Nu har nya dataskyddsförordningen varit tillämplig i snart ett halvår. På vilket sätt har det påverkat oss medarbetare på Umeå universitet? Jag upplever att medvetenheten om behovet av skydd för den personliga integriteten allmänt har ökat, liksom förståelsen för att vi måste se till att vi behandlar personuppgifter på ett säkert sätt.
Foto: KTH Medieproduktion
Vi vet nu att vi inte ska behandla mer personuppgifter än nödvändigt och inte längre än vad vi har behov av. Vi ska också se till att inte fler än nödvändigt har tillgång till personuppgifterna och att de lagras och hanteras på ett sätt så att de vare sig riskerar att spridas, förvanskas eller förstöras.
Personuppgifter i e-post
Många av frågorna som ställs till oss universitetsjurister, bland annat via vår funktionsbrevlåda pulo@umu.se, handlar om vilka personuppgifter vi får behandla i e-posten och hur vi får behandla dem. Jag vill därför passa på att gå lite djupare in i denna frågeställning idag.
Sammanfattningsvis gäller att:
- När ni tagit emot och läst e-post som innehåller personuppgifter; bedöm om uppgifterna ska bevaras och var det i så fall ska ske för att uppfylla de krav som gäller för just dessa uppgifter.
- Skicka inte känsliga personuppgifter i oskyddad e-post och uppmana inte andra att skicka sådana till er via e-post.
- Informera de vars personuppgifter ni behandlar om hur Umeå universitet behandlar uppgifterna. Detta sker enklast genom att när ni skickar e-post och i ert autosvar, bifogar en standardtext i er signatur med länk till Umeå universitets integritetspolicy.
E-post innebär alltid behandling av personuppgifter
E-post innebär i princip alltid att man behandlar personuppgifter. Själva e-postadressen i sig är oftast en personuppgift och all annan information i meddelandet som kan kopplas till en enskild person är också personuppgifter. Den personuppgiftsbehandling som sker i e-post ska uppfylla alla krav i dataskyddsförordningen.
Utgångspunkten är att vi behöver ta hand om inkommande post. När ni läst e-posten måste ni därför bedöma hur personuppgifterna däri ska behandlas och vilket rättsligt stöd ni har för den fortsatta behandlingen. Det beror alltså på innehållet om och hur länge e-postmeddelandet får sparas.
När du mottar en e-post inom ramen för dina arbetsuppgifter och universitetets uppgifter utbildning, forskning och samverkan och den stödverksamhet som bedrivs i anslutning därtill, grundar vi personuppgiftsbehandlingen i e-post på de rättsliga grunder vi har för vår verksamhet i stort.
Undvik att använda din e-post vid Umeå universitet för privat e-post eller e-post som du skickar i inom ramen för någon annan roll du har, exempelvis som facklig företrädare.
Epost utgör oftast allmänna handlingar
E-post som kommer in till en myndighet blir normalt en allmän handling som ska diarieföras, registreras eller på annat sätt hållas ordnad om den inte är av ringa eller tillfällig betydelse och därför kan gallras.
Utgångspunkten är att det är tillåtet att behandla personuppgifter för att uppfylla kraven i arkivlagen om bevarande av allmänna handlingar. När vi ska bevara uppgifter som behandlas med hjälp av e-post har vi alltså en skyldighet att bevara dessa så att arkivlagens regler uppfylls.
Säkerhet i behandlingen
Det främsta problemet med e-post är att det är ett utsatt färdmedel. När ett e-postmeddelande skickas mellan e-postservrar över Internet passerar det ofta andra servar på vägen. Om informationen i e-postmeddelandet är oskyddad finns det inget som hindrar att kopior av informationen sparas undan vid var och en av dessa servrar. Det blir därmed svårt att se till att inte obehöriga tar del av informationen.
Detta gäller särskilt då e-posten är åtkomlig via öppet nät eller är synkroniserad med mobila enheter som till exempel bärbara datorer, pekplattor och mobiltelefoner. Ett annat problem med att hantera personuppgifter i e-postsystemet är att vi inte kan lägga in automatisk gallring av uppgifter inom de tidsramar och av de uppgifter då gallring ska ske, något vi gör i våra andra system. Vi riskerar därför att behandla personuppgifterna under längre tid än vi får.
Denna osäkerhet i behandlingen medför att vi behöver hitta andra ytor, system eller likande för att dela personuppgifter och då särskilt känsliga personuppgifter och personnummer. Vi måste sträva efter att styra bort behandling av sådana personuppgifter i möjligaste mån från e-post och även förhindra att enskilda skickar känsliga personuppgifter via e-posten.
Vi behöver såväl se till att vår interna hantering av sådana personuppgifter främst sker och styrs till de system vi har för behandling av personuppgifterna, exempelvis Pass/Primula, Varbi/rekryteringssystemet, W3D3/diariesystemet. Får vi uppgifter via e-post som ska hanteras i ett sådant system behöver vi snarast se till att de överförs till avsett system och sedan ta bort uppgifterna ur e-postsystemet.
När vi ska dela uppgifter mellan medarbetare i de ärenden andra medarbetare ska hantera dessa och där det inte finns något system där så kan ske, ska vi sträva efter att dela dem på annat vis, exempelvis på gemensamma samarbetsytor som Aurora/Sharepoint. Där kan vi styra så att endast behöriga får tillgång till uppgifterna och att tillräcklig säkerhetsnivå i övrigt upprätthålls. Här är det viktigt att endast nyttja sådana ytor som tillhandahålls av universitetet centralt och som godkänt för behandling av personuppgifter, såväl känsliga som andra.
I ITS tjänstekatalog ska man inom kort kunna se man se vilka tjänster som exempelvis inte lämpar sig för att behandla känsliga personuppgifter.
På Aurora finns också information om behandling av personuppgifter i allmänhet.
Inom kort kommer dessa att uppdateras vad gäller personuppgifter i e-post. där kan du även hitta informations- och utbildningsmaterial om dataskyddsförordningen.
//Chatarina Larson,
Verksamhetsområdeschef EAM, enhetschef universitetsledningens kansli