Vad är personuppgifter?

En personuppgift är information som direkt eller indirekt kan kopplas till en nu levande, identifierad eller identifierbar person. Det innebär att avlidna personer inte omfattas av GDPR.

För att en uppgift ska anses vara en personuppgifts räcker det med att någon kan koppla uppgiften till en person.

Exempel på personuppgifter är:

• namn
• adress
• e-postadress
• personnummer
• telefonnummer
• IP-adress
• foto på en person
• video- och ljudinspelningar

Vad är känsliga personuppgifter?

Känsliga personuppgifter är uppgifter om

• etniskt ursprung
• politiska åsikter
• religioös eller filosofisk övertygelse
• medlemskap i en fackförening
• hälsa (till exempel sjukfrånvaro och läkarintyg)
• en persons sexualliv eller sexuella läggning
• genetiska uppgifter (till exempel uppgifter från DNA-analys)
• biometriska uppgifter (till exempel ansiktsigenkänning eller fingeravtryck)

Utgångspunkten i GDPR är att det är förbjudet att behandla känsliga personuppgifter. Det finns dock ett antal undantag som innebär att det i vissa fall kan vara tillåtet att behandla känsliga personuppgifter. Exempel på undantag är när känsliga personuppgifter behandlas för forsknings- eller arkivändamål. Känsliga personuppgifter får även behandlas för att kunna handlägga ett ärende samt följa regelverket avseende allmänna handlingar. Samtliga undantag framgår av artikel 9.2 GDPR och 3 kap. dataskyddslagen (2018:218).

Vad är integritetskänsliga personuppgifter?

Det finns personuppgifter som inte anses vara känsliga enligt GDPR, men som ändå är extra skyddsvärda, det vill säga integritetskänsliga personuppgifter. Dessa personuppgifter är:

• löneuppgifter
• uppgifter om lagöverträdelser (till exempel uppgifter om brott och frihetsberövande)
• värderande uppgifter, till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler
• information som rör någons privata sfär
• uppgifter om sociala förhållanden
• personnummer och samordningsnummer

Vad innebär behandling av personuppgifter?

Behandling är ett vidsträckt begrepp och innefattar allt som kan göras med personuppgifter. Till exempel insamling, registrering, lagring, bearbetning eller ändring, inhämtande, användning, utlämnande, spridning, sammanställning eller samkörning, blockering eller förstöring av personuppgifter.

Vad menas med registrerad?

I GDPR används begreppet registrerad. Med registrerad avses den person som personuppgiften handlar om. Beroende på sammanhanget kan det till exempel vara anställda, studenter, forskningsdeltagare, barn, och så vidare.

I GDPR finns det ett antal grundläggande principer som ska genomsyra högskolans personuppgiftsbehandlingar. Genom att följa principerna ser högskolan till att personuppgifter behandlas på ett korrekt sätt. Du som anställd vid högskolan bör alltid ha principerna i bakhuvudet när du behandlar personuppgifter i ditt arbete.

Principerna innebär bland annat att högskolan

• måste ha stöd i GDPR för att få behandla personuppgifter (rättslig grund)
• bara får samla in personuppgifter för specifika och berättigade syften
• inte ska behandla fler personuppgifter än vad som behövs för syftet med personuppgiftsbehandlingen
• ska se till att personuppgifterna är riktiga och uppdaterade
• ska gallra (radera) personuppgifterna när de inte längre behövs
• ska behandla personuppgifterna på ett informationssäkert sätt så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs (mer information om informationssäkerhet finns här
• ska kunna visa att högskolan lever upp till kraven i GDPR och hur det görs (till exempel genom att ha registerförteckningar, informera registrerade om högskolans personuppgiftsbehandlingar, genomföra konsekvensbedömningar när det krävs, ha integritetsvänliga lösningar i system och så vidare).

För att högskolan ska få behandla personuppgifter krävs det att personuppgiftsbehandlingen sker med stöd av en så kallad rättslig grund. I GDPR finns det sex rättsliga grunder som man kan använda sig av. Nedan ges en kort beskrivning av de rättsliga grunder som är förekommande inom högskolans verksamhet.

Uppgift av allmänt intresse

Enligt GDPR är en personuppgiftsbehandling laglig om den är nödvändig för att utföra en uppgift av allmänt intresse. Uppgifter av allmänt intresse måste framgå av lag, annan författning, kollektivavtal eller uppdrag som getts av riksdagen eller regeringen.

Av högskolelagen (1992:1434) framgår bland annat att högskolans uppdrag är att bedriva utbildning och forskning samt att samverka med det omgivande samhället. Mycket av högskolans verksamhet utgår från dessa uppdrag. Det är alltså tillåtet att behandla personuppgifter om det är nödvändigt för att uppfylla uppdragen.

