FAQ Personuppgiftsfrågor

Gå direkt till

Allmänt uppdaterad 2020-03-24
Personuppgiftsbiträden
Personuppgifter och allmänna handlingar
Personuppgifter och e-post
Studieadministration publicerad 2021-06-24

 

 Allmänt

När gäller dataskyddsförordningen?

 

Dataskyddsförordningen gäller för behandling av personuppgifter som sker helt eller delvist automatiserat. Förordningen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter (exempelvis en databas eller register) som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier.

För att behandling av personuppgifter ska vara tillåten måste de krav som ställs i dataskyddsförordningen vara uppfyllda. När någon anställd vid universitetet behandlar personuppgifter måste denne försäkra sig om att behandlingen inte strider mot dataskyddsförordningen samt annan lagstiftning på området exempelvis Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Vem är personuppgiftsansvarig vid Umeå universitet?

Det är den juridiska personen Umeå universitet som är personuppgiftsansvarig för den behandling av personuppgifter som sker vid universitetet, samt vid extern part som behandlar personuppgifter för universitetets räkning (personuppgiftsbiträde).

Har universitet utsett ett dataskyddsombud?

Alla myndigheter måste utse ett dataskyddsombud. För närvarande är universitetsjuristerna Marit Juselius och Tobias Nyström utsedda till dataskyddsombud vid Umeå universitet. Dataskyddsombuden nås på pulo@umu.se

Vad är personuppgifter?

Varje uppgift som direkt eller indirekt kan kopplas till en levande person är en personuppgift. Detta innebär att det inte bara är namn och personnummer som kan vara personuppgifter utan även användarnamn, Umu-id, e-post- eller IP-adresser, biometriska data, fysiologiska uppgifter och även exempelvis en röstinspelning. Enkätsvar där man vet vem som har svarat utgör personuppgifter.

Även kombinationer av uppgifter kan utgöra personuppgifter om det genom uppgifterna är möjligt att koppla dessa till en fysisk person. Även om exempelvis namn, personnummer eller adress inte registreras kommer övriga uppgifter som registreras att utgöra personuppgifter om man med ledning av de övriga uppgifterna kan identifiera en särskild person.

För all behandling av personuppgifter (samla in, lagra, bearbeta m.m.) måste man följa dataskyddsförordningens samtliga principer för behandling.

Vad menas med att det finns olika typer av personuppgifter?

Enligt dataskyddslagen är känsliga personuppgifter sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv, genetiska eller biometriska uppgifter. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.

Även om en uppgift inte klassas som en känslig uppgift kan den ändå vara en integritetskänslig/särskilt skyddsvärd personuppgift. Det kan till exempel vara fråga om löneuppgifter, uppgifter om lagöverträdelser, värderande uppgifter som till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler, information som rör någons privata sfär eller uppgifter om sociala förhållanden. Personnummer anses vara särskilt skyddsvärda personuppgifter.

Eftersom varje uppgift som direkt eller indirekt kan kopplas till en levande person anses vara en personuppgift används ofta begreppet vanliga personuppgifter för att beskriva sådana uppgifter som vare sig är känsliga eller integritetskänsliga/särskilt skyddsvärda personuppgifter.

Vad menas med att behandla personuppgifter?

Varje åtgärd eller kombination av åtgärder som vidtas med personuppgifter oberoende av om de utförs automatiserat eller inte:

T.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. I princip allt som man gör med uppgifterna.

De personuppgifter som jag ska behandla är anonymiserade, måste jag ändå följa dataskyddsförordningen?

Det beror på vad du menar med anonymiserade uppgifter, och hur upplägget ser ut just i ditt specifika fall. Även s.k. anonymiserade uppgifter omfattas av Dataskyddsförordningen så länge det finns en kodnyckel bevarad som gör det möjligt att identifiera enskilda individer. Med anonymiserade uppgifter avses uppgifter som är (1) kodade (pseudonymiserade); eller (2) helt avidentifierade.

Med kodade uppgifter (pseudonymisering) avses att enskilda individer inte kan identifieras direkt utifrån uppgifterna, men där en kodnyckel finns bevarad som gör det möjligt att senare komplettera uppgifterna, och även identifiera vilken individ som uppgifterna avser.

Kodnyckeln måste förvaras separat och vara föremål för tekniska och organisatoriska säkerhetsåtgärder för att uppgifterna ska anses vara pseudonymiserade. Kodnyckeln behöver inte finnas vid Umeå universitet, eller ens vara tillgänglig för Umeå universitet.

Med avidentifierade uppgifter avses sådana personuppgifter som inte innehåller någon information som går att koppla ihop med en enskild individ. Så kan vara fallet om kodnyckel saknas och uppgifterna har lämnats anonymt. I de fall där kodnyckel har upprättats upphör uppgifterna att betraktas som personuppgifter först när kodnyckeln förstörs på ett sätt som gör det helt omöjligt att återskapa den, eftersom uppgifterna då inte kan kopplas samman med en person.

Även om kodnyckeln förstörts eller aldrig funnits kan det ibland ändå vara möjligt
att identifiera enskilda individer. Exempelvis om uppgifterna direkt kan
hänföras till en så begränsad grupp personer att en enskild individ med hjälp
av andra uppgifter kan identifieras, eller att rösten på en inspelning
kan kännas igen, eller att intervjusvaren är sådana att det går att lista ut
vem personen är. I sådana fall är uppgifterna fortfarande att betrakta som
personuppgifter.

Sammanfattningsvis: Så länge (1) en kodnyckel finns kvar eller (2) avidentifierade uppgifter genom andra uppgifter går att härleda till en särskild individ, är uppgifterna inte avidentifierade i dataskyddsförordningens mening, vilket innebär att man måste följa reglerna som anges i dataskyddsförordningen för att behandlingen ska vara tillåten. Uppgifterna upphör vara personuppgifter först när det inte längre finns någon som helst möjlighet att koppla uppgifterna till en enskild individ, och dataskyddsförordningen är då inte tillämplig (vilket kan vara fallet om kodnycklar förstörts).

Om uppgifterna har lämnats helt anonymt vid datainsamlingen från enskilda individer är det inte heller frågan om personuppgifter.

