Dataskyddshandbok

Dokumentation och rutiner är av största vikt när det gäller behandling av personuppgifter. Det finns mycket som är tillåtet, bara det finns ett dokumenterat och motiverat beslut gällande behandlingen.

Dokumentationen är vårt främsta verktyg för att följa lagen och undvika de värsta konsekvenserna. Det här är anledningen till att det är obligatoriskt att anmäla din personuppgiftsbehandling.

Begreppet känsliga personuppgifter definieras i faktarutan nedan.

Huvudregeln är att känsliga personuppgifter inte får behandlas. Huvudregeln följs åt av en rad undantag, framför allt för myndigheter, arbetsgivare och forskning. Det är därför mycket möjligt att projekt omfattas av ett undantag.

Undantagen är framför allt följande:

1. Samtycke finns. Den registrerade samtycker helt frivilligt till behandlingen av personuppgifter, det vill säga den registrerade får inte drabbas av några negativa konsekvenser av att inte ge sitt samtycke. Samtycket måste vara uttryckligt och helst skriftligt.
   
   
2. Nödvändigt för arbetsgivaren. Om behandlingen är nödvändig för att SLU ska kunna uppfylla sina skyldigheter enligt arbetsrätten, socialrätten eller kollektivavtal.
   
   
3. Vissa viktiga ändamål av allmänt intresse. De känsliga personuppgifterna får även under vissa omständigheter behandlas inom forskning, arkivering och statistikförande av allmänt intresse. Vid forskning måste behandlingen även prövas enligt etikprövningslagen. Det görs av Etikprövningsmyndigheten.

1. Om du är osäker på svaret på denna fråga, kontakta dataskydd@slu.se för vägledning.
   
   
2. Om svaret är ett klart NEJ behöver du inte göra något mer vad gäller personuppgifter.
   
   
3. Om svaret är JA måste du kontakta dataskydd@slu.se för att se till att din behandling kommer med i registerförteckningen som förvaltas av SLU:s dataskyddsombud.

Du har kommit fram till att du behöver behandla personuppgifter - vad är nästa steg?

För att SLU ska få utföra en behandling finns det principer som måste följas av den som ska utföra behandlingen. I dina projekt måste du bedöma om de uppfylls. Om du arbetar i en befintlig verksamhet/projekt är det möjligt att du inte kommer behöva göra dessa bedömningar själv, utan i vissa fall görs de på avdelnings- eller enhetsnivå.

Det finns en samling principer som styr hur en behandling får utföras. Dessa kallas de dataskyddsrättsliga principerna, och måste vara uppfyllda i förhållande till den behandling du utför.

Laglighet, korrekthet och transparens

Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Om den registrerade har frågor eller vill tillgodogöra sig sina rättigheter i förhållande till behandlingen, så är det vår skyldighet som del av SLU att hjälpa till, såvida inte det föreligger hinder för detta på grund av någon anledning, exempelvis sekretess. Kravet på att behandlingen ska vara laglig fungerar så att en behandling måste ha en rättslig grund som kan användas. Rättslig grund behandlas utförligt längre ner. Kravet på korrekthet innebär här inte att uppgifterna måste vara rätt, utan att vi inte ska behandla personuppgifter på ett sätt som den registrerade inte kan förvänta sig.

Ändamålsbegränsning

Personuppgifterna måste samlas in och behandlas för att uppfylla uttryckligt angivna ändamål. De här ändamålen måste vara specifika, det vill säga att du måste ange varför behandlingen är nödvändig för det ändamål som den rättsliga grunden stödjer. Att ange ”administration” eller ”ekonomisystem” är inte tillräckligt.

Grundtanken är att den registrerade ska kunna förutse vad som kommer hända med dennes information när du behandlar den. Uppgifterna får sedan bara behandlas för ändamål som är förenliga med det ändamål för vilket de samlades in. Till exempel får inte enkätsvar från studenter som insamlats för att bedöma studiemiljön behandlas för att rikta reklam till dem, om inte marknadsföring är angett som ett ändamål för behandlingen även det.

Uppgiftsminimering

Personuppgifterna du samlar in ska vara adekvata och relevanta i förhållande till det ändamål som föranledde insamlingen. De får heller inte vara mer omfattande än vad som krävs. Detta innebär i korthet att du bara får behandla information som behövs för ändamålet med behandlingen.

