Instruktioner för registeranmälan

Enligt dataskyddsförordningen (GDPR) är KI skyldigt ett föra register över de personuppgiftsbehandlingar som sker vid KI. Detta görs genom att anmäla personuppgiftsbehandlingar i ett elektroniskt formulär. Se länk.

Forskargruppsledare, grundutbildningsansvarig, forskningsutbildningsansvarig och enhetschefer har det övergripande ansvaret för att personuppgiftsbehandlingar anmäls.

Läs först igenom frågorna i formuläret med tillhörande instruktioner för att säkerställa att samtliga frågor kan besvaras.

Forskning:

Forskargruppsledare är ansvariga för att personuppgiftsbehandlingar som sker inom den egna forskargruppen anmäls till KI:s register.

Utbildning och administration:

Ansvaret för att personuppgiftsbehandlingar anmäls ligger på grundutbildningsansvarig, forskningsutbildningsansvarig och enhetschefer för administration vid respektive institution. Behandlingar som görs utanför de KI-centrala system ska anmälas i registret.

Anmälan av personuppgiftsbehandlingar

Ha all information och dokument tillgängliga innan du sätter igång med att fylla i formuläret. Läs därför igenom instruktionerna innan du påbörjar en anmälan för att säkerställa att samtliga frågor kan besvaras. Inloggningen varar bara en viss tid, så det finns risk att din information försvinner om du måste leta upp informationen samtidigt. Bland annat behöver du diarienummer på:

  • Godkännande från Etikprövningsmyndigheten (endast vid forskning)
  • Personuppgiftsbiträdesavtal, (endast om KI har anlitat personuppgiftsbiträde eller är personuppgiftsbiträde)

Anmälan av personuppgiftsbehandlingar görs via denna länk:
Formuläret för registeranmälan.

 

Instruktioner

1. Kontaktperson för behandlingen vid institution (motsv.)

Här ska kontaktuppgifter till kontaktpersonen för behandlingen eller registret anges. Kontaktpersonen är den som är ansvarig för behandlingen, det som behöver anges är:
- Förnamn
- Efternamn
- Telefonnummer
- E-post
- Institution eller motsvarande
- Verksamhetsområde

Detta kan komma att användas vid en eventuell uppföljning av den registrerade personuppgiftsbehandlingen.

2. Behandlingens namn

Som behandling räknas en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Det kan vara svårt att särskilja en behandling från en annan och se var gränserna går. Ett råd är att så långt möjligt följa den struktur som finns i verksamhetssystemen eller verksamhetsprocessen och att samla behandlingar av personuppgifter som kan sammanföras under samma ändamål, där det rör samma kategorier av personuppgifter och samma system, till en behandling.

Om det finns flera behandlingar inom ramen för samma verksamhetssystem eller verksamhetsprocess bör man döpa dem till olika namn.

3. Är det någon annan part än KI som är personuppgiftsansvarig

Om det är KI som har bestämt ändamålen och medlen för personuppgiftsbehandlingen är det KI som är personuppgiftsansvariga. Om KI är personuppgiftsansvariga anges (Nej).

Om det är en annan part som har bestämt ändamålen och medlen för behandlingen är det denna part som är personuppgiftsansvarig och (Ja) ska anges. (Ja) ska även anges i de fallen där det finns gemensamt personuppgiftsansvariga, om man tillsammans med en annan organisation har bestämt ändamålen och medlen för behandlingen.

I fältet Vem/vilka är personuppgiftsansvarig anges de som är ansvariga för behandlingen (dock inte när enbart KI är personuppgiftsansvarig).

Diarienummer på avtalet som reglerar behandlingen (till exempel personuppgiftsbiträdesavtal eller samverkansavtal).

4. IT-system som används för behandlingen

Ange i vilket IT-system som personuppgiftsbehandlingen sker. Exempel på system som används vid KI är:
- KI Cloud (ownCloud)
- Primula
- KI ELN
- SPSS

En personuppgiftsbehandling kan inkludera flera system, vanligt är att ett system används för lagring medan ett annat system används för bearbetning av personuppgifterna. Om flera system används inom ramen för en behandling ska dessa anges här.

För att ange flera system manuellt väljs Annat, sedan matas de system som används för behandlingen in separerade med ett kommatecken (,).

5. Ändamål med behandlingen av personuppgifter

Beskriv ändamålet med behandlingen, varför sker behandlingen? Ändamålet ska beskrivas kortfattat men tillräckligt detaljerat för att få en uppfattning om varför personuppgifter behöver behandlas.

6. Kategorier av personer som ska registreras (kategorier av personer som behandlingen berör)

Här ska man uppge vilka kategorier av personer det är som blir registrerade (får sina personuppgifter behandlade), t.ex. anställda vid KI, anknutna, studenter vid KI, forskarstuderande, patienter (ej forskningspersoner), forskningspersoner, arbetssökande eller annat.

