Göm menyn

Vanliga frågor

(Källa om inget annat anges är Dataskyddsförordningen (DSF), skälen till DSF och information på Datainspektionens hemsida.)

1 Vad är dataskyddsförordningen?

2 Vad är de viktigaste förändringarna?

3 Vad är en personuppgift?

4 Vad innebär pseudonymisering och avidentifiering av personuppgifter?

5 Vad är en personuppgiftsbehandling?

6 Vad menas med personuppgiftsansvarig?

7 Vad menas med känsliga personuppgifter?

8 Vilka är de viktigaste kraven och principerna i den nya lagstiftningen?

9 Vilka rättsliga grunder finns för personuppgiftsbehandling?

10 Vilka är de viktigaste rättigheterna för den registrerade?

11 Vad innebär ”rätten att bli glömd”?

12 Behövs alltid samtycke för att få behandla personuppgifter?

13 Vilka krav måste ett samtycke uppfylla?

14 Behöver jag inhämta ett nytt samtycke om jag behandlar personuppgifter med stöd av samtycke som har lämnats innan den 25 maj 2018?

15 Måste jag radera personuppgifter som jag har samlat in med stöd av personuppgiftslagen?

16 Hur förhåller sig dataskyddsförordningen till annan svensk lagstiftning såsom offentlighets- och sekretesslagen, arkivlagen och annan grundlagsstiftning?

17 Gäller dataskyddsförordningen även för e-post?

18 Varför behövs en förteckning över personuppgifter?

19 Vad är dataskyddsombudets uppgift?

20 Är uppgift om medborgarskap, nationalitet eller modersmål en känslig personuppgift?

21 Vad händer ifall det blir en "no deal brexit"?

22 Någon vill få del av personuppgifter- får vi lämna ut dessa trots GDPR?

 


1 Vad är dataskyddsförordningen?

En europeisk dataskyddsförordning trädde ikraft den 25 maj 2018 och ersatte då den tidigare gällande personuppgiftslagen i Sverige, och motsvarande nationella lagar i andra EU-länder.

Det nya regelverket syftar till att möjliggöra det fria flödet av personuppgifter inom den europeiska unionen där alla personuppgifter behandlas med en hög samt enhetlig och likvärdig skyddsnivå. De nya reglerna innebär en förstärkning av den enskildes fri- och rättigheter, ett förtydligande av skyldigheter för den som behandlar personuppgifter samt en harmonisering av reglerna inom EU/EES. Dessutom är syftet med den nya lagen att undanröja digitala handelshinder inom EU/EES och möta teknikens förändringar.

2 Vad är de viktigaste förändringarna?

Dataskyddsförordningen ställer stränga krav på den som behandlar personuppgifter, bl.a. när det gäller transparens och öppenhet gentemot den vars personuppgifter behandlas. Den enskildes rättigheter stärks och han eller hon ska kunna ha kontroll över sina personuppgifter (se även Vilka är de viktigaste kraven i den nya lagstiftningen?).

Det är endast tillåtet att samla in sådana uppgifter som är relevanta för behandlingen och som det finns stöd för att behandla, antingen genom lag eller genom samtycke. Det ställs strängare krav på myndigheter och företag när det gäller kraven på IT säkerhet och skyddsåtgärder. Att bryta mot bestämmelserna är förenat med påtagliga påföljder, och den enskilde får nya möjligheter att lämna klagomål och använda rättsmedel.

3 Vad är en personuppgift?

En ”personuppgift” är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Exempel på personuppgifter är personnummer, namn, adress, bilder, fingeravtryck, men även elektroniska identiteter som IP-adresser och cookies om dessa kan kopplas till en fysisk person.

Även en uppgift som i kombination med en annan uppgift kan knytas till en levande person är en personuppgift. Det innebär att även information som har kodats, krypterats eller pseudonymiserats utgör personuppgifter så länge ”nyckeln” finns kvar.

Helt avidentifierad data (som inte är återsökningsbar via kodnyckel eller liknande) är inte personuppgifter och omfattas då heller inte av dataskyddsförordningens regler.

4 Vad innebär pseudonymisering och avidentifiering av personuppgifter?

Pseudonymisering innebär att personuppgifterna inte längre kan tillskrivas en specifik person utan att kompletterande uppgifter används, t.ex. en kodnyckel. Det förutsätter att kompletterande uppgifter förvaras separat. De spelar ingen roll om de kompletterande uppgifterna finns hos LiU eller hos någon annan - så länge någon kan använda kompletterande uppgifter för att identifiera en specifik person, räknas det som personuppgifter.

