Skip to main content

Instruktioner för registeranmälan

I och med GDPR behöver KI upprätta ett register över de personuppgiftsbehandlingar som sker vid KI. Detta arbete görs genom att anmäla personuppgiftsbehandlingar i ett formulär. Om du är ansvarig för en personuppgiftsbehandling ska denna anmälas. Beroende på vilket verksamhetsområde du tillhör kommer kartläggningen att göras på olika sätt. Se avsnitten nedan för närmare förklaring.

Alla inom KI med ett KI-id har möjlighet att anmäla personuppgiftsbehandlingar. Det övergripande ansvaret ligger däremot hos forskargruppsledare, grundutbildningsansvarig, forskningsutbildningsansvarig och enhetschefer.

Läs först igenom frågorna i formuläret med tillhörande instruktioner för att säkerställa att samtliga frågor kan besvaras.
Instruktioner till registeranmälan

Forskning:

För forskningen kommer kartläggningen av personuppgiftsbehandlingar att utgå från de forskargrupper som finns vid KI. Detta innebär att samtliga forskargruppsledare är ansvariga för att personuppgiftsbehandlingar som sker inom den egna forskargruppen anmäls till KI:s register.

Utbildning och administration:

För utbildning och administration kommer kartläggningen av personuppgiftsbehandlingar att utgå från de KI-centrala system som används inom respektive verksamhetsområde. Denna kartläggning sköts separat, och behandlingar som görs i KI-centrala system behöver inte anmälas i registret. Det som du behöver anmäla är de behandlingar som utförs utanför de KI-centrala systemen. Detta gäller enbart behandlingar som är planerade att pågå i mer än tre månader. Ansvaret för att personuppgiftsbehandlingar anmäls ligger på grundutbildningsansvarig, forskningsutbildningsansvarig och enhetschefer för administration vid er institution.
Här finns en förteckning över de KI-centrala systemen

Anmälan av personuppgiftsbehandlingar:

Se till att ha all information och dokument tillgängliga innan du sätter igång med att fylla i formuläret. Läs därför igenom instruktionerna innan du påbörjar en anmälan för att säkerställa att samtliga frågor kan besvaras. Inloggningen varar bara en viss tid, så det finns risk att din information försvinner om du måste leta upp informationen samtidigt. Bland annat behöver du diarienummer på:

  • Personuppgiftsbiträdesavtal, när KI är personuppgiftsbiträde (om sådant avtal finns)
  • Personuppgiftsbiträdesavtal, när KI har anlitat ett personuppgiftsbiträde (om ett sådant avtal finns)
  • Godkännande från etikprövningsnämnden (endast vid forskning)

Anmälan av personuppgiftsbehandlingar görs genom denna länk:
Formuläret för registeranmälan.

Om du skulle ha några frågor rörande anmälan av en personuppgiftsbehandling bör instruktionerna i första hand användas, om din fråga inte täckts av instruktionerna kan den juridiska enheten vid KI kontaktas på dataskyddsombud@ki.se.

Instruktioner för kartläggningsmallen

1. Kontaktperson för behandlingen vid institution (motsv.)

Här ska kontaktuppgifter till kontaktpersonen för behandlingen eller registret anges. Kontaktpersonen är den som är ansvarig för behandlingen, det som behöver anges är:
- Förnamn
- Efternamn
- Telefonnummer
- E-post
- Institution eller motsvarande
- Verksamhetsområde

Detta kan komma att användas vid en eventuell uppföljning av den registrerade personuppgiftsbehandlingen.

2. Behandlingens namn

Som behandling räknas en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Det kan vara svårt att särskilja en behandling från en annan och se var gränserna går. Ett råd är att så långt möjligt följa den struktur som finns i verksamhetssystemen eller verksamhetsprocessen och att samla behandlingar av personuppgifter som kan sammanföras under samma ändamål, där det rör samma kategorier av personuppgifter och samma system, till en behandling.

Om det finns flera behandlingar inom ramen för samma verksamhetssystem eller verksamhetsprocess bör man döpa dem till olika namn.

3. Är det någon annan part än KI som är personuppgiftsansvarig

Om det är KI som har bestämt ändamålen och medlen för personuppgiftsbehandlingen är det KI som är personuppgiftsansvariga. Om KI är personuppgiftsansvariga anges (Nej).

Om det är en annan part som har bestämt ändamålen och medlen för behandlingen är det denna part som är personuppgiftsansvarig och (Ja) ska anges. (Ja) ska även anges i de fallen där det finns gemensamt personuppgiftsansvariga, om man tillsammans med en annan organisation har bestämt ändamålen och medlen för behandlingen.

I fältet Vem/vilka är personuppgiftsansvarig anges de som är ansvariga för behandlingen (dock inte när enbart KI är PuA).

Diarienummer på avtalet som reglerar behandlingen är oftast ett personuppgiftsbiträdesavtal.

4. IT-system som används för behandlingen

Ange i vilket IT-system som personuppgiftsbehandlingen sker. Exempel på system som används vid KI är:
- KI Box
- KI Share
- Primula
- KI ELN
- SPSS

En personuppgiftsbehandling kan inkludera flera system, vanligt är att ett system används för lagring medans ett annat system används för bearbetning av personuppgifterna. Om flera system används inom ramen för en behandling ska dessa anges här.

För att ange flera system manuellt väljs Annat, sedan matas de system som används för behandlingen in separerade med ett kommatecken (,).