Korrekthet

Uppgifterna ska vara korrekta och om nödvändigt, uppdaterade. Om du får veta att någon uppgift är felaktig i förhållande till ändamålet för behandlingen, så måste du vidta åtgärder för att rätta eller radera dem.

Lagringsminimering

Man måste minimera lagringen av personuppgifter. Detta innebär att när ändamålet med behandlingen är uppnått, så ska uppgifterna utplånas på ett säkert sätt, alternativt avidentifieras så att ingen människa kan kopplas ihop med uppgifterna, exempelvis att uppgifterna aggregeras till statistik.

Personuppgifterna får dock bevaras längre än vad som krävs för ändamålet, om det krävs för att uppfylla ändamål som krävs för historiska eller vetenskapliga skäl, eller för att uppfylla arkivändamål av allmänt intresse.

Ett missförstånd som ofta dyker upp är att detta i sig skulle innebära en skyldighet att gallra i allmänna handlingar. Så är dock inte fallet. Det är gallringsföreskrifterna från SLU:s arkivarier som gäller.

Läs mer om gallring och informationshantering. 

Integritet och konfidentialitet

De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inklusive skydd mot obehörig eller otillåten behandling, förlust, förstöring eller skada genom olyckshändelse.

Detta ska göras med användning av lämpliga tekniska och organisatoriska åtgärder. Det innebär att du måste se till att endast behöriga personer har tillgång till uppgifterna, och att eventuella databaser eller system omfattas av säkerhetsåtgärder som är tillräckligt säkra, samt att det finns rutiner för när information får raderas.

Först när SLU:s dataskyddsombud kan anse att alla dessa principer är uppfyllda är en behandling tillåten och kan påbörjas.

När det står klart att det är tillåtet att behandla personuppgifter är det dags att besvara frågan varför. Personuppgifterna måste samlas in och behandlas för att uppfylla ett uttryckligt angivet och berättigat ändamål.

Det här ändamålet måste vara specifikt, det vill säga du måste ange varför behandlingen är nödvändig för det syfte som den rättsliga grunden stödjer. Att ange ”administration” eller ”ekonomisystem” är inte tillräckligt. Grundtanken är att den registrerade ska kunna förutse vad som kommer hända med dennes information när du behandlar den. Uppgifterna får sedan inte behandlas för ändamål som är oförenliga med det ändamål för vilket de samlades in.

Enligt dataskyddsförordningen ska vidarebehandling av personuppgifter för forskningsändamål eller arkivändamål inte vara oförenliga med det ursprungliga syftet för insamlingen. Vidarebehandling innebär i detta fall att man behandlar personuppgifter för ett annat ändamål än det som de samlades in för.

Att formulera ändamålet är bland det viktigaste i arbetet med att förbereda personuppgiftsbehandlingen. Lägg ner den tid som krävs på att utreda vad du vill göra med personuppgifterna och att formulera det.

Ändamålet styr vad du får göra med de uppgifter som har samlats in. Om du vid ett senare tillfälle vill göra någonting ytterligare med de insamlade uppgifterna, så kommer detta kräva en ny ändamålsbeskrivning och förnyad kontakt med de registrerade om du inte förutsåg det och redan har angett det som ett ändamål.

För att en behandling av personuppgifter ska vara tillåten krävs en rättslig grund. Vilken grund vi använder vid SLU varierar beroende på verksamheten där personuppgifter behandlas De grunder som kan användas är följande:

Uppgift av allmänt intresse

Den bredaste grunden har att göra med att behandlingen av personuppgifter är nödvändig för att kunna uppfylla en uppgift av allmänt intresse. Det allmänna intresset måste vara bestämt enligt svensk rätt, vilket innebär att uppgiften måste finnas nedskriven i lag, eller myndighetsbeslut fattat med stöd i lag.

Som statlig myndighet är det mesta som SLU gör en uppgift av allmänt intresse, men behandlingen måste vara nödvändig för att det intresset ska uppfyllas. Det går alltså inte att använda allmänt intresse som rättslig grund rent slentrianmässigt, utan det måste kopplas till SLU:s verksamhet och uppdrag, och uppgiften måste finna reglerad i svensk rätt någonstans.

Man måste helt enkelt ange vilken uppgift av allmänt intresse som ska uppfyllas med hjälp av personuppgiftsbehandling, och vilken lag eller beslut som ger SLU den uppgiften.