När man förstör kodnyckeln eller inte längre har kvar de kompletterande uppgifterna, och ingen med rimliga medel längre kan identifiera en specifik person, är personuppgifterna avidentifierade och omfattas inte längre av dataskyddsförordningen.

5 Vad är en personuppgiftsbehandling?

Som personuppgiftsbehandling räknas alla former av åtgärder som vidtas med en personuppgift - t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

6 Vad menas med personuppgiftsansvarig?

En personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. För de behandlingar som sker vid LiU är universitetet alltid personuppgiftsansvarig.

7 Vad menas med känsliga personuppgifter?

Vad som är känsliga uppgifter definieras i dataskyddsförordningen. Uppräkningen är uttömmande och består av uppgifter om:

  • Ras eller etniskt ursprung
  • Politiska åsikter
  • Religiös eller filosofisk övertygelse
  • Medlemskap i en fackförening
  • Hälsa (art. 4.15 DSF)
  • En persons sexualliv eller sexuella läggning
  • Genetetiska uppgifter (art. 4.13 DSF)
  • Biometriska uppgifter som entydigt identifierar en person (art 4.14 DSF)

8 Vilka är de viktigaste kraven och principerna i den nya lagstiftningen?

  • Alla behandlingar ska ha en rättslig grund (laglighet). (Se även Vilka rättsliga grunder finns för personuppgiftsbehandling?)
  • Alla personuppgifter ska behandlas på ett öppet sätt i förhållande till den registrerade. Det ska vara klart och tydligt för den registrerade hur hans eller hennes personuppgifter samlas in och behandlas (öppenhet).
  • Personuppgifter ska bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål (ändamålsbegränsning).
  • Det är inte tillåtet att behandla fler uppgifter än vad som är nödvändigt (uppgiftsminimering).
  • Personuppgifter får inte behandlas och förvaras längre än nödvändigt (lagringsminimering).
  • Personuppgifter ska skyddas mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse (integritet och konfidentialitet).
  • Den som behandlar personuppgifter ansvarar för att principerna om personuppgiftsbehandling följs och ska kunna visa på vilket sätt dessa följs (ansvarsskyldighet).
  • Viss dokumentation och vissa rutiner ska finnas, t.ex. personuppgiftsbiträdesavtal, information till registrerade, systemstöd för att radera uppgifter och begränsa åtkomst m.m.

9 Vilka rättsliga grunder finns för personuppgiftsbehandling?

  • Samtycke: Ett samtycke ska vara frivilligt och lämnas genom ett uttalande eller en entydig bekräftande handling efter det att den registrerade har fått tydlig och begriplig information om personuppgiftsbehandlingen. Vid behandling av känsliga personuppgifter gäller särskilt höga krav.
  • Avtal: Behandlingen ska vara nödvändig för att fullgöra ett avtal med den registrerade eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (endast när den registrerade är eller avser att bli part).
  • Rättslig förpliktelse: T.ex. arbetsmiljörättsliga förpliktelser, bokföringsskyldighet enligt bokföringslagen, förpliktelser enligt arkivlagen, registreringsskyldighet enligt offentlighets- och sekretesslagen m.m.
  • Skydd för grundläggande intressen: Sådana intressen som är av avgörande betydelse för den registrerades eller någon annans liv, t.ex. livsavgörande vård i akuta situationer då den registrerade inte kan lämna samtycke.
  • Uppgift av allmänt intresse och myndighetsutövning: En uppgift som följer av EU-förordning, lag eller annan författning eller av beslut som meddelats med stöd av lag eller annan författning. Även myndighetsutövning ska grundas på EU-rätt eller svensk rätt.
  • Efter en intresseavvägning: Om behandlingen är nödvändig för berättigade intressen och den registrerades intresse av att uppgiften inte behandlas inte väger tyngre än motpartens intresse av att behandla uppgiften. Barn anses vara särskilt skyddsvärda

10 Vilka är de viktigaste rättigheterna för den registrerade?

  • Rätten till information om att dennes personuppgifter behandlas och varför
  • Rätten till snabb rättning av felaktigheter
  • Rätten att få sina uppgifter raderade (se även Vad är ”rätten att bli glömd?”)
  • Rätten till begränsning av behandling
  • Rätten till dataportabilitet
  • Rätten att göra invändningar

