Göm menyn

Vanliga frågor

(Källa om inget annat anges är Dataskyddsförordningen (DSF), skälen till DSF och information på Datainspektionens hemsida.)

1 Vad är dataskyddsförordningen?

2 Vad är de viktigaste förändringarna?

3 Vad är en personuppgift?

4 Vad innebär pseudonymisering och avidentifiering av personuppgifter?

5 Vad är en personuppgiftsbehandling?

6 Vad menas med personuppgiftsansvarig?

7 Vad menas med känsliga personuppgifter?

8 Vilka är de viktigaste kraven och principerna i den nya lagstiftningen?

9 Vilka rättsliga grunder finns för personuppgiftsbehandling?

10 Vilka är de viktigaste rättigheterna för den registrerade?

11 Vad innebär ”rätten att bli glömd”?

12 Behövs alltid samtycke för att få behandla personuppgifter?

13 Vilka krav måste ett samtycke uppfylla?

14 Behöver jag inhämta ett nytt samtycke om jag behandlar personuppgifter med stöd av samtycke som har lämnats innan den 25 maj 2018?

15 Måste jag radera personuppgifter som jag har samlat in med stöd av personuppgiftslagen?

16 Hur förhåller sig dataskyddsförordningen till annan svensk lagstiftning såsom offentlighets- och sekretesslagen, arkivlagen och annan grundlagsstiftning?

17 Gäller dataskyddsförordningen även för e-post?

18 Varför behövs en förteckning över personuppgifter?

19 Vad är dataskyddsombudets uppgift?

 


1 Vad är dataskyddsförordningen?

En europeisk dataskyddsförordning trädde ikraft den 25 maj 2018 och ersatte då den tidigare gällande personuppgiftslagen i Sverige, och motsvarande nationella lagar i andra EU-länder.

Det nya regelverket syftar till att möjliggöra det fria flödet av personuppgifter inom den europeiska unionen där alla personuppgifter behandlas med en hög samt enhetlig och likvärdig skyddsnivå. De nya reglerna innebär en förstärkning av den enskildes fri- och rättigheter, ett förtydligande av skyldigheter för den som behandlar personuppgifter samt en harmonisering av reglerna inom EU/EES. Dessutom är syftet med den nya lagen att undanröja digitala handelshinder inom EU/EES och möta teknikens förändringar.

2 Vad är de viktigaste förändringarna?

Dataskyddsförordningen ställer stränga krav på den som behandlar personuppgifter, bl.a. när det gäller transparens och öppenhet gentemot den vars personuppgifter behandlas. Den enskildes rättigheter stärks och han eller hon ska kunna ha kontroll över sina personuppgifter (se även Vilka är de viktigaste kraven i den nya lagstiftningen?).

Det är endast tillåtet att samla in sådana uppgifter som är relevanta för behandlingen och som det finns stöd för att behandla, antingen genom lag eller genom samtycke. Det ställs strängare krav på myndigheter och företag när det gäller kraven på IT säkerhet och skyddsåtgärder. Att bryta mot bestämmelserna är förenat med påtagliga påföljder, och den enskilde får nya möjligheter att lämna klagomål och använda rättsmedel.

3 Vad är en personuppgift?

En ”personuppgift” är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Exempel på personuppgifter är personnummer, namn, adress, bilder, fingeravtryck, men även elektroniska identiteter som IP-adresser och cookies om dessa kan kopplas till en fysisk person.

Även en uppgift som i kombination med en annan uppgift kan knytas till en levande person är en personuppgift. Det innebär att även information som har kodats, krypterats eller pseudonymiserats utgör personuppgifter så länge ”nyckeln” finns kvar.

Helt avidentifierad data (som inte är återsökningsbar via kodnyckel eller liknande) är inte personuppgifter och omfattas då heller inte av dataskyddsförordningens regler.

4 Vad innebär pseudonymisering och avidentifiering av personuppgifter?

Pseudonymisering innebär att personuppgifterna inte längre kan tillskrivas en specifik person utan att kompletterande uppgifter används, t.ex. en kodnyckel. Det förutsätter att kompletterande uppgifter förvaras separat. De spelar ingen roll om de kompletterande uppgifterna finns hos LiU eller hos någon annan - så länge någon kan använda kompletterande uppgifter för att identifiera en specifik person, räknas det som personuppgifter.

