FAQ

Nedan följer några vanliga frågor som ofta uppstår när man ställs inför en personuppgiftsbehandling. Klicka på rubriken för att se svaren. Observera att svaren inte är uttömmande och omständigheterna i varje enskilt fall kan variera mycket. Ta därför en kontakt med dataskyddsombudet för att göra en säkrare bedömning.

Gå direkt till

Allmänt uppdaterad 2020-03-24
Personuppgiftsbiträden
Personuppgifter och allmänna handlingar
Personuppgifter och e-post

 

 Allmänt

När gäller dataskyddsförordningen?

 

Dataskyddsförordningen gäller för behandling av personuppgifter som sker helt eller delvist automatiserat. Förordningen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter (exempelvis en databas eller register) som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier.

För att behandling av personuppgifter ska vara tillåten måste de krav som ställs i dataskyddsförordningen vara uppfyllda. När någon anställd vid universitetet behandlar personuppgifter måste denne försäkra sig om att behandlingen inte strider mot dataskyddsförordningen samt annan lagstiftning på området exempelvis Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Vem är personuppgiftsansvarig vid Umeå universitet?

Det är den juridiska personen Umeå universitet som är personuppgiftsansvarig för den behandling av personuppgifter som sker vid universitetet, samt vid extern part som behandlar personuppgifter för universitetets räkning (personuppgiftsbiträde).

Har universitet utsett ett dataskyddsombud?

Alla myndigheter måste utse ett dataskyddsombud. För närvarande är universitetsjuristen Marit Juselius utsedd till dataskyddsombud vid Umeå universitet. Dataskyddsombudet nås på pulo@umu.se

Vad är personuppgifter?

Varje uppgift som direkt eller indirekt kan kopplas till en levande person är en personuppgift. Detta innebär att det inte bara är namn och personnummer som kan vara personuppgifter utan även användarnamn, umu-id, e-post- eller IP-adresser, biometriska data, fysiologiska uppgifter och även exempelvis en röstinspelning. Enkätsvar där man vet vem som har svarat utgör personuppgifter.

Även kombinationer av uppgifter kan utgöra personuppgifter om det genom uppgifterna är möjligt att koppla dessa till en fysisk person. Även om exempelvis namn, personnummer eller adress inte registreras kommer övriga uppgifter som registreras att utgöra personuppgifter om man med ledning av de övriga uppgifterna kan identifiera en särskild person.

För all behandling av personuppgifter (samla in, lagra, bearbeta m.m.) måste man följa dataskyddsförordningens samtliga principer för behandling.

Vad menas med att det finns olika typer av personuppgifter?

Enligt dataskyddslagen är känsliga personuppgifter sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv, genetiska eller biometriska uppgifter. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.


Även om en uppgift inte klassas som en känslig uppgift kan den ändå vara en integritetskänslig/särskilt skyddsvärd personuppgift. Det kan till exempel vara fråga om löneuppgifter, uppgifter om lagöverträdelser, värderande uppgifter som till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler, information som rör någons privata sfär eller uppgifter om sociala förhållanden. Personnummer anses vara särskilt skyddsvärda personuppgifter.


Eftersom varje uppgift som direkt eller indirekt kan kopplas till en levande person anses vara en personuppgift används ofta begreppet vanliga personuppgifter för att beskriva sådana uppgifter som vare sig är känsliga eller integritetskänsliga/särskilt skyddsvärda personuppgifter.

Vad menas med att behandla personuppgifter?

Varje åtgärd eller kombination av åtgärder som vidtas med personuppgifter oberoende av om de utförs automatiserat eller inte:

T.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. I princip allt som man gör med uppgifterna.

De personuppgifter som jag ska behandla är anonymiserade, måste jag ändå följa dataskyddsförordningen?

Det beror på vad du menar med anonymiserade uppgifter, och hur upplägget ser ut just i ditt specifika fall. Även s.k. anonymiserade uppgifter omfattas av Dataskyddsförordningen så länge det finns en kodnyckel bevarad som gör det möjligt att identifiera enskilda individer. Med anonymiserade uppgifter avses uppgifter som är (1) kodade (pseudonymiserade); eller (2) helt avidentifierade.

Med kodade uppgifter (pseudonymisering) avses att enskilda individer inte kan identifieras direkt utifrån uppgifterna, men där en kodnyckel finns bevarad som gör det möjligt att senare komplettera uppgifterna, och även identifiera vilken individ som uppgifterna avser.

Kodnyckeln måste förvaras separat och vara föremål för tekniska och organisatoriska säkerhetsåtgärder för att uppgifterna ska anses vara pseudonymiserade. Kodnyckeln behöver inte finnas vid Umeå universitet, eller ens vara tillgänglig för Umeå universitet.

Med avidentifierade uppgifter avses sådana personuppgifter som inte innehåller någon information som går att koppla ihop med en enskild individ. Så kan vara fallet om kodnyckel saknas och uppgifterna har lämnats anonymt. I de fall där kodnyckel har upprättats upphör uppgifterna att betraktas som personuppgifter först när kodnyckeln förstörs på ett sätt som gör det helt omöjligt att återskapa den, eftersom uppgifterna då inte kan kopplas samman med en person.

Även om kodnyckeln förstörts eller aldrig funnits kan det ibland ändå vara möjligt
att identifiera enskilda individer. Exempelvis om uppgifterna direkt kan
hänföras till en så begränsad grupp personer att en enskild individ med hjälp
av andra uppgifter enkelt kan identifieras, eller att rösten på en inspelning
kan kännas igen, eller att intervjusvaren är sådana att det går att lista ut
vem personen är. I sådana fall är uppgifterna fortfarande att betrakta som
personuppgifter.

