Vanliga frågor om GDPR
Skicka gärna alla dina frågor till funktionsadressen dataskyddsombud@ki.se
Vad är en personuppgift?
All slags information som direkt eller indirekt kan kopplas till en fysisk person som är i livet räknas som personuppgifter. Även bilder (foton) och ljudupptagningar på individer kan vara personuppgifter, även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer och användarkonto, räknas som personuppgifter om de kan kopplas till fysiska personer.
Krypterade och pseudonymiserade personuppgifter räknas som personuppgifter så länge som kodnyckeln finns sparad, oavsett om nyckeln finns vid KI eller hos en annan part och även om man inte ens har laglig rätt att få ta del av den.
Här kan du läsa mer om begrepp inom dataskydd.
Om vi bara behandlar kodade personuppgifter gäller väl inte GDPR?
Jo, så länge som det finns en s.k. kodnyckel sparad någonstans, med vilken det går att identifiera en enskild individ, så utgör en pseudonymiserad (kodad) uppgift en personuppgift och kraven i GDPR måste efterlevas.
Om kodnyckeln däremot är förstörd/raderad och det inte går att koppla personuppgifterna till en specifik person anses uppgifterna vara anonymiserade. I dessa fall utgör inte uppgifterna personuppgifter - och kraven i GDPR är inte applicerbara på behandlingen.
Vad är behandling av personuppgifter?
Med behandling menas allt som görs med en personuppgift. Exempel på behandling av personuppgifter är: insamling, registrering, lagring, bearbetning, spridning och radering.
Vem är personuppgiftsansvarig?
Den personuppgiftsansvarige är den fysiska eller juridiska person, offentliga myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. För personuppgiftsbehandlingar som sker inom KI, där KI har bestämt ändamålet och medlen för behandlingar, är myndigheten KI personuppgiftsansvarig (ytterst Konsistoriet). En anställd vid KI kan aldrig vara personuppgiftsansvarig för en behandling av personuppgifter som utförs i KI:s regi.
Vems ansvar är det att GDPR efterlevs?
Det är den personuppgiftsansvarige som ska säkerställa att GDPR efterföljs inom organisationen. Detta innebär att samtliga verksamma inom KI har ett ansvar att följa de krav och bestämmelser som finns i GDPR. Även om KI är ytterst ansvarig har vi alla ett ansvar.
Vad måste jag göra för att få behandla personuppgifter?
När personuppgifter ska behandlas måste reglerna för personuppgiftsbehandling i GDPR följas. Utgångspunkten är att all personuppgiftsbehandling är otillåten om den inte har rättslig grund. När den rättsliga grunden för personuppgiftsbehandlingen är fastställd och dokumenterad måste övriga krav i GDPR uppfyllas, exempelvis de grundläggande principerna för dataskydd och att informera de personer som kommer att få sina personuppgifter behandlade (om behandlingen).
Vilka är de grundläggande principerna för dataskydd?
De grundläggande principerna för dataskydd är:
Laglighet, korrekthet och öppenhet - Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt.
Ändamålsbegränsning - Personuppgifter får bara samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål.
Uppgiftsminimering – Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet.
Korrekthet – Personuppgifterna ska vara korrekta och om nödvändigt uppdaterade.
Lagringsminimering - Personuppgifterna får inte sparas längre tid än som är nödvändigt med hänsyn till ändamålet med behandlingen.
Integritet och konfidentialitet – Tekniska och organisatoriska skyddsåtgärder ska användas för att säkerställa säkerheten vid behandlingen.
Ansvarsskyldighet – Den personuppgiftsansvarige (KI) ska kunna ansvara och kunna visa att dessa principer efterlevs.
Får vi publicera mingelbilder från vårt event i KI:s kanaler?
Här kan den rättsliga grunden vara att vi utför en uppgift av allmänt intresse genom att publicera bilderna. Att det är myndigheters uppgift att tillhandahålla information om sin verksamhet framgår av 6 § myndighetsförordningen.
Personerna som är med på bilderna har rättigheter enligt GDPR. Informera därför besökarna om möjligt innan eventet om att deras personuppgifter, alltså bilderna, kan komma att användas för att informera om verksamheten (på webbplatsen) och att de har möjlighet att invända mot detta. Informera också om vem de ska kontakta. Ni måste inte samla in namn på alla som är med på bilderna endast för att kunna följa reglerna i förordningen. Men om någon identifierar sig själv och vill utöva sina rättigheter, så gäller rättigheterna i GDPR.
Vad menas med ett biträdesavtal? Vad ska ett sådant avtal innehålla?
En person eller organisation utanför KI:s organisation som behandlar personuppgifter, vilka KI är personuppgiftsansvarig för, för KI:s räkning, är att anse som ett personuppgiftsbiträde till KI. När KI vill anlita ett sådant biträde måste ett skriftligt personuppgiftsbiträdesavtal upprättas mellan parterna. Vid KI finns det mallar (svenska och engelska) för dessa personuppgiftsbiträdesavtal.
Många leverantörer m.fl. skickar nu ut nya avtalsförslag som de vill använda för att de som personuppgiftsbiträde till KI ska kunna efterleva reglerna i GDPR. Stäm med juridiska enheten innan ni tecknar några avtal. I vissa fall kan det räcka med att avtalsförslaget anpassas, i andra fall kan KI:s mall för personuppgiftsbiträdesavtal behöva användas.
Kontakta den juridiska enheten för att få tillgång till mallen på epostadressen avtal@ki.se
Om KI behandlar personuppgifter som någon annan är personuppgiftsansvarig för är KI personuppgiftsbiträde. Då tecknar prefekt eller motsvarande detta avtal.
