FAQ Personuppgiftsfrågor

    Nedan följer några vanliga frågor som ofta uppstår när man ska behandla personuppgifter. Observera att svaren inte är uttömmande och omständigheterna i varje enskilt fall kan variera mycket. Ta därför kontakt med dataskyddsombudet för att göra en säkrare bedömning i just ditt fall.

    Dessa frågor ger endast övergripande svar. Tänk på att det alltid är viktigt att göra en bedömning i det enskilda fallet då detaljer påverkar hur reglerna ska tillämpas.

    Vill du lära dig mer kan du gå någon av de kurseri GDPR som ges, dessa hittar du i universitetets plattform för intern utbildning, Eduadmin.

    Gäller din fråga: 

    Generella frågor (uppdaterad 2023-09-29)

    Anmäla personuppgiftsbehandling (uppdaterad 2023-09-29)

    Personuppgiftsbiträde (uppdaterad 2023-09-29)

    Studenter och undervisning (uppdaterad 2023-09-29)

    Personnummer (uppdaterad 2023-09-29)

    Personuppgifter och allmänna handlingar (uppdaterad 2023-09-29)

    Personuppgifter och e-post (uppdaterad 2023-09-29)

    Studieadministration (uppdaterad 2023-09-29)

    Personuppgifter och anställda (uppdaterad 2023-09-29)

    Generella frågor

    Vad är en personuppgift?

    Varje uppgift som direkt eller indirekt kan kopplas till en levande person är en personuppgift. Detta innebär att det inte bara är namn och personnummer som kan vara personuppgifter utan även användarnamn, Umu-id, e-post- eller IP-adresser, biometriska data, fysiologiska uppgifter och även exempelvis en röstinspelning. Enkätsvar där man vet vem som har svarat utgör personuppgifter.

    Även kombinationer av uppgifter kan utgöra personuppgifter om det genom uppgifterna är möjligt att koppla dessa till en fysisk person. Även om exempelvis namn, personnummer eller adress inte registreras kommer övriga uppgifter som registreras att utgöra personuppgifter om man med ledning av de övriga uppgifterna kan identifiera en särskild person.

    Vad menas med att det finns olika typer av personuppgifter?

    Känsliga personuppgifter är sådana uppgifter som avslöjar

    • etniskt ursprung,
    • politiska åsikter,
    • religiös eller filosofisk övertygelse,
    • medlemskap i fackförening samt
    • personuppgifter som rör hälsa eller sexualliv, genetiska eller biometriska uppgifter.

    Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.

    Även om en uppgift inte klassas som en känslig personuppgift kan den ändå vara en integritetskänslig/särskilt skyddsvärd personuppgift. Det kan till exempel vara fråga om

    • löneuppgifter,
    • uppgifter om lagöverträdelser,
    • värderande uppgifter som till exempel uppgifter från utvecklingssamtal,
    • uppgifter om resultat från personlighetstester eller personlighetsprofiler,
    • information som rör någons privata sfär eller
    • uppgifter om sociala förhållanden.

    Personnummer anses vara särskilt skyddsvärda personuppgifter.

    Eftersom varje uppgift som direkt eller indirekt kan kopplas till en levande person anses vara en personuppgift används ofta begreppet vanliga personuppgifter för att beskriva sådana uppgifter som vare sig är känsliga eller integritetskänsliga/särskilt skyddsvärda personuppgifter.

    Vad innebär det att "behandla" personuppgifter?

    Varje åtgärd eller kombination av åtgärder som vidtas med personuppgifter oberoende av om de utförs automatiserat eller inte. Till exempel: insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. I princip allt som du gör med uppgifterna.

    Vad och vem är personuppgiftsansvarig?

    Personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndig, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

    Det är den juridiska personen Umeå universitet som är personuppgiftsansvarig för den behandling av personuppgifter som sker vid universitetet, samt hos en extern part som behandlar personuppgifter för universitetets räkning, ett personuppgiftsbiträde.

    Anställda vid Umeå universitet är representanter för den personuppgiftsansvarige men är inte själva personuppgiftsansvariga.

    När gäller dataskyddsförordningen, GDPR?

    GDPR gäller för behandling av personuppgifter som sker helt eller delvist automatiserat. Förordningen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter (exempelvis en databas eller register) som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier. Om du ska hantera personuppgifter i digital form till exempel i IT-system, dator eller smartphone inom EU/EES gäller GDPR.

    När Umeå universitet inom ramen för sin verksamhet behandlar personuppgifter gäller GDPR också för behandling som sker utanför EU/EES eftersom Umeå universitet är etablerat inom EU/EES.

    Vem är Umeå universitets dataskyddsombud?

    Hos Umeå universitet är universitetsjuristerna Marit Juselius och Tobias Nyström utsedda till Dataskyddsombud.
    Dataskyddsombuden nås på pulo@umu.se

    Vad gäller om uppgifterna är anonyma? (Anonyma, pseudonymiserade/kodade uppgifter, syntetiska data)

    När det gäller anonyma eller pseudonymiserade/kodade uppgifter är det mycket viktigt att vara noga med vilka termer som används.

    Med pseudonymiserade (kodade) uppgifter avses att enskilda individer inte kan identifieras direkt utifrån uppgifterna, men där en kodnyckel finns bevarad som gör det möjligt att senare komplettera uppgifterna, och då även identifiera vilken individ som uppgifterna avser.
    Kodnyckeln måste förvaras separat och vara föremål för tekniska och organisatoriska säkerhetsåtgärder för att uppgifterna ska anses vara pseudonymiserade. Kodnyckeln behöver inte finnas vid Umeå universitet, eller ens vara tillgänglig för Umeå universitet. Uppgifterna utgör fortfarande personuppgifter och dataskyddsförordningen är fortfarande tillämplig.

