Syftet med denna sida är att skapa en gemensam förståelse för juridiska och säkerhetsmässiga aspekter på systemintegration av personuppgifter. Målsättningen är att underlätta diskussion mellan informationsägare, integrationsarkitekter och andra inblandade när man värderar olika lösningsförslag för integration.
...
Begrepp | Innebörd | Exempel |
|---|---|---|
Personuppgift | ||
Känsliga personuppgifter | Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd. De kallas för känsliga personuppgifter. | Känsliga personuppgifter är uppgifter om
|
Extra skyddsvärd personuppgift | Ett personnummer anses vara en extra skyddsvärd personuppgift. | |
Mottagare?Extern aktör Extern part?Vad kallar vi den som tar emot uppgifter utanför GU, t.ex. Chalmers, Alumnsystem eller Mecenat? | En annan organisation än GU | |
Personuppgiftsbehandling Behandling | ||
Personuppgiftsansvarig (PUA) | Personuppgiftsansvarig är den organisation (till exempel aktiebolag, stiftelse, förening eller myndighet) som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. | |
Personuppgiftsbiträde (PUB) | Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde och dess personal får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvariga. | |
Personuppgiftsbiträdesavtal (PUBA) Biträdesavtal | ||
General Data Protection Regulation (GDPR) Dataskyddsförordningen | ||
Lagring | ||
Överföring | ||
Uppgiftsminimering | ||
Rättslig grund | ||
Samtycke | ||
Allmänintresse | ||
Spridning |
...
Begrepp | Innebörd | Exempel |
|---|---|---|
Dataskyddsombud | ||
Dataskyddsgruppen |
...
Push
Följande är olika interaktionsmönster som kan användas för systemintegration.
...
Bygger på att uppgifter skickas till mottagaren när de etableras/uppdateras. Mottagaren lagrar uppgifterna.
Vi skickar ut ALLA uppgifter.
Extern part behöver göra behandling i form av filtrering:
Lagra alla uppgifter
Sortera bort personer som inte har lämnat samtycke
Denna behandling görs på uppdrag av oss. Regleras i PUBA.
Anledningen till att den görs på uppdrag är att extern aktör saknar rättslig grund.
Det kan finnas problem med denna approach. Alla uppgifter kommer att skickas.
Här måste man bedöma om huruvida man litar på mottagaren eller inte.
...
Synkron överföring
Pull / Request-Reply / on demand.
Någon frågar OSS. Vi har kontroll över utlämnandet.
Exempel: Parkeringsbolaget
Student vill ha en rabatt
P-bolaget är personuppgiftsansvariga (Samtycke)
P-bolaget har rätt att få ut personuppgift (studieaktivitet)
...
Beslutsstöd
Följande är en process som man kan använda för att bestämma vilket lösningsmönster som är tillämpbart i den aktuella situationen.
Personuppgiftsbiträdesavtal (PUBA)
Exempel
Gränsöverskridande
Flytt från en juridisk person till en annan.
Flytt från ett juridiskt område till ett annat.
Lagring/behandling hos en part som baseras i en annan juridisk zon
Typfall och scenarier
Exempel på vad vi som myndighet får respektive inte får göra och varför.
...