Anvisningar information till den registrerade

Vid insamlingen av personuppgifter måste det lämnas viss information till den registrerade. ”Den registrerade” är den individ som får sina personuppgifter behandlade dvs. den eller de vars personuppgifter du kommer att använda dig av.

Information till den registrerade ska tillhandahållas om personuppgifterna samlas in direkt från den registrerade, exempelvis via enkät eller intervju eller om personuppgifter samlas in från en annan källa än den registrerade, exempelvis Skatteverket eller SCB. Tänk på att informationen som ges till den registrerade måste vara skrivet koncist, klart och tydligt.

Information till den registrerade om personuppgifterna samlas in direkt från den registrerade.

Om personuppgifterna samlas in från den registrerade direkt ska KI när personuppgifterna erhålls lämna information om minst följande:

1. Vem eller vilka som är personuppgiftsansvariga för behandlingen samt kontaktuppgifter till den personuppgiftsansvarige.

Detta innebär att namnge den organisation som är ansvarig för behandlingen. När KI har bestämt ändamålet och medlen för personuppgiftsbehandlingen är KI personuppgiftsansvariga. I vissa situationer kan det däremot vara ett samarbete där behandlingen innefattar flera personuppgiftsansvariga.
Exempel på text: Karolinska Institutet (KI) är personuppgiftsansvarig för behandlingen av dina personuppgifter. Din kontaktperson för denna behandling är: (namn på den som är ansvarig för verksamheten/forskningsprojektet som samlar in personuppgifter, e-postadress och telefonnummer).

2. Kontaktuppgifter till KI:s dataskyddsombud (namn, e-postadress och telefonnummer).

Exempel på text: Kontaktuppgifter till KI:s dataskyddsombud (se KI:s web för aktuella kontaktuppgifter), dataskyddsombud@ki.se.

3. För vilket ändamål som personuppgifterna ska behandlas.

Denna beskrivning bör vara kortfattad för att den registrerade enkelt ska förstå hur och varför dennes personuppgifter kommer att behandlas.

4. Den rättsliga grunden för personuppgiftsbehandlingen.

För KI kan ett exempel vara att behandlingen är en uppgift av allmänt intresse såsom forskning eller myndighetsutövning.

Ofta är det bra att även informera om följande: KI är en statlig myndighet och har en skyldighet att följa bestämmelser om allmänna handlingar, sekretess och  arkivering. 

5. Mottagarna eller de kategorier av mottagare som ska ta del av uppgifterna.

Detta inkluderar information om KI avser att överföra personuppgifterna till ett tredjeland, dvs. ett land utanför EU/EES samt vilka risker detta skulle kunna medföra. 


Tänk på att informera om eventuellt sekretesskydd för uppgifterna. Förslag till informationstext: Dina personuppgifter och övriga uppgifter om dig som samlas in inom behandlingen skyddas av bestämmelser om sekretess enligt offentlighets- och sekretesslagen, vilket innebär att ingen obehörig får ta del av uppgifterna.

6. Den period under vilken personuppgifterna kommer att lagras vid KI.

Om det inte är möjligt ska de kriterier som används för att fastställa denna period anges. Detta ska gå att återfinna i dokumenthanteringsplanen. https://medarbetare.ki.se/media/80395/download

7. Rätt att ta del av personuppgifter om sig själv

Den registrerade har rätt att begära tillgång till och, när så är möjligt, få rättelse eller radering av personuppgifter eller begränsning av den behandling som rör den registrerade eller att invända mot behandlingen. Rätten till dataportabilitet (att de insamlade personuppgifter ska kunna överföras till en annan personuppgiftsansvarig) ska den registrerade också informeras om när så är aktuellt.

Registrerades rättigheter kan i vissa fall begränsas av undantag i GDPR och av andra författningar. 

8. Rätt att återkalla sitt samtycke

Om behandlingen grundar sig på samtycke ska den registrerade informeras om att det finns en rätt att när som helst återkalla sitt samtycke och hur detta kan göras.

9. Rätten att inge klagomål gällande behandlingen av dennes personuppgifter.

Detta görs antingen till KI:s dataskyddsombud eller direkt till tillsynsmyndigheten i Sverige (Integritetsskyddsmyndigheten). Om du har synpunkter på KI:s behandling av dina personuppgifter kan du vända dig till dataskyddsombud@ki.se.
Om du inte är nöjd med KI:s svar, kan du vända dig till Integritetsskyddsmyndigheten med klagomål på KI:s behandling av dina personuppgifter, www.imy.se eller 08-657 61 00.

10. Om personuppgifterna ska behandlas enligt lag eller avtalskrav

Om KI måste behandla personuppgifterna på grund av lag- eller avtalskrav ska den registrerade informeras särskilt. Detta är vanligast inom universitetets administration, till exempel administration rörande studenter eller personal.

11. Automatiserat beslutsfattande

Om behandlingen kommer att innefatta automatiserat beslutsfattande eller profilering ska information om detta ges. Information måste ges om logiken bakom och vad det innebär att beslut fattas på det sättet samt vilka förutsägbara följder sådan behandling har.

12. Ytterligare behandling

Om KI avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades in för, ska KI innan ytterligare behandling påbörjas informera den registrerade om dessa ändamål samt eventuell övrig information som är relevant enligt detta dokument.


Exempel på text som kan var med kopplad till forskning: Lämnade personuppgifter kan komma att användas inom annan forskning som är godkänd av Etikprövningsmyndigheten. Om så är fallet kan ni bli kontaktade igen.

Ovanstående krav ska inte tillämpas om och i den mån den registrerade redan förfogar över informationen, dvs. den registrerade kan själv kontrollera behandlingen och sina personuppgifter hos den personuppgiftsansvarige.

Information till den registrerade om personuppgifterna inte har erhållits från den registrerade

Om personuppgifterna inte har erhållits från den registrerade ska KI förse den registrerade med information. Informationen till den registrerade ska ges:

  • Inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de särskilda omständigheter under vilka personuppgifterna behandlas
  • Om personuppgifterna ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första kommunikationen med den registrerade, eller
  • Om ett utlämnande till en annan mottagare förutses, senast när personuppgifterna lämnas ut för första gången

Om personuppgifterna inte har erhållits från den registrerade ska KI när personuppgifterna erhålls lämna information om minst följande utöver den information som ska lämnas om personuppgifterna samlas in från den registrerade direkt:

  • Vilken källa som använts och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga källor exempelvis Statistiska centralbyrån (SCB), uppgifter från Skatteverket/folkbokföringen eller Socialstyrelsen.
  • Vilka personuppgifter eller kategorier av personuppgifter som ska samlas in och behandlas

Ovanstående krav på information till den registrerade om personuppgifterna inte har erhållit från den registrerade ska inte tillämpas om:

  • tillhandahållandet av information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål
  • erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen, eller
  • personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt, inbegripet andra lagstadgade sekretessförpliktelser.

Länkar

IMY om registrerades rättigheter
MG
Innehållsgranskare:
Mats Gustavsson
Märta Philp
2023-03-17