När man förstör kodnyckeln eller inte längre har kvar de kompletterande uppgifterna, och ingen med rimliga medel längre kan identifiera en specifik person, är personuppgifterna avidentifierade och omfattas inte längre av dataskyddsförordningen.

5 Vad är en personuppgiftsbehandling?

Som personuppgiftsbehandling räknas alla former av åtgärder som vidtas med en personuppgift - t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

6 Vad menas med personuppgiftsansvarig?

En personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. För de behandlingar som sker vid LiU är universitetet alltid personuppgiftsansvarig.

7 Vad menas med känsliga personuppgifter?

Vad som är känsliga uppgifter definieras i dataskyddsförordningen. Uppräkningen är uttömmande och består av uppgifter om:

  • Ras eller etniskt ursprung
  • Politiska åsikter
  • Religiös eller filosofisk övertygelse
  • Medlemskap i en fackförening
  • Hälsa (art. 4.15 DSF)
  • En persons sexualliv eller sexuella läggning
  • Genetetiska uppgifter (art. 4.13 DSF)
  • Biometriska uppgifter som entydigt identifierar en person (art 4.14 DSF)

8 Vilka är de viktigaste kraven och principerna i den nya lagstiftningen?

  • Alla behandlingar ska ha en rättslig grund (laglighet). (Se även Vilka rättsliga grunder finns för personuppgiftsbehandling?)
  • Alla personuppgifter ska behandlas på ett öppet sätt i förhållande till den registrerade. Det ska vara klart och tydligt för den registrerade hur hans eller hennes personuppgifter samlas in och behandlas (öppenhet).
  • Personuppgifter ska bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål (ändamålsbegränsning).
  • Det är inte tillåtet att behandla fler uppgifter än vad som är nödvändigt (uppgiftsminimering).
  • Personuppgifter får inte behandlas och förvaras längre än nödvändigt (lagringsminimering).
  • Personuppgifter ska skyddas mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse (integritet och konfidentialitet).
  • Den som behandlar personuppgifter ansvarar för att principerna om personuppgiftsbehandling följs och ska kunna visa på vilket sätt dessa följs (ansvarsskyldighet).
  • Viss dokumentation och vissa rutiner ska finnas, t.ex. personuppgiftsbiträdesavtal, information till registrerade, systemstöd för att radera uppgifter och begränsa åtkomst m.m.

9 Vilka rättsliga grunder finns för personuppgiftsbehandling?

  • Samtycke: Ett samtycke ska vara frivilligt och lämnas genom ett uttalande eller en entydig bekräftande handling efter det att den registrerade har fått tydlig och begriplig information om personuppgiftsbehandlingen. Vid behandling av känsliga personuppgifter gäller särskilt höga krav.
  • Avtal: Behandlingen ska vara nödvändig för att fullgöra ett avtal med den registrerade eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (endast när den registrerade är eller avser att bli part).
  • Rättslig förpliktelse: T.ex. arbetsmiljörättsliga förpliktelser, bokföringsskyldighet enligt bokföringslagen, förpliktelser enligt arkivlagen, registreringsskyldighet enligt offentlighets- och sekretesslagen m.m.
  • Skydd för grundläggande intressen: Sådana intressen som är av avgörande betydelse för den registrerades eller någon annans liv, t.ex. livsavgörande vård i akuta situationer då den registrerade inte kan lämna samtycke.
  • Uppgift av allmänt intresse och myndighetsutövning: En uppgift som följer av EU-förordning, lag eller annan författning eller av beslut som meddelats med stöd av lag eller annan författning. Även myndighetsutövning ska grundas på EU-rätt eller svensk rätt.
  • Efter en intresseavvägning: Om behandlingen är nödvändig för berättigade intressen och den registrerades intresse av att uppgiften inte behandlas inte väger tyngre än motpartens intresse av att behandla uppgiften. Barn anses vara särskilt skyddsvärda

10 Vilka är de viktigaste rättigheterna för den registrerade?

  • Rätten till information om att dennes personuppgifter behandlas och varför
  • Rätten till snabb rättning av felaktigheter
  • Rätten att få sina uppgifter raderade (se även Vad är ”rätten att bli glömd?”)
  • Rätten till begränsning av behandling
  • Rätten till dataportabilitet
  • Rätten att göra invändningar