Tänk alltid efter om det verkligen är nödvändigt att behöva identifiera vem som har lämnat uppgifterna – om inte, undvik att registrera uppgifter som gör att personer kan identifieras så behöver ni inte tänka på dataskyddsförordningen.

Grundläggande krav

Personuppgifter får enbart samlas in för uttryckligt angivna och berättigade ändamål, och de insamlade personuppgifterna får därefter inte användas för andra ändamål som är oförenliga med de ursprungliga. Man får inte heller behandla fler personuppgifter än vad som är nödvändigt för att uppfylla ändamålet med behandlingen, och personuppgifterna får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Personuppgifter som behandlas ska vara korrekta och uppdaterade och behandlas på ett sätt som säkerställer att en lämplig säkerhetsnivå råder för personuppgifterna. Den person som personuppgifterna avser ska som huvudregel informeras om behandlingen av uppgifterna (dataskyddsförordningen art 13-14).

Man måste alltså formulera ett klart ändamål med insamlingen av uppgifterna. Det är viktigt att personuppgifterna inte kommer att sparas längre än nödvändigt för att uppnå ändamålet, samt att personuppgifterna raderas när ändamålet har uppfyllts såvida det inte i någon annan lag finns krav på bevarande (exempelvis arkivlagen). Raderingen ska utföras på ett sådant sätt att personuppgifterna inte går att återskapa sedan.

Behandlingen ska:

• vara laglig och korrekt och ske på ett öppet sätt;
• ske enbart för särskilt uttryckligt angivna och berättigade ändamål (ändamålsbegränsning);

• får inte senare behandlas på ett sätt som är oförenligt med de ursprungliga ändamålen.

Personuppgifterna som behandlas:

• ska vara adekvata och relevanta och får inte vara fler än vad som är nödvändigt (uppgiftsminimering);
• ska vara korrekta och om nödvändigt uppdaterade (korrekthet);
• får inte bevaras under längre tid än nödvändigt (lagringsminimering);
• ska behandlas på ett säkert sätt.

Sammanfattningsvis ska den som behandlar personuppgifter se till:

• att säkerställa att det alltid finns en rättslig (laglig) grund för behandling av personuppgifter;
• att personuppgifterna är korrekta och uppdaterade;
• att ändamålet är särskilt och uttryckligt angivet;
• att personuppgifterna är relevanta och inte för omfattande i relation till syftet med behandlingen av personuppgifterna;
• att personuppgifter inte behandlas längre än nödvändigt med hänsyn till syftet. Vad som ska gallras eller bevaras framgår av Umeå universitets dokumenthanteringsplan;
• att vidta tekniska och organisatoriska åtgärder för att säkerställa tillräckligt skydd för personuppgifterna så de inte riskerar att komma i orätta händer eller bli manipulerade;

Vilka rättigheter har individen enligt dataskyddsförordningen?

Individen har flera rättigheter gentemot Umeå universitet:

• Rätt till information – individen har som huvudregel rätt att få information när personuppgifterna hanteras och vid vissa speciella situationer, så som dataintrång (så kallade personuppgiftsincidenter).
• Rätt till rättelse – individen ska få möjlighet att rätta felaktiga personuppgifter, och i viss mån komplettera ofullständiga personuppgifter.
• Rätt till radering ("rätten att bli bortglömd") – i vissa fall har individen rätt att få sina uppgifter raderade.
• Rätt till begränsning av behandling – i vissa fall har individen rätt att begära att hanteringen begränsas. Detta kan ske genom att personuppgifterna markeras för att i framtiden hanteras endast för vissa avgränsade syften.
• Dataportabilitet – under vissa förutsättningar har individen rätt att få ut och överföra personuppgifterna till ett annat ställe (t.ex. annan organisation).
• Individen har i vissa fall rätt att göra invändningar mot vidare behandling av personuppgifter.
• Rätt att inte bli föremål för ett beslut, som har rättslig verkan, genom ett automatiserat beslutsfattande (inklusive profilering), om det inte finns ett undantag i annan lag eller samtycke har givits.
• Klagomål och skadestånd– individen har rätt att lämna klagomål till Umeå universitet och Datainspektionen.

 

Kan universitetet fotografera och spara fotolistor på studenter?

Umeå universitet har en laglig grund (allmänt intresse) att behandla studenternas personuppgifter eftersom vi ska utbilda och examinera studenterna. Det betyder dock inte att universitetet får behandla personuppgifter hur som helst. Umeå universitet får bara använda personuppgifterna för de ändamål vi samlat in dem för (exempelvis utbilda och examinera) och universitetet får inte behandla fler uppgifter än vad som man behöver för det ändamålet. En annan viktig princip är att personuppgifterna ska behandlas på ett säkert sätt så att obehöriga inte får tillgång till dem.

Vad gäller fotografering av studenter kan det vara tillåtet enligt dataskyddsförordningen att ha fotolistor på studenterna i det fall fotona behövs för att kunna utbilda och examinera studenterna. I annat fall innebär foton på studenterna troligen att fler personuppgifter samlas in än vad som behövs för ändamålet. I det fall man kommer fram till att foton behövs, så är det viktigt att se till att inte sprida bilderna till andra än de lärare som behöver dem och inte spara bilderna längre än nödvändigt.

Får jag samla in personuppgifter till anställdas anhöriga för att kunna kontakta dem i händelse av olycka eller kris?

Ja. Eftersom både arbetsgivare och anställda ofta har ett intresse av att arbetsgivaren ska kunna ta kontakt med en nära anhörig till den anställda vid olyckshändelse eller sjukdom under arbetstid får arbetsgivaren behandla kontaktuppgifter till anhöriga för det ändamålet. För Umu som är en myndighet  får behandlingen ske med allmänt intresse som rättslig grund och vi ska därför inte samla in något samtycke för denna behandling.

Anställda kan själva skriva in anhörigs namn och telefonnummer i PASS. Det finns en ruta märkt "Anhörig" under fliken "Personuppgifter".  