Sammanfattningsvis: Så länge (1) en kodnyckel finns kvar eller (2) avidentifierade uppgifter genom andra uppgifter går att härleda till en särskild individ, är uppgifterna inte avidentifierade i dataskyddsförordningens mening, vilket innebär att man måste följa reglerna som anges i dataskyddsförordningen för att behandlingen ska vara tillåten. Uppgifterna upphör vara personuppgifter först när det inte längre finns någon som helst möjlighet att koppla uppgifterna till en enskild individ, och dataskyddsförordningen är då inte tillämplig (vilket kan vara fallet om kodnycklar förstörts).

Om uppgifterna har lämnats helt anonymt vid datainsamlingen från enskilda individer är det inte heller frågan om personuppgifter.

Tänk alltid efter om det verkligen är nödvändigt att behöva identifiera vem som har lämnat uppgifterna – om inte, undvik att registrera uppgifter som gör att personer kan identifieras så behöver ni inte tänka på dataskyddsförordningen.

Grundläggande krav

Personuppgifter får enbart samlas in för uttryckligt angivna och berättigade ändamål, och de insamlade personuppgifterna får därefter inte användas för andra ändamål som är oförenliga med de ursprungliga. Man får inte heller behandla fler personuppgifter än vad som är nödvändigt för att uppfylla ändamålet med behandlingen, och personuppgifterna får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Personuppgifter som behandlas ska vara korrekta och uppdaterade och behandlas på ett sätt som säkerställer att en lämplig säkerhetsnivå råder för personuppgifterna. Den person som personuppgifterna avser ska som huvudregel informeras om behandlingen av uppgifterna (dataskyddsförordningen art 13-14).

Man måste alltså formulera ett klart ändamål med insamlingen av uppgifterna. Det är viktigt att personuppgifterna inte kommer att sparas längre än nödvändigt för att uppnå ändamålet, samt att personuppgifterna raderas när ändamålet har uppfyllts såvida det inte i någon annan lag finns krav på bevarande (exempelvis arkivlagen). Raderingen ska utföras på ett sådant sätt att personuppgifterna inte går att återskapa sedan.

Behandlingen ska:

  • vara laglig och korrekt och ske på ett öppet sätt;
  • ske enbart för särskilt uttryckligt angivna och berättigade ändamål (ändamålsbegränsning);
  • får inte senare behandlas på ett sätt som är oförenligt med de ursprungliga ändamålen.

Personuppgifterna som behandlas:

  • ska vara adekvata och relevanta och får inte vara fler än vad som är nödvändigt (uppgiftsminimering);
  • ska vara korrekta och om nödvändigt uppdaterade (korrekthet);
  • får inte bevaras under längre tid än nödvändigt (lagringsminimering);
  • ska behandlas på ett säkert sätt.

Sammanfattningsvis ska den som behandlar personuppgifter se till:

  • att säkerställa att det alltid finns en rättslig (laglig) grund för behandling av personuppgifter;
  • att personuppgifterna är korrekta och uppdaterade;
  • att ändamålet är särskilt och uttryckligt angivet;
  • att personuppgifterna är relevanta och inte för omfattande i relation till syftet med behandlingen av personuppgifterna;
  • att personuppgifter inte behandlas längre än nödvändigt med hänsyn till syftet. Vad som ska gallras eller bevaras framgår av Umeå universitets dokumenthanteringsplan;
  • att vidta tekniska och organisatoriska åtgärder för att säkerställa tillräckligt skydd för personuppgifterna så de inte riskerar att komma i orätta händer eller bli manipulerade;

Vilka rättigheter har individen enligt dataskyddsförordningen?

Individen har flera rättigheter gentemot Umeå universitet:

  • Rätt till information – individen har som huvudregel rätt att få information när personuppgifterna hanteras och vid vissa speciella situationer, så som dataintrång (så kallade personuppgiftsincidenter).
  • Rätt till rättelse – individen ska få möjlighet att rätta felaktiga personuppgifter, och i viss mån komplettera ofullständiga personuppgifter.
  • Rätt till radering ("rätten att bli bortglömd") – i vissa fall har individen rätt att få sina uppgifter raderade.
  • Rätt till begränsning av behandling – i vissa fall har individen rätt att begära att hanteringen begränsas. Detta kan ske genom att personuppgifterna markeras för att i framtiden hanteras endast för vissa avgränsade syften.
  • Dataportabilitet – under vissa förutsättningar har individen rätt att få ut och överföra personuppgifterna till ett annat ställe (t.ex. annan organisation).
  • Individen har i vissa fall rätt att göra invändningar mot vidare behandling av personuppgifter.
  • Rätt att inte bli föremål för ett beslut, som har rättslig verkan, genom ett automatiserat beslutsfattande (inklusive profilering), om det inte finns ett undantag i annan lag eller samtycke har givits.
  • Klagomål och skadestånd– individen har rätt att lämna klagomål till Umeå universitet och Datainspektionen.

 

Kan universitetet fotografera och spara fotolistor på studenter?

Umeå universitet har en laglig grund (allmänt intresse) att behandla studenternas personuppgifter eftersom vi ska utbilda och examinera studenterna. Det betyder dock inte att universitetet får behandla personuppgifter hur som helst. Umeå universitet får bara använda personuppgifterna för de ändamål vi samlat in dem för (exempelvis utbilda och examinera) och universitetet får inte behandla fler uppgifter än vad som man behöver för det ändamålet. En annan viktig princip är att personuppgifterna ska behandlas på ett säkert sätt så att obehöriga inte får tillgång till dem.