    Med anonymiserade uppgifter avses sådana uppgifter som inte innehåller någon information som går att koppla ihop med en enskild individ. Kopplingen till en nu levande enskild individ ska därmed vara oåterkalleligt kapad. Så kan vara fallet om kodnyckel saknas eller uppgifterna har lämnats anonymt. I de fall där kodnyckel har initialt upprättats måste kodnyckeln förstöras på ett sätt som gör det helt omöjligt att återskapa den för att uppgifterna inte ska betraktas som personuppgifter, eftersom uppgifterna först då inte kan kopplas samman med en person.

    Även om personuppgifterna är pseudonymiserade eller anonymiserade måste dock risken för bakspårning alltid beaktas. Även om det aldrig funnits någon kodnyckel eller den har förstörts kan det ibland ändå vara möjligt att identifiera enskilda individer. Exempelvis om uppgifterna innehåller så pass många variabler som innebär att urvalet begränsas eller att uppgifterna direkt kan hänföras till en så begränsad grupp personer att en enskild individ med hjälp av andra uppgifter kan identifieras, eller att rösten på en inspelning kan kännas igen, eller att intervjusvaren är sådana att det går att lista ut vem personen är. I sådana fall är uppgifterna, trots att kodnyckeln förstörts, fortfarande att betrakta som personuppgifter. Vid en korrekt pseudonymisering ska det inte finnas möjlighet till bakspårning.

    Tänk alltid efter om det är nödvändigt att kunna identifiera vem som har lämnat uppgifterna – om inte, undvik att registrera uppgifter som gör att personer kan identifieras.

    Syntetiska data är data som genereras artificiellt av datorprogram eller algoritmer och inte samlas in från verkliga observationer eller händelser. Denna typ av data skapas för att simulera eller efterlikna verkliga data och kan användas för olika ändamål, inklusive forskning, utveckling av algoritmer och maskininlärning, och som skydd för känslig information t.ex. för att undvika integritets- och sekretessproblem.

    Syntetiska data kan skapas genom olika metoder och modeller. Genom att använda dessa metoder kan man skapa data som liknar verkliga data men som inte innehåller några faktiska individuella identifierbara uppgifter.

    Om personuppgifter ska nyttjas för att skapa syntetiskt data måste det säkerställas att de rättsliga förutsättningarna, såsom rättslig grund och eventuellt etiskprövningstillstånd föreligger för behandlingen av personuppgifterna. Trots att syntetiska data inte utgör personuppgifter kan det finnas situationer där uppgifterna är så snarlika någon verklig person att det kan leda till bland annat ifrågasättande av universitetets hantering av uppgifter om forskningspersoner. 

    Vilka är de grundläggande principerna och vad innebär rättslig grund för behandling av personuppgifter?

    Det finns vissa grundläggande principer som alltid ska beaktas vid behandlingen av personuppgifter. Dessa framgår i artikel 5 i GDPR. Det krävs även att det finns en rättslig grund för behandlingen enligt art 6 GDPR. Där finns en uttömmande lista över vilka rättsliga grunder som kan vara aktuella.

    Kort sammanfattat ska den som ska behandla personuppgifter säkerställa: 

    • att det alltid finns en rättslig (laglig) grund för behandling av personuppgifter;
    • att personuppgifterna är korrekta och uppdaterade;
    • att ändamålet är särskilt och uttryckligt angivet;
    • att personuppgifterna är relevanta och inte för omfattande i relation till syftet med behandlingen av personuppgifterna;
    • att personuppgifter inte behandlas längre än nödvändigt med hänsyn till syftet. Vilka uppgifter som ska gallras eller bevaras framgår av Umeå universitets dokumenthanteringsplan.
    • att tekniska och organisatoriska åtgärder för att säkerställa tillräckligt skydd för personuppgifterna vidtas så personuppgifterna inte riskerar att komma i orätta händer eller bli manipulerade;
    • att de bedömningar som gjorts med anledning av personuppgiftshanteringen dokumenteras.

    Vilka rättigheter har individen enligt GDPR?

    Individen har flera rättigheter enligt GDPR:

    • Rätt till information – individen har som huvudregel rätt att få information när personuppgifterna behandlas.
    • Rätt till rättelse – individen ska få möjlighet att rätta felaktiga personuppgifter, och i viss mån komplettera ofullständiga personuppgifter.
    • Rätt till radering ("rätten att bli bortglömd") – i vissa fall har individen rätt att få sina uppgifter raderade.
    • Rätt till begränsning av behandling – i vissa fall har individen rätt att begära att hanteringen begränsas. Detta kan ske genom att personuppgifterna markeras för att i framtiden hanteras endast för vissa avgränsade syften.
    • Rätt till dataportabilitet – under vissa förutsättningar har individen rätt att få ut och överföra personuppgifterna till ett annat ställe (t.ex. annan organisation).
    • Rätt att göra invändningar mot vidare behandling av personuppgifter i vissa fall.
    • Rätt att inte bli föremål för ett beslut, som har rättslig verkan, genom ett automatiserat beslutsfattande (inklusive profilering), om det inte finns ett undantag i annan lag eller samtycke har givits.
    • Rätt att framföra klagomål och begära skadestånd– individen har rätt att lämna klagomål till Umeå universitet och integritetsskyddsmyndigheten.

    Det finns information som riktar sig till den som är i kontakt med Umeå universitet om detta på: www.umu.se/gdpr

    Anmäla personuppgiftsbehandling

    Varför ska jag anmäla min personuppgiftsbehandling?

    Universitetet ska enligt GDPR föra ett register över sådana behandlingar av personuppgifter som sker helt eller delvis automatiserat.

    Vem ska anmäla personuppgiftsbehandling och ska all personuppgiftsbehandling anmälas?