Den anställda som lämnar kontaktuppgifter om anhörig måste meddela den anhöriga att namn och telefonnummer finns hos Umeå universitet för att Umu ska kunna kontakta hen vid olycka eller sjukdom som hänt under arbetstid. Vill den anhöriga veta mer kan den anställde alltid hänvisa till denna länk: Behandling av personuppgifter.

Vad gäller om man vill behandla fullständigt personnummer?

Personnummer anses vara en extra skyddsvärd personuppgift. Man ska vara mycket restriktiv med att registrera personnummer. I många fall är det tillräckligt att bara registrera födelsedata istället (sex första siffrorna i personnumret). Om man ändå vill registrera fullständigt personnummer måste man se till att uppfylla kraven i dataskyddsförordningen och Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Det innebär bl.a. följande.

Enligt dataskyddslagen 3 kap 10 § framgår att om man inte har samtycke från den registrerade får personnummer endast behandlas vid följande situationer:
1) när det är klart motiverat med hänsyn till ändamålet med behandlingen,
2) vikten av en säker identifiering, eller
3) något annat beaktansvärt skäl.

Observera att universitetet som myndighet är mycket begränsad i rätten att kunna stödja sin behandling av personuppgifter på samtycke, och vi kommer därför i de allra flesta fall att behöva ha stöd i någon av punkterna 1-3 ovan för att ha rätt att behandla personnummer.

Om man saknar samtycke men kommer fram till att någon av situationerna i 1-3 ovan är uppfyllda, måste man även uppfylla de grundläggande kraven i artikel 5 dataskyddsförordningen, samt stödja sig på någon av de rättsliga grunder som anges i artikel 6 dataskyddsförordningen för att få behandla personnummer.

Behandling av fullständigt personnummer förutsätter därför, enligt artikel 5 dataskyddsförordningen, bl.a. att behandlingen av personnummer inte är för omfattande i förhållande till ändamålen med behandlingen (principen om uppgiftsminimering). Det betyder att om man klarar av att uppnå syftet med behandlingen utan att registrera personnummer är det inte tillåtet att registrera personnummer. Ett alternativ i många fall är därför att enbart använda sig av födelsedata istället.

Är det någon skillnad mellan att behandla fullständigt personnummer och att behandla födelsedata?

Födelsedata utgörs av de sex första siffrorna i personnumret. Fullständigt personnummer anses vara en extra skyddsvärd personuppgift och regleras särskilt i Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) 3 kap 10 § (läs mer i föregående fråga). Vid behandling av fullständigt personnummer måste man ta hänsyn både till regleringen i dataskyddsförordningen och i dataskyddslagen. Det råder således strängare krav som måste uppfyllas för att få behandla fullständigt personnummer än enbart födelsedata.

Enligt dataskyddsförordningen får man inte behandla fler uppgifter än vad som är nödvändigt för att uppfylla ändamålet med sin behandling. Om man kan uppnå ändamålen med sin behandling genom att enbart registrera födelsedata, får man inte behandla fullständigt personnummer.

 

Vad gäller vid undervisning på distans?

Att spela in och publicera en föreläsning med enbart anställd personal är tillåtet utifrån dataskyddsperspektivet, då detta är en del av den anställdes uppdrag. Att livestreama en föreläsning för dem som annars skulle ha deltagit i lokalen är också tillåtet. Detta med den rättsliga grunden allmänt intresse tillsammans med högskolelagens krav på att lärosäten ska bedriva undervisning. I samband med utbildning ska inte den rättsliga grunden samtycke från studenterna tillämpas.

Det är viktigt är att informera studenterna om att en personuppgiftsbehandling sker genom den digitala uppkopplingen (hänvisa till www.umu.se/gdpr) samt att informera om inget sparas. Det är även lämpligt att ge studenter möjlighet att kunna ställa frågor utanför föreläsningen. Känsliga personuppgifter eller sekretessbelagd information ska inte delas i Zoom, Skype eller Teams. Läs mer på sidan Personuppgiftsbehandling vid undervisning och examination på distans

Vad gäller vid examination på distans?

När studenter examineras behandlar universitetet studenternas personuppgifter med stöd av den rättsliga grunden allmänt intresse. I och med att examination anses vara myndighetsutövning kan de rättsliga grunderna intresseavvägning och samtycke från studenterna inte tillämpas i samband med examination.

Den rättsliga grunden allmänt intresse ger också universitetet utrymme att behandla studenternas personuppgifter när vi kräver att de identifierar sig genom att uppvisa legitimation. I samband med digitala tentamensformer kan det finnas ett behov av att såväl identifiera studenten som att övervaka studenten under pågående skrivning. Det är viktigt är att informera studenterna om att en personuppgiftsbehandling sker genom den digitala uppkopplingen (hänvisa till www.umu.se/gdpr) samt att informera om inget sparas.

Om identifiering vid en digital examination ska ske genom uppvisande av legitimation finns risk att personnumret kan ses av övriga examensdeltagare. Identifiering genom legitimation måste därför ske på ett sådant sätt att övriga deltagare inte har möjlighet att se personnumret. Identifiering kan till exempel då ske med hjälp av fotolistor.

En övervakning av examinationen i exempelvis Zoom kan anordnas på motsvarande sätt som vid en salstentamen utan att en inspelning av studenterna sker. Detta skulle då innebära att läraren eller annan övervakar studenternas tentamensskrivning via den digitala uppkopplingen. Denna typ av övervakning får universitetet anses ha rättslig grund för i högskolelagen och dataskyddsförordningen med hänvisning till allmänt intresse.

Däremot torde en inspelning av studenter i deras hemmiljö anses vara ett sådant intrång i den personliga integriteten att uttryckligt lagstöd krävs för att universitetet som myndighet ska anses ha den rätten. Eftersom uttryckligt lagstöd saknas är det dataskyddsombudets uppfattning att en inspelning av studenterna i deras hemmiljö strider mot dataskyddsförordningen. Läs mer på sidan Personuppgiftsbehandling vid undervisning och examination på distans

Personuppgiftsbiträden

När krävs ett personuppgiftsbiträdesavtal?

