Instruktion till mallen för insamling av personuppgifter

Senast ändrad: 26 januari 2021

Här beskrivs hur du använder mallen för den information som ska ges när vi samlar in personuppgifter.

Vem ska använda instruktionen?

Den här instruktionen är framtagen för dig som är medarbetare eller student vid SLU. Den är tänkt att underlätta när du ska sammanställa den information som du enligt dataskyddsförordningen måste ge när du använder personuppgifter.

Det är aldrig tillräckligt att enbart hänvisa till att ”SLU följer gällande lagstiftning avseende personuppgifter” eller liknande. Du måste lämna fullständig information vid insamlingen.

Mottagare av informationen är den eller de vars personuppgifter du kommer att använda dig av, i texten och i instruktionerna kallad ”den registrerade”.

Tänk på att du måste skriva koncist, klart och tydligt och anpassa informationen till den registrerade. Den registrerade har även rätt att få informationen muntligen om hen hellre vill det.

Hur samlar du in personuppgifterna?

Om personuppgifterna samlas in direkt från de registrerade läser du instruktion A. Det kan till exempel vara en intervju eller enkätundersökning, när någon registrerar ett konto eller vid ett fotograferingstillfälle.

Om personuppgifterna samlas in på annat sätt än direkt från den registrerade läser du instruktion B. Det är till exempel fallet om du hämtar betyg via databaser, kontrollerar adresser mot folkbokföringen eller gör uttag ur patientjournaler.

Läsanvisning

Punkternas ordning i instruktionerna följer lagtexten. Vill du ändra den eller skriva ihop det går det bra, men se till att inte glömma någon punkt som måste vara med.

Under några av rubrikerna står "Denna text ska ALLTID vara med:".

Detta är för att du inte ska glömma någon viktig upplysning, till exempel att
personuppgifterna kommer att hanteras enligt reglerna för allmänna handlingar.

Vill du uttrycka det på annat sätt kan du göra det, men se till att informationen finns med.

Frågor?

Om du har frågor eller funderingar om instruktionerna, mejla dataskydd@slu.se eller ring 018-67 20 90.

Instruktion A

Information som du ska ge om du samlar in personuppgifter direkt från den registrerade

SLU är skyldigt att informera om bland annat hur vi kommer att använda de personuppgifter vi samlar in. Mottagare av informationen är den vars personuppgifter du kommer att använda dig av, här kallad ”den registrerade”.

Denna skyldighet gäller om personen inte redan känner till detta, exempelvis för att hen fått informationen tidigare (vilket i så fall måste utredas och dokumenteras om detta undantag ska användas).

Du måste informera den registrerade senast i samband med att personuppgifterna samlas in, inte efteråt. Du får alltså inte samla in uppgifterna först och sedan informera. Du måste ge informationen till den registrerade innan exempelvis en fotografering eller intervju börjar.

Grundläggande information

1. Personuppgiftsansvarig

Du ska informera om

• vem som är personuppgiftsansvarig
• kontaktuppgifter till personuppgiftsansvarig
• den fysiska person som kan företräda den personuppgiftsansvariga (om
möjligt).

Vanligtvis är SLU personuppgiftsansvarig, men kontrollera detta särskilt. Ibland kan det vara ett samarbete där flera är personuppgiftsansvariga och ibland kan det vara någon annan som är ansvarig och vi gör insamlingen som del av ett uppdrag.

Om en fysisk person företräder den personuppgiftsansvariga bör det vara någon som är ansvarig för exempelvis ett system eller ett forskningsprojekt.

2. Dataskyddsombud

Du ska informera om dataskyddsombudets namn, mejladress och telefonnummer. Kontrollera på SLU:s webb vem som är dataskyddsombud.

3. Syfte med behandlingen och rättslig grund

Du ska också informera den registrerade om anledningen till att personuppgifterna kommer att användas på ett visst sätt och den rättsliga grunden för användningen.

Hos oss kan det till exempel vara fråga om en uppgift av allmänt intresse som forskning eller myndighetsutövning.