Vad gäller fotografering av studenter kan det vara tillåtet enligt dataskyddsförordningen att ha fotolistor på studenterna i det fall fotona behövs för att kunna utbilda och examinera studenterna. I annat fall innebär foton på studenterna troligen att fler personuppgifter samlas in än vad som behövs för ändamålet. I det fall man kommer fram till att foton behövs, så är det viktigt att se till att inte sprida bilderna till andra än de lärare som behöver dem och inte spara bilderna längre än nödvändigt.

Får jag samla in personuppgifter till anställdas anhöriga för att kunna kontakta dem i händelse av olycka eller kris?

Ja, det får man göra - men bara i de fall den anställde själv vill lämna sådana uppgifter. Det ska vara helt frivilligt och det finns inget krav att anställda måste lämna kontaktuppgifter till anhöriga.

Personuppgifterna ska hanteras på ett säkert och korrekt sätt. Uppgifterna bör t ex endast hållas tillgängliga för ett fåtal personer som har som arbetsuppgift att kontakta anhöriga. Inga andra uppgifter om de anhöriga än vad som faktiskt behövs – t ex telefonnummer och relation (partner/förälder/barn), bör skrivas ner. Uppgifterna ska hållas uppdaterade och vara aktuella, och när anställda slutar ska anhöriguppgifterna raderas.

Om man sparar och hanterar anhörigas personuppgifter digitalt, eller på papper och lägger in dem i ett sökbart register, gäller dataskyddsförordningen. Detta innebär t ex att man måste inhämta skriftligt samtycke direkt från de anhöriga, lämna information till de anhöriga om den personuppgiftsbehandling som sker, samt informera de anhöriga om vilka rättigheter de har. De skriftliga samtyckeshandlingarna ska sparas. Om man väljer att hantera anhöriguppgifterna digitalt ska detta ske i PASS där tillräcklig säkerhet för uppgifterna finns. Den anställde lägger själv in sina anhörigas uppgifter och den underskrivna samtyckeshandlingen i PASS. Samtycket ska inhämtas på en särskild blankett där också information till den vars personuppgifter behandlas ska finnas.

För att undvika den administration som detta innebär är det i många fall lämpligare att hantera anhörigas personuppgifter på ett sådant sätt att dataskyddsförordningen inte blir tillämplig. Detta kan man exempelvis göra genom att den anställdes närmsta chef endast antecknar kontaktuppgifterna till anhöriga på ett papper, och därefter sparar dokumentet på ett säkert ställe, vanligtvis inlåst på sitt kontor. Kom ihåg att uppgifterna, även om de är på papper, inte får läggas in i ett strukturerat arkivsystem eftersom de då kommer att omfattas av dataskyddsförordningen.

Vad gäller om man vill behandla fullständigt personnummer?

Personnummer anses vara en extra skyddsvärd personuppgift. Man ska vara mycket restriktiv med att registrera personnummer. I många fall är det tillräckligt att bara registrera födelsedata istället (sex första siffrorna i personnumret). Om man ändå vill registrera fullständigt personnummer måste man se till att uppfylla kraven i dataskyddsförordningen och Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Det innebär bl.a. följande.

Enligt dataskyddslagen 3 kap 10 § framgår att om man inte har samtycke från den registrerade får personnummer endast behandlas vid följande situationer:
1) när det är klart motiverat med hänsyn till ändamålet med behandlingen,
2) vikten av en säker identifiering, eller
3) något annat beaktansvärt skäl.


Observera att universitetet som myndighet är mycket begränsad i rätten att kunna stödja sin behandling av personuppgifter på samtycke, och vi kommer därför i de allra flesta fall att behöva ha stöd i någon av punkterna 1-3 ovan för att ha rätt att behandla personnummer.

Om man saknar samtycke men kommer fram till att någon av situationerna i 1-3 ovan är uppfyllda, måste man även uppfylla de grundläggande kraven i artikel 5 dataskyddsförordningen, samt stödja sig på någon av de rättsliga grunder som anges i artikel 6 dataskyddsförordningen för att få behandla personnummer.

Behandling av fullständigt personnummer förutsätter därför, enligt artikel 5 dataskyddsförordningen, bl.a. att behandlingen av personnummer inte är för omfattande i förhållande till ändamålen med behandlingen (principen om uppgiftsminimering). Det betyder att om man klarar av att uppnå syftet med behandlingen utan att registrera personnummer är det inte tillåtet att registrera personnummer. Ett alternativ i många fall är därför att enbart använda sig av födelsedata istället.

Är det någon skillnad mellan att behandla fullständigt personnummer och att behandla födelsedata?

Födelsedata utgörs av de sex första siffrorna i personnumret. Fullständigt personnummer anses vara en extra skyddsvärd personuppgift och regleras särskilt i Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) 3 kap 10 § (läs mer i föregående fråga). Vid behandling av fullständigt personnummer måste man ta hänsyn både till regleringen i dataskyddsförordningen och i dataskyddslagen. Det råder således strängare krav som måste uppfyllas för att få behandla fullständigt personnummer än enbart födelsedata.

Enligt dataskyddsförordningen får man inte behandla fler uppgifter än vad som är nödvändigt för att uppfylla ändamålet med sin behandling. Om man kan uppnå ändamålen med sin behandling genom att enbart registrera födelsedata, får man inte behandla fullständigt personnummer.

 

Vad gäller vid undervisning på distans?

Att spela in och publicera en föreläsning med enbart anställd personal är tillåtet utifrån dataskyddsperspektivet, då detta är en del av den anställdes uppdrag. Att livestreama en föreläsning för dem som annars skulle ha deltagit i lokalen är också tillåtet. Detta med den rättsliga grunden allmänt intresse tillsammans med högskolelagens krav på att lärosäten ska bedriva undervisning. I samband med utbildning ska inte den rättsliga grunden samtycke från studenterna tillämpas.

