Embed Size (px)
Citation preview
Dataskyddsförordningenför kommunikatörer3 maj 2018
Dataskyddsförordningen ersätterpersonuppgiftslagen
Den 25 maj 2018 börjar EU:s nya regelverk för personuppgiftsbehandling,dataskyddsförordningen (GDPR), att gälla. Det nya regelverket kommer attinnebära skärpta regler, kraftigt ökade sanktionsavgifter, för myndigheter på5-10 miljoner kronor samt utökad efterlevnadskontroll. Det kommer medandra ord att ställas ännu högre krav på universitetets verksamhet i och meddetta.Vad innebär det för dig?Som kommunikatör vid Stockholms universitet omfattas du av de nya reglernanär du behandlar personuppgifter i ditt arbete. Till exempel vid publiceringarpå webben eller i sociala medier. I denna folder har vi samlat några av desaker du måste tänka på. LÄS MERPå Datainspektionens webbplats datainspektionen.se hittar du merinformation om GDPR. På su.se/gdpr hittar du samlad information om SU:sarbete med GDPR.
2
GDPR i korthetDen 25 maj blir Dataskyddsförordningen (GDPR) en direkt gällande lag inomEU. Personuppgiftslagen (PuL) upphävs, men i och med att det finns nationellalagar som hänvisar till PuL kommer PuL finnas kvar för dessa ändamål.
Syftet med GDPR• Att skydda enskildas grundläggande rättigheter och friheter, särskilt deras
rätt till skydd av personuppgifter• Att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter
inom EU så att det fria flödet av uppgifter inom unionen inte hindras
De viktigaste förändringarna i GDPR• Skyddsnivån för personuppgifter höjs generellt• Informationsskyldigheten till registrerade utvidgas• Högre krav på IT-säkerheten• Tydliga samtycken och hur man återkallar samtycket. Lärosäten som är
myndigheter måste överväga särskilt om samtycke kan utgöra en rättsliggrund genom att uppfylla bland annat krav på frivillighet ochändamålsbestämning
PersonuppgifterPersonuppgifter är allt som kan härledas till en nu levande person. Typiskapersonuppgifter är personnummer, namn och adress.Känsliga personuppgifter avser uppgifter om; ras eller etniskt ursprung,politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i enfackförening, hälsa, en persons sexualliv eller sexuella läggning, genetiskauppgifter och biometriska uppgifter som entydigt identifierar en person. Omdet rör sig om känsliga personuppgifter ställs högre krav på hanteringen enligtGDPR.
Rättslig grund för personuppgiftsbehandling• Samtycke• Avtal med den registrerade• Rättslig förpliktelse• Skydda grundläggande intressen• Allmänt intresse och myndighetsutövning• Intresseavvägning (myndigheter får inte använda sig av en intresseavvägning
när de fullgör sina uppgifter)
Exempel på personuppgiftsbehandlingar är registrering, strukturering, lagring,bearbetning, spridning eller radering.
3
Checklista för kommunikatörer Vid all kommunikation kring personuppgifter behöver man ha en rättsliggrund för personuppgiftsbehandling. Det ska också finnas interna dokumentoch rutiner som visar att man följer de nya rättsliga principerna förbehandling av personuppgifter. Tänk även på att personuppgifter inte får sparas under en längre tid än vadsom är nödvändigt för ändamålet. Därför behövs det rutiner för att medjämna mellanrum rensa ut det som inte längre får lagras. Är det en behandlig av personuppgifter?• Handlar det om behandling av personuppgifter? Det vill säga kan uppgiften
du kommunicerar kring knytas till en fysisk identifierbar levande person?• Vilken typ av personuppgifter rör det sig om? Tänk på att om det är fråga
om känsliga uppgifter så ställs högre krav på hanteringen.• Vad är ändamålet med behandlingen av personuppgifterna?• Vilken rättslig grund stödjer ni behandlingen på? (se föregående sida) Du måste informera om personuppgiftsbehandlingen• De personer vars personuppgifter behandlas, de registrerade, har ett antal
rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär ikorthet att de registrerade ska få information om när och hur deraspersonuppgifter behandlas och ha kontroll över sina egna uppgifter. Därförhar de bland annat rätt att i vissa fall få sina uppgifter rättade, raderadeeller blockerade, eller att få ut eller flytta sina uppgifter. De registreradesrättigheter har utökats, förstärkts och specificerats idataskyddsförordningen. Anvisningar för personuppgiftsbehandling inomStockholms universitet håller på att tas fram.
Publicering av bild och rörlig bildÄven foton på personer klassas som personuppgifter. När du publicerar bildereller filmer med människor måste du alltså alltid följa reglerna idataskyddsförordningen. Tänk också på att vid bildpublicering måste även annan lagstiftning beaktas,exempelvis:• Upphovsrätt - För att använda upphovsrättsskyddat material måste ni ha
upphovsmannens godkännande.• Marknadsrätt - Om kommunikationen har ett kommersiellt syfte gäller
bland annat marknadsföringslagen (2008:486) (”MFL”) och lagen omnamn och bild i reklam (1978:800).
