Instruktioner för anmälan av behandling av personuppgifter

Inför anmälan

Det rekommenderas att först läsa igenom instruktionerna och frågorna i formuläret för att säkerställa att samtliga frågor i formuläret kan besvaras i en följd då det tyvärr inte är möjligt att besvara vissa frågor vid ett tillfälle och sedan återkomma för att besvara resterande frågor. Se till att ha dokumentation och information tillgänglig innan du påbörjar ifyllande av formuläret; t.ex.    

• Ansökan till och godkännande från Etikprövningsmyndigheten inklusive informations- och samtyckesdokumentation till forskningspersoner (endast vid forskning)  
• Samarbetsavtal med annan organisation/lärosäte    
• Personuppgiftsbiträdesavtal (om ett personuppgiftsbiträde har anlitats eller om KI är personuppgiftsbiträde)

Rörande forskning är forskargruppsledare ansvarig för att den personuppgiftsbehandling som sker inom en forskningsstudie anmäls till registret. För personuppgiftsbehandling inom utbildning och administration ligger ansvaret att anmälan görs på grundutbildningsansvarig och forskarutbildningsansvarig samt på enhetschefer för administration vid respektive institution.

Anmälan av personuppgiftsbehandling görs via denna länk:https://portalbas.ki.se/interna-sidor/anmalan-personuppgiftsregister

Instruktioner

1. Benämning på personuppgiftsbehandlingen – behandlingens namn

Som behandling räknas en åtgärd eller kombination av åtgärder rörande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagning, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Det kan ibland vara svårt att särskilja en behandling från en annan och se var gränserna går. Ett råd är att så långt möjligt följa den struktur som finns i verksamhetssystemen eller -processen och att samla behandlingar av personuppgifter som kan sammanföras under samma ändamål, där det rör samma kategorier av personuppgifter och samma system, till en behandling. Om det finns flera behandlingar inom ramen för samma verksamhetssystem eller -process bör dessa ges olika namn.

Gällande forskningsstudier ska samma namn på studien anges som i ansökan till Etikprövningsmyndigheten.

2. Kontaktperson för personuppgiftsbehandlingen

Här ska kontaktuppgifter till kontaktperson för behandlingen anges. Som kontaktperson bör den som är ansvarig för behandlingen anges men även någon som denne har utsett att vara kontaktperson kan anges. Uppgifterna kan komma att användas vid en eventuell uppföljning av den registrerade personuppgiftsbehandlingen, t.ex. om en registrerad eller tillsynsmyndighet vill få upplysningar om de uppgifter som behandlas.

3. Ansvar för personuppgiftsbehandlingen

Är KI personuppgiftsansvarig för behandlingen eller är KI personuppgiftsbiträde?

Om KI har bestämt ändamålen och medlen för personuppgiftsbehandlingen (eller medverkat till detta) är KI att anse som personuppgiftsansvarig – antingen som ensam personuppgiftsansvarig eller gemensamt ansvarig tillsammans med en annan eller flera parter.

Om KI är gemensamt personuppgiftsansvarig, t.ex. medverkar i en forskningsstudie tillsammans med företrädare för andra lärosäten, ska ett samarbetsavtal upprättas mellan parterna. Det kan även behövas en överenskommelse om vilken organisation som är ansvarig för olika delar av den aktuella personuppgiftsbehandlingen.  

Om KI är personuppgiftsansvarig och anlitar någon annan, person eller organisation, för att denne på uppdrag av och i enlighet med instruktion av KI ska behandla personuppgifter vilka KI är personansvarig för, ska ett personuppgiftsbiträdesavtal upprättas mellan parterna. Ett personuppgiftsbiträdesavtal ska även upprättas i de fall där KI agerar personuppgiftsbiträde åt någon annan person eller organisation.

Om samarbete eller ett biträdesförhållande föreligger ska kopia av avtal som reglerar förhållandet bifogas anmälan.

4. Beskrivning av personuppgifterna samt varifrån personuppgifterna inhämtas

Här ska uppges vilka kategorier av personer som registreras, dvs. får sina personuppgifter behandlade. 