Vem har rätt att teckna personuppgiftsbiträdesavtal?
Rätten att teckna avtal följer delegationsordningen inom din institution eller motsvarande. Det kan således se olika ut inom KI.
Ska redan befintliga personuppgiftsbiträdesavtal uppdateras?
Nej, om befintliga personuppgiftsbiträdesavtal är upprättade i enlighet med de bestämmelser som gällde innan GDPR trädde i kraft den 25 maj 2018 behöver de inte uppdateras. Om ni däremot behöver upprätta ett nytt eller uppdatera ett befintligt personuppgiftsbiträdesavtal så ska den nya GDPR-anpassade mallen användas.
Hur får jag spara och dela personuppgifter?
Utgångspunkten idag är att du, om du har rättslig grund för personuppgiftsbehandlingen, får spara personuppgifter på lagringsplatser, lagrings- och delningstjänster (personuppgifter kommer troligen inte få lagras på alla typer datorer, lagringsplatser och delningstjänster, speciellt inte s.k. känsliga personuppgifter) som KI äger och som inte synkroniseras till molntjänster. Du får självklart inte, precis som tidigare, spara personuppgifter (eller annan information som KI äger) på externa lagringsplatser eller gratistjänster. Undantaget är om det finns laglig grund för detta som i exemplet ovan där mingelbilder får delas på exempelvis sociala medier.
Är det okej att skicka personuppgifter inom KI?
En grundläggande dataskyddsprincip är att bara de personer som behöver personuppgifterna för att utföra sina arbetsuppgifter, ska ha tillgång till dem. Det gäller oavsett om uppgifterna är integritetskänsliga eller harmlösa. Ni måste alltså se till att rätt personer ser rätt saker. Detta innebär att även spridning inom KI ska ske väldigt varsamt. S.k. känsliga personuppgifter får inte skickas i klartext via mejl.
Hur informerar jag prenumeranter på mitt nyhetsbrev?
Samtycke behöver inte samlas in från anställda eller anknutna som läggs till på nyhetsbrev. Däremot kvarstår deras möjlighet att välja bort nyhetsbrevet. Ev nyhetsbrevsprenumeranter som inte är anställda eller anknutna till KI ska ha gett ett tydligt och informerat samtycke till att de vill ta emot nyhetsbrevet redan under den tidigare personuppgiftslagen. Då ska du inte behöva uppdatera deras samtycke.
För blivande prenumeranter kan du hänvisa till KI:s information om personuppgiftshantering som kommer att uppdateras här:
Om webbplatsen
Om personuppgifter behandlas vid KI som ett annat universitet eller sjukhus har samlat in, där deras dataskyddsombud har refererats till - behöver KI även referera till KI:s dataskyddsombud i informationen om behandlingen?
Ja, då KI är personuppgiftsansvariga för behandling av forskningspersonernas personuppgifter i all forskning som sker inom KI (där KI är huvudman) behöver det finnas information om den behandling som KI utför i enlighet med anvisningar för information till den registrerade. Detta innefattar bland annat att lämna information om KI:s dataskyddsombud.
Om personuppgifter, som har använts för ett forskningsprojekt där projektet har ett EPN-godkännande, behöver även nya projekt som använder sig av samma data göra en etikprövning?
Ja, då ändamålet med personuppgiftsbehandlingen kan variera mellan olika forskningsprojekt är grundregeln att en etikprövning alltid behöver göras. Likaså kan flera etikprövningar behöva göras inom ett projekt om det handlar om olika typer av personuppgiftsbehandlingar.
Hur gör vi i de fallen där personuppgifter behöver skickas utanför EU/EES?
För personuppgifter som behandlas inom en forsk-ningsstudie så ska regional etikprövningsnämnd ha godkänt överföringen. Önskvärt även att den registrerade ges information om detta innan denne samtycker till behandlingen av personuppgifterna (när det är möjligt). Uppgifterna ska vara pseudonymiserade (kodade). Ska annan part behandla personuppgifterna för KI:s räkning ska ett personuppgiftsbiträdes-avtal upprättas mellan parterna. Om så inte är fallet behöver inte ett sådant avtal upprättas mellan parterna (men det kan vara aktuellt att upprätta annan typ av avtal för överföringen).
I de fall där personuppgifter skickas inom EU/EES behöver det upprättas ett personuppgiftsbiträdesavtal mellan parterna, om annan part ska behandla personuppgifterna för KI:s räkning. De registrerade ska, om möjligt, informeras om vilka mottagarna av personuppgifterna är och samtycka till det innan insamling.
Mer info om överföring till tredje land
Kommer det att tas fram en förteckning över vilka lagringsplattformar som olika typer av data får lagras på/i?
Ja, inom ramen för KI:s informationssäkerhetsarbete kommer informationsklassningar att genomföras vilka kommer att beskriva vilka typer av data som får lagras i vilka typer av tjänster.
Behöver redan upprättade samtycken som används för en pågående studie uppdateras?
Nej, i många fall är det svårt - om inte omöjligt att kontakta dessa personer igen. Att gå ut och uppdatera samtycken för ett redan pågående forskningsprojekt kan även leda till att forskningen påverkas negativt. Är aktuellt tidigare samtycken inhämtade enligt tidigare gällande dataskyddsregler (personuppgiftslagen, PuL), behöver nytt samtycke inte inhämtas.
Om ni däremot ska samla in nya samtycken för en ny studie så behöver dessa samtycken vara anpassade enligt kraven i GDPR.