Vad behöver jag tänka på och hur går jag tillväga?
Med en god säkerhetskultur skapar vi förutsättningar för att uppfylla kraven i Dataskyddsförordningen och minska incidenter och riskfyllda situationer. Det kan underlätta att veta vad du ska vara uppmärksam på i ditt dagliga arbete och hur du ska arbeta förebyggande och undvika risker för att bidra till den goda säkerhetskulturen.
Här finns samlat en vägledning utifrån rekommendationer från Intigritetsskyddsmyndigheten (IMY) att följa som ska underlätta att arbeta med dataskydd i ditt dagliga arbete.
Intigritetsskyddsmyndigheten rekommendationer (imy.se)
De grundläggande principerna
Behöver jag behandla personuppgifter? Varför? Vilket är syftet?
All behandling av personuppgifter ska följa de grundläggande principerna och inneha rättslig grund.
Grundläggande principer och rättslig grund
Undersök informationen som ska behandlas
Vilken typ av information har jag? Behöver den skyddas?
Vad behöver jag behandla för typ av personuppgifter, vad får jag behandla och hur stor är omfattningen av behandlingen av personuppgifterna?
Vilka risker innehar behandlingen?
Det kan bli aktuellt med en riskanalys och/eller konsekvensbedömning.
Behandling av personuppgifter vid lärosätet
Analysera säkerhet och åtgärder
Utifrån behandlingens omfattning ska en bedömning göras av vilka säkerhetsåtgärder som är lämpliga.
Vilka lagringsytor finns? Vilken teknik behövs? Är det säkert genomförbart? Vilka andra åtgärder behövs för att personuppgiftsbehandlingen ska vara säker?
Dokumentera och kommunicera
All behandling av personuppgifter ska ske i enlighet med Dataskyddsförordningen samt lärosätets styrdokument. Motivera och dokumentera er handläggning; vad ni gör, hur ni tänkt samt beslut och eventuella konsekvensbedömningar, riskanalyser eller åtgärder.
Kommunicera er behandling till alla berörda. Särskild information ska ges till de registrerade, se avsnitt längre ner.
Tips om dataskydd i ditt dagliga arbete på Högskolan Dalarna
Kort lathund om behandling av personuppgifter
- Vi ska informera om vilka personuppgifter vi behandlar och hur.
- Vi får bara behandla personuppgifter när det finns rättslig grund för det, till exempel avtal, myndighetsutövning eller samtycke.
- Vi får bara använda personuppgifter till det ändamål vi informerat om.
- Vi får bara använda de personuppgifter vi behöver för vårt ändamål, inte fler.
- Vi får bara hantera personuppgifter så länge som vi behöver för ändamålet, eller som krävs enligt annan lagstiftning (till exempel bokföringslagen).
- Vi ska förteckna alla pågående behandlingar av personuppgifter (genom att anmäla dem till dataskyddsombudet). Det som sker i våra verksamhetssystem är förtecknat.
- Vi ska skydda personuppgifterna, till exempel genom att bygga in integritetsskydd i våra IT-tjänster.
- Vi ska analysera risker och dokumentera dem.
- Incidenter som dataintrång eller förlust av personuppgifter ska dokumenteras och i allvarliga fall anmälas till Integritetsskyddsmyndigheten (IMY).
- Böter kan utdömas om högskolan inte följer reglerna.
Hur högskolan generellt hanterar och behandlar personuppgifter för att vi skall kunna fullfölja våra skyldigheter beskrivs mer ingående på sidan:
Behandling av personuppgifter vid lärosätet
Checklistor
Har du en specifik behandling av personuppgifter? Här finns våra samlade checklistor för olika ändamål:
- Checklista för studentarbeten som behandlar personuppgifter (pdf)
- Checklista för forskningsprojekt som behandlar personuppgifter (pdf)
- Checklista för IT-tjänster som behandlar personuppgifter (pdf)
Information till registrerade
Information ska ges till registrerade både när personuppgifter hämtas direkt från dem och när de hämtas från annan källa. Informationen ska vara lättillgänglig och utformad på ett klart och tydligt språk.
Mall för informationsbrev för studentarbeten
Följande ska framgå, om det inte redan framgår för den registrerade på annat sätt:
- Vilka kategorier av personuppgifter som behandlas,
- ändamål med behandlingen, rättslig grund för behandlingen (läs mer på sidan Dataskyddsförordningen),
- hur länge personuppgifterna ska lagras,
- vem som kommer kunna ta del av uppgifterna,
- om uppgifterna kommer överföras utanför EU/EES,
- källa när uppgifter hämtas från annan än den registrerade,
- rätten att få tillgång till uppgifter och få felaktiga uppgifter rättade,
- rätten att ta tillbaka ett samtycke,
- rätten att i vissa fall begära att personuppgifterna raderas,
- att behandlingen begränsas eller att personuppgifterna flyttas,
- rätten att invända mot att personuppgifter används för direkt marknadsföring och i vissa fall även invända mot annan behandling,
rätten att invända mot automatiserat beslutsfattande och profilering i den mån det förekommer,
att högskolan är personuppgiftsansvarig,
kontaktuppgifter till dataskyddsombudet på högskolan,
rätten att lämna klagomål till Integritetsskyddsmyndigheten (IMY).
