Doktorand/Forskare
Som doktorand/forskare behöver man veta hur man behandlar personuppgifter på ett korrekt sätt då är vanligt förekommande i en doktorands/forskares arbetsuppgifter. Nedan finner du information om vad man bör tänka på som doktorand då man utför en personuppgiftsbehandling.
Personuppgifter
Personuppgifter är alla upplysningar som direkt eller indirekt kan identifiera en person, exempelvis namn, personnummer och e-postadress. Det gör att nästan allt som rör människor kan bli personuppgifter, om inte annat när flera uppgifter behandlas tillsammans. Det gäller även så kallade känsliga personuppgifter såsom genetiska uppgifter eller uppgifter om hälsa. Se mer nedan.
Enkelt uttryckt blir sedan allt du gör med personuppgifterna, till exempel insamlar och bearbetar, en behandling.
Dataskyddspolicy
Uppsala universitet har tagit fram en dataskyddspolicy för hanteringen av personuppgifter vid universitetet. Den hittar du här. Där finner du också information om de rättigheter som de registrerade kan utöva mot Uppsala universitet och som du i många fall är skyldig att informera de registrerade om, till exempel vid inhämtande av samtycke.
Allmänna principer
En personuppgiftsbehandling måste följa dataskyddsförordningens principer. Dessa ska alltid tas hänsyn till när man behandlar personuppgifter. De grundläggande principerna är:
- Principen för laglighet, korrekthet och öppenhet
- Principen om ändamålsbegränsning
- Principen för uppgiftsminimering
- Principen om riktighet
- Principen om lagringsminimering, och
- Principen för integritet och konfidentialitet.
Vill du läsa mer om vad principerna innebär, se dokumentet här.
Laglig grund
För att utföra en laglig behandling av personuppgifter krävs det att behandlingen stödjer sig på åtminstone en av sex möjliga lagliga grunder. Dessa är:- Samtycke
- Avtal
- Rättslig förpliktelse
- Skydd av intressen av grundläggande betydelse
- Nödvändig för utövande av uppgift av allmänt intresse eller myndighetsutövning
- Intresseavvägning (Berättigat intresse). Får dock inte användas av offentliga myndigheter när de fullgör sina uppgifter.
Notera att det är mycket sällan som grunden samtycke kommer att användas vid Uppsala universitet. Innan du bestämmer dig för att din behandling har den lagliga grunden samtycke bör du läsa igenom alla grunder för att se om du kan finna någon som passar bättre. För att läsa mer om de lagliga grunderna och när vilken kan vara lämplig, läs mer här.
Känsliga personuppgifter
Så kallade känsliga personuppgifter är uppgifter som rör:
- Ras eller etniskt ursprung
- Politiska åsikter
- Religiös eller filosofisk övertygelse
- Medlemskap i en fackförening
- Hälsa
- En persons sexualliv eller sexuella läggning
- Genetiska uppgifter
- Biometriska uppgifter som entydigt identifierar en person.
Som huvudregel får man inte behandla känsliga personuppgifter, men dataskyddsförordningen ger en del undantag. Ett sådant är samtycke. Det gör att om du ska behandla känsliga personuppgifter inom t.ex. forskning, så behöver de som personuppgifterna hämtas från samtycka till detta. Samtycket har vissa krav, läs mer här.
Personuppgiftsansvar och personuppgiftsbiträden
Många gånger är det fler än en aktör iblandad i en personuppgiftsbehandling och det är då viktigt att veta vilken av aktörerna som bär ansvaret för behandlingen.
Personuppgiftsansvar – Den juridiska eller fysiska person som bestämmer ändamålen och medel för behandlingen av personuppgifter har ansvar för personuppgiftsbehandlingen. Det innebär att man behandlar uppgifterna så att säga ”för sin egen skull” - man bestämmer vad som ska göras med uppgifterna, ex. insamling och lagring och vad ändamålet med insamlingen och lagringen är samt hur det ska göras. Det är viktigt att komma ihåg att det är Uppsala universitet i sin egenskap av juridisk person, och inte enskilda personer i verksamheten som är ansvarig för de behandlingar där universitetet bestämmer mål och medel för behandlingen. Du som doktorand/forskare har alltså inte personuppgiftsansvaret för den eventuella behandling du gör i din forskning, utan det har Uppsala universitet. Det är dock viktigt att du är välinformerad om vad en personuppgiftsbehandling innebär då du inte får behandla uppgifter olagligt.