Det är viktigt är att informera studenterna om att en personuppgiftsbehandling sker genom den digitala uppkopplingen (hänvisa till www.umu.se/gdpr) samt att informera om inget sparas. Det är även lämpligt att ge studenter möjlighet att kunna ställa frågor utanför föreläsningen. Känsliga personuppgifter eller sekretessbelagd information ska inte delas i Zoom, Skype eller Teams. Läs mer på sidan Personuppgiftsbehandling vid undervisning och examination på distans

Vad gäller vid examination på distans?

När studenter examineras behandlar universitetet studenternas personuppgifter med stöd av den rättsliga grunden allmänt intresse. I och med att examination anses vara myndighetsutövning kan de rättsliga grunderna intresseavvägning och samtycke från studenterna inte tillämpas i samband med examination.

Den rättsliga grunden allmänt intresse ger också universitetet utrymme att behandla studenternas personuppgifter när vi kräver att de identifierar sig genom att uppvisa legitimation. I samband med digitala tentamensformer kan det finnas ett behov av att såväl identifiera studenten som att övervaka studenten under pågående skrivning. Det är viktigt är att informera studenterna om att en personuppgiftsbehandling sker genom den digitala uppkopplingen (hänvisa till www.umu.se/gdpr) samt att informera om inget sparas.

Om identifiering vid en digital examination ska ske genom uppvisande av legitimation finns risk att personnumret kan ses av övriga examensdeltagare. Identifiering genom legitimation måste därför ske på ett sådant sätt att övriga deltagare inte har möjlighet att se personnumret. Identifiering kan till exempel då ske med hjälp av fotolistor.

En övervakning av examinationen i exempelvis Zoom kan anordnas på motsvarande sätt som vid en salstentamen utan att en inspelning av studenterna sker. Detta skulle då innebära att läraren eller annan övervakar studenternas tentamensskrivning via den digitala uppkopplingen. Denna typ av övervakning får universitetet anses ha rättslig grund för i högskolelagen och dataskyddsförordningen med hänvisning till allmänt intresse.

Däremot torde en inspelning av studenter i deras hemmiljö anses vara ett sådant intrång i den personliga integriteten att uttryckligt lagstöd krävs för att universitetet som myndighet ska anses ha den rätten. Eftersom uttryckligt lagstöd saknas är det dataskyddsombudets uppfattning att en inspelning av studenterna i deras hemmiljö strider mot dataskyddsförordningen. Läs mer på sidan Personuppgiftsbehandling vid undervisning och examination på distans

Personuppgiftsbiträden

När krävs ett personuppgiftsbiträdesavtal?

Ett personuppgiftsbiträde är någon som behandlar personuppgifter för den personuppgiftsansvariges räkning. D.v.s. att någon utanför Umeå universitet behandlar personuppgifter som universitetet är personuppgiftsansvarig för. För att det ska vara tillåtet krävs enligt dataskyddsförordningen att universitetet upprättar ett personuppgiftsbiträdesavtal (PUBA) med den som ska behandla personuppgifter för universitetets räkning.

Umeå universitet har tagit fram en mall för PUBA som uppfyller kraven som ställs på universitetet i dataskyddsförordningen. Kontakta dataskyddsombudet för att få tillgång till mallen.

Vem får underteckna ett personuppgiftsbiträdesavtal för universitetets räkning?

Alla personuppgiftsbiträdesavtal (PUBA) ingås av Umeå universitet. Det är alltid Umeå universitet som är part i PUBA, enskilda anställda kan aldrig vara part i ett PUBA. Oavsett om universitetet är personuppgiftsansvarig eller personuppgiftsbiträde i avtalet ska det enligt rektors delegationsordning undertecknas av universitetsdirektör.

Förfrågningar om PUBA ska skickas till pulo@umu.se för juristgranskning.

Personuppgifter och allmänna handlingar

Vad gäller om någon begär att få ta del av allmänna handlingar som innehåller personuppgifter?

Allmänna handlingar innehåller ofta personuppgifter. Dataskyddsförordningen hindrar inte utlämnande av allmänna handlingar. Utgör uppgifterna allmänna handlingar ska de lämnas ut om inte sekretess hindrar ett utlämnande. För att neka ett utlämnande av allmänna handlingar krävs alltså ett lagstöd, dvs det ska finnas en tillämplig sekretessbestämmelse i offentlighets- och sekretesslagen (OSL) eller annan lag som gör att sekretess råder för uppgifterna.

Om de uppgifter som begärs utlämnade innehåller personuppgifter måste sekretessprövningen, även omfatta prövning huruvida det föreligger "GDPR-sekretess" enligt OSL 21 kap 7 §. Vid en sådan prövning ska man bedöma om det kan antas att den som begär ut personuppgifterna kommer att behandla dem på ett sätt som strider mot 21 kap 7 § OSL.

Vad innebär "GDPR-sekretess"?

GDPR-sekretess regleras i OSL 21 kap 7 §. Den innebär att om det kan antas att personuppgifterna kommer att behandlas i strid med dataskyddsförordningen, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) eller med 6 § etikprövningslagen, efter att uppgifterna har lämnats ut till mottagaren, föreligger det sekretess för personuppgifterna. I sådana fall ska universitetet neka mottagaren att få ta del av uppgifterna.

För att avgöra om GDPR-sekretess föreligger ska man alltså bedöma om mottagarens behandling av personuppgifterna efter ett utlämnande är förenlig med;
1) dataskyddsförordningen;
2) dataskyddslagen;
3) 6 § etikprövningslagen (aktuellt enbart om känsliga personuppgifter eller uppgifter om lagöverträdelser ska användas för forskning).

