Snabbguide till dataskydd i enkäter

Om du ska använda en extern leverantör av en enkättjänst (till exempel  Netigate, SurveyMonkey, Google eller liknande) eller anlitar ett företag för att genomföra en enkät åt dig så finns det ett par viktiga saker att tänka på.

Har leverantören upphandlats?

Vid alla köp av tjänster måste du tänka på upphandlingsreglerna. Om SLU har ett ramavtal med en leverantör så ska detta ramavtal följas oavsett beloppet på ditt planerade köp. Om det inte finns ramavtal men SLU köper in enkättjänster för mer än ett visst belopp varje år måste sådana tjänster upphandlas. Läs mer om beloppsgränserna på inköpsavdelningens sidor på medarbetarwebben.

Om du har frågor kan du kontakta inköpsavdelningen på upphandling@slu.se.

Utgångspunkten är att du ska använda en leverantör som SLU har ett upphandlat avtal med. Om du vill använda en annan leverantör måste det finnas en särskild anledning till detta, exempelvis att den upphandlade leverantörens tjänst inte har funktioner som du måste ha. Att du är bättre på en viss leverantörs tjänst är inte en giltig anledning, utan det måste ha att göra med tjänstens beskaffenhet.

Personuppgiftsbiträdesavtal

När du har bestämt dig för vilket företag du ska anlita för enkäten måste du se till att det tecknas ett personuppgiftsbiträdesavtal för tjänsten. Det här avtalet reglerar hur leverantören får behandla de personuppgifter som SLU samlar in genom enkäten. Vanligtvis har leverantören ett standardavtal av den här typen. Om leverantören inte har ett sånt avtal finns det mallar framtagna av SLU. Mallarna och annan information om personuppgifter och dataskydd hittar du på medarbetarwebben.

Även om leverantören är upphandlad av SLU är det inte säkert att det finns ett personuppgiftsbiträdesavtal, så se till att undersöka saken. Du är även ansvarig för att kontrollera att leverantören på ett tillfredsställande sätt kan skydda den information du ska samla in i enkäten.

Det finns idag en viss skepsis kring länkar som är långa och komplicerade, där det inte tydligt går att se vem en länk kommer ifrån eller vart den leder.  När du skapar en länk till en enkät, se till att länken är så kort som möjligt och att det tydligt framgår att SLU är avsändare.

Detsamma gäller den grafiska utformningen av de sidor som finns i enkäten. Sträva efter att det ska vara tydligt att SLU är avsändare och vem på SLU som är ansvarig, exempelvis genom att se till att SLU:s logga är tydligt synlig. Om det inte går att skapa länkar som kopplas till SLU måste deltagarna få tydlig information om att länken kommer från SLU.

För att du ska få genomföra den behandling av personuppgifter som en enkät innebär krävs det att du fastställer den rättsliga grunden för behandlingen. Vilken rättslig grund du ska välja beror på anledningen till att du genomför enkäten.

De vanligaste rättsliga grunderna är

1. den registrerades samtycke eller
2. att behandlingen av personuppgifter är nödvändig för att uppfylla en uppgift av allmänt intresse.

Alternativ 2 bör vara den vanligaste grunden. För att kunna använda uppgift av allmänt intresse som den rättsliga grunden måste du kunna visa var i svensk lag, myndighetsbeslut, myndighetsuppdrag eller kollektivavtal det sägs att den uppgiften ska utföras. Ett exempel är förordningen om SLU 1a § som säger att vi ska forska, eller högskolelagens 1 kap. 2 § som säger att vi ska sprida information om vår verksamhet.

Du kan läsa mer om rättsliga grunder i dataskyddshandboken.

Om enkäten riktar sig till studenter och det finns en sannolikhet att studenterna upplever enkäten som obligatorisk ska den rättsliga grunden samtycke inte användas. Detsamma gäller om enkäten används för att följa upp administration eller rör ämnen som har att göra med anställning vid SLU.

I de fall du använder samtycke som rättslig grund för behandlingen måste du behålla dokumentation av hur du hämtade in samtycket under den tid som du behandlar eller lagrar enkätsvaren.