Personuppgiftsbiträde – Den personuppgiftsansvarige kan ge en annan juridisk eller fysisk person i uppdrag att göra en personuppgiftsbehandling. Biträdet utför då behandlingen ”för annans räkning”. Hur biträdet ska behandla uppgifterna ska regleras i ett personuppgiftsbiträdesavtal. Juridiska avdelningen har tagit fram en mall till ett sådant avtal. Är du i behov av en sådan mall? Hör av dig till juravd@uadm.uu.se.
Gemensamt personuppgiftsansvar – Om flera tillsammans bestämmer ändamålet med och medlen för en behandling kan man vara gemensamt personuppgiftsansvarig. Om så är fallet ska man upprätta ett avtal som tydligt redogör vem som har ansvar för vad. Vill du ha hjälp med detta? Kontakta juridiska avdelningen: juravd@uadm.uu.se.
De registrerades rätt till information och registerutdrag
Det är viktigt att universitetet vet vilka personuppgifter vi behandlar och var dessa finns för att kunna informera de vars personuppgifter vi behandlar på ett korrekt sätt. Det första steget för att möjliggöra detta är att anmäla alla behandlingar till registerförteckningen som finns centralt vid universitetet. Det gör du här om Uppsala universitet är personuppgiftsansvarig och här om Uppsala universitet är biträde.
Registrerades rättigheter
De registrerade har rätt att veta att vi behandlar deras personuppgifter. För mer information om vilka rättigheter de registrerade kan utöva mot universitetet, läs vidare här.
Konsekvensbedömning
Ibland kan man behöva göra en konsekvensbedömning innan man påbörjar sin behandling av personuppgifter. Om du gör bedömningen att din tänkta behandling kräver en konsekvensbedömning ska du ta kontakt med Dataskyddsombudet som sedan kommer att hjälpa dig vidare. När du tar reda på om du behöver göra en konsekvensbedömning bör du fråga dig: Innebär behandlingen av personuppgifter:
- Att det föreligger en stor risk för att mänskliga fri- och rättigheter kan komma att kränkas?
- Profilering vars resultat sedan används för att automatiskt kategorisera/värdera personer?
- Omfattande känsliga personuppgifter och/eller uppgifter om kriminell belastning?
- Omfattande inhämtning av personuppgifter.
Bedömningen kan utföras genom att överväga om:
- sättet behandlingen utförs på riskerar uppgifternas kvalitet, autenticitet eller integritet.
- metoden för kontinuerlig kontroll av behandlingen fungerar.
- identifierade risker med behandlingen kan motverkas.
- det finns rutiner för att anmäla personuppgiftsincidenter.
(Mänskliga fri- och rättigheter = rätten till liv, frihet och personlig säkerhet; förbud mot slaveri och träldom; förbud mot tortyr och grym, omänsklig eller förnedrande behandling; likhet inför lagen; rätten till opartisk domstolsprövning; förbud mot godtyckliga frihetsberövanden; rätten till skydd av privatliv och korrespondens; rätten till personlig rörelsefrihet; rätten till egendom; rätten till religionsfrihet, åsiktsfrihet och yttrandefrihet samt rätten till förenings- och församlingsfrihet.)
Informationssäkerhet
När du utför forskning ska du säkerställa att all informationshantering i din verksamhet svarar mot universitetets krav på god informationssäkerhet. System och lagringslösningar som används i sammanhanget behöver analyseras med avseende på säkerheten, så även handhavandet av dessa lösningar tillsammans med eventuell personlig utrustning som används i din egen informationshantering.
Grunden för en säker hantering av information läggs genom att en informationsklassificering genomförs – en aktivitet där informationens skyddsvärde avgörs med utgångspunkt från aspekterna konfidentialitet, riktighet och tillgänglighet. Resultatet från genomförda informationsklassificeringar används som underlag i ett efterföljande moment, benämnt kravanalys, där säkerheten i de system och lagringslösningar som används analyseras. Universitetets Rutiner för riskhantering (UFV 2018/211) med bilagor ger vägledning i genomförandet av momenten informationsklassificering och kravanalys.
Universitetets Rutiner för säker informationshantering (UFV 2018/668) ger vägledning i frågor som rör säker informationshantering i stort, men ger också specifik information om vad som gäller vid användningen av s.k. molntjänster.
Ovan nämnda rutiner hittar du i universitetets mål- och regelsamling, men de finns även på sidan https://mp.uu.se/web/info/stod/sakerhet/informationssakerhet tillsammans med ytterligare material med inriktning mot dataskyddsförordningen och informationssäkerhet. Behöver du hjälp med en säkerhetsklassificering, hör av dig till universitetets informationssäkerhetssamordnare här.