Beskriv kortfattat användningen så att den registrerade kan förstå hur
personuppgifterna kommer att hanteras. Om du är osäker på vilken den rättsliga grunden är, kontakta dataskyddsombudet.

Följande text måste ALLTID vara med:
SLU är en statlig myndighet och har en skyldighet att bl.a. följa reglerna för allmänna handlingar, myndigheters arkiv och offentlig statistik. Universitetet kommer därför även att behandla personuppgifterna på de sätt som krävs för att kunna följa gällande lagstiftning.

4. Vem som får tillgång till personuppgifterna

Du ska informera om vem som kan komma att ta del av uppgifterna eller vilka funktioner som kommer att använda sig av dem. Det kan exempelvis vara enbart forskare inom projektet, alla på personalavdelningen och ekonomiavdelningen, deltagare i eventuella samarbeten med andra myndigheter eller privata aktörer.

Följande text måste ALLTID vara med:
I enlighet med reglerna om allmänna handlingar kan SLU komma att lämna ut dina personuppgifter om de finns i en allmän handling som någon begär ut. Det gäller förutsatt att uppgifterna inte beläggs med sekretess.

5. Överföring av personuppgifter till ett land utanför EU/EES

Om personuppgifterna kommer att överföras till ett land utanför EU/EES, eller till en internationell organisation, ska du informera den registrerade om det. Se dessutom till att kontakta dataskydd@slu.se för  att se till att du har lagstöd för att föra över personuppgifterna.

Obs! Att publicera något på webben innebär inte per automatik att det överförs till ett land utanför EU/EES. Om det läggs upp på sociala medier är det däremot ofta fråga om sådan överföring som du måste informera den registrerade om.

Kontakta dataskydd@slu.se för rådgivning om vad som gäller för överföring till länder utanför EU/EES och till internationella organisationer.

Information för att säkra rättvis och transparent behandling

1. Lagringstid

Du ska informera om hur länge personuppgifterna kommer att finnas hos den
personuppgiftsansvariga eller, om det inte är möjligt att ange, vad som styr längden på lagringen.

Det kan exempelvis vara forskningsprojektets längd, arkivlagstiftning, lagstiftning eller kollektivavtal. Kontrollera mot dokumenthanteringsplanen vad som gäller.

Om du är osäker, kontakta i första hand SLU:s enhet för arkiv, informationshantering och registratur för rådgivning.

Följande text ska ALLTID vara med:
Dina personuppgifter lagras också så länge det krävs enligt lagstiftningen om allmänna handlingar och myndigheters arkiv.

2. Den registrerades rättigheter

Du ska informera den registrerade om att hen har rätt att få tillgång till sina
personuppgifter och, när så är möjligt, få dem rättade eller raderade, få
behandlingen av dem begränsad eller invända mot behandlingen. Du ska också upplysa den registrerade om rätten till dataportabilitet, det vill säga att den insamlade informationen enkelt ska kunna överföras till ett annat system.

Även här styrs mycket av annan lagstiftning. Utrymmet för att exempelvis begära rättelse i ett forskningsprojekt är väldigt litet, och i behandlingar som har arkiverats är det inte möjligt att rätta uppgifter, vare sig juridiskt eller praktiskt. Just dataportabilitet är sällan tillämpligt inom vår verksamhet men är till för att göra det lättare för individer att till exempel byta bank eller försäkringsbolag.

Återkalla samtycke

Om användningen av personuppgifterna grundar sig på samtycke ska du informera den registrerade om att hen har rätt att när som helst återkalla sitt samtycke och hur det går till. Dessutom ska du informera om att en återkallelse av samtycket inte påverkar den användning av personuppgifter som redan skett – den behandlingen är fortfarande laglig.

Du kan alltså fortsätta att använda information som har samlats in med stöd av samtycke innan samtycket återkallades. Däremot får du inte samla in ny
information.

Lämna klagomål

Du ska också informera den registrerade om rätten att lämna klagomål på hur personuppgifterna används. Ett sådant klagomål kan antingen lämnas till SLU:s dataskyddsombud eller direkt till Integritetsskyddsmyndigheten, som är tillsynsmyndighet. Förslagsvis använder du texten nedan.

