Regler för behandling av personuppgifter (2015)

Regler för behandling av personuppgifter vid Högskolan Dalarna
Beslut: Rektor 2015-11-02
Reviderad: Dnr: DUC 2015/1924/10
Ersätter: Tillämpning av personuppgiftslagen (PUL) inom HDa, DUF 2001/1433/12 samt DUC
2003/106/19
Relaterade dokument: Informationssäkerhetspolicy DUC 2014/2174/10, Plan för informationssäkerhet
DUC 2015/769/10
Ansvarig: Rektor
Innehåll
Bakgrund .................................................................................................................................................. 3
Regelverk ................................................................................................................................................. 3
Personuppgift ........................................................................................................................................ 3
Behandling av personuppgift ................................................................................................................ 3
Strukturerade eller ostrukturerade personuppgifter ............................................................................ 3
Känsliga personuppgifter....................................................................................................................... 4
Personuppgifter i forskningen ............................................................................................................... 4
Personnummer ...................................................................................................................................... 4
Tredje land............................................................................................................................................. 4
Information till registrerade .................................................................................................................. 4
Samtycke ............................................................................................................................................... 5
Registerutdrag ....................................................................................................................................... 5
Ansvar och roller ..................................................................................................................................... 5
Personuppgiftsansvarig ......................................................................................................................... 5
Personuppgiftsombud ........................................................................................................................... 5
Medhjälpare .......................................................................................................................................... 5
Personuppgiftsbiträde ........................................................................................................................... 5
Interna regler för behandling av personuppgifter vid Högskolan Dalarna ..................................... 6
Organisation och säkerhet .................................................................................................................... 6
Anmälan................................................................................................................................................. 6
Biträdesavtal .......................................................................................................................................... 6
Registerutdrag ....................................................................................................................................... 6
2
Bakgrund
Vid Högskolan Dalarna behandlas en stor mängd personuppgifter, även så kallade känsliga
personuppgifter. Det kan t.ex. vara personuppgifter som rör studenter, anställda eller deltagare i
ett forskningsprojekt.
För att skydda människor mot att deras personliga integritet kränks vid behandling av personuppgifter finns i Sverige personuppgiftslagen (PuL). I detta styrdokument finns Högskolan
Dalarnas lokala tillämpning av lagen och en beskrivning av ansvarfördelningen. Reglerna ersätter
tidigare fastställda tillämpning (DUC 2003/106/19).
Dokumentet omfattar inte rutiner för hanteringen av skyddade personuppgifter vid Högskolan
Dalarna.
Regelverk
Nedan ges en sammanfattning av innehållet i PuL. För mer information se Datainspektionens
webbsida, lagtexten eller kontakta personuppgiftsombudet.
Personuppgift
Med personuppgift avses all slags information som direkt eller indirekt kan kopplas till en fysisk
person som är i livet, t.ex. namn, personnummer, adress, foto samt mer indirekta uppgifter som
IP-adress eller fastighetsbeteckning. Även kodade eller krypterade uppgifter är personuppgifter så
länge kod- eller krypteringsnyckeln finns kvar och det finns möjlighet att identifiera personer.
Behandling av personuppgift
Med behandling av personuppgifter avses all slags hantering av personuppgifter, oavsett om det
sker manuellt eller automatiskt med hjälp av IT, t.ex. insamling, registrering, lagring,
bearbetning, användande, utlämnande, spridning eller utplåning av personuppgifter.
Strukturerade eller ostrukturerade personuppgifter
Regelverket ser olika ut beroende på om personuppgifterna är strukturerade eller ostrukturerade.
PuL omfattar nämligen främst strukturerade personuppgifter, det vill säga uppgifter som
behandlas helt eller delvis automatiserat, t.ex. i ett IT-baserat register med god sökbarhet och
möjligheter till sammanställningar.
Behandlingen av strukturerade personuppgifter är endast tillåten vid samtycke eller
nödvändighet. En nödvändig behandling kan t.ex. vara vid avtal med den registrerade, rättslig
skyldighet, skydd av vitala intressen för den registrerade eller arbetsuppgift av allmänt intresse,
t.ex. forskning eller myndighetsutövning.
3
För strukturerade personuppgifter gäller alltid att de:




ska behandlas lagligt, korrekt och i enlighet med god sed,
får behandlas vid särskilda, uttryckliga, berättigade ändamål,
ska vara relevanta, riktiga, aktuella och nödvändiga uppgifter,
inte sparas längre tid än nödvändigt.
Ostrukturerade personuppgifter är sådana som hanteras mer manuellt, t.ex. i en löpande text.
Behandling av ostrukturerade personuppgifter är tillåten enligt PuL så länge det inte innebär en
kränkning av den personliga integriteten och lämpliga säkerhetsåtgärder vidtas.
Känsliga personuppgifter
Känsliga personuppgifter är sådana som rör ras/etniskt ursprung, politiska åsikter, religiös/
filosofisk övertygelse, medlemskap i fackförening eller hälsa/sexualliv.
Det är som huvudregel förbjudet att hantera känsliga personuppgifter. Undantag finns vid ett
uttryckligt samtycke, eget offentliggörande, nödvändig behandling (arbetsrättslig), skydd av
vitala intressen (liv och lem), hantering av rättsliga anspråk, för ideella organisationer (politiska,
filosofiska, religiösa, fackliga), inom hälso- och sjukvård samt vid forskning och statistik.