Ett personuppgiftsbiträde är någon som behandlar personuppgifter för den personuppgiftsansvariges räkning. D.v.s. att någon utanför Umeå universitet behandlar personuppgifter som universitetet är personuppgiftsansvarig för. För att det ska vara tillåtet krävs enligt dataskyddsförordningen att universitetet upprättar ett personuppgiftsbiträdesavtal (PUBA) med den som ska behandla personuppgifter för universitetets räkning.

Umeå universitet har tagit fram en mall för PUBA som uppfyller kraven som ställs på universitetet i dataskyddsförordningen. Kontakta dataskyddsombudet för att få tillgång till mallen.

Vem får underteckna ett personuppgiftsbiträdesavtal för universitetets räkning?

Alla personuppgiftsbiträdesavtal (PUBA) ingås av Umeå universitet. Det är alltid Umeå universitet som är part i PUBA, enskilda anställda kan aldrig vara part i ett PUBA. Oavsett om universitetet är personuppgiftsansvarig eller personuppgiftsbiträde i avtalet ska det enligt rektors delegationsordning undertecknas av universitetsdirektör.

Förfrågningar om PUBA ska skickas till pulo@umu.se för juristgranskning.

Personuppgifter och allmänna handlingar

Vad gäller om någon begär att få ta del av allmänna handlingar som innehåller personuppgifter?

Allmänna handlingar innehåller ofta personuppgifter. Dataskyddsförordningen hindrar inte utlämnande av allmänna handlingar. Utgör uppgifterna allmänna handlingar ska de lämnas ut om inte sekretess hindrar ett utlämnande. För att neka ett utlämnande av allmänna handlingar krävs alltså ett lagstöd, dvs det ska finnas en tillämplig sekretessbestämmelse i offentlighets- och sekretesslagen (OSL) eller annan lag som gör att sekretess råder för uppgifterna.

Om de uppgifter som begärs utlämnade innehåller personuppgifter måste sekretessprövningen, även omfatta prövning huruvida det föreligger "GDPR-sekretess" enligt OSL 21 kap 7 §. Vid en sådan prövning ska man bedöma om det kan antas att den som begär ut personuppgifterna kommer att behandla dem på ett sätt som strider mot 21 kap 7 § OSL.

Vad innebär "GDPR-sekretess"?

GDPR-sekretess regleras i OSL 21 kap 7 §. Den innebär att om det kan antas att personuppgifterna kommer att behandlas i strid med dataskyddsförordningen, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) eller med 6 § etikprövningslagen, efter att uppgifterna har lämnats ut till mottagaren, föreligger det sekretess för personuppgifterna. I sådana fall ska universitetet neka mottagaren att få ta del av uppgifterna.

För att avgöra om GDPR-sekretess föreligger ska man alltså bedöma om mottagarens behandling av personuppgifterna efter ett utlämnande är förenlig med;
1) dataskyddsförordningen;
2) dataskyddslagen;
3) 6 § etikprövningslagen (aktuellt enbart om känsliga personuppgifter eller uppgifter om lagöverträdelser ska användas för forskning).

Om universitetet kommer fram till att mottagarens behandling är förenlig med ovanstående, och att det inte finns någon annan sekretessbestämmelse som är tillämplig, ska uppgifterna lämnas ut.

Hur bedömer jag om "GDPR-sekretess" föreligger? Dvs om mottagarens avsedda behandling av personuppgifterna strider mot dataskyddsförordningen, dataskyddslagen eller 6 § etikprövningslagen?

För att kunna bedöma om uppgifterna omfattas av GDPR-sekretess kan universitetet behöva fråga hur och till vad sökanden ska använda uppgifterna (i vanliga fall får vi inte efterfråga något sådant). Man får inte börja ställa frågor bara för att en personuppgift begärs utlämnad. Det ska finnas någon konkret omständighet som gör att det kan antas att personuppgifterna efter utlämnandet kommer att behandlas på ett sätt som omfattas av dataskyddslagstiftningen.

Exempel på sådana omständigheter är massuttag av personuppgifter, eller selekterade uppgifter (urval av personer med viss utbildning, visst examensår, visst åldersspann osv.). Om begäran däremot endast avser enstaka uppgifter finns det sällan anledning att anta att mottagarens behandling strider mot dataskyddsförordningen, dataskyddslagen eller 6 § etikprövningslagen, och vi ska inte efterfråga mer information om syftet med behandlingen. Detsamma gäller om uppgifterna begärs utlämnade för journalistiska ändamål.

Vi får inte ställa mer inträngande eller fler frågor än vad som krävs för att göra sekretessbedömningen. Om frågorna besvaras på ett konkret sätt och sökandens redogörelse framstår som sannolik bör den godtas. Vid osäkerhet kring hur sekretessen ska bedömas bör en jurist rådfrågas.
Följande upplysningstext kan skickas till sökanden i samband med att man efterfrågar mer information:

"De uppgifter som du har begärt att få ta del av utgör personuppgifter. Enligt offentlighets- och sekretesslagen (2009:400) 21 kap 7 § föreligger sekretess för personuppgifter om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med EU:s allmänna dataskyddsförordning (EU 2016/679), lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, eller 6 § lagen (2003:460) om etikprövning av forskning som avser människor. För att kunna göra en sådan bedömning har vi rätt att fråga den person som begär att få ta del av uppgifterna vad denne ska använda uppgifterna till. Jag ber dig därför att kort redogöra för på vilket sätt du avser att använda uppgifterna."

Kan jag lämna ut uppgifter om personnummer?

Dataskyddsförordningen gäller för behandling av personuppgifter som helt eller delvis sker på automatiserad väg, samt på manuell behandling av personuppgifter om personuppgifterna ingår i eller kommer att ingå i ett register. Personnummer utgör en extra skyddsvärd personuppgift och regleras särskilt i dataskyddslagen (2018:218).

Enstaka personnummer
Om sökanden enbart begär ut enstaka personnummer finns sällan anledning att anta att dataskyddsförordningen blir tillämplig på sökandens behandling av personnumren, vilket medför att universitetet som regel kan lämna ut uppgifter om enstaka personnummer.