Led i myndighetsutövning

Behandlingen är även tillåten om den är nödvändig som led i myndighetsutövning. Denna grund är närmast till hands när det gäller exempelvis examination av studenter, tilldelande av pedagogiskt stöd, eller handläggning av ärenden om allmänna handlingar. Det vill säga, den är mest lämpad för åtgärder som är av klassisk myndighetskaraktär. Den kan dock även användas när vi uppfyller SLU:s myndighetsuppdrag i övrigt, exempelvis vid miljöanalys.

Värt att notera är ”led” i myndighetsutövning. Det behöver alltså inte vara så att behandlingen krävs för att ta beslutet i sig, utan behandling för att producera underlag för ett beslut kan vara ett led i myndighetsutövningen.

Rättslig förpliktelse

En annan grund som ligger nära till hands för statliga myndigheter är den om rättslig förpliktelse. Grunden innebär att man får behandla personuppgifter om det är nödvändigt för att uppfylla en plikt som följer av svensk lagstiftning.

Exempel på tillfällen när svensk rätt ålägger sådana plikter är bl.a. förordningen om redovisning av studier (Ladok-förordningen) som anger att SLU ska föra ett register över studenter, eller bokföringslagen. Observera att även kollektivavtal kan utgöra sådan rättslig förpliktelse som avses här.

Det finns en viktig del i denna bedömning som kan vara svår att göra själv. Den rättsliga förpliktelsen som man vill använda som stöd för en behandling man vill utföra måste vara förutsebar för den registrerade. Med detta menas att människan måste kunna läsa lagregeln och kunna se framför sig att den kommer innebära att personuppgifter behandlas.

Så kallade registerförfattningar som Ladok-förordningen är tillräckligt tydliga, och det är även studiestödsdatalagen som reglerar CSN:s verksamhet.

Regler som styr SLU:s verksamhet men som inte är tillräckligt specifika för att kunna användas enligt denna grund är exempelvis högskoleförordningen. 

Om du upplever att du stöter på denna bedömning, kontakta dataskyddsombudet.

Uppfylla avtal

Det är även tillåtet med behandling som krävs för att uppfylla eller ingå ett avtal.

Observera att det bara går att använda för behandling av personuppgifter mellan SLU och den registrerade. Det går inte att använda ett avtal som grund för att behandla uppgifter om personer som inte har något med avtalet att göra. Det går alltså inte att till exempel använda ett avtal mellan SLU och Google som grund för att behandla uppgifter om en student som inte har något med avtalet att göra.

Berättigat intresse

I vissa undantagsfall kan vi även använda oss av en grund som kallas för berättigat intresse.

Denna grund innebär att vi får behandla personuppgifter med hänsyn till ett berättigat intresse som vi har, om inte den registrerades intresse av att vi låter bli att behandla personuppgifter väger tyngre

Möjligheten att använda denna grund är som sagt ett undantag, och kräver att behandlingen inte har någon koppling till vårt uppdrag som myndighet, exempelvis vad gäller fundraising. När den används måste det göras en noggrann bedömning gällande varför vårt intresse ska anses väga tyngre än den registrerades.

Om du vill använda denna rättsliga grund, kontakta dataskydd@slu.se. 

Samtycke

Slutligen är det tillåtet att behandla personuppgifter om den registrerade samtycker till behandlingen. Avgörande här är att samtycket är helt frivilligt, det vill säga att inga negativa konsekvenser följer på ett nej.

Till exempel går det bra att använda samtycke vid deltagande i en icke obligatorisk konferens, men inte vid deltagande i en obligatorisk kurs. Detta gör att vi bara i undantagsfall kan använda samtycke i förhållande till våra studenter och anställda.

Om det inte går att använda en tjänst utan att ge sitt samtycke till behandling av personuppgifter, anses samtycket vanligtvis inte vara frivilligt. Då är en annan grund bättre att använda, exempelvis den om avtal ovan.

Inhämtat samtycke ska vara skriftligt och dokumenteras. Samtycke kan även återkallas av den registrerade vid vilket tillfälle som helst. Det är sällan det går att använda samtycke för myndighetsuppgifter, i förhållande till studenter eller mellan arbetsgivare och arbetstagare.

Säkerheten för personuppgifterna har två delar – den organisatoriska och den tekniska.

För den organisatoriska säkerheten är grundprincipen att inte fler personer än nödvändigt ska ha tillgång till uppgifterna, utan endast de som behöver dem för att utföra sina arbetsuppgifter. Uppgifterna ska helt enkelt spridas till så få parter som möjligt, utan att det hindrar behandlingen.