    Universitetet har tagit upp de personuppgiftsbehandlingar som normalt kan förutses i verksamheten på en övergripande nivå i registret för personuppgiftsbehandling. I följande situationer krävs särskild anmälan:

    • Varje forskningsprojekt där personuppgifter behandlas ska anmälas av ansvarig forskare.
    • Personuppgiftsbehandling som sker i IT-system ska anmälas av systemägaren.

    Register ska även föras över när Umeå universitet är personuppgiftsbiträde. Den som är ansvarig vid Umeå universitet för avtalsförhållandet där biträde förekommer ska anmäla sådan behandling.

    Begreppet IT-system omfattar även IT-tjänster och externa molntjänster.
    Det är enbart sådana behandlingar av personuppgifter som sker helt eller delvis automatiserat som ska anmälas.

    Exempel på helt/delvis automatiserad behandling är:

    • Behandling av personuppgifter i datorer och IT-system samt överföring av personuppgifter till digitalt format, t.ex. när du behandlar personuppgifterna i ett sökbart register eller i en databas eller för över personuppgifter från manuella enkäter till en databas.
    • Digitala ljud- och bildinspelningar.
    • Personuppgifter behandlas och sparas digitalt i exempelvis ett Worddokument, Exceldokument eller pdf-format.

    Du behöver inte avanmäla personuppgiftsbehandlingen, men däremot ska du ange när den förväntas upphöra. Om det sker någon förändring avseende den information du lämnat angående din personuppgiftsbehandling kan du göra en ändringsanmälan. Kontakta pulo@umu.se för att få särskild blankett för detta.

    Om du som anställd enbart behandlar personuppgifter inom ett IT-system på ett förutsägbart sätt med hänsyn till universitetets verksamhet , behöver du inte anmäla personuppgiftsbehandlingen utan det åligger systemägaren att anmäla IT-systemet.

    Du behöver inte heller anmäla personuppgiftsbehandling inom utbildning och administration om behandlingen sker på ett förutsägbart sätt.

    Studentarbeten behöver inte anmälas särskilt utan en sådan anmälan finns redan gjord för alla studentarbeten gemensamt.

    Är du osäker om du ska anmäla din behandling av personuppgifter bör du kontakta pulo@umu.se för att utreda om din behandling ska anmälas.

    Hur anmäls personuppgiftsbehandlingar?

    Kontakta dataskyddsombuden via pulo@umu.se och uppge att du ska behandla personuppgifter. Du måste specificera om behandlingen ska ske inom forskning, IT-system eller om universitetet är personuppgiftsbiträde. Är du osäker är det bra om du kort beskriver vad det är du ska göra.

    Du kommer sedan att få en informationsskrivelse samt en länk till ett digitalt formulär där du själv fyller i de uppgifter som efterfrågas. Kontakta pulo@umu.se om du har frågor om formuläret.

    När ska min personuppgiftsbehandling anmälas?

    Innan du startar ett forskningsprojekt, tillhandahåller ett IT-system eller börjar utföra uppgifter i egenskap av personuppgiftsbiträde som kräver helt eller delvis automatiserad behandling av personuppgifter, ska du anmäla sådan behandling till dataskyddsombudet. 

    Om du av någon anledning inte har anmält en pågående personuppgiftsbehandling ska du inkomma med din anmälan så snart som möjligt. Om du är osäker på om din pågående personuppgiftsbehandling är anmäld kan du kontakta dataskyddsombuden via pulo@umu.se.

    Vad händer efter min anmälan?

    Din anmälan förs in i ett register över personuppgiftsbehandlingar vid Umeå universitet.

    Personuppgiftsbiträde

    Vad är ett personuppgiftsbiträde?

    Ett personuppgiftsbiträde är någon som behandlar personuppgifter för den personuppgiftsansvariges räkning, d.v.s. att någon utanför Umeå universitet behandlar personuppgifter som universitetet är personuppgiftsansvarig för. För att det ska vara tillåtet krävs enligt GDPR att universitetet upprättar ett personuppgiftsbiträdesavtal (PUBA) med den som ska behandla personuppgifter för universitetets räkning.

    Kontakta dataskyddsombudet för att få hjälp med att upprätta ett PUBA.

    Vem får skriva under ett personuppgiftsbiträdesavtal för universitetets räkning?

    Det är alltid Umeå universitet som är part i PUBA, enskilda anställda är INTE part i ett PUBA. Oavsett om universitetet är personuppgiftsansvarig eller personuppgiftsbiträde i avtalet ska det enligt rektors delegationsordning undertecknas av universitetsdirektör. PUBA ska alltid granskas av jurist innan avtalet undertecknas.

    Förfrågningar om PUBA ska skickas till pulo@umu.se.

    Räknas jag som anställd som ett personuppgiftsbiträde?

    Nej, när du som anställd för universitetet utför arbete för universitetsverksamhet räknas du som representant för universitetet. Personuppgiftsansvarig är universitetet som helhet och inte individuella anställda.

    När exempelvis Etikprövningsmyndigheten frågar efter vem som är personuppgiftsansvarig i ett forskningsprojekt avses alltså vilken organisation som är ansvarig för personuppgiftsbehandlingen i forskningsprojektet. Det kan till exempel vara Umeå universitet.

     

    Studenter och undervisning

    Hur får Umeå universitet behandla personuppgifter om studenter? 

    Umeå universitet får behandla studenternas personuppgifter eftersom det ingår i universitetets uppdrag att utbilda och examinera studenterna. Universitetet får bara använda de personuppgifter som är nödvändiga för att uppfylla det ändamålet, enligt de grundläggande principerna för all personuppgiftsbehandling).

    Kan universitetet fotografera och spara fotolistor på studenter?

    Det är tillåtet att ha fotolistor på studenterna i det fall bilderna behövs för att kunna utbilda och examinera studenterna. I annat fall innebär foton på studenterna troligen att fler personuppgifter samlas in än vad som behövs för ändamålet. I det fall man kommer fram till att foton behövs, är det viktigt att se till att inte sprida bilderna till andra än de lärare som behöver dem och att inte spara bilderna längre än nödvändigt.