Myndighetsutövning

Det är tillåtet att behandla personuppgifter vid myndighetsutövning. I högskolans verksamhet förekommer myndighetsutövning vid bland annat antagning av studenter, examination eller utfärdande av examensbevis.

Rättslig förpliktelse

Högskolan får behandla personuppgifter om det är nödvändigt för att uppfylla en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Rättslig förpliktelse är en rättslig grund som kan användas för personuppgiftsbehandlingar som förekommer inom till exempel högskolans personalarbete. Detta eftersom personalarbetet till stor del grundar sig på lagar, andra författningar eller kollektivavtal. Rättslig förpliktelse kan även användas när högskolan diarieför allmänna handlingar som innehåller personuppgifter. Detta beror på att högskolan är skyldig att registrera allmänna handlingar enligt offentlighets- och sekretesslagen (2009:400).

Avtal

Det är tillåtet att behandla personuppgifter när det behövs för att fullfölja avtal som högskolan har ingått eller kommer att ingå med en enskild person. Högskolan får i egenskap av arbetsgivare behandla personuppgifter om anställda för att uppfylla anställningsavtalet, till exempel genom att behandla uppgifter om arbetad tid och frånvaro för att kunna betala ut lön.

Samtycke

Vid vissa tillfällen kan en person ge sitt samtycke till att högskolan hanterar dennes personuppgifter. Tänk på att samtycket ska vara frivilligt, informerat och dokumenterat. Det är viktigt att säkerställa att det inte råder någon form av beroendeförhållande mellan den som lämnar sitt samtycke och högskolan som gör att samtyckets frivillighet kan ifrågasättas. Detta innebär att högskolan som regel inte kan använda samtycke som rättslig grund för till exempel anställda och studenter. Om högskolan kan använda en annan rättslig grund än samtycke är det att föredra.

Personuppgiftsansvarig

Personuppgiftsansvarig är den organisation, till exempel myndighet eller företag, som bestämmer för vilket syfte personuppgifterna ska behandlas och hur behandlingen ska gå till.

Den som är personuppgiftsansvarig ansvarar för att behandlingen av personuppgifter uppfyller kraven i GDPR och övrig dataskyddslagstiftning. Den personuppgiftsansvarige ansvarar även för eventuella administrativa sanktionsavgifter och skadestånd som tillkommer på grund av att personuppgifter har behandlats i strid med GDPR.

Södertörns högskola är personuppgiftsansvarig

Södertörns högskola är personuppgiftsansvarig för de personuppgifter som behandlas inom högskolans verksamhet. Detta gäller inte bara den behandling som görs av forskare, lärare och administrativ personal, utan högskolan ansvarar även för de personuppgiftsbehandlingar som görs av studenter inom ramen för utbildningen (till exempel när en student genomför en studie som innefattar personuppgifter för att kunna skriva en uppsats). När studenter behandlar personuppgifter på en praktikplats eller VFU-plats får dock praktikplatsen eller VFU-platsen anses vara personuppgiftsansvarig för de personuppgifter som studenterna behandlar under praktiken.

Gemensamt personuppgiftsansvar

Enligt GDPR kan personuppgiftsansvaret vara gemensamt för flera organisationer. När Södertörns högskola samarbetar med till exempel andra lärosäten eller myndigheter kan det uppstå situationer där personuppgiftsansvaret anses vara gemensamt. För att det ska vara fråga om gemensamt personuppgiftsansvar krävs det att två eller flera personuppgiftsansvariga tillsammans bestämmer ändamålen och medlen för personuppgiftsbehandlingen.

Om det föreligger gemensamt personuppgiftsansvar måste parterna ingå ett avtal eller en överenskommelse där deras respektive ansvar för att följa reglerna i GDPR fastställs.

Vad är ett personuppgiftsbiträde?

Ett personuppgiftsbiträde är en extern part som behandlar personuppgifter för en personuppgiftsansvarigs räkning, det vill säga på uppdrag av en personuppgiftsansvarig.

Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, myndighet eller annat organ. Personuppgiftsbiträdet får endast behandla personuppgifter enligt instruktion från den som är personuppgiftsansvarig. I de flesta fall är Södertörns högskola personuppgiftsansvarig. Det innebär att det är högskolan som bestämmer för vilka syften personuppgifterna ska behandlas och hur behandlingen ska gå till. Det kan dock förekomma situationer där högskolan anses vara ett personuppgiftsbiträde.

När ska högskolan ingå ett personuppgiftsbiträdesavtal?