4
Att tänka på vid publicering av bilder/rörlig bild:• Samtycke krävs av de som medverkar på bilden. Om underåriga avbildas är
huvudregeln att vårdnadshavare ska ge samtycke. Använd den framtagnasamtyckesblanketten (finns för både vuxna och barn).
• Säkerställ att ni har nödvändiga avtal med upphovsmän. När du använderbilder från Mediabanken var noga med att kontrollera rättigheterna, det villsäga i vilka kanaler och i vilket syfte bilden får användas. Kontrollera ävenhur länge bilden får användas. Anteckna detta, på till exempel webbsidandär du publicerar den, så att du kommer ihåg att ta bort den från dinwebbsida. I Polopoly går det idag inte att tidstyra bilder och rörlig bild utandet är manuellt jobb. Artiklar går ju att tidstyra, så enklast är kanske atttidstyra av hela artikeln på utgångsdatum redan från början. Detunderlättar även för dig när du granskar dina artiklar efter 1,5 år somgranskningsfunktionen kräver.
• Tänk på att du även måste namnge upphovsmannen i anslutning till detupphovsrättsskyddade materialet såvida upphovsmannen inte uttryckligenfrånsagt sig denna rättighet. I Polopoly lägger vi upphandlade fotografensnamn i alt-texten.
• Om det rör sig om kommersiell kommunikation måste du säkerställa attmottagarna förstår att det är fråga om reklam (9 § MFL). Enligt lagen(1978:800) om namn och bild i reklam krävs det att ni har ett tillstånd frånden avbildade personen att avbilda denne i reklam. Användsamtyckesblanketten för detta.
Förvaring av bilder, filmer och blanketterTänk på att du även måste ha rutiner för hur du förvarar dina bilder. Du skakunna söka fram personuppgifter enkelt om någon begär ett registerutdrag. Den som beställer foto ansvarar för förvaring av samtyckesblanketterna. Detfinns ett stödsystem för universitetets registerförteckning därsamtyckesblanketterna ska registreras. De som ska ha behörighet tillregisterförteckningen är administrativ chef eller motsvarande. Tanken är attalla bilder som lagras i mediabanken ska ha ett utgångsdatum. Tänk också påatt inte spara de nedladdade bilderna från mediabanken lokalt på din dator. Om du är osäker på ett tidigare samtycke enligt PuL eller om du inte hittarden godkända blanketten - ta bort bilden.
5
Mingelbilder från evenemangÄven för att få publicera mingelbilder från ett evenemang krävs det en rättsliggrund för behandlingen och att i övrigt uppfylla dataskyddsförordningen.
Att använda samtycke kan vara onödigt krångligt i detta fall och det kan varasvårt att inhämta samtycke om det är många personer på bilden. En rättsliggrund för myndigheter kan då till exempel vara att syftet med att publicerabilderna är att informera om verksamheten. Den rättsliga grunden kan då varaatt man utför en uppgift av allmänt intresse vid publicering. (Enligt 6 §myndighetsförordningen framgår att det är myndigheters uppgift atttillhandahålla information om sin verksamhet).
Besökarna på evenemanget ska informeras om att deras personuppgifter, alltsåbilderna, kan komma att användas för att informera om verksamheten och attde har möjlighet att invända mot detta. Informera också om vem de skakontakta. Om någon hör av sig måste du avpublicera bilden.
Bilder på medarbetareÄven när det gäller bilder på medarbetare ska det vara tydligt vad syftet medpubliceringen är och vilken den rättsliga grunden till behandlingen är. Denanställde bör alltid tillfrågas innan bilden publiceras. Samtycke är dock oftainte lämpligt som rättslig grund vid anställningsförhållanden eftersomanställda står i beroendeställning till arbetsgivaren.
Om ändamålet med publiceringen är att informera om er verksamhet kan denrättsliga grunden vara att behandlingen är nödvändig för att uppfylla enuppgift av allmänt intresse. Att det är myndigheters uppgift att tillhandahållainformation om sin verksamhet framgår av 6 § myndighetsförordningen. Inomramen för den uppgiften anser Datainspektionen att det finns utrymme att hanamn och bild på exempelvis generaldirektör, presskontakt och andraanställda i publika roller (beroende på myndighet). Däremot kan manförmodligen inte åberopa den rättsliga grunden för att få publicera bilder påalla anställda.
LÄS MERPå su.se/blanketter hittar du samtyckesblanketter för bild/rörlig bild. Där finnsutrymme för kontaktuppgifter till den person eller funktion som förvararsamtyckesblanketter hos er.
Mer information om bildpubliceringar finns på Datainspektionens webbplats.
6
Sociala medierDataskyddsförordningen gäller även vid publicering av personuppgifter isociala medier. Även här ska publiceringar ha rättslig grund och det ska finnasrutiner för hur exempelvis inlägg från besökare ska hanteras. Tänk på attsamtyckesblanketten behöver användas även för publiceringar i socialamedier. När det gäller Facebook, Youtube, Instagram, Linkedin och bloggar ärorganisationen ansvarig för personuppgifter som publiceras påorganisationens profil. Ansvaret omfattar även personuppgifter som publicerasav andra, till exempel i kommentarer. På Twitter endast ansvar för depersonuppgifter som organisationen själv publicerat. Det beror på attorganisationen inte kan påverka publiceringen av andras inlägg på Twitter.