    Vad gäller vid undervisning på distans?

    Att spela in och publicera en föreläsning med enbart anställd personal är tillåtet enligt GDPR, då detta är en del av den anställdes uppdrag. Att livestreama en föreläsning för dem som annars skulle ha deltagit i lokalen är också tillåtet.

    Det är viktigt är att informera studenterna om att en personuppgiftsbehandling sker genom den digitala uppkopplingen (hänvisa till www.umu.se/gdpr) samt att informera om att inget sparas. Det är även lämpligt att ge studenter möjlighet att kunna ställa frågor utanför det som spelas in.

    Känsliga personuppgifter eller sekretessbelagd information ska inte behandlas i Zoom eller i Teams. Läs mer på sida Personuppgiftsbehandling i utvildning. 

    Vad gäller vid examination på distans?

    I samband med digitala tentamensformer kan det finnas ett behov av att såväl identifiera studenten som att övervaka studenten under pågående examination.

    Det är viktigt är att informera studenterna om att en personuppgiftsbehandling sker genom den digitala uppkopplingen (hänvisa till www.umu.se/gdpr) samt att informera om att inget sparas.

    Om identifiering vid en digital examination ska ske genom uppvisande av legitimation finns risk att personnumret kan ses av övriga examensdeltagare. Identifiering genom legitimation måste därför ske på ett sådant sätt att övriga deltagare inte har möjlighet att se personnumret. Identifiering kan till exempel ske med hjälp av fotolistor.

    En övervakning av examinationen i exempelvis Zoom kan anordnas på motsvarande sätt som vid en salstentamen utan att en inspelning av studenterna sker. Detta innebär att läraren eller annan övervakar studenternas tentamensskrivning via den digitala uppkopplingen. Denna typ av övervakning får universitetet anses ha rättslig grund för i högskolelagen och GDPR med hänvisning till allmänt intresse.

    Däremot torde en inspelning av studenter i deras hemmiljö anses vara ett sådant intrång i den personliga integriteten att uttryckligt lagstöd krävs för att universitetet som myndighet ska anses ha den rätten. Eftersom uttryckligt lagstöd saknas är det dataskyddsombudets uppfattning att en inspelning av studenterna i deras hemmiljö strider mot GDPR. Läs mer på sidan Personuppgiftsbehandling vid undervisning och examination på distans.

    Personnummer

    Vad gäller om jag vill behandla personnummer?

    Personnummer anses vara en integritetskänslig/särskilt skyddsvärd personuppgift. Registrering av personuppgifter ska ske mycket restriktivt. Om det räcker att behandla födelsedata istället (sex första siffrorna i personnumret) ska endast de uppgifterna behandlas.

    Vad gäller om jag vill behandla fullständigt personnummer?

    Om det är nödvändigt att registrera fullständigt personnummer kraven i GDPR och Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Enligt dataskyddslagen 3 kap 10 § framgår att om man inte har samtycke från den registrerade får personnummer endast behandlas vid följande situationer:

    1. när det är klart motiverat med hänsyn till ändamålet med behandlingen,
    2. vikten av en säker identifiering, eller
    3. något annat beaktansvärt skäl.

    Observera att universitetet som myndighet är mycket begränsad i rätten att kunna stödja sin behandling av personuppgifter på samtycke, och kommer därför i de allra flesta fall att behöva ha stöd i någon av punkterna 1-3 ovan för att ha rätt att behandla personnummer.

    Personuppgifter och allmänna handlingar

    Vad gäller om någon begär att få ta del av allmänna handlingar som innehåller personuppgifter?

    GDPR i sig hindrar inte utlämnande av allmänna handlingar. Enda anledningen till att allmänna handlingar inte ska lämnas ut är om de omfattas av sekretess. För att neka ett utlämnande av allmänna handlingar krävs alltså ett lagstöd i offentlighets- och sekretesslagen (OSL) eller annan lag som gör att sekretess råder för uppgifterna. GDPR innehåller inga regler om sekretess.

    Om de uppgifter som begärs utlämnade innehåller personuppgifter måste sekretessprövningen, även omfatta om det föreligger "GDPR-sekretess" enligt OSL 21 kap 7 §.

    Tänk på att universitetet måste ha en anledning att anta att någon kommer behandla personuppgifterna i strid med GDPR för att kunna hindra ett utlämnande med anledning av "GDPR-sekretessen".

    Vad innebär "GDPR-sekretess"?

    GDPR-sekretess regleras i OSL 21 kap 7 §. Den innebär att om det kan antas att personuppgifterna kommer att behandlas i strid med GDPR, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) eller med 6 § etikprövningslagen, efter att uppgifterna har lämnats ut till mottagaren, föreligger det sekretess för personuppgifterna.

    För att avgöra om GDPR-sekretess föreligger ska man alltså bedöma om mottagarens behandling av personuppgifterna efter ett utlämnande är förenlig med;

    1. GDPR;
    2. dataskyddslagen;
    3. 6 § etikprövningslagen (aktuellt enbart om känsliga personuppgifter eller uppgifter om lagöverträdelser ska användas för forskning).

    Bedömer universitetet att mottagarens behandling skulle vara i strid med den lagstiftningen ska universitetet neka mottagaren att få ta del av uppgifterna med hänvisning till sekretess i 21 kap 7 § OSL.

    Hur bedömer jag praktiskt om "GDPR-sekretess" föreligger?

    För att kunna bedöma om uppgifterna omfattas av GDPR-sekretess kan universitetet behöva fråga hur och till vad sökanden ska använda uppgifterna (i vanliga fall får universitetet inte efterfråga sådan information). Det ska dock finnas någon konkret omständighet som gör att det kan antas att personuppgifterna efter utlämnandet kommer att behandlas på ett sätt som strider mot GDPR. Det är inte tillåtet att ställa frågor bara för att en personuppgift begärs utlämnad.