Om universitetet kommer fram till att mottagarens behandling är förenlig med ovanstående, och att det inte finns någon annan sekretessbestämmelse som är tillämplig, ska uppgifterna lämnas ut.

Hur bedömer jag om "GDPR-sekretess" föreligger? Dvs om mottagarens avsedda behandling av personuppgifterna strider mot dataskyddsförordningen, dataskyddslagen eller 6 § etikprövningslagen?

För att kunna bedöma om uppgifterna omfattas av GDPR-sekretess kan universitetet behöva fråga hur och till vad sökanden ska använda uppgifterna (i vanliga fall får vi inte efterfråga något sådant). Man får inte börja ställa frågor bara för att en personuppgift begärs utlämnad. Det ska finnas någon konkret omständighet som gör att det kan antas att personuppgifterna efter utlämnandet kommer att behandlas på ett sätt som omfattas av dataskyddslagstiftningen.

Exempel på sådana omständigheter är massuttag av personuppgifter, eller selekterade uppgifter (urval av personer med viss utbildning, visst examensår, visst åldersspann osv). Om begäran däremot endast avser enstaka uppgifter finns det sällan anledning att anta att mottagarens behandling strider mot dataskyddsförordningen, dataskyddslagen eller 6 § etikprövningslagen, och vi ska inte efterfråga mer information om syftet med behandlingen. Detsamma gäller om uppgifterna begärs utlämnade för journalistiska ändamål.

Vi får inte ställa mer inträngande eller fler frågor än vad som krävs för att göra sekretessbedömningen. Om frågorna besvaras på ett konkret sätt och sökandens redogörelse framstår som sannolik bör den godtas. Vid osäkerhet kring hur sekretessen ska bedömas bör en jurist rådfrågas.
Följande upplysningstext kan skickas till sökanden i samband med att man efterfrågar mer information:

"De uppgifter som du har begärt att få ta del av utgör personuppgifter. Enligt offentlighets- och sekretesslagen (2009:400) 21 kap 7 § föreligger sekretess för personuppgifter om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med EU:s allmänna dataskyddsförordning (EU 2016/679), lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, eller 6 § lagen (2003:460) om etikprövning av forskning som avser människor. För att kunna göra en sådan bedömning har vi rätt att fråga den person som begär att få ta del av uppgifterna vad denne ska använda uppgifterna till. Jag ber dig därför att kort redogöra för på vilket sätt du avser att använda uppgifterna."

Kan jag lämna ut uppgifter om personnummer?

Dataskyddsförordningen gäller för behandling av personuppgifter som helt eller delvis sker på automatiserad väg, samt på manuell behandling av personuppgifter om personuppgifterna ingår i eller kommer att ingå i ett register. Personnummer utgör en extra skyddsvärd personuppgift och regleras särskilt i dataskyddslagen (2018:218).


Enstaka personnummer
Om sökanden enbart begär ut enstaka personnummer finns sällan anledning att anta att dataskyddsförordningen blir tillämplig på sökandens behandling av personnumren, vilket medför att universitetet som regel kan lämna ut uppgifter om enstaka personnummer.


Fler än enstaka personnummer
Oftast är det dock så att ett flertal uppgifter om personnummer begärs ut av sökanden. Då kan man oftast anta att dataskyddsförordningen kommer att vara tillämplig på sökandens behandling av personnumren, och man måste bedöma om det råder GDPR-sekretess. Vid sekretessprövningen av om utlämnande ska ske eller inte måste följande beaktas. En sökande som vill ha ut uppgifter som innehåller personnummer får enligt dataskyddslagen endast behandla personnummer om det finns samtycke till det, eller det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl. Om ingen av dessa förutsättningar är uppfyllda anses sekretess råda för personnummer enligt OSL 21 kap 7 §, eftersom mottagarens behandling då strider mot dataskyddslagen, och universitetet ska inte lämna ut uppgifterna.

Om någon av ovanstående förutsättningar är uppfyllda måste universitetet även ta ställning till om det är nödvändigt för mottagaren att behandla fullständigt personnummer för att uppnå sitt syfte med behandlingen. Om mottagaren kan uppnå sitt syfte utan att registrera fullständigt personnummer är det inte enligt dataskyddsförordningen tillåtet för mottagaren att behandla personnummer, och sekretess anses då råda för personnummer enligt OSL 21 kap 7 §, eftersom mottagarens behandling då strider mot dataskyddsförordningen. Ofta är det tillräckligt att använda sig av födelsedata istället (sex första siffrorna i personnumret).

Kan jag lämna ut personuppgifter om mottagaren ska använda uppgifterna för direkt marknadsföring?

Studenters och anställdas personuppgifter efterfrågas många gånger av företag och andra utomstående för att de ska användas i marknadsföringssyfte.


När en sådan begäran inkommer måste alltid en sekretessprövning göras, där vi ska ta ställning till om mottagarens behandling är förenlig med dataskyddsförordningen och dataskyddslagen (2018:218). Mottagaren måste uppfylla de grundläggande kraven i artikel 5 dataskyddsförordningen, samt stödja sig på någon av de rättsliga grunder som anges i artikel 6 dataskyddsförordningen för att få behandla personuppgifterna.


I sekretessprövningen ska vi ta ställning till om de uppgifter som begärs ut är nödvändiga för att uppfylla sökandens ändamål med behandlingen, eller om ändamålet kan uppnås med färre uppgifter. Mottagaren måste även ha en rättslig grund enligt artikel 6 i dataskyddsförordningen för att få behandla personuppgifterna. Många gånger kan företagets behov av personuppgifterna för direkt marknadsföring betraktas som ett berättigat intresse enligt dataskyddsförordningen och företaget har då rätt att behandla dem efter en intresseavvägning. Så är fallet när marknadsföringens omfattning är förhållandevis begränsad (två utskick per år), inte rör känsliga personuppgifter (namn, adress, telefonnummer, e-postadress, födelsedata och resultat är inte känsliga personuppgifter), och marknadsföringens innehåll inte i sig kan betraktas som integritetskränkande.