När högskolan anlitar ett personuppgiftsbiträde ska ett personuppgiftsbiträdesavtal upprättas. Syftet med avtalet är att personuppgiftsbiträdet ska lämna tillräckliga garantier om att uppfylla kraven i GDPR genom att till exempel genomföra lämpliga tekniska och organisatoriska åtgärder enligt GDPR samt säkerställa att de registrerades fri- och rättigheter skyddas. Personuppgiftsbiträden som inte lämnar sådana garantier får inte användas.

Exempel på personuppgiftsbiträden är leverantörer av it-tjänster, personaladministrativa system, lärplattformar, ärendehanteringssystem, arkiv- och dokumentdatabaser och liknande. En biträdessituation kan även uppkomma i forskningssammanhang.

Ett personuppgiftsbiträdesavtal är oftast ett separat avtal som är skilt från det avtal som reglerar innehållet i själva tjänsten (huvudavtalet/ramavtalet). Det är viktigt att det framgår av personuppgiftsbiträdesavtalet vilka personuppgifter som personuppgiftsbiträdet ska behandla inom ramen för sitt uppdrag samt ändamålet med behandlingen.

När ska högskolan inte ingå ett personuppgiftsbiträdesavtal?

Södertörns högskola ska inte ingå ett personuppgiftsbiträdesavtal med de organisationer som behöver personuppgifterna för att utföra sina uppdrag. Ett exempel på en sådan situation är när högskolan skickar uppgifter om anställdas löner till Skatteverket. Högskolan har en rättslig förpliktelse att överföra vissa uppgifter om de anställda till Skatteverket. Skatteverket kommer sedan att behandla uppgifterna för eget syfte, vilket är att kontrollera och följa upp att rätt inkomst för de anställda har rapporterats så att de anställda betalar rätt inkomstskatt.

På sidan avtal finns mallar för personuppgiftsbiträdesavtal och avtal om gemensamt personuppgiftsansvar. Mallarna finns på både svenska och engelska.

Vid Södertörns högskola finns ett dataskyddsombud som är placerat vid Avdelningen för verksamhetsutveckling och myndighetsstöd. Dataskyddsombudet utgör en stöd- och kontrollfunktion för personuppgiftsfrågor inom högskolan. Dataskyddsombudet har inget ansvar för att högskolan följer GDPR. Det ansvaret ligger hos högskolan i egenskap av personuppgiftsansvarig.

I dataskyddsombudets arbetsuppgifter ingår bland annat att:

• informera och ge råd om personuppgiftsfrågor
• kontrollera att högskolan följer GDPR och interna styrdokument
• ge råd och synpunkter på konsekvensbedömningar
• vara kontaktperson till Integritetsskyddsmyndigheten (IMY) och registrerade
• samarbeta med IMY vid inspektioner

Kontakta dataskyddsombudet

Du kan kontakta dataskyddsombudet om du behöver stöd eller råd vad gäller personuppgiftsfrågor. Om din fråga rör en särskild personuppgiftsbehandling bör du i första hand kontakta den som ansvarar för behandlingen (till exempel systemägare om frågan rör ett visst system).

Dataskyddsombudet nås via dataskydd@sh.se.

Enligt rektorsbeslut, dnr 2534-1.9.3-2019, ska varje avdelning, institution och annan verksamhet inom högskolan utse en GDPR-samordnare. Personen som får uppdraget har en viktig och betydelsefull roll vad gäller att bidra till högskolans efterlevnad av dataskyddsförordningen.

Rollen som GDPR-samordnare är huvudsakligen en handläggande roll, men även en representativ roll inom samordnarens verksamhet. Uppdraget som GDPR-samordnare innebär att:

• vara verksamhetens kontaktperson till dataskyddsombudet
• vara samordnande funktion inom verksamheten vad gäller frågor kopplade till personuppgiftshantering. Här ingår att hantera frågor från kollegor, hantera enskildas begäranden att utöva olika rättigheter enligt dataskyddsförordningen såsom registerutdrag, radering och rättelse av personuppgifter.
• samordna och ansvara för att dokumentera och eventuellt anmäla personuppgiftsincidenter som förekommer inom samordnarens verksamhet.

Utsedda GDPR-samordnare vid Södertörns högskola

Nedan framgår vilka som är utsedda GDPR-samordnare och vilken verksamhet inom högskolan de tillhör.

