Huvudmeny

Förklarande texter 

Centrala begrepp

Personuppgifter

All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Behandling av personuppgifter

Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande 4) genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.

Personuppgiftsansvarig

Den som bestämmer ändamålen med och medlen för behandling av personuppgifter.

Personuppgiftsbiträde

Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Anställd vid högskolan är dock inte att betrakta som personuppgiftsbiträde.

Personuppgiftsombud

Av personuppgiftsansvarige utsedd person som självständigt ska kontrollera att personuppgifter hanteras korrekt.

Personuppgiftsansvarig

Högskolan i Borås.

Akademi/enhet där behandlingen ska ske

Den del av högskolan som avser att behandla personuppgifter.

Kontaktperson

Den person vid akademin/enheten som ska kunna svara på frågor om behandlingen av personuppgifter samt utföra registerkontroller efter förfrågan från högskolans personuppgiftsombud.

Benämningen på behandlingen

Namnet på projektet, registret etc.

Ändamålet med behandlingen

Personuppgifter får endast samlas in för särskilda, uttryckligt angivna ändamål. Personuppgifter får inte behandlas för något ändamål som är oförenligt med för vilket uppgifterna samlades in.

Grund för behandlingen

För att behandla personuppgifter ställs det vissa grundläggande krav på behandlingen:

a)       personuppgifter får behandlas bara om det är lagligt,

b)       personuppgifter ska alltid behandlas på ett korrekt sätt och i enlighet med god sed,

c)       personuppgifter ska samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,

d)       personuppgifter får inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,

e)       de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen),

f)        inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,

g)       de personuppgifter som behandlas ska vara riktiga och, om det är nödvändigt, aktuella,

h)       alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och

i)         personuppgifter ska inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Som huvudregel får personuppgifter bara behandlas om den registrerade har lämnat sitt samtycke. Behandling utan samtycke får dock ske om den personuppgiftsansvarige finner att behandlingen är nödvändig för att

a)       ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas,

b)       den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet,

c)       vitala intressen för den registrerade ska kunna skyddas,

d)       en arbetsuppgift av allmänt intresse ska kunna utföras,

e)       den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller

f)        ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten

Samtycke från den registrerade

Samtycke är varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne.

Det finns inga formkrav på hur ett samtycke ska se ut, men det är den personuppgiftsansvarige som har bevisbördan för att samtycke inhämtats. Därför bör samtycke vara skriftligt.

Ska den registrerade informeras om behandlingen

Om uppgifter om en person samlas in från personen själv, ska den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna.

Om personuppgifterna har samlats in från någon annan källa än den registrerade, ska den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången.

Information behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning.

Information behöver inte heller lämnas om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, ska dock information lämnas senast i samband med att så sker.

Grupper/kategorier som berörs av behandlingen

Kort ange vilka grupper av personer som berörs av behandlingen t.ex. studenter, barn i förskoleåldern. Undvik att vara så specifik att man kan identifiera enskilda personer genom uppgiften.

De grupper som kan komma att ta del av de behandlade uppgifterna

Kort ange de grupper av personer som kan komma att ta del av uppgifterna t.ex. chefer vid högskolan, deltagare i en viss projektgrupp. Viktigt att se till att endast de som har behov av uppgifterna får ta del av dem.

I det fall någon annan än anställd vid högskolan – konsult, extern support etc. – ska få behandla personuppgifter för högskolans räkning ska ett personuppgiftsbiträdesavtal tecknas. Om så är fallet – kontakta högskolans personuppgiftsombud.

Ett personuppgiftsbiträde och den eller de personer som är anställda vid högskolan får behandla personuppgifter bara i enlighet med instruktioner från högskolan.

Det ska finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från högskolan och att personuppgiftsbiträdet är skyldigt att vidta de säkerhetsåtgärder som ska gälla för behandlingen av uppgifterna.

Metod för inhämtning av uppgifter

Hur uppgifterna samlas in. Sker det genom enkäter, sammanställning från annat register, från webbsidor etc.

Åtgärder som vidtagits för att trygga säkerheten i behandlingen

Lämpliga tekniska och organisatoriska åtgärder ska vidtas för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av

a)       de tekniska möjligheter som finns,

b)       vad det skulle kosta att genomföra åtgärderna,

c)       de särskilda risker som finns med behandlingen av personuppgifterna, och

d)       hur pass känsliga de behandlade personuppgifterna är.

När högskolan anlitar ett personuppgiftsbiträde, ska den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.

Personuppgifter som behandlas

Med personuppgift menas all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Detta innebär att t.ex. även krypterade uppgifter kan vara personuppgifter.

Uppgifter om personnummer eller samordningsnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till

a)       ändamålet med behandlingen,

b)       vikten av en säker identifiering, eller

c)       något annat beaktansvärt skäl.

Har behandlingen prövats av en forskningsetisk kommitté

Med forskningsetisk kommitté menas bl.a. regional etikprövningsnämnd.

Behandlas känsliga personuppgifter

Det är som huvudregel förbjudet att behandla personuppgifter som avslöjar

a)       ras eller etniskt ursprung,

b)       politiska åsikter,

c)       religiös eller filosofisk övertygelse, eller

d)       medlemskap i fackförening.

Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.

Dessa uppgifter får dock behandlas

a)       om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna eller

b)       om behandlingen är nödvändig för att

  1.                                  den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten
  2.                                 den registrerades eller någon annans vitala intressen ska kunna skyddas och den registrerade inte kan lämna sitt samtycke, eller
  3.                                 rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras

Känsliga personuppgifter får behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för

a)       förebyggande hälso- och sjukvård,

b)       medicinska diagnoser,

c)       vård eller behandling, eller

d)       administration av hälso- och sjukvård. 

Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Känsliga personuppgifter får behandlas för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Har behandlingen godkänts av en forskningsetisk kommitté, ska förutsättningarna enligt andra stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning.

Behandling av uppgifter om lagöverträdelse

Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Terminaler eller andra hjälpmedel som de registrerade kan använda för att få insyn i sin egen data

 T.ex. app där personen själv kan få ta del upp de uppgifter som finns registrerad om honom/henne.

Kommer personuppgifterna att föras över till tredje land

Det är förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land.

Frågan om en skyddsnivå är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.

Det är dock tillåtet att föra över personuppgifter till tredje land, om den registrerade har lämnat sitt samtycke till överföringen eller om överföringen är nödvändig för att

a)       ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,

b)       ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse skall kunna ingås eller fullgöras,

c)       rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras, eller

d)       vitala intressen för den registrerade skall kunna skyddas.

Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter.

Bedöms uppgifterna behöva hanteras konfidentiellt och eventuellt sekretessbeläggas

Som huvudregel är uppgifter högskolan offentliga, men om det finns uttryckliga regler i offentlighets- och sekretesslagen så kan de sekretessbeläggas. Kontakta högskolans jurist vid frågor.

När beräknas behandlingen upphöra?

Personuppgifter får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Vilka åtgärder kommer att vidtas för att tillse att behandlade personuppgifter avidentifieras efter det att behandlingen upphört?

När behandlingen upphör ska personuppgifterna tas bort (avidentifieras eller förstöras). Innan uppgifterna tas bort ska arkivlagens regler om arkivering av handlingar beaktas. Detta innebär att handlingar som innehåller personuppgifter ska lämnas till registratur/arkiv för bevarande, men att de därefter inte får finnas kvar i annan form inom högskolan.