E-postadresser till privatpersoner får lämnas ut till mottagaren även om de ska användas för marknadsföringssyften. Mottagaren måste dock enligt marknadsföringslagen (2008:486) 19 § inhämta samtycke från personen för att få skicka marknadsföring till dennes e-postadress. Att mottagaren måste följa vad som anges i marknadsföringslagen när de använder sig av e-postadresserna blir en fråga för mottagaren att hantera och inte för universitetet. Det kan dock vara bra att vid utlämnandet erinra mottagaren om att denne är skyldig att följa reglerna i dataskyddsförordningen. Samt, om e-postadress lämnas ut – erinra om kravet i Marknadsföringslagens 19 §; att marknadsföring direkt till en fysisk persons e-postadress får skickas enbart om den registrerade personen har samtyckt till det på förhand. Att e-postadresserna lämnas ut av universitetet innebär inte att något sådant samtycke har lämnats från de registrerade.

Utlämnande av känsliga personuppgifter för forskningsändamål

Om uppgifter begärs utlämnade för forskningsändamål måste universitetet alltid göra en sekretessprövning för att bedöma om uppgifterna kan lämnas ut. Det innebär att om uppgifterna innehåller personuppgifter (även s.k. pseudonymiserade personuppgifter där kodnyckel finns omfattas) ska universitetet bedöma om det råder sekretess för uppgifterna däribland GDPR-sekretess enligt OSL 21 kap 7§.

Om de efterfrågade personuppgifterna utgör känsliga personuppgifter och efterfrågas för att användas i forskning är förekomsten av ett etikprövningstillstånd en förutsättning för att uppgifterna ska kunna lämnas ut. Före utlämnande av känsliga personuppgifter för forskningsändamål måste mottagaren därför uppvisa ett godkänt etikprövningstillstånd för att universitetet ska kunna göra en sekretessprövning. Om mottagaren inte har ett godkänt etikprövningstillstånd råder sekretess enligt OSL 21 kap 7 § och uppgifterna får inte lämnas ut. Om ett godkänt etikprövningstillstånd finns som omfattar de personuppgifter som begärts ut, går man vidare och bedömer om mottagarens behandling även är förenlig med dataskyddsförordningen och dataskyddslagen.


Mottagaren måste alltid uppfylla de grundläggande kraven i artikel 5 dataskyddsförordningen, samt stödja sig på någon av de rättsliga grunder som anges i artikel 6 dataskyddsförordningen för att få behandla personuppgifterna. Om uppgifterna ska användas för forskning av annat lärosäte kan den rättsliga grunden "uppgift av allmänt intresse" utgöra grund för mottagarens behandling.

Hur ska uppgifterna lämnas ut?

Det finns ingen skyldighet att lämna ut allmänna handlingar i digital form som e-post. Om de uppgifter som ska lämnas ut innehåller personuppgifter ska ett utlämnande ske i pappersform.


Om man överväger att lämna ut allmänna handlingar som innehåller personuppgifter i annat än pappersform, exempelvis för forskning där etikprövningstillstånd till behandlingen föreligger, måste lämpliga tekniska och organisatoriska åtgärder vidtas för att uppgifterna ska skyddas. Om uppgifterna innehåller känsliga personuppgifter eller personnummer ökar naturligtvis kraven kraftigt på sättet för överföring av uppgifter och säkerheten. Är de uppgifter som lämnas ut av mer allmän karaktär, exempelvis sådana uppgifter som redan framgår av vår externa web kan e-post vara ett alternativ för överföring.

Måste jag enligt dataskyddsförordningen informera de registrerade personerna om att deras personuppgifter har lämnats ut?

I dataskyddsförordningen finns bestämmelser om när och vilken information som ska lämnas till de registrerade (se även universitetets checklista här: https://www.aurora.umu.se/globalassets/dokument/universitetsforvaltningen/universitetsledningens-kansli/juridik/checklista-information-till-registrerad-2018-10-17.pdf).

Om universitet till följd av offentlighetsprincipen lämnar ut allmänna handlingar som innehåller personuppgifter behöver universitetet inte informera de registrerade om utlämnandet (det följer av dataskyddsförordningen artikel 14.5c). Detta gäller oavsett för vilket ändamål uppgifterna lämnas ut och alltså även när uppgifterna lämnas ut för forskningsändamål.


Samma sak gäller för mottagaren, den är inte heller skyldig att informera de registrerade om att uppgifterna har lämnats ut till mottagaren. Mottagaren kan dock ändå behöva informera de registrerade vid användande av känsliga personuppgifter i forskning, om etikprövningsnämnden i sitt etikprövningsbeslut har angett att de registrerade ska informeras.

Personuppgifter och e-post

Behandlar man personuppgifter när man skickar och tar emot e-post?

E-post innebär i princip alltid att man behandlar personuppgifter. Själva e-postadressen i sig är oftast en personuppgift och all annan information i meddelandet som kan kopplas till en enskild person är också personuppgifter. Den personuppgiftsbehandling som sker i e-post ska därför uppfylla alla krav i dataskyddsförordningen.


Det som skiljer e-post från annan uppgiftshantering är att innehållet oftast är okänt när e-posten kommer in till Umeå universitet. Utgångspunkten är att vi behöver ta hand om inkommande post. När du läst e-posten måste du därför bedöma hur personuppgifterna ska behandlas och vilket rättsligt stöd du har för den fortsatta behandlingen. Det beror alltså på innehållet om och hur länge e-postmeddelandet får sparas.