• Henrik Blomberg, Institutionen för historia och samtidsstudier
• Elin Olson Wincent, Institutionen för kultur och lärande
• Jonatan Spejare, Institutionen för naturvetenskap, miljö och teknik
• Camilla Cederquist, Institutionen för polisvetenskaper
• Martina Lindberg, Institutionen för samhällsvetenskaper
• Sofia Tiberg, Institutionen för utbildningsvetenskap
• Per Bolin, Centre for Baltic and East European Studies (CBEES)
• Sarah Karis, Avdelningen för verksamhetsutveckling och myndighetsstöd
• Veronica Waldemarson, Campus- och IT-avdelningen
• Johanna Bergman, Ekonomiavdelningen
• Ingela Wahlin, HR-avdelningen
• Kenneth Wall, Kommunikationsavdelningen
• Peter Armstrong och Sara Azer, Studentavdelningen
• Erik Wallenberg, Enheten för verksamhetsplanering och projektledning
• Stefan Norinder, Biblioteket
  

I de fall där en GDPR-samordnare inte är utsedd inom en verksamhet har chef för verksamheten angetts som samordnare. Det är chefens ansvar att delegera uppdraget vidare.

Säkerhetsincident som innefattar personuppgifter

En personuppgiftsincident är en säkerhetsincident som innefattar personuppgifter. Det kan exempelvis vara att personuppgifter har blivit förstörda eller ändrade, gått förlorade eller kommit i orätta händer.

En personuppgiftsincident kan alltså vara en hackerattack där exempelvis alla uppgifter från ett system blir stulna. Det kan också vara något så enkelt som att någon tappar bort en dator eller mobiltelefon, att intern personal som inte har behörighet att se personuppgifter av misstag får tillgång till sådana uppgifter eller att en e-post eller ett brev innehållande personuppgifter skickas till fel person.

En personuppgiftsincident kan leda till negativa effekter för de personer som drabbats av incidenten. Det kan till exempel handla om förlust av kontrollen över de egna personuppgifterna, identitetsstöld, bedrägeri, ekonomisk förlust, diskriminering och skadlig ryktesspridning. För att minimera eventuella risker är det viktigt att högskolan utreder upptäckta eller misstänkta personuppgiftsincidenter för att på så sätt kunna vidta tekniska och organisatoriska åtgärder.

Om en personuppgiftsincident har inträffat ska högskolan bedöma om incidenten sannolikt innebär en risk för de drabbades fri- och rättigheter. Bedömningen ska sedan ligga till grund för att avgöra om incidenten behöver anmälas till Integritetsskyddsmyndigheten (IMY) och om de som drabbats av incidenten behöver informeras om incidenten.

Är det osannolikt att personuppgiftsincidenten medför några risker för de drabbades fri- och rättigheter behöver incidenten inte anmälas IMY.

Nedan finns ett antal faktorer som ska beaktas i riskbedömningen.

Vad är det för typ av personuppgiftsincident?

Utred vad det är för typ av personuppgiftsincident. Vilken typ av incident det är fråga om har betydelse för vilka risker som kan uppkomma samt vilka konsekvenser som de drabbade kan utsättas för. Ett felaktigt brevutskick med känsliga uppgifter kan exempelvis få andra konsekvenser än en incident som innebär att en persons medicinska uppgifter har raderats eller inte längre är tillgängliga.

Personuppgifternas karaktär, känslighet och mängd

Ta reda på vad det är för typ av personuppgifter som omfattas av personuppgiftsincidenten. Personuppgifternas karaktär och känslighet kan påverka vilken skada som kan uppkomma för de som drabbats av incidenten. Till exempel kan identitetshandlingar och finansiella uppgifter tillsammans användas för identitetsstöld. I vissa fall kan en kombination av personuppgifter vara känsligare än endast en typ av personuppgifter. Om det rör sig om en större mängd personuppgifter kan incidenten innebära större effekter på de drabbades fri-och rättigheter.

Hur enkelt är det att identifiera enskilda personer?

Utred hur enkelt det är att identifiera enskilda personer. Hur enkelt det är att identifiera personer med hjälp av de uppgifter som personuppgiftsincidenten omfattar kan få betydelse för vilka konsekvenser incidenten kan medföra. Hur enkelt uppgifterna, direkt eller indirekt, kan användas för att identifiera en enskild person kan exempelvis påverkas av om personuppgifterna skyddats genom kryptering eller pseudonymisering.

Vilka personer är det som har drabbats av personuppgiftsincidenten?

Utred vilka personer som omfattas av personuppgiftsincidenten. En personuppgiftsincident kan få allvarligare konsekvenser om den drabbar särskilt skyddsvärda personer, exempelvis barn eller andra personer i sårbarare eller svagare ställning. Det kan även finnas andra faktorer hos personen som kan påverka vilken effekt en incident får för den som drabbats. Därför är det viktigt att ta hänsyn till vilka personerna är och om det finns egenskaper hos dem som kan få betydelse för riskbedömningen.