11 Vad innebär ”rätten att bli glömd”?

Rätten att bli glömd, eller rätten till radering (art. 17 DSF), innebär att en registrerad person har rätt att vända sig till den som behandlar personuppgifter och begära att uppgifterna raderas. Det innebär dock inte alltid att uppgifterna måste raderas. Om det finns en annan rättslig grund för behandlingen än samtycke, om uppgifterna är korrekta och om de behövs för de ändamål som de samlades in för behöver de inte raderas. Med andra ord, rätten till radering föreligger om lagringen av uppgifterna strider mot Dataskyddsförordningen, unionsrätten eller nationell lagstiftning som den personuppgiftsansvarige omfattas av.

Uppgifterna måste raderas i följande fall:

  • Om den behandlingen grundar sig på samtycke och samtycket har återkallats
  • Om uppgifterna inte längre behövs för det ändamål som de har samlats in
  • Om personuppgifterna har behandlats olagligt, dvs. utan stöd i lagen
  • Om radering krävs för att uppfylla en rättslig skyldighet
  • Om behandlingen sker för direkt marknadsföring och den enskilde motsätter sig att uppgifterna behandlas
  • Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning, och där det inte finns berättigade skäl som väger tyngre än den enskildes intresse
  • Om personuppgifter avser barn och har samlats in i samband med att barnet skapat en profil i ett socialt nätverk

Observera att skyldigheten att radera personuppgifter inte enbart föreligger på den registrerades begäran. Personuppgifter ska inte längre behandlas när grunden för behandlingen faller bort.

12 Behövs alltid samtycke för att få behandla personuppgifter?

Samtycke är endast en av de rättsliga grunder som finns för att få samla in personuppgifter. I vilka fall en behandling av personuppgifter är laglig framgår av art. 6 DSF. Samtycke krävs som regel alltid då ingen annan rättslig grund föreligger. Vid behandling av känsliga personuppgifter krävs som huvudregel alltid samtycke.

13 Vilka krav måste ett samtycke uppfylla?

Samtycket måste vara frivilligt och ska lämnas för ett specifikt ändamål genom ett yttrande eller en entydig, bekräftande handling. Det ska ges efter att den registrerade har fått tydlig och begriplig information om personuppgiftsbehandlingen. Vid ett ojämlikt maktförhållande (t.ex. mellan arbetsgivare/arbetstagare, examinerande lärare/student eller vårdgivare/patient) kan det vara tveksamt om frivillighetskravet är uppfylld.

Vid behandling av känsliga personuppgifter ställs särskilda krav på samtycket och då räcker det inte med en bekräftande handling, utan samtycket ska lämnas uttryckligen.

Den som behandlar personuppgifter med stöd av samtycke måste kunna visa att ett giltigt samtycke har lämnats, vilket ställer krav på dokumentation. Dokumentationen behöver inte nödvändigtvis ske skriftligen, utan kan t.ex. ske genom inspelning. Även digitalt dokumenterade samtycken är tillåtna.

En registrerad har rätt att när som helst återkalla sitt samtycke utan motivering. Det är därför viktigt att det finns lämpliga metoder/verktyg för att hitta personuppgiftsbehandlingar som sker med stöd av samtycke. Vid återkallat samtycke har den registrerade i de flesta fall rätt att få sina uppgifter raderade. Rätten kan dock vara begränsad, t.ex. pga. LiU:s skyldighet att följa arkivlagen (se mer under Vad innebär rätten att bli glömd).  

14 Behöver jag inhämta ett nytt samtycke om jag behandlar personuppgifter med stöd av samtycke som har lämnats innan den 25 maj 2018?

För att ett samtycke som har lämnats innan den 25 maj ska fortsätta vara giltigt, måste det uppfylla de krav som förordningen ställer. Man måste kunna visa att samtycket har lämnats och att de formella kraven är uppfyllda, t.ex. att samtycket har föregåtts av information och har lämnats frivilligt genom en aktiv och otvetydig viljeyttring. För behandling av känsliga personuppgifter krävs dessutom ett uttryckligt samtycke.

