Syftet med denna sida är att skapa en gemensam förståelse för juridiska och säkerhetsmässiga aspekter på systemintegration av personuppgifter. Målsättningen är att underlätta diskussion mellan informationsägare, integrationsarkitekter och andra inblandade när man värderar olika lösningsförslag för integration.

...

Överföringen initieras av att ett behov uppstår i källsystemet, t.ex. etablering av en ny person.

TBD Data behöver berikas från GU (t.ex. studieaktivitet), men endast en delmängd av data i källsystemet får behandlas av extern part. Kriterierna för att avgöra detta är inte tillgängliga på GU (t.ex. samtycke registrerat i leverantörens system). Det faktum att leverantören känner till en identifierare (t.ex. personnummer) är tillräcklig grund för utlämnande.

Notera att Extern part har personuppgiftsansvar även för den behandling (transformering) som görs av GU (enligt PUBA).

...

• Student vill ha en rabatt

• P-bolaget är personuppgiftsansvariga (Samtycke)

• P-bolaget har rätt att få ut personuppgift (studieaktivitet)

...

Beslutsstöd

Rättsliga aspekter

Det måste finnas en rättslig grund för behandling av personuppgifter. För GU är den rättsliga grunden oftast att behandling krävs för myndighetsutövning (den uppgift av allmänt intresse som GU utför).

Push-överföring av personuppgifter till en extern aktör (t.ex. en systemleverantör) innebär inte automatiskt att denna aktör blir personuppgiftsansvarig i rättslig mening. Behandling (t.ex. filtrering) kan göras av leverantören på GU:s uppdrag i egenskap av personuppgiftsbiträde, om denna regleras i PUBA.

Det är i detta fall fortfarande GU som ansvarar för behandlingen och den görs med rättslig grund som gäller för GU.

Datasäkerhetsaspekter

TBD

Beslutsprocess

Följande är en process som man kan använda för att bestämma vilket lösningsmönster som är tillämpbart i den aktuella situationen.

...