Hur allvarliga är konsekvenserna?

Utred hur allvarliga konsekvenserna är eller kan bli till följd av personuppgiftsincidenten. En incident är särskilt allvarlig om det finns en risk att incidenten leder till exempelvis identitetsstöld, bedrägeri eller skadlig ryktesspridning.

Hur allvarliga konsekvenserna är beror på vad det är för typ av incident. Det har till exempel betydelse om högskolan vet om att personuppgifterna hamnat hos personer vars avsikter är okända eller skadliga. Om uppgifterna i stället skickats till en mottagare som är betrodd kan risken för de drabbade anses vara lägre.

Rättigheter enligt GDPR

Utöver rätten till information och registerutdrag (också kallad rätt till tillgång) finns följande rättigheter enligt GDPR:

• Rätt till radering av personuppgifter
• Rätt till rättelse av felaktiga personuppgifter
• Rätt till begränsning av personuppgiftsbehandling
• Rätt att invända mot en personuppgiftsbehandling
• Rätt till dataportabilitet
• Rätt att inte bli föremål för automatiserat beslutsfattande

På Integritetsskyddsmyndighetens webbplats Länk till annan webbplats, öppnas i nytt fönster. finns det mer information om vad dessa rättigheter innebär.

Observera att det kan finnas undantag från att tillmötesgå en begäran om att få utöva en rättighet enligt GDPR. Vid osäkerhet kan högskolans dataskyddsombud kontaktas via dataskydd@sh.se.

Särskilt om undantag från rätten att få personuppgifter raderade

Eftersom högskolan är en statlig myndighet med uppdrag att bland annat bedriva utbildning och forskning kan en begäran sällan tillgodoses i sin helhet. Rätten till radering gäller inte om det är nödvändigt för högskolan att behandla personuppgifterna med stöd av de rättsliga grunderna uppgift av allmänt intresse, myndighetsutövning eller rättslig förpliktelse.

Personuppgifter som behandlas för arkivändamål eller för vetenskapliga eller historiska forskningsändamål omfattas inte av rätten till radering om raderingen sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med personuppgiftsbehandlingen.

När det gäller allmänna handlingar är utgångspunkten att de ska bevaras och gallras i enlighet med högskolans informationshanteringsplan. Vid en begäran om radering av personuppgifter som ingår i allmänna handlingar är det viktigt att utgå från informationshanteringsplanen för att avgöra om det är möjligt att gallra (radera) uppgiften.

För att underlätta hanteringen av en inkommen begäran om att få utöva en övrig rättighet har högskolans dataskyddsombud tagit fram en rutin som högskolans medarbetare kan utgå från. Rutinen framgår nedan.

Identifiering av den sökande

När en sökande vill utöva en rättighet enligt GDPR är det viktigt att säkerställa att det är rätt person som högskolan är i kontakt med. Enligt GDPR är högskolan skyldig att underlätta för den sökande vid begäran om att få utöva en rättighet. Samtidigt får högskolan inte behandla fler personuppgifter än nödvändigt för att kunna tillmötesgå begäran. Hur identifieringen ska gå till är inget som regleras i GDPR, utan högskolan måste göra en bedömning i varje enskilt fall.

Om den sökande hör av sig via till exempel en e-postadress eller telefonnummer som är känd för högskolan och om kontaktvägen har använts tidigare mellan den sökande och högskolan, bör någon ytterligare upplysning från den sökande inte begäras för att kunna påbörja handläggningen av begäran.

Om en tredje part företräder den som begär att få utöva en rättighet, ska högskolan kontrollera att denne har behörighet att agera å den sökandes vägnar, till exempel via fullmakt.

Om den sökande är okänd för högskolan kan ytterligare upplysning behöva begäras in. Vid osäkerhet kontakta högskolans dataskyddsombud via dataskydd@sh.se för vägledning.