15 Måste jag radera personuppgifter som jag har samlat in med stöd av personuppgiftslagen?

Det nya regelverket gäller för alla personuppgifter, oavsett om de har samlats in före eller efter att dataskyddsförordningen träder i kraft. Det innebär dock inte att personuppgifter som har samlats in med stöd av den (snart) upphävda personuppgiftslagen måste raderas. Det är nödvändigt att kontrollera vilken rättslig grund som finns för behandlingen och om den uppfyller förordningens krav (se Vilka är de viktigaste kraven i den nya förordningen). När personuppgiftsbehandlingen sker med stöd av samtycke är det viktigt att det kan visas att samtycke finns och att det har lämnats under korrekta förutsättningar (se även Vilka krav måste ett samtycke uppfylla). Personuppgifter som man inte behöver för ett specifikt ändamål, utan som enbart är ”bra att ha”, får inte behandlas enligt dataskyddsförordningen och ska därför inte sparas.

16 Hur förhåller sig dataskyddsförordningen till annan svensk lagstiftning såsom offentlighets- och sekretesslagen, arkivlagen och annan grundlagsstiftning?

Dataskyddsförordningen lämnar utrymme för nationell lagstiftning. Det gäller både för lagar som redan gäller och för lagar som skapas särskilt för att komplettera förordningen. Grundlagsstiftning som Offentlighets- och sekretesslagen (som reglerar offentlighetsprincipen och hanteringen av allmänna handlingar) och arkivlagen (som reglerar bl.a. bevarandet av allmänna handlingar) ska fortsätta gälla. Även yttrandefrihetsgrundlagen ska fortsätta gälla, vilket innebär att dataskyddsförordningen inte gäller fullt ut när någon behandlar personuppgifter i samband med utövande av sin yttrande- och informationsfrihet. Behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande undantas från de flesta av bestämmelserna i dataskyddsförordningen.

17 Gäller dataskyddsförordningen även för e-post?

Nästan all e-post innehåller personuppgifter. E-postadressen i sig är i regel en personuppgift, men även texten i e-post kan potentiellt innehåller personuppgifter. Det finns inget undantag för personuppgiftsbehandling som sker i e-post, utan även den behöver uppfylla dataskyddsförordningens krav. Det innebär att du behöver en rättslig grund för att hantera personuppgifter e-posten och måste beakta dataskyddsförordningens grundläggande principer (se FAQ nr 8). Mer information om personuppgiftsbehandling i e-post finns på Datainspektionens hemsida:https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/missbruksregeln-upphor/e-post/

Sprid inte personuppgifter i onödan och skicka bara e-post till personer som behöver få del av informationen. Använd funktionen ”hemlig kopia” för att undvika att du sprider e-post adresser i onödan. Detta gäller främst när du skickar mejl till många mottagare och om det inte är nödvändigt att samtliga mottagare kan se övriga mottagarnas e-post adresser. Även i de fall då informationen om vilka de övriga mottagarna är kan vara känslig ska du använda ”hemlig kopia”.

Var försiktig med vilken typ av information du sprider till framförallt externa e-postadresser. Du får exempelvis inte skicka känsliga personuppgifter till en extern e-postadress (adress som inte slutar med liu.se) utan kryptering. Om du har frågor kring verktyget outlook eller kryptering kan du vända dig till helpdesk. Ytterligare krav framgår av LiU:s riktlinjer för informationssäkerhet.

 

18 Varför behövs en förteckning över personuppgifter?

Dataskyddsförordningen ställer krav på att alla personuppgiftsbehandlingar hos en personuppgiftsansvarig ska vara förtecknade samt vad förteckningen ska innehålla. En inventering av alla personuppgiftsbehandlingar vid LiU genomförs för att skapa förteckningen. Förteckningen hanteras centralt av dataskyddsombudet.

19 Vad är dataskyddsombudets uppgift?

Dataskyddsombudet ska vara en oberoende funktion som rapporterar till högsta förvaltningsnivå och vars huvudsakliga uppgifter är att kontrollera att regelverket efterlevs samt informera och utbilda om detsamma. Dataskyddsombudet ska även vara en kontaktpunkt för tillsynsmyndigheten och de registrerade. Dataskyddsombudet ska vara väl insatt i de lagar som gäller för personuppgiftsbehandling och ha en självständig roll i förhållande till ledningen.

 

20 Är uppgift om medborgarskap, nationalitet eller modersmål en känslig personuppgift?