Notera att om KI behandlar uppgifter som är pseudonymiserade (kodade), och där en s k kodnyckel med vilken man kan identifiera en enskild person finns bevarad någonstans, så utgör de pseudonymiserade uppgifterna personuppgifter även om mottagaren inte har möjlighet att få tillgång till kodnyckel.

Beträffande personuppgifter rörande personer som deltar i en forskningsstudie så ska dessa uppgifter hänföras till kategorien ”Forskningspersoner” – även om dessa personer rekryteras till en studie i sin egenskap av patient. Är personuppgifter däremot enbart hänförliga till patienter vid KI för ändamålet hälso- och sjukvård, t.ex. inom tandvården vid KI, ska de anges som ”patienter”.

Med uppgifter som inhämtas direkt från den registrerade menas att den registrerade lämnar uppgifterna t.ex. via formulär, enkäter eller vid intervjuer. Med uppgifter från annan källa menas att uppgifter redan finns insamlade för ett annat ändamål, t.ex. för hälso- och sjukvård i patientjournaler. 

5. IT-system som används för personuppgiftsbehandlingen

Här ska anges vilket eller vilka IT-system eller databaser som används, exempelvis för insamling, bearbetning, lagring, eller kommunikation av personuppgifter. En personuppgiftsbehandling kan inkludera flera system. Det är t.ex. vanligt att ett system används för insamling, ett annat för bearbetning av uppgifterna och ett ytterligare för lagring. Om flera system används inom ramen för en personuppgiftsbehandling ska dessa anges här.

6. Beskrivning av personuppgiftsbehandlingen och rättslig grund för behandlingen

Beskriv kortfattat ändamålet med behandlingen – varför behöver personuppgifter behandlas?  

Personuppgiftsbehandling för ändamålet forskning och utbildning är tillåten enligt den rättsliga grunden ”Allmänt intresse eller myndighetsutövning”. Vid övrig verksamhet är någon av de andra uppräknade rättsliga grunderna tillämpliga med undantag av ”Berättigat intresse” som inte kan användas av KI som rättslig grund för personuppgiftsbehandling i myndighetens kärnverksamhet. 

7. Hur länge kommer personuppgifterna att behandlas innan de raderas eller gallras?

För att besvara frågan kan du behöva analysera hur länge personuppgifterna kommer att behandlas i identifierbar form. Tidsintervallerna i formuläret är hämtade från KI:s dokument-hanteringsplan, vilken kan används som stöd för att fylla i aktuell tidsfrist. KI:s arkivarier kan även kontaktas för att få vägledning i frågan.

8. Överföring av personuppgifter

Överföring av personuppgifter, dvs. när uppgifter delas med mottagare utanför KI, kan ske på olika sätt, t.ex. genom att man skickar dokument innehållande personuppgifter, ger någon läsbehörighet till KI:s system, använder en molntjänst eller skickar prover med tillhörande information som kan knytas till en enskild person. 

Överförs uppgifterna endast internt inom KI, t.ex. mellan olika forskargrupper, ska frågan besvaras med ”Nej”. Notera att personuppgifter överförs till annan om de skickas i pseudonymiserat format och det finns en kodnyckel sparad någonstans med vilken en enskild individ kan identifieras.  

Med mottagare inom EU/EES-området avses förutom de länder som ingår i EU-gemenskapen även Island, Liechtenstein och Norge. 

Länder utanför EU/EES-området kallas ibland även Tredje land. 

9. Skyddsåtgärder

Skyddsåtgärder kan vara både tekniska och organisatoriska. Tekniska åtgärder är t.ex. krav på inloggning, kryptering och virusskydd. Organisatoriska skyddsåtgärder utgörs t.ex. av logg-kontroll, behörighetsstyrning eller att personer som behandlar uppgifterna har fått adekvat information om hur dessa ska hanteras.

KI:s IT-avdelning eller informationssäkerhetssamordnare kan kontaktas för eventuella frågor eller för stöd i bedömning av lämpliga skyddsåtgärder.

För eventuella frågor rörande anmälan av personuppgiftsbehandling kan dataskyddsombud@ki.se kontaktas.