Personuppgifter i forskningen
Enligt PuL får känsliga personuppgifter eller uppgifter om lagöverträdelser enbart behandlas för
forskningsändamål om behandlingen godkänts av en etikprövningsnämnd i enlighet med
etikprövningslagen. Detta gäller oavsett om forskningsdeltagarna gett sitt samtycke eller inte.
Personnummer
Personnummer är enligt PuL inte en känslig personuppgift, men däremot en särskilt skyddsvärd
personuppgift. Det innebär att behandling av personnummer får ske först efter samtycke eller när
det är klart motiverat med hänsyn till ändamålet, vikten av en säker identifiering eller något annat
beaktansvärt skäl.
Tredje land
Enligt PuL är det inte tillåtet att föra över personuppgifter till tredje land (länder utanför
EU/EES). Det är dock alltid tillåtet om samtycke finns, och även till länder med en adekvat
skyddsnivå. För mer information om vilka länder som då avses hänvisas till Datainspektionens
webbsida eller personuppgiftsombudet.
Information till registrerade
Information om personuppgiftsbehandlingen ska lämnas till den registrerade, både vid
insamlande från den registrerade själv eller från annan källa. Undantaget om det finns någon
annan lagstadgad reglering eller om det skulle kräva en omöjligt eller oproportionerligt stor
arbetsinsats.
4
Informationen ska innehålla uppgift om vem som är personuppgiftsansvarig, ändamålen med
behandlingen, mottagare av uppgifterna, skyldigheten för Högskolan att lämna ut uppgifter och
rätten för registrerad att ansöka om information samt att få rättelse. Information behöver dock
inte lämnas om sådant som den registrerade redan känner till.
Samtycke
Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den
registrerade, efter att ha fått information, godtar behandlingen av personuppgifter.
Registerutdrag
En registrerad har rätt till ett kostnadsfritt registerutdrag en gång per år efter skriftlig ansökan
ställd till personuppgiftsansvarig.
Ansvar och roller
Personuppgiftsansvarig
Högskolans ledning (styrelse/rektor) är personuppgiftsansvarig. De bestämmer ändamålen med
och medlen för behandling av personuppgifter. De fastställer även lokala styrdokument.
Personuppgiftsombud
 Utses av personuppgiftsansvarig.
 Ger information och råd till verksamheten angående tillämpningen av PuL.
 Utarbetar förslag till lokala styrdokument rörande behandling av personuppgifter.
 Bevakar självständigt att personuppgifter behandlas lagligt, korrekt och i enlighet med
god sed.
 Påpekar eventuella brister för personuppgiftsansvarig, och om ingen rättelse sker därefter,
anmäler dessa till tillsynsmyndigheten.
 Samråder med tillsynsmyndigheten vid tveksamhet kring lagens tillämpning.
 Tar emot anmälningar av personregister och förtecknar dessa.
 Fungerar som kontaktperson gentemot registrerade och hjälper registrerade med rättelser
av felaktiga eller ofullständiga personuppgifter.
Medhjälpare
Fysisk person inom organisationen som behandlar personuppgifter under den personuppgiftsansvariges ansvar och enligt dennes instruktion, t.ex. en anställd vid Högskolan Dalarna.
Personuppgiftsbiträde
Extern part som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige, t.ex. en
leverantör av ett IT-system.
5
Interna regler för behandling av personuppgifter vid Högskolan
Dalarna
Organisation och säkerhet
 Behandling av personuppgifter vid Högskolan Dalarna ska ske i enlighet med gällande
lagar och förordningar.
 Vid all behandling av personuppgifter ska risken för kränkning av den personliga
integriteten beaktas.
 Lämpliga tekniska och organisatoriska säkerhetsåtgärder ska vidtas, med hänsyn till
tekniska möjligheter, kostnader, risker och känslighet.
 Interna regler för informationssäkerhet ska beaktas vid behandling av personuppgifter.
 Så kallade strukturerade personuppgifter (i register/IT-system) ska behandlas lagligt,
korrekt och i enlighet med god sed vid särskilda, uttryckliga och berättigade ändamål.
Uppgifterna ska vara relevanta, riktiga, aktuella och nödvändiga. De ska inte sparas längre
tid än nödvändigt, om inte annan lagstiftning föreskriver något annat (t.ex. överlämnande
till arkivet).
 Alla anställda som behandlar personuppgifter på uppdrag av personuppgiftsansvarig ska
ges tillräcklig information för uppdraget. Det omfattar även studenter som behandlar
personuppgifter i samband med ett examensarbete.
 De verksamheter som behandlar stora mängder eller särskilt känsliga personuppgifter kan
utse en kontaktperson som samordnar verksamhetens arbete med att säkerställa sin
personuppgiftsbehandling. Dessa utses då av närmaste chef och meddelas personuppgiftsombudet.
Anmälan
 All strukturerad personuppgiftsbehandling ska anmälas/avanmälas till Högskolan
Dalarnas personuppgiftsombud, oavsett om behandlingen sker inom stöd- eller
kärnverksamheten.
Biträdesavtal
 Om extern part (t.ex. IT-leverantör) behandlar personuppgifter på uppdrag av den
personuppgiftsansvarige ska personuppgiftsbiträdesavtal upprättas och delges
personuppgiftsombudet.
Registerutdrag
 En begäran om registerutdrag kan samordnas av personuppgiftsombudet, som för
förteckning över alla förekommande register och vilka som är ansvariga för dessa.
 Registerutdrag skickas efter skriftlig begäran till den registrerades folkbokföringsadress
för att minimera risken att informationen når obehörig.
6