Synpunkter

Om du har synpunkter på SLU:s personuppgiftsbehandling kan du vända dig till dataskydd@slu.se, 018-67 20 90.

Om du inte är nöjd med SLU:s svar, kan du vända dig till Integritetsskyddsmyndigeten med klagomål på SLU:s behandling av dina personuppgifter, imy@imy.se eller 08-657 61 00.

Läs mer om Integritetsskyddsmyndighetens tillsyn.

Lagkrav att lämna personuppgifter

Om personuppgifterna måste lämnas på grund av att det är ett lag- eller avtalskrav, eller är nödvändigt för att kunna ingå ett avtal, ska du upplysa särskilt om det. Detsamma gäller om individen är skyldig att lämna uppgifterna och om det får konsekvenser att inte lämna dem. Detta är vanligast inom det gemensamma verksamhetsstödet.

Automatiserat beslutsfattande

Om det sker automatiserat beslutsfattande, exempelvis automatiserad viktning av meriter för antagning till ett utbildningsprogram, som baserar sig på de personuppgifter som lämnats måste du upplysa om det. Du måste också ge åtminstone viss information om logiken bakom, vad det innebär att beslut fattas på det sättet och vilka förutsägbara följder sådan behandling har. Detta är vanligast inom det gemensamma verksamhetsstödet.

3. Annat ändamål

Om SLU tänker använda personuppgifterna för ett annat ändamål än det de
ursprungligen samlades in för ska du informera den registrerade om det. Det måste du göra innan du använder uppgifterna för det andra ändamålet. Du ska även ge annan information som är relevant enligt avsnittet om att säkra rättvis och transparent behandling.

Instruktion B

Information som du ska ge om du samlar in från en annan källa än den registrerade

SLU är skyldigt att informera om bland annat på vilket sätt vi kommer att använda de personuppgifter vi samlar in, även när vi samlar in dem från en annan organisation eller om vi använder uppgifter som vi redan har tillgång till i ett annat register, till exempel Ladok eller NyA. Mottagare av informationen är den vars personuppgifter du kommer att använda dig av, här kallad ”den registrerade”.

Denna skyldighet gäller om personen inte redan känner till detta, exempelvis för att hen fått informationen tidigare (vilket i så fall måste utredas och dokumenteras om detta undantag ska användas).

Det finns även några andra undantag från informationsskyldigheten, se nedan.

Undantag från informationsskyldigheten

Om något av undantagen används, se till att dokumentera det tillsammans med en kort motivering om varför information inte behöver lämnas.

1. Om det är omöjligt att ge den information som denna instruktion
innehåller, eller om det skulle medföra en oproportionell ansträngning.
Framförallt aktuellt när personuppgifter används för arkivering, forskning
och statistisk.

Vad som är en oproportionell ansträngning avgörs primärt av den
personuppgiftsansvariga, men det kommer att växa fram en praxis på området när tillsynsmyndighetens granskningar kommit igång.

2. Om det sannolikt skulle göra det omöjligt eller avsevärt försvåra
uppfyllandet av målen med själva användningen av personuppgifterna att
ge den grundläggande informationen.

Om det till exempel skulle innebära att det inte går att genomföra ett
forskningsprojekt.

I ovanstående fall ska SLU istället vidta ”lämpliga åtgärder” för att skydda den registrerades rättigheter, friheter och berättigade intressen. Diskutera gärna detta med dataskyddsombudet.

3. Om vi enligt lag måste registrera eller lämna ut uppgifter och denna
behandling har lämpliga åtgärder för att skydda den registrerades
berättigade intressen.

Ett typexempel är Ladok – den registrering vi gör där är på grund av lagkrav.

4. Om personuppgifterna måste förbli konfidentiella till följd av lagstadgad
tystnadsplikt i exempelvis sekretesslagstiftningen.

Det kan exempelvis röra frågor om rikets säkerhet.

När ska den registrerade få denna information?

