Skip to main content

Anvisningar information till den registrerade

Vid insamlingen av personuppgifter måste det lämnas viss information till den registrerade. ”Den registrerade” är den individ som får sina personuppgifter behandlade dvs. den eller de vars personuppgifter du kommer att använda dig av.

Information till den registrerade ska tillhandahållas om personuppgifterna samlas in direkt från den registrerade (enligt artikel 13 i förordningen) exempelvis via enkät eller intervju eller om personuppgifter samlas in från en annan källa än den registrerade (enligt artikel 14i förordningen), exempelvis Skatteverket eller SCB. Tänk på att informationen som ges till den registrerade måste vara skrivet koncist, klart och tydligt.

Information till den registrerade om personuppgifterna samlas in direkt från den registrerade.

Om personuppgifterna samlas in från den registrerade direkt ska KI när personuppgifterna erhålls lämna information om minst följande:

1. Vem eller vilka som är personuppgiftsansvariga för behandlingen samt kontaktuppgifter till den personuppgiftsansvarige.

Detta innebär att namnge den organisation som är ansvarig för behandlingen. När KI har bestämt ändamålet och medlen för personuppgiftsbehandlingen är KI personuppgiftsansvariga. I vissa situationer kan det däremot vara ett samarbete där behandlingen innefattar flera personuppgiftsansvariga.
Exempel på text: Karolinska Institutet (KI) är personuppgiftsansvarig för behandlingen av dina personuppgifter. Din kontaktperson för denna behandling är: (namn på den som är ansvarig för verksamheten/forskningsprojektet som samlar in personuppgifter, e-postadress och telefonnummer).

2. Kontaktuppgifter till KI:s dataskyddsombud (namn, e-postadress och telefonnummer).

Exempel på text: Kontaktuppgifter till KI:s dataskyddsombud (se KI:s web för aktuella kontaktuppgifter) , dataskyddsombud@ki.se.

3. För vilket ändamål som personuppgifterna ska behandlas.

Denna beskrivning bör vara kortfattad för att den registrerade enkelt ska förstå hur och varför dennes personuppgifter kommer att behandlas.

4. Den rättsliga grunden för personuppgiftsbehandlingen.

För KI kan ett exempel vara att behandlingen är en uppgift av allmänt intresse såsom forskning eller myndighetsutövning.

Följande text måste alltid vara med: KI är en statlig myndighet och har en skyldighet att bl.a. följa reglerna för allmänna handlingar, myndigheters arkiv och offentlig statistik. KI kommer därför även att behandla personuppgifterna på de sätt som krävs för att kunna följa gällande lagstiftning.

5. Mottagarna eller de kategorier av mottagare som ska ta del av uppgifterna.

Detta inkluderar information om KI avser att överföra personuppgifterna till ett tredjeland dvs. ett land utanför EU/EES samt vilka risker detta skulle kunna medföra. Överlämning inom KI behöver inte informeras om.
Följande text måste alltid vara med: Dina personuppgifter och övriga uppgifter om dig som samlas in inom behandlingen skyddas av bestämmelser om sekretess enligt offentlighets- och sekretesslagen, vilket innebär att ingen obehörig får ta del av uppgifterna.

6. Den period under vilken personuppgifterna kommer att lagras vid KI.

Om det inte är möjligt ska de kriterier som används för att fastställa denna period anges. Detta ska gå att återfinna i dokumenthanteringsplanen.

Detta måste alltid vara med gällande lagringstiden för personuppgiftsbehandlingen: Dina personuppgifter hanteras enligt lagstiftningen om allmänna handlingar och myndigheters arkiv.

7. Rätt till sina personuppgifter

Att den registrerade har en rätt att begära tillgång till och, när så är möjligt, få rättelse eller radering av personuppgifter eller begränsning av den behandling som rör den registrerade eller att invända mot behandlingen. Rätten till dataportabilitet (att de insamlade personuppgifter ska kunna överföras till en annan personuppgiftsansvarig) ska den registrerade också informeras om när så är aktuellt. Många av den registrerades rättigheter styrs av annan lagstiftning, exempelvis förhindrar arkivlagen att redan arkiverade handlingar kan rättas. Likaså är möjligheten att begära rättelse i ett forskningsprojekt väldigt liten.

8. Rätt att återkalla sitt samtycke

Om behandlingen grundar sig på samtycke ska den registrerade informeras om att det finns en rätt att när som helst återkalla sitt samtycke och hur detta kan göras.

9. Rätten att inge klagomål gällande behandlingen av dennes personuppgifter.

Detta görs antingen till KI:s dataskyddsombud eller direkt till tillsynsmyndigheten i Sverige (Datainspektionen, inom kort Integritetsskyddsmyndigheten)> Exempel på text: Om du har synpunkter på KI:s behandling av dina personuppgifter kan du vända dig till dataskyddsombud@ki.se.
Om du inte är nöjd med KI:s svar, kan du vända dig till Datainspektionen med klagomål på KI:s behandling av dina personuppgifter, datainspektionen@datainspektionen.se eller 08-657 61 00.

10. Om det är lag eller avtalskrav

Om personuppgifterna måste lämnas på grund av att det är ett lag- eller avtalskrav, eller är nödvändigt för att kunna ingå ett avtal, ska du upplysa särskilt om det. Detsamma gäller om individen är skyldig att lämna uppgifterna och om det får konsekvenser att inte lämna dem. Detta är vanligast inom universitetets administration.

11. Automatiserat beslutsfattande

Om behandlingen kommer att innefatta automatiserat beslutsfattande eller profilering ska information om detta ges. Du måste också ge åtminstone viss information om logiken bakom, vad det innebär att beslut fattas på det sättet och vilka förutsägbara följder sådan behandling har.

12. Ytterligare behandling

Om KI avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades in för, ska KI innan ytterligare behandling påbörjas informera den registrerade information om dessa ändamål samt eventuell övrig information som är relevant enligt detta dokument.
Exempel på text som kan var med kopplad till forskning: Lämnade personuppgifter kan komma att användas inom annan forskning som är godkänd av en etikprövningsnämnd. Om så är fallet kan ni bli kontaktade igen.

Ovanstående krav ska inte tillämpas om och i den mån den registrerade redan förfogar över informationen dvs. den registrerade kan själv kontrollera behandlingen och sina personuppgifter hos den personuppgiftsansvarige.

Information till den registrerade om personuppgifterna inte har erhållits från den registrerade

Om personuppgifterna inte har erhållits från den registrerade ska KI förse den registrerade med information. Informationen till den registrerade ska ges:

  • Inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de särskilda omständigheter under vilka personuppgifterna behandlas
  • Om personuppgifterna ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första kommunikationen med den registrerade, eller
  • Om ett utlämnande till en annan mottagare förutses, senast när personuppgifterna lämnas ut för första gången

Om personuppgifterna inte har erhållits från den registrerade ska KI när personuppgifterna erhålls lämna information om minst följande utöver den information som ska lämnas om personuppgifterna samlas in från den registrerade direkt:

  • Vilken källa som använts och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga källor exempelvis Statistiska centralbyrån (SCB), uppgifter från Skatteverket/folkbokföringen eller Socialstyrelsen.
  • Vilka personuppgifter eller kategorier av personuppgifter som ska samlas in och behandlas

Ovanstående krav på information till den registrerade om personuppgifterna inte har erhållit från den registrerade ska inte tillämpas om:

  • tillhandahållandet av information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål
  • erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen, eller
  • personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt, inbegripet andra lagstadgade sekretessförpliktelser.