7. Uppskattat antal av registrerade som behandlingen berör

Här ska man dokumentera ett ungefärligt antal registrerade personer som behandlingen berör.

8. Behandlingen omfattar följande kategorier av personuppgifter

Här ska man dokumentera vilka olika typer av personuppgifter som registreras och behandlas.

För forskning kan det till exempel vara: ålder, kön, hälsouppgifter eller biologiska prover.

9. Varifrån hämtas personuppgifterna?

Direkt från den registrerade är ofta om formulär, enkäter eller intervjuer används vid insamling.

Om annat, ange vilken källa personuppgifterna har hämtats från.

10. Har eller kommer personuppgifterna överföras till en mottagare utanför KI. Här ska inte överföring till tredje land anges, det görs i nästa fråga.

Här ska man ange mottagare som personuppgifterna har, eller kommer att lämnas ut till, t.ex. Regionen (enhet), CSN, andra universitet eller företag osv. Om personuppgifterna har, eller kommer att överföras till en annan part behöver man även uppge hur överföringen kommer att ske.

Här ska endast externa mottagare anges, mottagare inom KI ska inte anges (exempelvis andra institutioner eller kollegor).

Mottagare - ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personuppgifterna utlämnas.”

11. Har eller kommer personuppgifterna att överföras till tredje land (land utanför EU/EES)

Om personuppgifter kommer att överföras till tredje land ska detta eller dessa länder anges här.

Länder i EU: Belgien, Bulgarien, Cypern, Danmark, Estland, Finland, Frankrike, Grekland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Nederländerna, Polen, Portugal, Rumänien, Slovakien, Slovenien, Spanien, Sverige, Tjeckien, Tyskland, Ungern, Österrike.
Länder i EES: Island, Liechtenstein, Norge

12. Hur länge kommer personuppgifterna att behandlas innan de raderas eller gallras

Ange hur länge personuppgifterna kommer att behandlas innan de raderas eller gallras.

För att svara på denna fråga kan du behöva analysera hur länge personuppgifterna ska behandlas i identifierbar form.

Tidsintervallerna i formuläret är hämtade från KI:s dokumenthanteringsplan, vilken även bör användas som källa för att fylla i tidsfristerna för behandlingen.

13. Vilken eller vilka rättsliga grunder används för personuppgiftsbehandlingen.

Forskning och utbildning vid KI går under den rättsliga grunden allmänt intresse eller myndighetsutövning. Resterande verksamhet vid KI kan använda någon av de andra (dock med begränsningar för den rättsliga grunden berättigat intresse)

De rättsliga grunderna för personuppgiftsbehandling i GDPR är:

- Samtycke från den registrerade
- Fullgöra ett avtal
- Fullgöra en rättslig förpliktelse
- Skydda intressen av grundläggande betydelse
- Allmänt intresse eller myndighetsutövning
- Berättigat intresse

 

14. Ange de åtgärder som har vidtagits för att öka skyddet för personuppgifterna

Om möjligt ska en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna för behandlingen göras.

Det är inte ett krav att redovisa varje säkerhetsåtgärd i detalj, det räcker att göra en översiktlig beskrivning och eventuellt hänvisa till att säkerhetsåtgärderna finns dokumenterade på annat ställe. Kontakta ITA om du har skulle ha några frågor rörande säkerheten i system som tillhandahålls av dem.

15. Finns det personuppgiftsbiträden för den berörda personuppgiftsbehandlingen

Om det finns en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för KI:s räkning (personuppgiftsbiträde) eller om KI är personuppgiftsbiträde till annan, ska detta anges (Ja). En hänvisning till personuppgiftsbiträdesavtalet behöver finnas här, genom att ange diarienumret på avtalet.

Exempel på situationer där det kan finnas ett personuppgiftsbiträde till KI:
- KI lagrar personuppgifter på en molntjänst
- KI skickar biologiska prover till ett annat universitet eller företag för analys
- KI skickar register som innehåller personuppgifter till andra universitet eller företag för bearbetning av data
 

16. Finns det ett godkännande för forskningen från Etikprövningsmyndigheten (endast för forskning vid KI)

För forskning krävs det att det finns ett beslut från Etikprövningsmyndigheten för personuppgiftsbehandlingen. Här ska diarienummer för beslutet anges samt eventuella ändringar och tillägg.

Frågor

Om du har frågor rörande anmälan av en personuppgiftsbehandling kan den juridiska enheten vid KI kontaktas på dataskyddsombud@ki.se.

Dokument

MG
Innehållsgranskare:
Märta Philp
2023-02-23