Fler än enstaka personnummer
Oftast är det dock så att ett flertal uppgifter om personnummer begärs ut av sökanden. Då kan man oftast anta att dataskyddsförordningen kommer att vara tillämplig på sökandens behandling av personnumren, och man måste bedöma om det råder GDPR-sekretess. Vid sekretessprövningen av om utlämnande ska ske eller inte måste följande beaktas. En sökande som vill ha ut uppgifter som innehåller personnummer får enligt dataskyddslagen endast behandla personnummer om det finns samtycke till det, eller det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl. Om ingen av dessa förutsättningar är uppfyllda anses sekretess råda för personnummer enligt OSL 21 kap 7 §, eftersom mottagarens behandling då strider mot dataskyddslagen, och universitetet ska inte lämna ut uppgifterna.

Om någon av ovanstående förutsättningar är uppfyllda måste universitetet även ta ställning till om det är nödvändigt för mottagaren att behandla fullständigt personnummer för att uppnå sitt syfte med behandlingen. Om mottagaren kan uppnå sitt syfte utan att registrera fullständigt personnummer är det inte enligt dataskyddsförordningen tillåtet för mottagaren att behandla personnummer, och sekretess anses då råda för personnummer enligt OSL 21 kap 7 §, eftersom mottagarens behandling då strider mot dataskyddsförordningen. Ofta är det tillräckligt att använda sig av födelsedata istället (sex första siffrorna i personnumret).

Kan jag lämna ut personuppgifter om mottagaren ska använda uppgifterna för direkt marknadsföring?

Studenters och anställdas personuppgifter efterfrågas många gånger av företag och andra utomstående för att de ska användas i marknadsföringssyfte.

När en sådan begäran inkommer måste alltid en sekretessprövning göras, där vi ska ta ställning till om mottagarens behandling är förenlig med dataskyddsförordningen och dataskyddslagen (2018:218). Mottagaren måste uppfylla de grundläggande kraven i artikel 5 dataskyddsförordningen, samt stödja sig på någon av de rättsliga grunder som anges i artikel 6 dataskyddsförordningen för att få behandla personuppgifterna.

I sekretessprövningen ska vi ta ställning till om de uppgifter som begärs ut är nödvändiga för att uppfylla sökandens ändamål med behandlingen, eller om ändamålet kan uppnås med färre uppgifter. Mottagaren måste även ha en rättslig grund enligt artikel 6 i dataskyddsförordningen för att få behandla personuppgifterna. Många gånger kan företagets behov av personuppgifterna för direkt marknadsföring betraktas som ett berättigat intresse enligt dataskyddsförordningen och företaget har då rätt att behandla dem efter en intresseavvägning. Så är fallet när marknadsföringens omfattning är förhållandevis begränsad (två utskick per år), inte rör känsliga personuppgifter (namn, adress, telefonnummer, e-postadress, födelsedata och resultat är inte känsliga personuppgifter), och marknadsföringens innehåll inte i sig kan betraktas som integritetskränkande.

E-postadresser till privatpersoner får lämnas ut till mottagaren även om de ska användas för marknadsföringssyften. Mottagaren måste dock enligt marknadsföringslagen (2008:486) 19 § inhämta samtycke från personen för att få skicka marknadsföring till dennes e-postadress. Att mottagaren måste följa vad som anges i marknadsföringslagen när de använder sig av e-postadresserna blir en fråga för mottagaren att hantera och inte för universitetet. Det kan dock vara bra att vid utlämnandet erinra mottagaren om att denne är skyldig att följa reglerna i dataskyddsförordningen. Samt, om e-postadress lämnas ut – erinra om kravet i Marknadsföringslagens 19 §; att marknadsföring direkt till en fysisk persons e-postadress får skickas enbart om den registrerade personen har samtyckt till det på förhand. Att e-postadresserna lämnas ut av universitetet innebär inte att något sådant samtycke har lämnats från de registrerade.

Utlämnande av känsliga personuppgifter för forskningsändamål

Om uppgifter begärs utlämnade för forskningsändamål måste universitetet alltid göra en sekretessprövning för att bedöma om uppgifterna kan lämnas ut. Det innebär att om uppgifterna innehåller personuppgifter (även s.k. pseudonymiserade personuppgifter där kodnyckel finns omfattas) ska universitetet bedöma om det råder sekretess för uppgifterna däribland GDPR-sekretess enligt OSL 21 kap 7§.

Om de efterfrågade personuppgifterna utgör känsliga personuppgifter och efterfrågas för att användas i forskning är förekomsten av ett etikprövningstillstånd en förutsättning för att uppgifterna ska kunna lämnas ut. Före utlämnande av känsliga personuppgifter för forskningsändamål måste mottagaren därför uppvisa ett godkänt etikprövningstillstånd för att universitetet ska kunna göra en sekretessprövning. Om mottagaren inte har ett godkänt etikprövningstillstånd råder sekretess enligt OSL 21 kap 7 § och uppgifterna får inte lämnas ut. Om ett godkänt etikprövningstillstånd finns som omfattar de personuppgifter som begärts ut, går man vidare och bedömer om mottagarens behandling även är förenlig med dataskyddsförordningen och dataskyddslagen.

Mottagaren måste alltid uppfylla de grundläggande kraven i artikel 5 dataskyddsförordningen, samt stödja sig på någon av de rättsliga grunder som anges i artikel 6 dataskyddsförordningen för att få behandla personuppgifterna. Om uppgifterna ska användas för forskning av annat lärosäte kan den rättsliga grunden "uppgift av allmänt intresse" utgöra grund för mottagarens behandling.

Hur ska uppgifterna lämnas ut?

Det finns ingen skyldighet att lämna ut allmänna handlingar i digital form som e-post. Om de uppgifter som ska lämnas ut innehåller personuppgifter bör ett utlämnande ske i pappersform.

Om man överväger att lämna ut allmänna handlingar som innehåller personuppgifter i annat än pappersform, exempelvis för forskning där etikprövningstillstånd till behandlingen föreligger, måste lämpliga tekniska och organisatoriska åtgärder vidtas för att uppgifterna ska skyddas. Om uppgifterna innehåller känsliga personuppgifter eller personnummer ökar naturligtvis kraven kraftigt på sättet för överföring av uppgifter och säkerheten. Är de uppgifter som lämnas ut av mer allmän karaktär, exempelvis sådana uppgifter som redan framgår av vår externa web kan e-post vara ett alternativ för överföring.