En isolerad uppgift om medborgarskap, nationalitet eller modersmål avslöjar vare sig ras eller etniskt ursprung. Den typen av uppgifter torde alltså i sig inte anses vara känslig. Men beroende på i vilket sammanhang uppgiften förekommer kan den tillsammans med andra uppgifter om personen avslöja både ras och etnisk bakgrund, men i vissa fall även religiösa eller filosofiska övertygelse. Om man exempelvis samlar in uppgift om nationalitet för inresande studenter eller gästforskare för att kunna administrera deras resa/vistelse borde det inte kunna betraktas som känsligt. Om man samlar in uppgifter om nationalitet tillsammans med andra uppgifter, t.ex. genom enkäter eller intervjuer kan det dock innebära att känsliga personuppgifter har samlats in. En bedömning måste göras i det enskilda fallet.

 

21 Vad händer ifall det blir en "no deal brexit"?

I så fall blir Storbritannien ett så kallat tredjeland. Detta gör att förutsättningarna att överföra personuppgifter förändras och begränsas.
EU-kommissionen har tagit fram en beredskapsplanering men där ingår inte något beslut om adekvat skyddsnivå för Storbritannien, vilket innebär att man kommer att behöva använda en skyddsmekanism enligt dataskyddsförordningen för att en överföring ska vara tillåten. Vi rekommenderar därför att man redan nu identifierar eventuella överföringar av personuppgifter till Storbritannien för att kunna förbereda sig ifall en no deal brexit blir aktuell.

Följande åtgärder kommer att bli nödvändiga vid en hård brexit:

  • Vid överföring av uppgifter till Storbritannien (exempelvis vid forskningssamarbeten, användning av molntjänster m.m.) behöver ni säkerställa att det finns ett lämpligt verktyg för att garantera adekvat skydd för de registrerade (detta är en förutsättning för att en överföring av personuppgifter till tredje land ska vara laglig)
  • Vid biträdessituationer behöver upprättade biträdesavtal omförhandlas/uppdateras
  • Dokumentera åtgärder som ni vidtar
  • Informationen till de registrerade måste uppdateras med information om att en överföring till tredje land kan komma att ske och vilken skyddsmekanism som används

Det finns flera alternativ för en laglig överföring av personuppgifter till tredje länder. En lämplig skyddsmekanism för överföringen av personuppgifter till Storbritannien är att använda en av de så kallade standardavtalsklausulerna, som syftar till att skydda de registrerades rättigheter. Det innebär att LiU och motparten behöver teckna ett särskilt avtal med ett förbestämt innehåll som har godkänts av EU-kommissionen.

För överföring av personuppgifter till tredje land kan en av följande standardavtalsklausuler användas:

Överföring mellan två eller fler personuppgiftsansvariga

2004/915/EG

2001/497/EG

Överföring mellan personuppgiftsansvarig och personuppgiftsbiträde

2010/87/EU

Observera att standardavtalsklausulerna är beslutade av EU-kommissionen och att man inte får ändra i klausulerna. Innan de används behöver ni gå igenom texten noggrant, för att säkerställa att både LiU och motparten kan leva upp till kraven och att de används korrekt. I viss mån ger klausulerna valmöjligheter, som i så fall framgår direkt av standardavtalsklausulstexten.

Läs mer om andra rättsliga grunder/skyddsmekanismer för överföring till tredje land i Riktlinjerna för behandling av personuppgifter vid LiU (avsnitt 4.22).

Mer information: Se EU-kommissionens meddelande om förberedelser och beredskapsplan, och läs EU kommissionens pressmeddelande av den 10 april 2019.

 

22 Någon vill få del av personuppgifter- får vi lämna ut dessa trots GDPR? 

Offentlighetsprincipen gäller fortsättningsvis och det finns en ”öppning” i dataskyddsförordningen som innebär att det fortfarande är tillåtet att lämna ut allmänna handlingar. Någon enskild har alltså rätt att ta del av personuppgifter på samma sätt som andra uppgifter i allmänna handlingar som inte är hemliga. Särskilda regler gäller när någon begär ut en stor mängd personuppgifter. Frågeställaren blir personuppgiftsansvarig när uppgifterna har lämnats ut till denne. För mer information läs vägledningen om offentlighet och sekretess som finns på juristenhetens sida. Frågor om utlämnanden kan skickas till registrator.

 

 

 


Sidansvarig: elisabet.wahrby@liu.se
Senast uppdaterad: 2019-05-14