    Exempel på sådana omständigheter kan vara:

    • massuttag av personuppgifter,
    • selekterade uppgifter (urval av personer med viss utbildning, visst examensår, visst åldersspann osv.).

    Om begäran däremot endast avser enstaka uppgifter finns det sällan anledning att anta att mottagarens behandling strider mot GDPR, dataskyddslagen eller 6 § etikprövningslagen, och universitetet har inte då skäl att efterfråga information om syftet med behandlingen. Detsamma gäller om uppgifterna begärs utlämnade för journalistiska ändamål.

    Det är inte tillåtet att ställa fler frågor än vad som krävs för att göra sekretessbedömningen. Om frågorna besvaras på ett konkret sätt och sökandens redogörelse framstår som sannolik bör den godtas. Vid osäkerhet kring hur sekretessen ska bedömas bör du kontakta universitetsjuristerna.

    Följande upplysningstext kan skickas till sökanden i samband med att mer information efterfrågas:

    "De uppgifter som du har begärt att få ta del av utgör personuppgifter. Enligt offentlighets- och sekretesslagen (2009:400) 21 kap 7 § föreligger sekretess för personuppgifter om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med EU:s allmänna dataskyddsförordning (EU 2016/679), lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, eller 6 § lagen (2003:460) om etikprövning av forskning som avser människor. För att kunna göra en sådan bedömning har vi rätt att fråga den person som begär att få ta del av uppgifterna vad denne ska använda uppgifterna till. Jag ber dig därför att kort redogöra för på vilket sätt du avser att använda uppgifterna."

    Kan jag lämna ut uppgifter om personnummer med tanke på GDPR?

    GDPR gäller för behandling av personuppgifter som helt eller delvis sker på automatiserad väg, samt för manuell behandling av personuppgifter om personuppgifterna ingår i eller kommer att ingå i ett register. Personnummer utgör en extra skyddsvärd personuppgift och regleras särskilt i dataskyddslagen (2018:218).

    Enstaka personnummer

    Om sökanden enbart begär ut enstaka personnummer finns sällan anledning att anta att GDPR blir tillämplig på sökandens behandling av personnumren, vilket medför att universitetet som regel kan lämna ut uppgifter om enstaka personnummer.

    Fler än enstaka personnummer

    Om ett flertal personnummer begärs ut kan det oftast anta att GDPR kommer att vara tillämplig på sökandens behandling av personnumren, och en bedömning av om det råder GDPR-sekretess måste göras. Kontakta universitetsjurist för stöd i bedömning av om personuppgifterna kan lämnas ut.

    Kan jag lämna ut personuppgifter om mottagaren ska använda uppgifterna för direkt marknadsföring?

    Studenters och anställdas personuppgifter efterfrågas många gånger av företag och andra utomstående för att de ska användas i marknadsföringssyfte. När en sådan begäran inkommer måste alltid en sekretessprövning göras, där universitetet ska ta ställning till om mottagarens behandling är förenlig med GDPR och dataskyddslagen (2018:218). Mottagaren måste uppfylla de grundläggande kraven i artikel 5 GDPR, samt stödja sig på någon av de rättsliga grunder som anges i artikel 6 GDPR för att få behandla personuppgifterna.

    I sekretessprövningen ska universitetet ta ställning till om de uppgifter som begärs ut är nödvändiga för att uppfylla sökandens ändamål med behandlingen, eller om ändamålet kan uppnås med färre uppgifter. Mottagaren måste även ha en rättslig grund enligt artikel 6 i GDPR för att få behandla personuppgifterna. Många gånger kan företagets behov av personuppgifterna för direkt marknadsföring betraktas som ett berättigat intresse enligt GDPR och företaget har då rätt att behandla dem. Så är fallet när marknadsföringens omfattning är förhållandevis begränsad (två utskick per år), inte rör känsliga personuppgifter, och marknadsföringens innehåll inte i sig kan betraktas som integritetskränkande.

    E-postadresser till privatpersoner får lämnas ut till mottagaren även om de ska användas för marknadsföringssyften. Mottagaren ansvarar för att säkerställa att marknadsföringen sker i enlighet med gällande lagstiftning, t.ex. marknadsföringslagen (2008:486) 19 § inhämta samtycke från personen för att få skicka marknadsföring till dennes e-postadress. Det kan dock vara bra att vid utlämnandet erinra mottagaren om att denne är skyldig att följa reglerna i GDPR. Samt, om e-postadress lämnas ut – erinra om kravet i Marknadsföringslagens 19 §; att marknadsföring direkt till en fysisk persons e-postadress får skickas enbart om den registrerade personen har samtyckt till det på förhand. Att e-postadresserna lämnas ut av universitetet innebär inte att något sådant samtycke har lämnats från de registrerade.

    Utlämnande av känsliga personuppgifter för forskningsändamål

    Om uppgifter begärs ut för forskningsändamål eller universitetet inom ramen för ett forskningssamarbete ämnar lämna ut personuppgifter måste universitetet alltid göra en sekretessprövning för att bedöma om uppgifterna kan lämnas ut. Det innebär att om uppgifterna innehåller personuppgifter (även s.k. pseudonymiserade personuppgifter där kodnyckel finns omfattas) ska universitetet bedöma om det råder sekretess för uppgifterna däribland GDPR-sekretess enligt OSL 21 kap 7§.

    Om de efterfrågade personuppgifterna utgör känsliga personuppgifter och efterfrågas för att användas i forskning är godkänt etikprövningstillstånd en förutsättning för att uppgifterna ska kunna lämnas ut. Före utlämnande av känsliga personuppgifter för forskningsändamål måste mottagaren därför uppvisa ett godkänt etikprövningstillstånd för att universitetet ska kunna göra en sekretessprövning. Om mottagaren inte har ett godkänt etikprövningstillstånd råder sekretess enligt OSL 21 kap 7 § och uppgifterna får inte lämnas ut. Om ett godkänt etikprövningstillstånd finns som omfattar de personuppgifter som begärts ut, går man vidare och bedömer om mottagarens behandling även är förenlig med GDPR och dataskyddslagen.