LÄS MERRiktlinjer för universitets sociala medier-kanaler
EvenemangVid evenemang finns personuppgifter ofta med på deltagarlistor. Förutomnamn och kontaktuppgifter kan här även finnas känsliga personuppgifter somsåsom uppgifter om allergier eller funktionsnedsättningar.
Innehåller listan sådana uppgifter ställs högre krav på hanteringen av listan.Du får samla in uppgifter om allergier för ett evenemang men uppgifternamåste raderas efter avslutat evenemang. Detta gäller oavsett om du använderen molntjänst eller har listor i Excel-dokument.
För massutskick av e-post i samband med evenemang - se vidare underavsnittet om e-post.
7
Personuppgifter i jobbets dator eller i molnet:Dataskyddsförordningen gäller även för personuppgifter i anställdasarbetsdatorer, eller i mappar/dokument i molntjänster på nätet. Så långt detgår bör personuppgifter hanteras i gemensamma system medbehörighetsstyrning och inte i enskilda anställdas datorer.
Om någon ändå måste spara personuppgifter i en egen dator, se till attbehandlingen följer dataskyddsförordningen. Den ska till exempel finnas med iförteckningen över organisationens personuppgiftsbehandling och kraven pålämplig säkerhet måste vara uppfyllda. Se också till att personuppgifterna ärordnade så att de går att komma åt, till exempel om den registrerade begär attfå ut sina uppgifter.
LÄS MERMer information om universitetets arbete med införande avdataskyddsförordningen hittar du på su.se/gdpr
Frågor om GDPR kan ställas till [email protected] eller till universitetetsdataskyddsombud [email protected]
Mer information om uppgifter i anställdas datorer hittar du påDatainspektionens webbplats.
E-postE-post innebär i princip alltid att man behandlar personuppgifter. Själva e-postadressen i sig är oftast en personuppgift och all annan information imeddelandet som kan kopplas till en enskild person är också det.
Det som skiljer e-post från annan uppgiftshantering är att innehållet oftast ärokänt när e-posten kommer in till verksamheten. Utgångspunkten är att enverksamhet behöver ta hand om sin inkommande post. Myndigheter kanockså som regel stödja sig på att det är ett allmänt intresse att svara på e-posten.
E-post som kommer in till en myndighet blir normalt en allmän handling somska registreras eller hållas ordnad. Enligt arkivlagen är myndigheter,kommunala bolag och vissa andra organ skyldiga att bevara allmännahandlingar. Utgångspunkten är att det är tillåtet att behandla personuppgifterför att uppfylla kraven i arkivlagen. Alla e-postmeddelanden hos myndigheterär dock inte allmänna handlingar, till exempel privata meddelanden ochmeddelanden inom en facklig organisation.
8
Utskick av nyhetsbrev och e-postlistorI samband med övergången till GDPR kan ni behöva se över era befintliga e-postlistor om ni använder sådan vid exempelvis utskick av nyhetsbrev. Varförhar ni dessa personer på listan, har de gett sitt samtycke eller har ni annangrund för att de ska vara med på listan? Det vill säga har ni rätt att görautskick till de här adresserna?
Tänk också på att om listan används i andra sammanhang, exempelvis vidriktad annonsering på Facebook, så måste ni informera de registrerade om attni gör det.
När du kommunicerar på detta sätt är det också viktigt att tänka på attmottagaren enkelt ska kunna avregistrera sig från framtida utskick (så kallad”opt-out”).
Några av de allmänna rekommendationer som Datainspektionen ger kringhantering av kommunikation via e-post:
• Sprid inte personuppgifter i onödan. Skicka bara personuppgifter till demsom behöver uppgifterna för sitt arbete
• När ni mottagit och läst e-posten, bedöm om uppgifterna ska bevaras ochvar det i så fall ska ske för att uppfylla de krav som gäller för just dessauppgifter.
• Skicka inte känsliga personuppgifter i oskyddad e-post.• Informera på er webb i samband med e-postadressen hur ni behandlar
personuppgifter.• Om ni skickar svarsmejl, bifoga en standardtext där ni informerar den som
skickat e-post om hur ni behandlar personuppgifter.
LÄS MERAnvisningar för personuppgiftsbehandling vid Stockholms universitet håller påatt tas fram.
Mer om hantering av e-post på Datainspektionens webbplats.
9
Länkar och kontaktinformationHär finns alla länkar samlade och klickbara
• SU:s GDPR-info - su.se/gdpr• Datainspektionen - datainspektionen.se• Samtyckesblanketter - su.se/blanketter• Information om bildpubliceringar hos Datainspektionen• Riktlinjer för universitetets sociala medier-kanaler• Information om uppgifter i anställdas datorer hos Datainspektionen • Information om hantering av e-post hos Datainspektionen
Frågor om GDPR?Du kan ställa frågor om GDPR till [email protected] eller till universitetetsdataskyddsombud på [email protected]
10