11 Vad innebär ”rätten att bli glömd”?

Rätten att bli glömd, eller rätten till radering (art. 17 DSF), innebär att en registrerad person har rätt att vända sig till den som behandlar personuppgifter och begära att uppgifterna raderas. Det innebär dock inte alltid att uppgifterna måste raderas. Om det finns en annan rättslig grund för behandlingen än samtycke, om uppgifterna är korrekta och om de behövs för de ändamål som de samlades in för behöver de inte raderas. Med andra ord, rätten till radering föreligger om lagringen av uppgifterna strider mot Dataskyddsförordningen, unionsrätten eller nationell lagstiftning som den personuppgiftsansvarige omfattas av.

Uppgifterna måste raderas i följande fall:

  • Om den behandlingen grundar sig på samtycke och samtycket har återkallats
  • Om uppgifterna inte längre behövs för det ändamål som de har samlats in
  • Om personuppgifterna har behandlats olagligt, dvs. utan stöd i lagen
  • Om radering krävs för att uppfylla en rättslig skyldighet
  • Om behandlingen sker för direkt marknadsföring och den enskilde motsätter sig att uppgifterna behandlas
  • Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning, och där det inte finns berättigade skäl som väger tyngre än den enskildes intresse
  • Om personuppgifter avser barn och har samlats in i samband med att barnet skapat en profil i ett socialt nätverk

Observera att skyldigheten att radera personuppgifter inte enbart föreligger på den registrerades begäran. Personuppgifter ska inte längre behandlas när grunden för behandlingen faller bort.

12 Behövs alltid samtycke för att få behandla personuppgifter?

Samtycke är endast en av de rättsliga grunder som finns för att få samla in personuppgifter. I vilka fall en behandling av personuppgifter är laglig framgår av art. 6 DSF. Samtycke krävs som regel alltid då ingen annan rättslig grund föreligger. Vid behandling av känsliga personuppgifter krävs som huvudregel alltid samtycke.

13 Vilka krav måste ett samtycke uppfylla?

Samtycket måste vara frivilligt och ska lämnas för ett specifikt ändamål genom ett yttrande eller en entydig, bekräftande handling. Det ska ges efter att den registrerade har fått tydlig och begriplig information om personuppgiftsbehandlingen. Vid ett ojämlikt maktförhållande (t.ex. mellan arbetsgivare/arbetstagare, examinerande lärare/student eller vårdgivare/patient) kan det vara tveksamt om frivillighetskravet är uppfylld.

Vid behandling av känsliga personuppgifter ställs särskilda krav på samtycket och då räcker det inte med en bekräftande handling, utan samtycket ska lämnas uttryckligen.

Den som behandlar personuppgifter med stöd av samtycke måste kunna visa att ett giltigt samtycke har lämnats, vilket ställer krav på dokumentation. Dokumentationen behöver inte nödvändigtvis ske skriftligen, utan kan t.ex. ske genom inspelning. Även digitalt dokumenterade samtycken är tillåtna.

En registrerad har rätt att när som helst återkalla sitt samtycke utan motivering. Det är därför viktigt att det finns lämpliga metoder/verktyg för att hitta personuppgiftsbehandlingar som sker med stöd av samtycke. Vid återkallat samtycke har den registrerade i de flesta fall rätt att få sina uppgifter raderade. Rätten kan dock vara begränsad, t.ex. pga. LiU:s skyldighet att följa arkivlagen (se mer under Vad innebär rätten att bli glömd).  

14 Behöver jag inhämta ett nytt samtycke om jag behandlar personuppgifter med stöd av samtycke som har lämnats innan den 25 maj 2018?

För att ett samtycke som har lämnats innan den 25 maj ska fortsätta vara giltigt, måste det uppfylla de krav som förordningen ställer. Man måste kunna visa att samtycket har lämnats och att de formella kraven är uppfyllda, t.ex. att samtycket har föregåtts av information och har lämnats frivilligt genom en aktiv och otvetydig viljeyttring. För behandling av känsliga personuppgifter krävs dessutom ett uttryckligt samtycke.