    Mottagaren måste alltid uppfylla de grundläggande kraven i artikel 5 GDPR, samt stödja sig på någon av de rättsliga grunder som anges i artikel 6 GDPR för att få behandla personuppgifterna. Om uppgifterna ska användas för forskning av annat svenskt lärosäte kan den rättsliga grunden "uppgift av allmänt intresse" utgöra grund för mottagarens behandling.

    Hur lämnas allmänna handlingar med personuppgifter ut?

    Det finns ingen skyldighet att lämna ut allmänna handlingar i digital form som e-post. Om de uppgifter som ska lämnas ut innehåller personuppgifter bör ett utlämnande ske i pappersform.

    Är det vanliga personuppgifter som lämnas ut av mer allmän karaktär, exempelvis sådana uppgifter som redan framgår av vår externa web kan e-post vara ett alternativ för överföring.

    Om man överväger att lämna ut allmänna handlingar som innehåller personuppgifter i annat än pappersform, exempelvis för forskning där etikprövningstillstånd till behandlingen föreligger, måste lämpliga tekniska och organisatoriska åtgärder vidtas för att uppgifterna ska skyddas. Om uppgifterna innehåller känsliga personuppgifter eller personnummer ökar naturligtvis kraven kraftigt på sättet för överföring av uppgifter och säkerheten. Använd rekommenderade system för överföring av information som uppfyller uppgifternas skyddsvärde enligt informationsklassning.

    Måste jag enligt GDPR informera de registrerade personerna om att deras personuppgifter har lämnats ut?

    Om universitet lämnar ut allmänna handlingar som innehåller personuppgifter behöver universitetet inte informera de registrerade om utlämnandet. Detta gäller oavsett för vilket ändamål uppgifterna lämnas ut, även när uppgifterna lämnas ut för forskningsändamål.

    Samma sak gäller för mottagaren, den är inte heller skyldig att informera de registrerade om att uppgifterna har lämnats ut till mottagaren. Mottagaren kan dock ändå behöva informera de registrerade vid användande av känsliga personuppgifter i forskning, om etikprövningsnämnden i sitt etikprövningsbeslut har angett att de registrerade ska informeras.

    I GDPR finns bestämmelser om när och vilken information som ska lämnas till de registrerade

    Personuppgifter och e-post

    Behandlar jag personuppgifter när jag skickar och tar emot e-post?

    E-post innebär i princip alltid att personuppgifter behandlas. Själva e-postadressen i sig är oftast en personuppgift och all annan information i meddelandet som kan kopplas till en enskild person är också personuppgifter. Den personuppgiftsbehandling som sker i e-post ska därför uppfylla alla krav i GDPR.

    Universitetet är skyldig att ta hand om inkommande post. När du läst e-posten måste du därför bedöma hur personuppgifterna ska behandlas och vilket rättsligt stöd du har för den fortsatta behandlingen. Det beror alltså på innehållet om och hur länge e-postmeddelandet får sparas.

    E-post som kommer in till en myndighet blir normalt en allmän handling som ska diarieföras, registreras eller på annat sätt hållas ordnad om den inte är av ringa eller tillfällig betydelse och därför kan gallras. Iuniversitetets anvisningar för dokumenthanteringsplan får du mer detaljerad information kring registrering, bevarande och gallring.

    När du skickar svarsmejl eller autosvar ska ditt svar inkludera information om hur Umeå universitet behandlar personuppgifter och med länk till umu.se/gdpr som beskriver hur Umeå universitet behandlar personuppgifter.
    Integritetsskyddsmyndigheten (IMY) har tagit fram en guide om att hantera personuppgifter i e-post.

    Använd gärna den mall för signaturer som finns och som kan hämtas i e-postprogrammets mallar för signaturer. Där finns länken till informationen om personuppgiftsbehandling med.

    Finns det några begränsningar på vilka uppgifter som får skickas med e-post?

    Följande uppgifter ska du inte skicka med e-post:

    Känsliga personuppgifter
    Enligt GDPR är känsliga personuppgifter sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv, genetiska eller biometriska uppgifter. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.

    Sekretesskyddade uppgifter
    En allmän handling är som huvudregel offentlig. I vissa fall kan uppgifter i allmänna handlingar vara sekretessbelagda om det finns stöd för det i någon av paragraferna i offentlighets- och sekretesslagen (SFS 2009:400).

    Är en uppgift belagd med sekretess är det straffbart att röja den, det vill säga att muntligen eller via utlämnande av handling eller på annat sätt förmedla uppgiften. Att skicka uppgiften med e-post innebär att röja den. Sekretessbelagda uppgifter kan i undantagsfall skickas till den som har behörighet att ta del av uppgiften med universitetets tjänst för att skicka filer med krypterad överföring

    Uppgifter som omfattas av säkerhetsskyddslagen (2018:585).

    Följande uppgifter bör du inte skicka med e-post
    Integritetskänsliga personuppgifter eller särskilt skyddsvärda personuppgifter.

    Det är alltid bra att tänka på e-post som ett vykort, många uppgifter är inte lämpliga att skicka med vykort.

    Även om en uppgift enligt GDPR inte klassas som en känslig personuppgift kan den ändå vara särskilt skyddsvärd och bör därför inte skickas med e-post. Det kan till exempel vara fråga om löneuppgifter, uppgifter om lagöverträdelser, värderande uppgifter som till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler, information som rör någons privata sfär eller uppgifter om sociala förhållanden.