Måste jag enligt dataskyddsförordningen informera de registrerade personerna om att deras personuppgifter har lämnats ut?

I dataskyddsförordningen finns bestämmelser om när och vilken information som ska lämnas till de registrerade (se även universitetets checklista här: https://www.aurora.umu.se/globalassets/dokument/universitetsforvaltningen/universitetsledningens-kansli/juridik/checklista-information-till-registrerad-2018-10-17.pdf).

Om universitet till följd av offentlighetsprincipen lämnar ut allmänna handlingar som innehåller personuppgifter behöver universitetet inte informera de registrerade om utlämnandet (det följer av dataskyddsförordningen artikel 14.5c). Detta gäller oavsett för vilket ändamål uppgifterna lämnas ut och alltså även när uppgifterna lämnas ut för forskningsändamål.

Samma sak gäller för mottagaren, den är inte heller skyldig att informera de registrerade om att uppgifterna har lämnats ut till mottagaren. Mottagaren kan dock ändå behöva informera de registrerade vid användande av känsliga personuppgifter i forskning, om etikprövningsnämnden i sitt etikprövningsbeslut har angett att de registrerade ska informeras.

Personuppgifter och e-post

Behandlar man personuppgifter när man skickar och tar emot e-post?

E-post innebär i princip alltid att man behandlar personuppgifter. Själva e-postadressen i sig är oftast en personuppgift och all annan information i meddelandet som kan kopplas till en enskild person är också personuppgifter. Den personuppgiftsbehandling som sker i e-post ska därför uppfylla alla krav i dataskyddsförordningen.

Det som skiljer e-post från annan uppgiftshantering är att innehållet oftast är okänt när e-posten kommer in till Umeå universitet. Utgångspunkten är att vi behöver ta hand om inkommande post. När du läst e-posten måste du därför bedöma hur personuppgifterna ska behandlas och vilket rättsligt stöd du har för den fortsatta behandlingen. Det beror alltså på innehållet om och hur länge e-postmeddelandet får sparas.

E-post som kommer in till en myndighet blir normalt en allmän handling som ska diarieföras, registreras eller på annat sätt hållas ordnad om den inte är av ringa eller tillfällig betydelse och därför kan gallras. Under rubriken Arkiv och diarium i regelverket finns Umeå universitets antagna dokumenthanteringsplaner. Där får du mer detaljerad information kring registrering, bevarande och gallring.

När du skickar svarsmejl eller autosvar, använd gärna den signatur som heter Template mall Umu 190218 och hämtas i e-postprogrammets mallar för signaturer. Signaturen följer den grafiska profilen och är kompletterad med information om att Umeå universitet behandlar personuppgifter och med länk till vår sida på umu.se som beskriver hur Umeå universitet behandlar personuppgifter. Signaturen innehåller både svensk och engelsk text.

Vilken rättslig grund gäller när uppgifter behandlas i e-post?

När du mottar eller skickar e-post inom ramen för dina arbetsuppgifter och universitetets uppgifter grundar universitetet personuppgiftsbehandlingen i e-posten på de rättliga grunder som finns för verksamheten i stort (se art 6 dataskyddsförordningen).

• Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (exempelvis utbildning och forskning) eller som ett led i myndighetsutövning (exempelvis examinera studenter).
• Behandlingen är nödvändig för att fullgöra ett avtal eller en rättslig förpliktelse (exempelvis internationella studenter och utredning av arbetsskador).

Utgångspunkten är att det är tillåtet att behandla personuppgifter för att uppfylla kraven i arkivlagen om bevarande av allmänna handlingar.

Du ska inte använda din e-post vid Umu för privat e-post eller e-post du skickar i inom ramen för någon annan roll du har, exempelvis som facklig företrädare.

Finns det några begränsningar på vilka uppgifter som får skickas med e-post?

Följande uppgifter ska du inte skicka med e-post:

• Känsliga personuppgifter får inte skickas med e-post.

Enligt dataskyddslagen är känsliga personuppgifter sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv, genetiska eller biometriska uppgifter. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.

• Sekretesskyddade uppgifter får inte skickas med e-post.

En allmän handling är som huvudregel offentlig. I vissa fall kan man dock sekretessbelägga uppgifter och delar i allmänna handlingar, men då måste man ha stöd för det i någon av paragraferna i offentlighets- och sekretesslagen (SFS 2009:400).

Är en uppgift belagd med sekretess är det straffbart att röja den, det vill säga att muntligen eller via utlämnande av handling eller på annat sätt förmedla uppgiften. Att skicka uppgiften med e-post innebär att röja den.

• Uppgifter som omfattas av säkerhetsskyddslagen (2018:585) får inte skickas med e-post.

Följande uppgifter bör du inte skickas med e-post

• Integritetskänsliga uppgifter eller särskilt skyddsvärda uppgifter bör inte skickas med e-post

Även om en uppgift enligt dataskyddsförordningen inte klassas som en känslig uppgift kan den ändå vara särskilt skyddsvärd och bör därför inte skickas med e-post. Det kan till exempel vara fråga om löneuppgifter, uppgifter om lagöverträdelser, värderande uppgifter som till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler, information som rör någons privata sfär eller uppgifter om sociala förhållanden.

 

När det gäller personnummer bör du alltid vara restriktiv när det gäller att behandla dessa. Du ska göra en intresseavvägning mellan behovet av att exempelvis skicka dem per e-post och de integritetsrisker som det innebär. Personnummer anses vara särskilt skyddsvärda personuppgifter och man bör exponera ett personnummer så lite som möjligt.

Kan säkerhetsåtgärder göra det möjligt att skicka integritetskänsliga uppgifter eller särskilt skyddsvärda uppgifter med e-post?

Med tjänsten skyddad bilaga kan du som anställd vid Umeå universitet skicka filer med krypterad överföring mellan avsändare och mottagare. Att skicka med krypterad överföring är säkrare än att skicka som bifogad fil i vanlig e-post.

