter ska dokumenteras och ibland rapporteras till IMY inom 72 timmar. En anmälan bör göras om det är sannolikt att personuppgiftsincidenten medför risk för fysiska personers fri- och rättigheter. Dataskyddsombudet bistår i att göra en bedömning om anmälan är aktuell och ger därefter en rekommendation om hantering. I allvarliga fall ska även registrerade informeras, till exempel vid risk för identitetsstöld eller bedrägeri.
- Dataskyddsombud: Myndigheter som högskolan måste utse dataskyddsombud, en oberoende part. Dess roll är att övervaka och kontrollera att Dataskyddsförordningen (GDPR) följs inom myndigheten.
Om du vill läsa mer om personuppgiftsansvarigas skyldigheter: Personuppgiftsansvariga och personuppgiftsbiträden (IMY)
Vad händer om vi gör fel?
Den som anser att personuppgifter behandlas felaktigt kan klaga hos Integritetsskyddsmyndigheten (IMY), som kan genomföra tillsyn och utfärda varningar eller förelägganden. De kan även besluta att begränsa eller förbjuda behandling samt besluta om administrativa sanktionsavgifter.
Den som anser sig ha lidit skada av behandlingen kan begära skadestånd från den personuppgiftsansvarige, från personuppgiftsbiträdet eller väcka talan i domstol.
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter. Den kan också leda till ett obehörigt röjande av eller obehörig åtkomst till personuppgifter. Oavsett om det har skett oavsiktligt eller med avsikt så är det personuppgiftsincidenter.
I dataskyddsförordningen finns en skyldighet för organisationer att anmäla vissa typer av personuppgiftsincidenter till IMY. Genom att agera snabbt så kan skadeverkningarna minimeras för den eller de vars personuppgifter drabbats.