Utred inkommen begäran

• En begäran om att utöva en rättighet görs genom att skicka in en skriftlig begäran till Södertörns högskolas registrator, registrator@sh.se, eller till postadress Registrator, Södertörns högskola, 141 89 Huddinge. En begäran kan också inkomma till högskolan på annat sätt, till exempel till en medarbetare eller annan avdelning eller institution via ett telefonsamtal eller e-post.
• Om en begäran inkommer till någon annan än registrator måste den som har tagit emot begäran meddela detta till registrator via registrator@sh.se så att begäran kan diarieföras i diariet. Om begäran har gjorts muntligen via till exempel ett telefonsamtal ska en tjänsteanteckning upprättas där det framgår vilket datum begäran inkom samt den sökandes namn och kontaktuppgifter. Tjänsteanteckningen ska skickas till registrator för diarieföring.
• Registrator ansvarar för att informera den sökande om att begäran är mottagen och att begäran är under handläggning. Av bekräftelsen ska det även framgå att begäran kommer att besvaras inom en månad från det att högskolan tog emot begäran. Vid komplicerade begäranden kan tidsfristen förlängas med ytterligare två månader. Om tidsfristen förlängs med två månader måste registrator informera personen i fråga om förlängningen inom en månad från det att högskolan tog emot begäran.
• Registrator ska vidarebefordra ärendet till berörd GDPR-samordnaren eller chef för den avdelning, institution eller annan verksamhet som behandlar den sökandes personuppgifter.
• Det är den avdelning, institution eller annan verksamhet inom högskolan som behandlar personuppgifter om den sökande som ska hantera begäran. Om begäran berör flera avdelningar, institutioner och andra verksamheter inom högskolan bör begäran samordnas av registraturen.
• Den avdelning, institution eller annan verksamhet inom högskolan som behandlar personuppgifterna ansvarar för att utreda den sökandes begäran för att se om den kan tillmötesgås eller inte. Viktigt att tänka på är att vissa rättigheter har undantag som innebär att högskolan inte alltid kan tillmötesgå en begäran om att få utöva en rättighet. Högskolan kan till exempel inte radera personuppgifter i allmänna handlingar som är arkiverade. Om man är osäker på om en rättighet kan tillmötesgås bör högskolans dataskyddsombud kontaktas via dataskydd@sh.se.
• När berörd avdelning, institution eller annan verksamhet inom högskolan har utrett om det är möjligt att tillgodose begäran ska registrator informeras om detta. Av informationen ska det framgå om begäran kan tillmötesgås och vilka åtgärder som har vidtagits. Om begäran inte kan tillmötesgås ska det framgå varför och vilket rättsligt stöd som ligger till grund för detta.

Besvara den sökande och meddela vilka åtgärder som har vidtagits

Registrator ansvarar för att besvara den sökande. Om en begäran inte kan tillmötesgås helt eller delvis ska ett avslagsbeslut med överklagandehänvisning upprättas. Registraturen kan ta hjälp av högskolans dataskyddsombud för att ta fram ett sådant beslut.

Enligt 7 kap. 2 § dataskyddslagen (2018:218) kan högskolans beslut avseende rättigheter enligt GDPR överklagas till förvaltningsrätten. Högskolans beslut om att inte tillgodose en rättighet helt eller delvis ska därför förses med en överklagandehänvisning.

Observera dock att om högskolan fattar beslut om att inte lämna ut vissa uppgifter i till exempel ett registerutdrag med hänvisning till sekretess, kan ett sådant beslut överklagas till kammarrätten.

En tredjelandsöverföring innebär att personuppgifter överförs till ett land utanför EU/EES. Exempel på tredjelandsöverföring av personuppgifter är

• när personuppgifter skickas via e-post till en mottagare i ett land utanför EU/EES
• när man anlitar ett personuppgiftsbiträde i ett land utanför EU/EES
• när någon utanför EU/EES ges tillgång, till exempel läsbehörighet, till personuppgifter som finns lagrade inom EU/EES (till exempel vid en supporttjänst)
• när personuppgifter lagras i en molntjänst som är baserad utanför EU/EES
• när personuppgifter lagras, till exempel på en server, i ett land utanför EU/EES.

För att personuppgifter ska få överföras till ett tredje land behöver som utgångspunkt något av alternativen nedan vara tillämpligt:

1. Mottagarlandet omfattas av ett så kallat adekvansbeslut, det vill säga ett beslut som EU-kommissionen har fattat och som innebär att mottagarlandet har en adekvat skyddsnivå vad gäller skyddet av personuppgifter.
   
   
2. Högskolan och mottagaren av personuppgifterna ingår avtal som innehåller standardiserade villkor som EU-kommissionen har godkänt (så kallade standardavtalsklausuler).
   
   
3. Om mottagaren av personuppgifterna finns i USA måste mottagaren vara certifierad enligt det så kallade EU-U.S. Data Privacy Framework.

Adekvansbeslut

EU-kommissionen har möjlighet att fatta beslut om att ett tredje land har en tillräckligt hög skyddsnivå vad gäller personuppgifter. Finns det ett sådant beslut för mottagarlandet kan högskolan föra över personuppgifter dit. En lista över länder som har adekvat skyddsnivå finns på Integritetsskyddsmyndighetens webbplats. Länk till annan webbplats, öppnas i nytt fönster.