    När det gäller personnummer bör du alltid vara restriktiv när det gäller att behandla dessa. Du ska göra en intresseavvägning mellan behovet av att exempelvis skicka dem per e-post och de integritetsrisker som det innebär. Personnummer anses vara särskilt skyddsvärda personuppgifter och bör exponeras så lite som möjligt. Om ett fåtal personnummer behöver skickas via e-post, gör en bedömning om det är möjlighet att stryka de fyra sista siffrorna.

    Kan säkerhetsåtgärder göra det möjligt att skicka känsliga uppgifter eller särskilt skyddsvärda uppgifter med e-post?

    Umeå universitet erbjuder tjänster för dig som anställd att skicka filer med krypterad överföring mellan avsändare och mottagare. Att skicka med krypterad överföring är säkrare än att skicka som bifogad fil i vanlig e-post.

    Behandla i första hand personuppgifter i ett gemensamt godkänt samarbetsverktyg. Då räcker det att via e-post meddela mottagare att informationen finns i samarbetsverktyget.

    Ett alternativ kan även vara att använda ett ärendehanteringssystem istället för att kommunicera via e-post. Kommer ett ärende in via e-post – flytta in ärendet i ärendehanteringssystemet och låt konversationen ske via ärendehanteringssystemet. Se till att ingen notifiering är påslagen.

    Om en enskild ber att per e-post få ut intyg eller andra handlingar som innehåller personuppgifter avseende sig själv, måste du försäkra dig om att den e-postadress som uppgivits som mottagaradress verkligen tillhör den enskilde. Avseende studenter utgör den i Ladok angivna e-postadressen den enda adress som universitetet ska använda. Vid osäkerhet ska vanlig brevpost istället nyttjas.

    Vad behöver jag tänka på om jag skickar e-post till många?

    För att hantera e-post i enlighet med GDPR bör den som avser skicka e-post till många personer ställa sig frågan om det är viktigt, utifrån syftet med meddelandet, att alla mottagarna anges öppet i adressfältet? Vid större utskick torde det sällan vara nödvändigt att alla mottagare anges öppet. Överväg därför om adresserna ska skrivas i fältet för hemlig kopia.

    Undvik att i samma e-postmeddelande skicka personuppgifter som rör många olika enskilda individer.

    Vad behöver jag tänka på i övrigt när det gäller personuppgifter i e-post?

    Sprid inte personuppgifter i onödan. Skicka bara personuppgifter till dem som behöver uppgifterna för sitt arbete.

    Vid förfrågningar om allmänna handlingar ska dessa lämnas ut i pappersform. Det är endast i de fall det underlättar för universitetets handläggning samt om de allmänna handlingarna inte innehåller personuppgifter som handlingen kan lämnas ut i elektronisk form.
    Gäller samma regler om vilka uppgifter som får finnas i e-post ifall det är fråga om ett internt e-postmeddelande?Det finn alltid en risk för att andra än den avsedda mottagaren av ett e-postmeddelande kan ta del av meddelandet. Umeå universitet anser därför att all e-posthantering ska följa samma regler - oavsett om e-posten skickas internt eller externt.

    Hur ska jag hantera den e-post som kommer till mig?

    E-post till universitetets alla e-postadresser ska hanteras som annan post. Detta betyder att den ska bevaras och beaktas enligt samma regler som för vanlig post. Vem som helst kan begära att få ta del av en förteckning över den post du har i din e-postlåda och även att få se de meddelanden i den som är offentliga allmänna handlingar. Om en sådan begäran inkommer kan du få en kort tid på dig för att rensa ut de brev som inte är allmänna handlingar. Det kan vara något du fått personligen. Tänk på att en begäran om allmän handling, och då även begäran om e-postloggar, ska hanteras skyndsamt. 

    Får du in personuppgifter i e-post som du ska fortsätta att behandla, i exempelvis ett system för ärendehantering eller studieadministration, ska dessa överföras dit och sedan raderas e-postmeddelandet (både från inkorgen och från mappen borttagna objekt).

    E-post bör inte användas för att behandla personuppgifter långsiktigt. E-post är inte en säker förvaring och det kan vara svårt att hitta uppgifter om en enskild i e-posten eller säkerställa att uppgifterna blir gallrade när så ska ske. För att göra det lättare att följa GDPR kan det därför vara viktigt att flytta vissa uppgifter från e-posten till ett lämpligare system, som ett ärendehanteringssystem. Se även Regel för it- resurser.

    Hur ska jag agera om den e-post som kommer in innehåller personuppgifter som inte ska finnas i e-post?

    Om du får in känsliga uppgifter via e-post, se till att meddelandena tas bort från inkorgen och även från mappen borttagna objekt så snart som möjligt.

    Försök att i möjligaste mån styra bort enskilda från att skicka in känsliga personuppgifter via e-post. En enskild kan inte förhindras från att skicka in sin information via e-post men universitetet kan avråda från det och i förläningen får vi som myndighet inte fortsätta sprida informationen.

    Om universitet behöver lagra uppgifter bör du så snart som möjligt överföra dem till det system där de hör hemma – till exempel ett system för ärendehantering, studieadministration, personaladministration. Radera därefter meddelandet och från mappen borttagna objekt.

    Om ett sådant system inte finns och e-posten utgör en allmän handling ska den skrivas ut och hanteras i enlighet med reglerna för allmänna handlingar.

    Exempel: Sjukdomstillstånd betraktas som känslig personuppgift. Om en medarbetare eller student skickar information om sin sjukdomsbild via e-post så är det universitetets ansvar att hantera den informationen på ett säkert sätt. Det innebär att föra över informationen till rätt system eller annat skyddat dokument och därefter radera meddelandet (inklusive i mappen borttaget).

    Om den inkomna e-posten ska besvaras så ska detta göras med ett nytt meddelande eller att den känsliga informationen raderas från meddelandet. I svaret ska ingen information om sjukdomstillståndet beskrivas. Det kan bekräftas att handlingen mottagits.