E-post som kommer in till en myndighet blir normalt en allmän handling som ska diarieföras, registreras eller på annat sätt hållas ordnad om den inte är av ringa eller tillfällig betydelse och därför kan gallras. Under rubriken Arkiv och diarium i regelverket finns Umeå universitets antagna dokumenthanteringsplaner. Där får du mer detaljerad information kring registrering, bevarande och gallring.

När du skickar svarsmejl eller autosvar, använd gärna den signatur som heter Template mall Umu 190218 och hämtas i e-postprogramets mallar för signaturer. Signaturen följer den grafiska profilen och är kompletterad med information om att Umeå universitet behandlar personuppgifter och med länk till vår sida på umuwebben som beskriver hur Umeå universitet behandlar personuppgifter. Signaturen innehåller både svensk och engelsk text.

Vilken rättslig grund gäller när uppgifter behandlas i e-post?

När du mottar eller skickar e-post inom ramen för dina arbetsuppgifter och universitetets uppgifter grundar universitetet personuppgiftsbehandlingen i e-posten på de rättliga grunder som finns för verksamheten i stort (se art 6 dataskyddsförordningen).

  • Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (exempelvis utbildning och forskning) eller som ett led i myndighetsutövning (exempelvis examinera studenter).
  • Behandlingen är nödvändig för att fullgöra ett avtal eller en rättslig förpliktelse (exempelvis internationella studenter och utredning av arbetsskador).

Utgångspunkten är att det är tillåtet att behandla personuppgifter för att uppfylla kraven i arkivlagen om bevarande av allmänna handlingar.


Du ska inte använda din e-post vid UmU för privat e-post eller e-post du skickar i inom ramen för någon annan roll du har, exempelvis som facklig företrädare.

Finns det några begränsningar på vilka uppgifter som får skickas med e-post?

Följande uppgifter ska du inte skicka med e-post:

  • Känsliga personuppgifter får inte skickas med e-post.

Enligt dataskyddslagen är känsliga personuppgifter sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv, genetiska eller biometriska uppgifter. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.

  • Sekretesskyddade uppgifter får inte skickas med e-post.

En allmän handling är som huvudregel offentlig. I vissa fall kan man dock sekretessbelägga uppgifter och delar i allmänna handlingar, men då måste man ha stöd för det i någon av paragraferna i offentlighets- och sekretesslagen (SFS 2009:400).


Är en uppgift belagd med sekretess är det straffbart att röja den, det vill säga att muntligen eller via utlämnande av handling eller på annat sätt förmedla uppgiften. Att skicka uppgiften med e-post innebär att röja den.

  • Uppgifter som omfattas av säkerhetsskyddslagen (2018:585) får inte skickas med e-post.

Följande uppgifter bör du inte skickas med e-post

  • Integritetskänsliga uppgifter eller särskilt skyddsvärda uppgifter bör inte skickas med e-post

Även om en uppgift enligt dataskyddsförordningen inte klassas som en känslig uppgift kan den ändå vara särskilt skyddsvärd och bör därför inte skickas med e-post. Det kan till exempel vara fråga om löneuppgifter, uppgifter om lagöverträdelser, värderande uppgifter som till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler, information som rör någons privata sfär eller uppgifter om sociala förhållanden.

 

När det gäller personnummer bör du alltid vara restriktiv när det gäller att behandla dessa. Du ska göra en intresseavvägning mellan behovet av att exempelvis skicka dem per e-post och de integritetsrisker som det innebär. Personnummer anses vara särskilt skyddsvärda personuppgifter och man bör exponera ett personnummer så lite som möjligt.

Kan säkerhetsåtgärder göra det möjligt att skicka integritetskänsliga uppgifter eller särskilt skyddsvärda uppgifter med e-post?

Om integritetskänsliga uppgifter eller särskilt skyddsvärda uppgifter (ex personnummer) ska skickas via e-post kan en enklare kryptering vara en lämplig säkerhetshöjande åtgärd. Men observera att vid ett högre skyddsvärde bör mer avancerade krypteringsmetoder användas.

I Manual med sökordet kryptera finns två sätt att kryptera beskrivna som bägge bygger på att informationen finns i en bilaga.

Alt 1 via Office 2016 och senare kryptera filer. Alt 2 att kryptera filer via tredjepartprogrammet 7-zip. Bägge varianterna har stöd för AES 256-bitars kryptering.

Viktigt att tänka på:

  • Kryptera en kopia av filen som ska skickas och spara originalfilen på en säker plats.
  • Använd minst AES 256-bitars kryptering
  • Sätt ett nytt slumpmässigt och unikt lösenord på krypteringsfilen, helst med 16 tecken (återanvänd inte lösenordet vid flera tillfällen)
  • Distribuera lösenordet via annat medium, exempelvis via sms eller telefonsamtal.

Om ett fåtal personnummer behöver skickas via e-post, gör en bedömning om möjligheten att stryka de fyra sista siffrorna.

Används en gemensam godkänd samarbetsverktyg, exempelvis Aurora kan det räcka med att via e-post meddela mottagare att informationen finns på Aurora. Om du använder en molntjänstbaserad lagringsyta eller samarbetsverktyg måste du försäkra dig om att aktuell molntjänst får nyttjas för de typer av personuppgifter som behandlas. I Lathund för nyttjande av digitala samarbetsverktyg och lagringsytor inom Umus verksamhet finns en jämförelse av lagringstjänster som universitetet har tillgång till. Där kan du läsa dig till vilka du inte ska använda om du ska hantera känsliga personuppgifter.