Du hittar mer information här.

Om ett fåtal personnummer behöver skickas via e-post, gör en bedömning om möjligheten att stryka de fyra sista siffrorna.

Används ett gemensamt godkänt samarbetsverktyg kan det räcka med att via e-post meddela mottagare att informationen finns på den ytan. 

Ett annat alternativ kan vara att använda ett ärendehanteringssystem istället för att kommunicera via e-post. Kommer ett ärende in via e-post – flytta in ärendet i ärendehanteringssystemet och låt konversationen ske via ärendehanteringssystemet. Se till att ingen notifiering är påslagen.

Om enskild ber att per e-post få ut intyg eller andra handlingar som innehåller personuppgifter avseende sig själv, måste du försäkra dig om att den e-postadress som uppgivits som mottagaradress verkligen tillhör den enskilde. Avseende studenter utgör den i Ladok angivna e-postadressen den enda adress vi ska använda. Vid osäkerhet ska vanlig brevpost istället nyttjas.

 

Vad behöver jag tänka på om jag skickar e-post till många? 

För att hantera e-post i enlighet med GDPR bör den som avser skicka e-post till många personer ställa sig frågan om det är viktigt, utifrån syftet med meddelandet, att alla mottagarna anges öppet i adressfältet? Vid större utskick torde det sällan vara nödvändigt att alla mottagare anges öppet. Överväg därför om adresserna ska skrivas i fältet för hemlig kopia.

Undvik att i samma e-postmeddelande skicka personuppgifter som rör många olika enskilda individer.

 

Vad behöver jag tänka på i övrigt när det gäller personuppgifter i e-post?

Sprid inte personuppgifter i onödan. Skicka bara personuppgifter till dem som behöver uppgifterna för sitt arbete.

Vid förfrågningar om allmänna handlingar ska dessa lämnas ut i pappersform. Det är endast i de fall det underlättar för universitetets handläggning samt om de allmänna handlingarna inte innehåller personuppgifter som handlingen kan lämnas ut i elektronisk form.

Gäller samma regler om vilka uppgifter som får finnas i e-post ifall det är fråga om ett internt e-post meddelande?

När man hanterar e-post finns det alltid en risk för att andra än den avsedda mottagaren kan ta del av meddelandet. Umeå universitet anser därför att all e-post hantering ska följa samma regler - oavsett om e-posten skickas internt eller externt.

Datainspektionen har uttalat att den senaste tidens teknikutveckling har gjort att det blivit allt svårare att tala om intern hantering av e-post. Uppfattningen om att e-post som skickas inom en organisation inte går över öppna nät är i de flesta fall felaktig. Om det exempelvis finns funktioner för webbmejl innebär de så gott som alltid att e-post görs tillgängligt via ett öppet nät. Det gäller också när e-post, utan att gå över ett virtuellt privat nätverk, kan hämtas till e-postklienter utifrån via till exempel POP eller IMAP (okrypterade kommunikationskanaler). Detsamma gäller om vissa tjänster, till exempel antivirusfunktioner eller spamtvätt, tillhandahålls av en extern leverantör. Om hela eller delar av drift, administration eller underhåll av e-postsystemet läggs ut på en extern part, ett personuppgiftsbiträde, tillkommer frågor kring hur denne går till väga för att logga in till e-postsystemet. Funktioner för distansadministration används ofta över öppet nät.

Den ökade användningen av och synkroniseringen med mobila enheter, som mobiltelefon, gör också att det blir svårare att tala om intern hantering av e-post eftersom sådana ofta används utanför den egna organisationens lokaler och nätverk.

Hur ska jag hantera den e-post som kommer till mig?

E-post till universitetets alla e-postadresser ska hanteras som annan post. Vilket betyder att den ska bevaras och beaktas enligt samma regler som för vanlig post. Av det följer att någon exempelvis kan begära att få ta del av en förteckning över den post du har i din e-postlåda och även att få se de brev i den som är offentlig handling. Om en sådan begäran inkommer kan du få en kort tid på dig för att rensa ut de brev som inte omfattas av denna regel. Det kan vara något personligt du fått. Du kan bara hävda att du behöver någon eller några timmar för att göra detta så det bör ingå i de dagliga rutinerna att göra den här gallringen i din e-postlåda.

Personuppgifter i e-post som du får in och som ska fortsätta att behandlas, i exempelvis ett system för ärendehanteringen eller studieadministration, bör du överföra dit och sedan bör du radera e-postmeddelandet (både från inkorgen och från mappen borttagna objekt).

Det är olämpligt att använda e-post för att behandla personuppgifter långsiktigt. E-post är inte en säker förvaring och det kan vara svårt att hitta uppgifter om en enskild i e-posten eller säkerställa att uppgifterna blir gallrade när så ska ske. För att göra det lättare att följa dataskyddsförordningen kan det därför vara viktigt att flytta vissa uppgifter från e-posten till ett lämpligare system, som ett ärendehanteringssystem. Se även Regel för it- resurser.

Hur ska jag agera om den e-post som kommer in innehåller personuppgifter som inte ska finnas i e-post?

Försök att i möjligaste mån styra bort enskilda från att skicka in känsliga personuppgifter via e-post. Om du får in känsliga uppgifter via e-post, se till att meddelandena tas bort från inkorgen och även från mappen borttagna objekt så snart som möjligt. Om det finns en rättslig grund för att lagra de uppgifter som kommit in bör du så snart som möjligt överföra dem till det system där de hör hemma – till exempel ett system för ärendehantering, studieadministration, personaladministration.

Om ett sådant system inte finns och e-posten utgör en allmän handling ska den skrivas ut och hanteras i enlighet med reglerna för allmänna handlingar.

Exempel: Sjukdomstillstånd betraktas som känslig personuppgift. Då en medarbetare eller student skickar in sin sjukdomsbild via exempelvis e-post så är det universitetets ansvar att hantera den informationen på ett säkert sätt. Det innebär att föra över informationen till rätt system eller annat skyddat dokument och därefter radera informationen i e-posten (inkl. i borttaget).

