Huvudmeny
Lagbok och domarklubba.

2016-04-12 09:30

Tuffare regler kring personuppgiftslagen på gång


Från och med 2018 gäller nya tuffare EU-regler för insamling och hantering av personuppgifter. Det kan bli stora sanktionsavgifter om man inte följer reglerna.

– Därför är det viktigt att vi redan nu ser till att personuppgifter behandlas korrekt i organisationen, menar Åsa Dryselius, högskolans personuppgiftsombud.

Högskolan rustar sig redan nu med information på webben för anställda om personuppgiftslagen (PuL) och rutiner finns förberedda för vad man som anställd ska tänka på och hur man ska arbeta med insamling av personuppgifter. Det kan gälla allt från studentuppgifter i Ladok och personuppgifter om anställda till anmälningsformulär till event och personalfest.

Vilka på högskolan berörs?

– Alla berörs. Det vill säga administratörer, lärare, forskare, studenter…

På vilket vis kan respektive roll beröras?

– När det gäller anställda så måste var och en se till att eventuell behandling av personuppgifter alltid sker i enlighet med gällande regler. När det gäller studenter så är högskolan personuppgiftsansvarig för eventuell behandling av personuppgifter i studenters examens- och avhandlingsarbeten. Det innebär att universitet och högskolor har ansvar för att se till att även studenter har kunskaper i dataskyddsfrågor och hanterar personuppgifter i enlighet med gällande lagstiftning. I högskolans uppgifter ingår följaktligen att under skadeståndsansvar se till att studenter och doktorander hanterar personuppgifter på ett lagligt sätt.

Kan du ge exempel på insamling av data där man kanske inte tänker på att det just handlar om datainsamling som berörs av PuL?

– Det kan vara enkäter eller i anmälningsformulär där man frågar om specialkost i samband med konferenser och fester etc. I och med att PuL är tillämplig på all behandling, även i löpande text t.ex. e-post. Även om alla paragrafer i PuL inte är tillämpliga på e-post, som man förvisso inte behöver anmäla till personuppgiftsombudet, så måste man ändå tänka på att i e-post inte skriva något som kan anses vara kränkande.

När ska anmälan göras om att man samlar in persondata?

– PuL är alltid tillämplig vid behandling av personuppgifter. När man ska behandla personuppgifter helt eller delvis automatiserat ska detta anmälas till personuppgiftsombudet. Det finns dock ett antal undantag. Om behandlingen exempelvis sker i Excel, så bör detta dock anmälas för säkerhets skull.

Vad kan hända om vi på högskolan inte följer reglerna?

– Högskolan har skadeståndsansvar och det finns risk för böter eller fängelse. Det är högskolan som formellt sett är personuppgiftsansvarig och därmed den som initialt kan komma få kritik för felaktig behandling eller sanktionsavgifter. Men det finns även ett straffansvar kopplat till uppsåtlig eller grovt aktsam behandling av personuppgifter, och detta skulle kunna komma att riktas mot en enskild anställd.

Behandling av personuppgifter

PuL är alltid tillämplig vid behandling av personuppgifter. När man avser att behandla personuppgifter helt eller delvis automatiserat ska detta anmälas till personuppgiftsombudet Det finns dock ett antal undantag:

  • Behandlingen utförs hos en myndighet på grund av skyldigheten att lämna ut allmän handling (3 § personuppgiftsförordningen och 2 kap. tryckfrihetsförordningen).
  • Behandlingen utförs av en arkivmyndighet enligt bestämmelser i arkivlagen eller arkivförordningen (3 § personuppgiftsförordningen).
  • Behandlingen regleras genom särskilda föreskrifter i en annan lag eller förordning (3 § personuppgiftsförordningen). Sådana föreskrifter finns till exempel i Ladok-förordningen.
  • Behandlingen avser personuppgifter i löpande text, eller sådant ostrukturerat material som avses i 5 a § personuppgiftslagen, till exempel på webbplatser (4 § personuppgiftsförordningen).
  • Behandlingen sker med den registrerades samtycke (4 § Datainspektionens författningssamling (DIFS) 2013:1).

Kartläggning på högskolan

Inför att de nya reglerna träder i kraft kommer högskolan internt att göra en kartläggning gällande insamling och hantering av personuppgifter vid högskolan. Mer information om det planeras komma senare i vår.

Läs mer om personuppgifter och personuppgiftslagen på högskolans webb.

Formulär för att anmäla insamling och behandling av personuppgifter. 

Läs mer om EU:s dataskyddsreform för 2018.

Text: Solveig Klug
Foto: Colourbox