    Studieadministration

    Finns det något bra svar man kan ge till personer som ifrågasätter varför vi inte får skicka studieintyg digitalt?

    Foljande svar kan användas:

    "Studieintyg och andra studieuppgiftsrelaterade intyg innehåller integritetskänsliga personuppgifter i och med att de innehåller personnummer samt värderande uppgifter eller uppgifter om bedömning. Sådana uppgifter ska i så liten utsträckning som möjligt skickas via okrypterad e-post. Den här typen av uppgifter kräver alltså ett högre skydd då de anses vara särskilt skyddsvärda. För mer information kan man titta på den guide som Integritetsskyddsmyndigheten (IMY) har skrivit kring detta: Hantera personuppgifter i e-post "

    Vad gäller kring att skicka studieintyg digitalt?

    Huvudlinjen bör vara att intyget av integritetsskäl skickas i pappersform till studentens folkbokföringsadress.

    Ett alternativ till att skicka studieintyg i pappersform kan vara att använda universitetets tjänst för att skicka krypterad e-post och skicka till den e-postadress som är registrerad i Ladok, för information se Skicka filer krypterat med Skyddad bilaga på Medarbetarwebben. På så sätt behöver inte intyget skickas via öppet nät. Det kräver dock att lösenord lämnas ut till studenten via annat medium än e-post, exempelvis via telefon eller sms.

    Det är viktigt att säkerställa att mottagaren är den som den utger sig för att vara. Umeå universitet kommunicerar med studenten via den e-postadress som är registrerad i Ladok. Information om hur studenten kan ändra sin e-postadress finns på Studentwebbens sida Mina inställningar i inloggat läge.

    Om en student e-postar institutionen och ber att få information, kan vi då be om att få hens personnummer per e-post för att kunna ta fram informationen? Eller måste vi ringa upp eller be hen ringa upp oss istället?

    Personnummer ska som regel inte e-postas utan extra skyddsåtgärder såsom kryptering. Universitetet ska aldrig uppmana frågeställare att skicka personnummer via öppen e-post.

    Ett alternativ kan vara be frågeställaren skicka födelsedatum för att undvika de sista fyra siffrorna om det räcker för ändamålet. Ett annat alternativ kan vara att ringa upp och be hen meddela sitt personnummer.

    Hur länge måste inkommen och skickad e-post sparas innan det får tas bort?

    Kommer det in eller skickas e-post som anses vara en allmän handling hos myndigheten är huvudregeln att den ska bevaras om inte uppgiften finns upptagen i  universitetets dokumenthanteringsplan där gallringsföreskrifter finns. E-post som ska diarieföras hanteras i den ordning som gäller för diarieföring. Ska e-posten vare sig diarieföras eller arkiveras ska det gallras så snart mailet är inaktuellt, det vill säga löpande. Mailkorgen ska inte vara användas som arkiv.

    Vad gäller när vi får in intyg med känslig information t.ex. rekommendationer om hjälpmedel?

    Om du får in känsliga uppgifter via e-post, se till att meddelandena tas bort från inkorgen och även från mappen borttagna objekt så snart som möjligt. Försök att i möjligaste mån styra bort enskilda från att skicka in känsliga personuppgifter via e-post. En enskild kan inte förhindras från att skicka in sin information via e-post men universitetet kan avråda från det och i förläningen får vi som myndighet inte fortsätta sprida den.

    Om studenten ifrågasätter varför vi inte bara kan ta emot det via e-post kan vi förklara att vi inte kan garantera att e-post är ett säkert sätt att hantera den typen av information men att om de själva väljer att skicka in det via e-post så kommer vi så klart ta emot det.

    Vad gäller om det kommer t.ex. beslut om tillgodoräknande till institutionen från Examensenheten via e-post?

    Innehåller tillgodoräknandet känsliga eller integritetskänsliga uppgifter är rekommendationen att använda universitets tjänst för överföring av krypterade filer vid vidarebefordring.

    Gällande radering  ska, så som med all E-post, handlingen diarieföras och arkiveras på det sätt som dokumenthanteringsplan reglerar och inte bevaras i e-postlådan.

    Vad gäller om en extern aktör (t.ex. en kommun) ber om att få t.ex. en lista på studenter som snart tar examen inför exempelvis rekrytering? Hur får vi lämna ut en sådan lista?

    Om en extern aktör ber om att få en lista över studenter är det fråga om utlämnande av allmän handling. Under frågan Kan jag lämna ut personuppgifter om mottagaren ska använda uppgifterna för direkt marknadsföring? finns en utförlig beskrivning.

    Tänk på att för det fall den externa aktören begär att få ut en lista inklusive personnummer har de även rätt till de uppgifterna enligt offentlighetsprincipen, om inte sekretess föreligger i det enskilda fallet. Universitetet ska ta ut avgift för att lämna ut kopior av allmänna handlingar. 

    Personuppgifter och anställda

    Får jag samla in personuppgifter till anställdas anhöriga för att kunna kontakta dem i händelse av olycka eller kris?

    Ja, det får du göra. Det ska dock vara helt frivilligt och det finns inget krav att anställda måste lämna kontaktuppgifter till anhöriga.

    Som anställd går du in under rubriken Personuppgifter i PASS och fyller kontaktuppgifter till anhörig. Det ankommer på den anställde att fylla i uppgifterna och att informera den de skrivit in om att de är angivna som kontaktperson vid sjukdom eller olycka som inträffar under arbetstid. Som chef går du in under Tjänster/Pers/Anstuppgift och sedan Personinfo i PASS för att se uppgifterna. 

    Uppgifterna får inte användas för något annat syfte än det de är tänkta för, det vill säga, uppgifterna får inte användasför att kontakta anhöriga med andra typer av frågor.

     

    2024-02-12