Personuppgifter i e-post
Dataskyddsförordningen gäller även för e-post och i nästan all e-post behandlas personuppgifter.
Här nedan har vi samlat några delar som är viktiga att tänka på avseende förekomst av personuppgifter i e-post från Regler för e-posthantering vid Högskolan Dalarna och Integritetsskyddsmyndigheten (IMY).
Regler för e-posthantering vid Högskolan Dalarna (pdf)
Personuppgifter i e-post (imy.se)
Säkerhet för personuppgifter i e-post (imy.se)
Informera i e-post om behandling av personuppgifter
Som medarbetare vid Högskolan Dalarna behöver vi informera i all e-post (även svarsmail och autosvar) om hur lärosätet behandlar personuppgifter. Vi ska använda gällande e-postsignaturmall som även ska omfatta hänvisning till information på vår externa webbplats gällande hur Högskolan Dalarna behandlar
personuppgifter:
"När du skickar e-post till Högskolan Dalarna behandlar vi dina personuppgifter. Mer information om hur vi behandlar personuppgifter."
Allmän handling
Enligt Tryckfrihetsordningen 2 kapitel är en handling allmän om den inkommit till eller upprättats inom en myndighet. En handling blir också allmän när den arkiverats, oavsett dess status. Handling innebär alla typer av medium, analogt som elektroniskt material. I TF 2 kap definieras handling som ”framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel”. Det kan därmed röra sig om alltifrån ett protokoll till ett videoklipp och även e-post.
Information om allmän handling
Information om arkivering och gallring
- Inkommande e-post till lärosätet blir en allmän handling som ska registreras eller hållas ordnad. Alla e-postmeddelanden är inte allmän handling, innehållet avgör.
- E-post ska bedömas avseende om uppgifterna ska bevaras och var det i så fall ska ske för att
uppfylla de krav som gäller för just dessa uppgifter. - Uppgifter i e-postmeddelanden som är till exempel information och handlingar ska sparas där det ska lagras. E-postmeddelandet ska därefter raderas eller personuppgifter gallras ur e-postsystemet.
Säkerhet
- Användning av e-post ska vara för kommunicering och inte lagring.
- Begränsa närvaro av personuppgifter i e-postmeddelanden.
- All e-postkorrespondens som sker inom ramen för anställningen vid lärosätet ska ske
genom det e-postsystem som tillhandahålls av Högskolan Dalarna (xx@du.se). - Högskolans e-post får endast i begränsad omfattning användas för privat bruk.
- Högskolans e-post får inte automatiskt vidarebefordras till andra e-postsystem.
- Rensa regelbundet e-posten, det gäller både inkorgen och papperskorgen.
Rättslig grund
Det ska finnas rättslig grund för all behandling av personuppgifter, så även för behandling av personuppgifter i e-post. E-posten är däremot av okänt innehåll när den inkommer.
- Lärosätet behöver ta hand om inkommande post, så även e-post.
- Lärosätet kan som myndighet i regel stödja sig mot att behandla personuppgifterna i inkommande e-post att det är ett allmänt intresse.
- Efter mottagandet av inkommande e-posten så ska en bedömning av innehållet göras, hur personuppgifterna ska behandlas och vilken fortsatt rättslig grund det finns för vidare behandling.
- Uppgifter i e-postmeddelanden som är till exempel information och handlingar ska sparas där det ska lagras. E-postmeddelandet ska därefter raderas eller personuppgifter gallras ur e-postsystemet.
Känsliga och extra skyddsvärda personuppgifter
- Känsliga eller extra skyddsvärda personuppgifter ska som huvudregel inte skickas i e-post. Personuppgifterna ska skyddas på ett sådant sätt att obehöriga inte kan ta del av uppgifterna.
- Skulle ändå känsliga eller extra skyddsvärda personuppgifter skickas eller förekomma i e-postmeddelanden ska det ske i kryperad form så att endast avsedd mottagare kan ta del av dem.
- I de fall känsliga och extra skyddsvärda personuppgifter inkommer via e-post till lärosätet ska dessa snarast sparas på avsedd plats och tas bort från e-postsystemet.