Det ska också finnas rutiner för hur man får behandla personuppgifter inom din enhet/avdelning, särskilt vad gäller att lämna ut uppgifter utanför SLU. Detta blir särskilt relevant vid utskick av kopior för kännedom. Om det är beslutet som är intressant, inte personuppgifterna i beslutet, så ska inte personuppgifterna skickas med i kopian.

Dessutom ska personuppgifterna hanteras på ett sätt som säkerställer lämplig teknisk säkerhet. De ska till exempel skyddas mot obehörig eller otillåten behandling, förlust, förstöring eller skada genom olyckshändelse.

Exempel på sådana säkerhetsåtgärder är kryptering, pseudonymisering och lösenordsskydd. Tekniska åtgärder vidtas i samarbete med IT-avdelningen.

Säkerhetsåtgärderna ska anpassas till riskerna med behandlingen – ju högre risk en behandling medför för de registrerades fri- och rättigheter, desto mer omfattande måste säkerhetsåtgärderna vara. När man bedömer risken ska man beakta konsekvenserna för SLU och de registrerade om något skulle hända med personuppgifterna. Det kan med fördel göras i samband med en säkerhetsklassning med säkerhetsenheten.

Om riskerna som uppstår för den registrerade till följd av en behandling är höga måste du kontakta dataskydd@slu.se för att göra en konsekvensbedömning av behandlingen.

Om det är sannolikt att en planerad behandling av personuppgifter leder till hög risk för de registrerades fri- och rättigheter behöver du genomföra en konsekvensbedömning.

Exempel på fall när konsekvensbedömning bör övervägas:

• behandling i stor omfattning av känsliga personuppgifter
• användning av ny obeprövad teknik
• systematisk övervakning av människor och behandling av personuppgifter om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara (t.ex. barn, asylsökande, äldre och patienter).

Kontakta dataskydd@slu.se om du är osäker och behöver hjälp att avgöra om en konsekvensbedömning ska genomföras.

Vid insamlingen måste du lämna viss information till den registrerade.

Det finns här två situationer. Den första gäller om du samlar in personuppgifterna direkt från den registrerade, till exempel genom en enkät. Den andra är om du samlar in personuppgifterna från en annan källa än den registrerade, exempelvis Skatteverket eller en extern databas.

Informationen som ska lämnas till den registrerade är mycket snarlik i de två fallen. Den främsta skillnaden är att det finns ett par undantag från informationsplikten när personuppgifterna hämtas från en annan källa än den registrerade. Dataskyddsombudet bedömer om ett undantag är tillämpligt.

Följande information ska lämnas:

1. Vem den personuppgiftsansvarige är (SLU) och kontaktuppgifter till den som i detta projekt företräder SLU.
   
   
2. Kontaktuppgifter till dataskyddsombudet, dataskydd@slu.se.
   
   
3. Ändamålet med behandlingen.
   
   
4. Den rättsliga grunden för behandlingen. Här är det viktigt med tydlighet. Om du använder rättslig förpliktelse eller uppgift av allmänt intresse måste du specificera dessa.
   
   
5. Vem som kommer ta emot informationen. Här skriver du om någon utanför SLU kommer att ta del av personuppgifterna. Om det är tänkt att uppgifterna vid ett senare tillfälle ska överlämnas till ytterligare någon part, så ska du informera om det här. Överlämning inom SLU behöver du inte informera om.
   
   
6. Den period då uppgifterna kommer behandlas. Om du inte vet under vilken tid uppgifterna ska behandlas ska du ange de kriterier som du använder för att bestämma den tiden.
   
   
7. Att den registrerade när som helst har rätt att återkalla ett eventuellt samtycke som du har inhämtat.
   
   
8. Att den registrerade har rätt att begära att få sina uppgifter raderade, rättade, begränsade och att få tillgång till de personuppgifter som behandlas, samt rätten att invända mot behandling. 
   
   
9. Rätten att inge klagomål till Integritetsskyddsmyndigheten, samt kontaktuppgifter till densamma.
   
   
10. Om du senare avser att behandla informationen för ett annat ändamål än det som du samlar in den för nu, så måste du informera om det.

Om du har hämtat informationen från en annan källa än personen själv, så ska du dessutom informera om

1. vilken källa som använts
2. huruvida informationen är tillgänglig för allmänheten
3. vilka kategorier av information som du behandlar.