Om inget undantag är tillämpligt är SLU skyldigt att ge den registrerade
informationen i instruktionen. Detta ska ske vid olika tidpunkter, beroende på
situationen:

  • Inom en rimlig period efter det att vi har fått personuppgifterna, dock
    senast inom en månad. Vid bedömningen av vad som är rimligt får hänsyn tas till eventuella särskilda omständigheter angående hur personuppgifterna används.

  • Om personuppgifterna ska användas för att kontakta den registrerade ska informationen ges senast vid tidpunkten för den första kontakten.

  • Om det är troligt att uppgifterna kommer att lämnas ut till en annan
    mottagare ska informationen lämnas senast när personuppgifterna lämnas ut för första gången.

Grundläggande information

1. Personuppgiftsansvarig

Du ska informera om

  • vem som är personuppgiftsansvarig
  • kontaktuppgifter till personuppgiftsansvarig
  • den fysiska person som kan företräda den personuppgiftsansvariga (om
    möjligt).

Vanligtvis är SLU personuppgiftsansvarig, men kontrollera detta särskilt. Ibland kan det vara ett samarbete där flera är personuppgiftsansvariga och ibland kan det vara någon annan som är ansvarig och vi gör insamlingen som del av ett uppdrag.

Om en fysisk person företräder den personuppgiftsansvariga bör det vara någon som är ansvarig för exempelvis ett system eller ett forskningsprojekt.

2. Dataskyddsombud

Du ska informera om dataskyddsombudets namn, mejladress och telefonnummer. Kontrollera på SLU:s webb vem som är dataskyddsombud.

3. Syfte med behandlingen och rättslig grund

Du ska också informera den registrerade om anledningen till att personuppgifterna kommer att användas på ett visst sätt och den rättsliga grunden för användningen.

Hos oss kan det till exempel vara fråga om en uppgift av allmänt intresse som forskning eller myndighetsutövning.

Beskriv kortfattat användningen så att den registrerade kan förstå hur
personuppgifterna kommer att hanteras. Om du är osäker på vilken den rättsliga grunden är, kontakta dataskyddsombudet.

Följande text måste ALLTID vara med:
SLU är en statlig myndighet och har en skyldighet att bl.a. följa reglerna för allmänna handlingar, myndigheters arkiv och offentlig statistik. Universitetet kommer därför även att behandla personuppgifterna på de sätt som krävs för att kunna följa gällande lagstiftning.

4. Vilka personuppgifter som kommer att samlas in

Ange vilka uppgifter som ska samlas in, till exempel personnummer, namn eller mejladress.

5. Vem som får tillgång till personuppgifterna

Du ska informera om vem som kan komma att ta del av uppgifterna eller vilka funktioner som kommer att använda sig av dem. Det kan exempelvis vara enbart forskare inom projektet, alla på personalavdelningen och ekonomiavdelningen, deltagare i eventuella samarbeten med andra myndigheter eller privata aktörer.

Följande text måste ALLTID vara med:
I enlighet med reglerna om allmänna handlingar kan SLU komma att lämna ut dina personuppgifter om de finns i en allmän handling som någon begär ut. Det gäller förutsatt att uppgifterna inte beläggs med sekretess.

6. Överföring av personuppgifter till ett land utanför EU/EES

Om personuppgifterna kommer att överföras till ett land utanför EU/EES, eller till en internationell organisation, ska du informera den registrerade om det. Se dessutom till att kontakta integritets- och dataskyddsfunktionen för att se till att du har lagstöd för att föra över personuppgifterna.

Obs! Att publicera något på webben innebär inte per automatik att det överförs till ett land utanför EU/EES. Om det läggs upp på sociala medier är det däremot ofta fråga om sådan överföring som du måste informera den registrerade om.

Kontakta dataskydd@slu.se för rådgivning om vad som gäller
för överföring till länder utanför EU/EES och till internationella organisationer.