Ett alternativ kan även vara att använda ett ärendehanteringssystem istället för att kommunicera via e-post. Kommer ett ärende in via e-post – flytta in ärendet i ärendehanteringssystemet och låt konversationen ske via ärendehanteringssystemet. Se till att ingen notifiering är påslagen.

Om enskild ber att per e-post få ut intyg eller andra handlingar som innehåller personuppgifter avseende sig själv, måste du försäkra dig om att den e-postadress som uppgivits som mottagaradress verkligen tillhör den enskilde. Avseende studenter utgör den i Ladok angivna e-postadressen den enda adress vi ska använda. Vid osäkerhet ska vanlig brevpost istället nyttjas.

Vad behöver jag tänka på i övrigt när det gäller personuppgifter?


Sprid inte personuppgifter i onödan. Skicka bara personuppgifter till dem som behöver uppgifterna för sitt arbete. Om du skickar e-post till många samtidigt, överväg om adresserna ska skrivas i fältet för hemlig kopia. Undvik att i samma e-postmeddelande skicka personuppgifter som rör många olika enskilda individer.


Vid förfrågningar om allmänna handlingar ska dessa lämnas ut i pappersform. Det är endast i de fall det underlättar för universitetets handläggning samt om de allmänna handlingarna inte innehåller personuppgifter som handlingen kan lämnas ut i elektronisk form.

Gäller samma regler om vilka uppgifter som får finnas i e-post ifall det är fråga om ett internt e-post meddelande?

När man hanterar e-post finns det alltid en risk för att andra än den avsedda mottagaren kan ta del av meddelandet. Umeå universitet anser därför att all e-post hantering ska följa samma regler - oavsett om e-posten skickas internt eller externt.

Datainspektionen har uttalat att den senaste tidens teknikutveckling har gjort att det blivit allt svårare att tala om intern hantering av e-post. Uppfattningen om att e-post som skickas inom en organisation inte går över öppna nät är i de flesta fall felaktig. Om det exempelvis finns funktioner för webbmejl innebär de så gott som alltid att e-post görs tillgängligt via ett öppet nät. Det gäller också när e-post, utan att gå över ett virtuellt privat nätverk, kan hämtas till e-postklienter utifrån via till exempel POP eller IMAP (okrypterade kommunikationskanaler). Detsamma gäller om vissa tjänster, till exempel antivirusfunktioner eller spamtvätt, tillhandahålls av en extern leverantör. Om hela eller delar av drift, administration eller underhåll av e-postsystemet läggs ut på en extern part, ett personuppgiftsbiträde, tillkommer frågor kring hur denne går till väga för att logga in till e-postsystemet. Funktioner för distansadministration används ofta över öppet nät.

Den ökade användningen av och synkroniseringen med mobila enheter, som mobiltelefon, gör också att det blir svårare att tala om intern hantering av e-post eftersom sådana ofta används utanför den egna organisationens lokaler och nätverk.

Hur ska jag hantera den e-post som kommer till mig?

E-post till universitetets alla e-postadresser ska hanteras som annan post. Vilket betyder att den ska bevaras och beaktas enligt samma regler som för vanlig post. Av det följer att någon exempelvis kan begära att få ta del av en förteckning över den post du har i din e-postlåda och även att få se de brev i den som är offentlig handling. Om en sådan begäran inkommer kan du få en kort tid på dig för att rensa ut de brev som inte omfattas av denna regel. Det kan vara något personligt du fått. Du kan bara hävda att du behöver någon eller några timmar för att göra detta så det bör ingå i de dagliga rutinerna att göra den här gallringen i din e-postlåda.


Personuppgifter i e-post som du får in och som ska fortsätta att behandlas, i exempelvis ett system för ärendehanteringen eller studieadministration, bör du överföra dit och sedan bör du radera e-postmeddelandet (både från inkorgen och från mappen borttagna objekt).


Det är olämpligt att använda e-post för att behandla personuppgifter långsiktigt. E-post är inte en säker förvaring och det kan vara svårt att hitta uppgifter om en enskild i e-posten eller säkerställa att uppgifterna blir gallrade när så ska ske. För att göra det lättare att följa dataskyddsförordningen kan det därför vara viktigt att flytta vissa uppgifter från e-posten till ett lämpligare system, som ett ärendehanteringssystem. Se även Regel för användning av e-post.

Hur ska jag agera om den e-post som kommer in innehåller personuppgifter som inte ska finnas i e-post?

Försök att i möjligaste mån styra bort enskilda från att skicka in känsliga personuppgifter via e-post. Om du får in känsliga uppgifter via e-post, se till att meddelandena tas bort från inkorgen och även från mappen borttagna objekt så snart som möjligt. Om det finns en rättslig grund för att lagra de uppgifter som kommit in bör du så snart som möjligt överföra dem till det system där de hör hemma – till exempel ett system för ärendehantering, studieadministration, personaladministration.

Om ett sådant system inte finns och e-posten utgör en allmän handling ska den skrivas ut och hanteras i enlighet med reglerna för allmänna handlingar.

Exempel: Sjukdomstillstånd betraktas som känslig personuppgift. Då en medarbetare eller student skickar in sin sjukdomsbild via exempelvis e-post så är det universitetets ansvar att hantera den informationen på ett säkert sätt. Det innebär att föra över informationen till rätt system eller annat skyddat dokument och därefter radera informationen i e-posten (inkl. i borttaget).

Om den inkomna e-posten ska besvaras så ska detta göras med ett nytt meddelande eller om man svarar ska den känsliga informationen raderas från meddelandet. I svaret bör ingen information om sjukdomstillståndet beskrivas.

Den enskilde har alltså rätt till att skicka in sin information men universitetet som myndighet får inte fortsätta sprida den.

Chatarina Larson
2020-04-02