5. Ändamål med behandlingen av personuppgifter

Ändamålen med behandlingen ska enligt GDPR vara ”särskilda, uttryckligt angivna och berättigade”.

Exempel på ändamål:
- För ett personalsystem skulle ändamålet kunna vara

”Behandling av uppgifter om medarbetare för löneadministration, planering och uppföljning samt hantering av personalärenden. Detta för att kunna fullfölja våra förpliktelser som arbetsgivare”.

Var hellre mer detaljerad i beskrivningen än att skriva för kortfattat, det ska framgå varför personuppgifter behöver behandlas och vad syftet med behandlingen är.

6. Kategorier av personer som ska registreras (kategorier av personer som behandlingen berör)

Här ska man markera vilka personer det är som blir registrerade (får sina personuppgifter behandlade), t.ex. anställda vid KI, anknutna, studenter vid KI, forskarstuderande, patienter (ej forskningspersoner), forskningspersoner, arbetssökande eller annat.

7. Uppskattat antal av registrerade som behandlingen berör

Här ska man dokumentera ett ungefärligt antal registrerade personer som behandlingen berör.

8. Behandlingen omfattar följande kategorier av personuppgifter

Här ska man dokumentera vilka olika typer av personuppgifter som registreras och behandlas.

Exempel: För löneadministration: Namn, personnummer, adress och inkomstuppgifter.

För forskning: ålder, kön, hälsouppgifter och biologiska prover.

9. Varifrån hämtas personuppgifterna?

Direkt från den registrerade är ofta om formulär, enkäter eller intervjuer används vid insamling.

Om annat, ange vilken källa personuppgifterna har hämtats från.

10. Har eller kommer personuppgifterna överföras utanför KI. Här ska inte överföring till tredje land anges, det görs i nästa fråga.

Här ska man dokumentera vilka olika typer av mottagare som personuppgifterna har, eller kommer att lämnas ut till, t.ex. Landstinget (enhet), CSN, andra universitet eller företag osv. Om personuppgifterna har, eller kommer att överföras till en annan part behöver man även uppge hur överföringen kommer att ske.

Här ska endast externa mottagare anges, mottagare inom KI ska inte anges (exempelvis andra institutioner eller kollegor).

Mottagare - ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personuppgifterna utlämnas.”

11. Har eller kommer personuppgifterna att överföras till tredje land (land utanför EU/EES)

Om personuppgifter kommer att överföras till tredje land ska detta eller dessa länder anges här.

Länder i EU: Belgien, Bulgarien, Cypern, Danmark, Estland, Finland, Frankrike, Grekland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Nederländerna, Polen, Portugal, Rumänien, Slovakien, Slovenien, Spanien, Storbritannien, Sverige, Tjeckien, Tyskland, Ungern, Österrike.
Länder i EES: Island, Liechtenstein, Norge

12. Hur länge kommer personuppgifterna att behandlas innan de raderas eller gallras

Ange hur länge personuppgifterna kommer att behandlas innan de raderas eller gallras.

För att svara på denna fråga kan det du behöva analysera hur länge personuppgifterna ska behandlas i identifierbar form.

Tidsintervallerna i formuläret är hämtade från KI:s dokumenthanteringsplan, vilken även bör användas som källa för att fylla i tidsfristerna för behandlingen.

13. Vilken eller vilka rättsliga grunder används för personuppgiftsbehandlingen.

De rättsliga grunderna för personuppgiftsbehandling i GDPR är:

- Samtycke från den registrerade
- Fullgöra ett avtal
- Fullgöra en rättslig förpliktelse
- Skydda intressen av grundläggande betydelse
- Allmänt intresse eller myndighetsutövning
- Berättigat intresse

Forskning och utbildning vid KI går under den rättsliga grunden allmänt intresse eller myndighetsutövning. Resterande verksamhet vid KI kan använda någon av de andra (dock med begränsningar för den rättsliga grunden berättigat intresse)

14. Ange de åtgärder som har vidtagits för att öka skyddet för personuppgifterna

Om möjligt ska en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna för behandlingen göras.

Det är inte ett krav att redovisa varje säkerhetsåtgärd i detalj, det räcker att göra en översiktlig beskrivning och eventuellt hänvisa till att säkerhetsåtgärderna finns dokumenterade på annat ställe. Kontakta ITA om du har skulle ha några frågor rörande säkerheten i system som tillhandahålls av dem.

15. Finns det personuppgiftsbiträden för den berörda personuppgiftsbehandlingen

Om det finns en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för KI:s räkning (personuppgiftsbiträde) ska detta anges (Ja). En hänvisning till personuppgiftsbiträdesavtalet behöver finnas här, genom att ange diarienumret på avtalet.

Exempel på situationer där det kan finnas ett personuppgiftsbiträde till KI:
- KI lagrar personuppgifter på en molntjänst
- KI skickar biologiska prover till ett annat universitet eller företag för analys
- KI skickar register som innehåller personuppgifter till andra universitet eller företag för bearbetning av data
- Externa personer som vistas och behandlar personuppgifter i KI:s lokaler och i KI:s tekniska utrustning.

16. Finns det ett godkännande för forskningen från etikprövningsnämnden (endast för forskning vid KI)

För forskning krävs det att det finns ett beslut från etikprövningsnämnden för personuppgiftsbehandlingen. Här ska KI:s diarienummer för beslutet anges.

Dokument