Information för att säkra rättvis och transparent behandling

1. Lagringstid

Du ska informera om hur länge personuppgifterna kommer att finnas hos den
personuppgiftsansvariga eller, om det inte är möjligt att ange, vad som styr längden på lagringen. Det kan exempelvis vara forskningsprojektets längd, arkivlagstiftning, lagstiftning eller kollektivavtal. Kontrollera mot dokumenthanteringsplanen vad som gäller.

Om du är osäker, kontakta i första hand SLU:s enhet för
arkiv, informationshantering och registratur.

Följande text ska ALLTID vara med:
Dina personuppgifter lagras också så länge det krävs enligt lagstiftningen om allmänna handlingar och myndigheters arkiv.

2. Den registrerades rättigheter

Du ska informera den registrerade om att hen har rätt att få tillgång till sina
personuppgifter och, när så är möjligt, få dem rättade eller raderade, få
behandlingen av dem begränsad eller invända mot behandlingen. Du ska också upplysa den registrerade om rätten till dataportabilitet, det vill säga att den insamlade informationen enkelt ska kunna överföras till ett annat system.

Även här styrs mycket av annan lagstiftning. Utrymmet för att exempelvis begära rättelse i ett forskningsprojekt är väldigt litet, och i behandlingar som har arkiverats är det inte möjligt att rätta uppgifter, vare sig juridiskt eller praktiskt. Just dataportabilitet är sällan tillämpligt inom vår verksamhet men är till för att göra det lättare för individer att till exempel byta bank eller försäkringsbolag.

Återkalla samtycke

Om användningen av personuppgifterna grundar sig på samtycke ska du informera den registrerade om att hen har rätt att när som helst återkalla sitt samtycke och hur det går till. Dessutom ska du informera om att en återkallelse av samtycket inte påverkar den användning av personuppgifter som redan skett – den behandlingen är fortfarande laglig.

Du kan alltså fortsätta att använda information som har samlats in med stöd av samtycke innan samtycket återkallades. Däremot får du inte samla in ny
information.

Lämna klagomål

Du ska också informera den registrerade om rätten att lämna klagomål på hur personuppgifterna används. Ett sådant klagomål kan antingen lämnas till SLU:s dataskyddsombud eller direkt till Integritetsskyddsmyndigheten, som är tillsynsmyndighet.

Förslagsvis använder du texten nedan.

Synpunkter
Om du har synpunkter på SLU:s personuppgiftsbehandling kan du vända dig till dataskydd@slu.se, 018-67 20 90.

Om du inte är nöjd med SLU:s svar, kan du vända dig till Integritetsskyddsmyndigheten med klagomål på SLU:s behandling av dina personuppgifter, imy@imy.se eller 08-657 61 00.

Läs mer om Integritetsskyddsmyndighetens tillsyn.

Källa

Du ska informera den registrerade om varifrån personuppgifterna kommer och, i tillämpliga fall, om de kommer från allmänt tillgängliga källor.
Exempel på allmänt tillgängliga källor är journalhandlingar, statistik från
Statistiska centralbyrån, uppgifter från Skatteverket/folkbokföringen etc.

Automatiserat beslutsfattande

Om det sker automatiserat beslutsfattande, exempelvis automatiserad viktning av meriter för antagning till ett utbildningsprogram, som baserar sig på de personuppgifter som lämnats måste du upplysa om det. Du måste också ge åtminstone viss information om logiken bakom, vad det innebär att beslut fattas på det sättet och vilka förutsägbara följder sådan behandling har. Detta är vanligast inom det gemensamma verksamhetsstödet.

3. Annat ändamål

Om SLU tänker använda personuppgifterna för ett annat ändamål än det de
ursprungligen samlades in för ska du informera den registrerade om det. Det måste du göra innan du använder uppgifterna för det andra ändamålet. Du ska även ge annan information som är relevant enligt avsnittet om att säkra rättvis och transparent behandling.


Kontaktinformation

dataskydd@slu.se, 018-67 20 90

Anna Jarmar, universitetsjurist/dataskyddsombud, 018-67 22 75

Simon Åkerblom, universitetsjurist med särskilt ansvar för digitaliserings- och dataskyddsfrågor, 018 – 67 20 42