Standardavtalsklausuler

Standardavtalsklausuler kan användas som grund för att överföra personuppgifter till ett tredje land förutsatt att standardavtalsklausulerna i praktiken kan efterlevas i mottagarlandet. Högskolan måste alltså bedöma om standardavtalsklausulerna ger ett tillräckligt skydd för personuppgifterna. Det innebär att man måste bedöma om mottagarlandet har nationell lagstiftning eller praxis som innebär att skyddet i klausulerna inte får någon effekt. Bedömningen kan göras med hjälp av det företag eller organisation som personuppgifterna planeras att överföras till. Observera att bedömningen måste göras innan personuppgifterna överförs.

Om bedömningen visar att det finns risk att standardavtalsklausulerna inte kommer att kunna ge tillräckligt skydd för personuppgifterna behöver man se över möjligheten att införa kompletterande skyddsåtgärder, det vill säga åtgärder som kompletterar standardavtalsklausulerna. Valet av kompletterande skyddsåtgärder varierar beroende på den specifika tredjelandsöverföringen. Exempel på skyddsåtgärder är att personuppgifterna pseudonymiseras eller krypteras innan de överförs. Om personuppgifterna krypteras innan överföringen är det viktigt att krypteringsnyckeln hanteras av högskolan eller tillförlitlig part.

Om du överväger att överföra personuppgifter till ett tredje land med stöd av standardavtalsklausuler, kan du kontakta högskolans dataskyddsombud dataskydd@sh.se för en diskussion.

Överföring av personuppgifter till USA

Många stora it-företag har sitt huvudkontor i USA. Därför är det också vanligt att olika molntjänster kommer från amerikanska företag. EU och USA har tidigare försökt få till ett avtal mellan EU och USA som möjliggör att personuppgifter från EU kan behandlas av amerikanska parter. EU-domstolen har upphävt tidigare ingångna avtal (Safe Harbour och Privacy Shield-avtalen) mellan EU och USA. EU-domstolen bedömde att de tidigare avtalen inte gav ett tillräckligt skydd för personuppgifterna när de överfördes till USA.

Sedan juli 2023 finns det ett nytt avtal mellan EU och USA som heter EU–U.S. Data Privacy Framework. Avtalet gör det möjligt för EU att överföra personuppgifter till de organisationer i USA som är anslutna till avtalet.

Innan du planerar att överföra personuppgifter till en amerikansk organisation behöver du undersöka om organisationen är ansluten till EU–U.S. Data Privacy Framework. Det amerikanska handelsdepartementet tillhandahåller en lista över de organisationer som är anslutna till DPF. Listan hittar du här Länk till annan webbplats, öppnas i nytt fönster.. Om organisationen inte finns med på listan är den inte godkänd av EU-kommissionen. Det innebär att du behöver bedöma om överföringen av personuppgifterna i stället kan göras med stöd av standardavtalsklausuler.

Tänk på att EU-US Data Privacy Framework, likt tidigare avtal mellan EU och USA, kan komma att upphävas. Högskolans dataskyddsombud rekommenderar de som använder eller planerar att använda denna grund för att överföra personuppgifter till USA att ha en plan för om avtalet skulle ogiltigförklaras.

Om en personuppgiftsbehandling sannolikt leder till en hög risk för enskilda personers fri- och rättigheter ska högskolan enligt GDPR göra en konsekvensbedömning. Syftet med en konsekvensbedömning är att identifiera och minimera risker för personers fri- och rättigheter innan en personuppgiftsbehandling påbörjas. Risker ska i första hand bedömas utifrån dataskydds- och integritetsaspekter, men även utifrån andra grundläggande mänskliga rättigheter såsom yttrande- och tankefrihet, fri rörlighet och förbud mot diskriminering.

En konsekvensbedömning ska genomföras innan en personuppgiftsbehandling påbörjas. På så sätt minimeras risken för att högskolan påbörjar en behandling som senare måste förändras på grund av att den inte uppfyller kraven i GDPR. En konsekvensbedömning kan vara till hjälp vid bedömningen av vilka säkerhetsåtgärder som behövs eller vilka tekniska lösningar som bör väljas.

Enligt högskolans besluts- och delegationsordning är det avdelningschefer och prefekter som beslutar om en konsekvensbedömning ska genomföras.