15 Måste jag radera personuppgifter som jag har samlat in med stöd av personuppgiftslagen?

Det nya regelverket gäller för alla personuppgifter, oavsett om de har samlats in före eller efter att dataskyddsförordningen träder i kraft. Det innebär dock inte att personuppgifter som har samlats in med stöd av den (snart) upphävda personuppgiftslagen måste raderas. Det är nödvändigt att kontrollera vilken rättslig grund som finns för behandlingen och om den uppfyller förordningens krav (se Vilka är de viktigaste kraven i den nya förordningen). När personuppgiftsbehandlingen sker med stöd av samtycke är det viktigt att det kan visas att samtycke finns och att det har lämnats under korrekta förutsättningar (se även Vilka krav måste ett samtycke uppfylla). Personuppgifter som man inte behöver för ett specifikt ändamål, utan som enbart är ”bra att ha”, får inte behandlas enligt dataskyddsförordningen och ska därför inte sparas.

16 Hur förhåller sig dataskyddsförordningen till annan svensk lagstiftning såsom offentlighets- och sekretesslagen, arkivlagen och annan grundlagsstiftning?

Dataskyddsförordningen lämnar utrymme för nationell lagstiftning. Det gäller både för lagar som redan gäller och för lagar som skapas särskilt för att komplettera förordningen. Grundlagsstiftning som Offentlighets- och sekretesslagen (som reglerar offentlighetsprincipen och hanteringen av allmänna handlingar) och arkivlagen (som reglerar bl.a. bevarandet av allmänna handlingar) ska fortsätta gälla. Även yttrandefrihetsgrundlagen ska fortsätta gälla, vilket innebär att dataskyddsförordningen inte gäller fullt ut när någon behandlar personuppgifter i samband med utövande av sin yttrande- och informationsfrihet. Behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande undantas från de flesta av bestämmelserna i dataskyddsförordningen.

17 Gäller dataskyddsförordningen även för e-post?

Nästan all e-post innehåller personuppgifter. E-postadressen i sig är i regel en personuppgift, men även texten i e-post kan potentiellt innehåller personuppgifter. Det finns inget undantag för personuppgiftsbehandling som sker i e-post, utan även den behöver uppfylla dataskyddsförordningens krav. Det innebär att du behöver en rättslig grund för att hantera personuppgifter e-posten och måste beakta dataskyddsförordningens grundläggande principer (se FAQ nr 8). Mer information om personuppgiftsbehandling i e-post finns på Datainspektionens hemsida:https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/missbruksregeln-upphor/e-post/

Sprid inte personuppgifter i onödan och skicka bara e-post till personer som behöver få del av informationen. Använd funktionen ”hemlig kopia” för att undvika att du sprider e-post adresser i onödan. Detta gäller främst när du skickar mejl till många mottagare och om det inte är nödvändigt att samtliga mottagare kan se övriga mottagarnas e-post adresser. Även i de fall då informationen om vilka de övriga mottagarna är kan vara känslig ska du använda ”hemlig kopia”.

Var försiktig med vilken typ av information du sprider till framförallt externa e-postadresser. Du får exempelvis inte skicka känsliga personuppgifter till en extern e-postadress (adress som inte slutar med liu.se) utan kryptering. Om du har frågor kring verktyget outlook eller kryptering kan du vända dig till helpdesk. Ytterligare krav framgår av LiU:s riktlinjer för informationssäkerhet.

 

18 Varför behövs en förteckning över personuppgifter?

Dataskyddsförordningen ställer krav på att alla personuppgiftsbehandlingar hos en personuppgiftsansvarig ska vara förtecknade samt vad förteckningen ska innehålla. En inventering av alla personuppgiftsbehandlingar vid LiU genomförs för att skapa förteckningen. Förteckningen hanteras centralt av dataskyddsombudet.

19 Vad är dataskyddsombudets uppgift?

Dataskyddsombudet ska vara en oberoende funktion som rapporterar till högsta förvaltningsnivå och vars huvudsakliga uppgifter är att kontrollera att regelverket efterlevs samt informera och utbilda om detsamma. Dataskyddsombudet ska även vara en kontaktpunkt för tillsynsmyndigheten och de registrerade. Dataskyddsombudet ska vara väl insatt i de lagar som gäller för personuppgiftsbehandling och ha en självständig roll i förhållande till ledningen.

 


Sidansvarig: elisabet.wahrby@liu.se
Senast uppdaterad: Thu Feb 21 09:25:01 CET 2019