Det finns en mall för informationstext som du kan använda.

I dataskyddsförordningen finns det inte bara en mängd regler för hur vi får behandla personuppgifter. Det finns dessutom regler om vilka rättigheter den registrerade har gentemot SLU som personuppgiftsansvarig. Utgångspunkten är att vi ska tillgodose rättigheterna, och vara tillmötesgående med en registrerads begäran, precis som vid övrig myndighetsverksamhet.

Dessa rättigheter och under vilka omständigheter de kan användas beskrivs översiktligt under Rättigheter enligt dataskyddsförordningen.

Mer detaljerad information finns på sidan om den registrerades rättigheter. Om en registrerad vill använda sig av sina rättigheter kan du hänvisa dem till dataskydd@slu.se.

Här beskrivs tre olika omständigheter för samarbete; det kan gälla samarbete med

1. någon som befinner sig utanför EU/EES
2. någon som inte tillhör SLU:s organisation
3. leverantörer till SLU.

Utanför EU/EES

Om du samarbetar med någon utanför EU/EES, exempelvis en utländsk regering, och kan komma att föra över personuppgifter till ett land utanför EU/EES, så måste du säkerställa att lagstiftningen i det landet samt omständigheterna hos den du överför personuppgifterna till inte innebär att de registrerades integritet riskeras. Detta brukar kallas för att det måste finnas en adekvat skyddsnivå hos mottagaren av personuppgifterna. Observera att lagring i en gemensam databas eller molntjänst kan innebära överföring till ett annat land.

Om du är osäker på skyddsnivån hos en mottagare, eller om en åtgärd kommer innebära överföring, kontakta dataskydd@slu.se.

Utanför SLU:s organisation

I vissa fall kan samarbete innebära att två olika parter bestämmer ändamålet för personuppgiftsbehandling tillsammans, exempelvis vid forskningssamarbeten med andra universitet. Då har båda parterna ett gemensamt personuppgiftsansvar. I den här typen av fall är det viktigt att organisationerna emellan göra upp om ansvaret för behandlingen.

Grundprincipen här bör vara att den part som har störst kontroll över personuppgifterna också bär det största ansvaret för att personuppgifterna behandlas på ett korrekt sätt.

Leverantör till SLU

I en hel del fall får en annan part tillgång till personuppgifter för att leverera en tjänst eller något liknande, exempelvis en programvara eller genomförandet av en konferens. I dessa fall bestämmer de inte ändamålet med personuppgiftsbehandlingen, utan detta gör SLU. Då agerar leverantören i egenskap av personuppgiftsbiträde och får inte behandla personuppgifter på annat sätt än enligt SLU:s instruktioner, eller enligt vad lagstiftningen kräver.

I dessa fall måste vi ha ett personuppgiftsbiträdesavtal med leverantören. Ett sådant avtal måste tecknas, det är ett direkt krav i dataskyddsförordningen.

Du kan använda SLU:s mall för personuppgiftsbiträdesavtal. Du kan även använda EU:s standardavtal, eller så kan personuppgiftbiträdesavtalet vara en del av ett annat avtal eller allmänna villkor. Det viktiga i dessa fall är att leverantören inte har möjlighet att ändra villkoren utan att SLU har något att säga till om.

I dataskyddsförordningen finns en enda regel om gallring. Den anger att personuppgifter ska gallras så snart de inte längre behövs för sitt ändamål. Du måste därför göra en behovsprövning i förhållande till det ändamål som uppgifterna samlades in för.

Det är tillåtet att spara uppgifterna om det finns en anledning att göra det. Som med allt annat gällande dataskydd måste det dokumenteras.

På samma sätt får personuppgifter sparas om en lagregel kräver det, exempelvis vad gäller reglerna kring allmänna handlingar, eller dokumentering av forskningsmaterial. Det behöver inte röra sig om en lag, utan det kan även vara en förordning, regeringsbeslut, regleringsbrev, kollektivavtal eller annat myndighetsbeslut taget med stöd av lag som kan göra att vi måste spara personuppgifterna.

Om du vet att det finns en skyldighet att spara personuppgifterna som inte är en del av projektets ändamål måste du skriva in sparandet av personuppgifter som ett eget ändamål, med tillhörande rättslig grund.

Inom SLU kommer detta i praktiken bestå i att gallringsplanen ska följas, läs mer om gallring på sidan Hantera dokumentation.