Om den inkomna e-posten ska besvaras så ska detta göras med ett nytt meddelande eller om man svarar ska den känsliga informationen raderas från meddelandet. I svaret bör ingen information om sjukdomstillståndet beskrivas.

Den enskilde har alltså rätt till att skicka in sin information men universitetet som myndighet får inte fortsätta sprida den.

 

Studieadministration

Finns det något bra svar man kan ge till personer som ifrågasätter varför vi inte får skicka studieintyg digitalt?

Studieintyg och andra studieuppgiftsrelaterade intyg innehåller integritetskänsliga personuppgifter i och med att de innehåller personnummer samt värderande uppgifter eller uppgifter om bedömning. Sådana uppgifter ska i så liten utsträckning som möjligt skickas via okrypterad e-post. Den här typen av uppgifter kräver alltså ett högre skydd då de anses vara särskilt skyddsvärda.

IMY (fd. Datainspektionen) har på sin sida Hantera personuppgifter i e-post skrivit en guide kring detta.

 

Den första frågan att utreda är att säkerställa att mottagaren är den som den utger sig för att vara. Det gör att vi kommunicerar med studenten via den e-postadress som är registrerad i Ladok. Information om hur studenten kan ändra sin e-postadress finns på Studentwebbens sida Mina inställningar i inloggat läge.

Huvudlinjen bör vara att intyget av integritetsskäl skickas i pappersform till studentens folkbokföringsadress.

Ett alternativ till att skicka i pappersform skulle dock vara att ni använder er av tjänsten skyddad bilaga till den e-postadress som är registrerad i Ladok, för information se Skicka filer krypterat med Skyddad bilaga  på Medarbetarwebben. På så sätt behöver inte intyget skickas vi öppet nät. Det kräver dock att lösenord lämnas ut till studenten via annat medium än e-post, exempelvis via telefon eller sms.

Intyget kan skickas via e-post till den e-postadress som är registrerad i Ladok i enstaka undantagsfall efter att handläggaren gjort en egen bedömning av de integritetskänsliga uppgifternas omfattning och art. Det ska då göras en intresseavvägning mellan behovet av att skicka dem per e-post och de integritetsrisker som det innebär.

Om en student e-postar institutionen och ber att få information om något, kan vi då be om att få hens personnummer per e-post för att kunna ta fram informationen? Eller måste vi ringa upp eller be hen ringa upp oss istället?

Personnummer ska som regel inte e-postas utan extra skyddsåtgärder såsom kryptering. Universitetet ska aldrig uppmana frågeställare att skicka personnummer via öppen e-post. Ett alternativ kan vara be frågeställaren skicka födelsedatum för att undvika de sista fyra siffrorna om det räcker för ändamålet. Ett annat alternativ kan vara att ringa upp och be hen meddela sitt personnummer.

Hur länge måste vi spara inkommande och skickade e-post innan vi får radera dem? Kan vi t.ex. radera dem efter 5 år, eller måste de bevaras? Att sitta och välja ut oviktiga mail som kan raderas tar ju evigheter.

Kommer det in eller skickas e-post som anses vara en allmän handling hos myndigheten är huvudregeln att den ska bevaras om inte uppgiften finns upptagen i någon av universitetets dokumenthanteringsplaner där gallringsföreskrifter finns. E-post som ska diarieföras hanteras i den ordning som gäller för diarieföring. Ska e-posten vare sig diarieföras eller arkiveras ska det gallras så snart mailet är inaktuellt. Oavsett ska inte en mailkorg vara något slags arkiv.

Vad gäller angående bokning av särskilda hjälpmedel? Intyg med rekommendationer om hjälpmedel kommer idag via mail från studenten. Har vi rätt att vidarebefordra det mailet till berörd person, eller måste vi skriva ut mailet och lämna det personligen eller via internpost? Och ska mailet från studenten raderas sedan?

Intyget innehåller sannolikt uppgifter om hälsa vilket är en känslig personuppgift. Därför hade det, i den mån det är möjligt, varit mest korrekt om studenten kunde inkomma med intyget manuellt eller per post så att handläggning via e-post inte sker. Är det så att studenten ändå har e-postat det, så måste vi dock ta emot det. Ni bör emellertid därefter inte hantera uppgifterna vidare i e-posten utan dela uppgifterna till berörda på annat vis. Finns inte något internt system som får nyttjas för sådana uppgifter får det hanteras manuellt i pappersform.

Om det kommer beslut om tillgodoräknande till oss på institutionen från Examensenheten via e-post. Får vi vidarebefordra det beslutet via e-post till berörd lärare? Eller ska det förmedlas via pappersform? Ska e-posten från Examina raderas? Och i så fall när? Direkt, eller efter att TG är infört i Ladok (vilket kan dröja och i vissa fall aldrig sker).

Innehåller tillgodoräknandet känsliga eller integritetskänsliga uppgifter är rekommendationen att använda tjänsten skyddad bilaga vid vidarebefordring.
Gällande radering är det, så som med all E-post, att de ska diarieföras och arkiveras på det sätt som dokumenthanteringsplaner och rutiner för diarieföring förordar, och inte bevaras i e-postlådan.

Om en extern aktör (t.ex. en kommun) ber om att få en lista på studenter som snart tar examen inför exempelvis rekrytering, kan vi anse det som allmän handling och därmed skicka en sådan lista innehållande namn, adress och e-post (men inte personnummer) till dem? Via mail och/eller per post i så fall? Eller ska vi hänvisa sådana frågor till Ladokgruppen? Eller till studentföreningen?

Om en extern aktör ber om att få en lista på det sätt som beskrivs är det fråga om utlämnande av allmän handling. Under rubriken Kan jag lämna ut personuppgifter om mottagaren ska använda uppgifterna för direkt marknadsföring? finns en utförlig beskrivning.

Tänk på att för det fall den externa aktören begär att få ut en lista inklusive personnummer har de även rätt till de uppgifterna enligt offentlighetsprincipen, om inte sekretess föreligger i det enskilda fallet. På sidan Offentlighet och sekretess står mer om allmänna handlingar och att universitetet har rätt att ta ut avgift för kopior.

 

Sidansvarig Chatarina Wiklund