En konsekvensbedömning ska särskilt göras i följande fall:

• När en personuppgiftsbehandling består av ett automatiserat individuellt beslutsfattande (till exempel rekrytering utan personlig kontakt, helt automatiserad antagning) och profilering (användning av personuppgifter för att skapa särskilda profiler baserat på personliga aspekter och i de fall där dessa profiler används för att fatta automatiserade beslut)
• När en personuppgiftsbehandling består av känsliga personuppgifter i stor omfattning eller av personuppgifter som rör brott eller misstanke om brott.
• När en personuppgiftsbehandling innebär en systematisk övervakning av en allmän plats i stor omfattning

Utöver de situationer som anges ovan ska en konsekvensbedömning göras om personuppgiftsbehandlingen sannolikt leder till en hög risk för personers fri- och rättigheter och uppfyller minst två av följande kriterier:

• Utvärderar eller poängsätter människor.
• Behandlar personuppgifter i syfte att fatta automatiserade beslut som har rättsliga följder eller liknande betydande följder för den enskilde.
• Systematiskt övervakar människor, till exempel genom kameraövervakning av en allmän plats eller genom att samla in personuppgifter från internetanvändning i offentliga miljöer.
• Behandlar känsliga personuppgifter eller uppgifter som är av mycket personlig karaktär.
• Behandlar personuppgifter i stor omfattning.
• Kombinerar personuppgifter från två eller flera behandlingar på ett sätt som avviker från vad personerna rimligen kunnat förvänta sig, till exempel när man samkör register.
• Behandlar personuppgifter om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara, till exempel barn, anställda, asylsökande, äldre och patienter.
• Använder ny teknik eller nya organisatoriska lösningar, till exempel en sakernas internet-applikation (internet of things, iot).
• Behandlar personuppgifter i syfte att hindra personer från att få tillgång till en tjänst eller ingå ett avtal, till exempel när en bank granskar sina kunder mot en databas för kreditupplysning för att besluta om de ska erbjudas lån.

Det är viktigt att påbörja en konsekvensbedömning så tidigt så möjligt, även om vissa delar av behandlingen fortfarande är okända. Samma konsekvensbedömning kan användas för att bedöma flera personuppgiftsbehandlingar som liknar varandra avseende art, omfattning, innehåll, ändamål och risker.

När behöver konsekvensbedömning inte göras?

En konsekvensbedömning behöver inte genomföras om personuppgiftsbehandlingen sannolikt inte leder till en hög risk för personers rättigheter och friheter eller är mycket lik en annan behandling där det redan finns en konsekvensbedömning.

Denna bedömning ska dokumenteras i det projekt eller ärende den tillhör.

Mall för konsekvensbedömning

Högskolan har tagit fram en mall som ska användas när man genomför en konsekvensbedömning. Mallen innehåller ett antal frågor som ska besvaras. För att identifiera risker behöver man göra en så kallad riskbedömning. För att göra riskbedömningen kan man använda högskolans mall för risk- och sårbarhetsanalys. Riskbedömningen kommer sedan att ligga till grund för konsekvensbedömningen.

Kontakta högskolans dataskyddsombud via dataskydd@sh.se för att få ta del av mallarna. Om du är systemägare kommer du åt mallarna på högskolans lagringsyta I:.

Vid genomförandet av en konsekvensbedömning bör personer som representerar olika synvinklar och kompetenser samverka för att göra en korrekt bedömning, till exempel:

• projektledare
• forskningsledare eller av forskningsledaren utsedd forskare (gäller i forskningsprojekt)
• systemägare
• informationsägare
• it-kompetens
• jurist
• arkivarie
• dataskyddsombud

I vissa fall kan det vara lämpligt att inhämta synpunkter från de personer vars personuppgifter kommer att behandlas. Om det inte är lämpligt på grund av att det är oproportionerligt, opraktiskt, det kan innebära sekretessbrott eller att syftet med behandlingen inte kan uppnås, ska det antecknas i konsekvensbedömningen.

Om det krävs att flera personer ska delta i genomförandet av en konsekvensbedömning är det viktigt att kontakta personerna i god tid.

Rådfråga högskolans dataskyddsombud

Högskolans dataskyddsombud ska alltid kontaktas och få möjlighet att ge synpunkter och råd avseende konsekvensbedömningen. Det är därför viktigt att skicka genomförd konsekvensbedömning till dataskyddsombudet. Konsekvensbedömningen kan skickas till dataskydd@sh.se.

Dataskyddsombudet kan även kontaktas om man är osäker på om en viss personuppgiftsbehandling omfattas av kravet på att genomföra en konsekvensbedömning.

Begär in förhandssamråd om det krävs

Om det efter en genomförd konsekvensbedömning fortfarande bedöms finnas en hög risk med personuppgiftsbehandlingen ska högskolan begära ett förhandssamråd från Integritetsskyddsmyndigheten. Ett förhandssamråd ska begäras innan personuppgiftsbehandlingen påbörjas. En begäran om förhandssamråd ska göras i samarbete med högskolans dataskyddsombud.