Huvudmeny

Nya dataskyddsförordningen

I april 2016 beslutade EU om en ny Dataskyddsförordning som börjar gälla 25 maj 2018. Just nu pågår arbetet med förberedelserna för detta på högskolan.

För att förbereda både organisationen och medarbetare på den nya lagstiftningen genomfördes under våren 2017 ett antal utbildningstillfällen, och ett register/förteckningstjänst upphandlades för att kunna påbörja både utökad inventering och förteckning av de personuppgiftsbehandlingar som sker i verksamheten. En inventering genomfördes av vilken information som finns och går att koppla till en enskild individ och hur den informationen hanteras i verksamheten, samt hur väl hanteringen stämmer överens med lagstiftningen. Samtidigt genomfördes en översyn av vilka riktlinjer och regler som finns, och som behöver ändras eller tas fram. 

Registrering av personuppgiftsbehandling

En av nyheterna i den nya förordningen är att all personuppgiftsbehandling ska vara registrerad hos dataskyddsombudet (nuvarande personuppgiftsombudet). Det innebär att även de behandlingar/register som tidigare varit undantagna registreringsskyldighet nu måste finnas med i registret.

När den nya dataskyddsförordningen börjar gälla upphör samtidigt den nuvarande personuppgiftslagen (PUL). Det innebär att personuppgiftsbehandlingar som tidigare varit tillåtna i enlighet med svensk nationell lagstiftning kan bli otillåtna. Utöver nya dataskyddsförordningen förväntas ytterligare nationell lagstiftning tillkomma eller förändras för att anpassas till dataskyddsförordningens bestämmelser.

Pågående nationella utredningar

I Sverige pågår ett antal utredningar. För vår sektor handlar det om utredningar om hur dataskyddsförordningen påverkar – och vilka eventuella behov som finns av –ytterligare nationell reglering (lagstiftning)  gällande: a)  myndigheter, b)  utbildning och c) forskning. 

Internutbildning på högskolan

Våren 2017 genomfördes internutbildningar på högskolan, i första skedet för viss personal. Utbildningen tog upp både nuvarande (PUL) och kommande lagstiftning samt själva hanteringen med förteckning  (hur man går tillväga i systemet för inventering/registerhållning). Utbildningarna hölls av högskolans förvaltningsjurist Åsa Dryselius, som också är personuppgiftsombud.

Ytterligare utbildningtillfällen planeras att erbjudas under hösten 2018.

Ny dataskyddsförordning och nya krav

När dataskyddsförordningen träder i kraft, vilket den gör utan någon övergångsperiod, kommer det att ställas högre krav än i dag på både organisationen och den som hanterar personuppgifter och nya regler införs.  Bland annat tillkommer följande:   

  • All personuppgiftsbehandling hos en personuppgiftsansvarig ska vara förtecknad.
  • De undantag för förteckning som finns i dag kommer att försvinna. Det innbär också att personuppgiftsbehandlingar som bygger på samtycke ska förtecknas.
  • Riktlinjer för behandling av personuppgifter både inom organisationen och gentemot enskild ska finnas, följas och hanteringen ska kunna visa att förordningen följs.
  • Enskildas rättigheter är i fokus och utökas (Privacy by Design). Exempelvis utökas rätten till registerutdrag till fler behandlingar än i dag. Den vars personuppgifter behandlas ska informeras om behandlingen. 
  • Sanktionsavgifter införs. Hur höga dessa blir för statliga myndigheter är inte ännu klarlagt.
  • Incidentrapportering till tillsynsmyndighet införs.
  • Annan nationell lagstiftning påverkas – personuppgiftslagen (PuL) upphör att gälla, annan lagstiftning ändras, exempelvis förordning om redovisning av studieresultat, och det kan även införas helt ny nationell lagstiftning.

Systemstöd

Högskolan har upphandlat  ett register/förteckningssystem, DraftIt. Detta system förenklar att

  • hantera registerutdrag på ett effektivt sätt när utdrag begärs,
  • behandla enskilds förfrågan om vilka uppgifter vi har om hen, det vill säga att ge information till den person vars personuppgifter behandlas,
  • lättare kunna göra rättningar som begärs av en person,
  • ta ut statistik som information och till rapporter till både tillsynsmyndighet och högskolans ledning,
  • underlätta för enskilda medarbetare att själva fylla i uppgifter och
  • göra bedömningar av att behandlingen är i enlighet med gällande regler.

För system inom högskolan med utsedd systemägare läggs registreringsansvaret på systemägaren. I övrigt följer ansvaret linjeorganisationen ut till enskild medarbetare.

För frågor och ytterligare information

Henrik Schmidt, dataskyddshandläggare 
Åsa Dryselius, förvaltningsjurist och PULO
Annie Andreasson, PUL-ansvarig