När du behandlar personuppgifter är en viktig del att konstatera vad ändamålet med behandlingen av personuppgifter är. Varför samlar du in de här uppgifterna? Vilka frågor ska du besvara med hjälp av det underlag som enkäten ger dig? Se till att du formulerar ändamålet så att den som svarar på enkäten vet vad som kommer att hända med de uppgifter du samlar in. Använd ett tydligt och enkelt språk. Fråga en kollega som inte arbetar med enkäten om du är osäker på hur tydligt ändamålet är.

Om du vet med dig att informationen som hämtas in kommer användas för mer forskning i framtiden, eller att informationen ska tillföras en databas, informera om det redan nu. Annars måste du informera de som svarat på enkäten igen när du ändrar ändamålet med behandlingen, vilket kan vara svårt i praktiken.

Se också till att du informerar den registrerade om att uppgifterna kommer att arkiveras i enlighet med svensk arkivlagstiftning.

När du genomför en enkätundersökning måste du noga överväga vilken information du behöver samla in för att uppfylla ändamålet med
enkätundersökningen. Du får inte samla in mer personuppgifter än du behöver. Det är bara du som kan avgöra vilken information du behöver, vilket gör det viktigt att du skriver ner hur du har tänkt kring vilken information du  samlar in.

Om du ska samla in känsliga personuppgifter är detta ännu viktigare eftersom du då måste kunna tillämpa ett undantag i artikel 9 i dataskyddsförordningen. SLU:s jurister kan hjälpa dig med den bedömningen.

Något som är bra att tänka särskilt på är om leverantören som du använder samlar in och sparar IP-adresser till de enheter som användarna har använt för att svara på enkäten. Om det är möjligt att låta bli att lagra IP-adresser så är detta något som leder till en svagare koppling till enskilda svaranden, vilket innebär bättre skydd för deras integritet.

När du skapar en enkät måste du lämna information om vem som står bakom enkäten, ändamålet med behandlingen, vilken den rättsliga grunden för insamlingen är med mera. Du måste lämna den här informationen till de som svarar på enkäten för att din insamling av personuppgifter ska vara tillåten.

Du kan hitta en mall för information som du ska lämna på medarbetarwebbens sida om dataskydd.

Förslagsvis har du en ingångssida där en person hamnar när de klickar på länken till enkäten, där du lämnar den här informationen. Det är tillåtet att lämna informationen i olika omgångar. Vid den första omgången måste du alltid informera om

• ändamålet
• vem som är personuppgiftsansvarig
• kontaktuppgifter till dig som samlar in personuppgifter, och till
  dataskyddsombudet
• var de kan läsa mer om behandlingen av sina personuppgifter.

Om du ska använda samtycke som rättslig grund för att behandla personuppgifter kan du också be den svarande att lämna sitt samtycke på en sådan sida. Du kan inhämta samtycke genom exempelvis en kryssruta, men den får inte vara ikryssad i förväg.

Du måste också dokumentera att alla som svarar har lämnat sitt samtycke.

Huvudregeln för lagring av personuppgifter är att vi bara får ha dem under så lång tid som är nödvändigt för att uppfylla ändamålet med behandlingen. Detta gäller dock inte när uppgifterna finns i allmänna handlingar, eftersom reglerna kring allmänna handlingar kräver att SLU lagrar informationen längre än så.

I informationsdokumentet som beskrivs i det förra stycket måste du informera de som svarar på enkäten hur länge du kommer att behandla personuppgifterna som du samlar in. Om du kan ska du ange hur länge i tid. Om du inte kan ange tiden kan du beskriva hur du kommer att bestämma hur länge personuppgifterna lagras. Det kan till exempel vara till dess att rapporten som enkäten är ett underlag för är färdig och publicerad.

De personuppgifter du samlar in (både metadata om den som svarar och de faktiska enkätsvaren) är dessutom allmänna handlingar. Allmänna handlingar ska hanteras i enlighet med reglerna för sådana handlingar. Varje institution har en medarbetare med kompetens kring dokumentation och arkivering (DA-roll) och de kan hjälpa dig med hur du ska hantera den information som du ska samla in. Om personen inte kan hjälpa dig med detta kan du kontakta enheten för arkiv, informationshantering och registratur vid ledningskansliet.

Sist men inte minst ska du registrera din behandling.

Om din enkät är till ett forskningsprojekt ska du registrera den i din institutions register över personuppgiftsbehandling i forskning. I annat fall kan du kontakta SLU:s dataskyddsombud för att få hjälp att registrera behandlingen. Du når dataskyddsombudet på dataskydd@slu.se.