Versions Compared

Old Version 22

changes.mady.by.user Ola Lundgren (Unlicensed)

Saved on

compared with

New Version 23

changes.mady.by.user Ola Lundgren (Unlicensed)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Syftet med denna sida är att skapa en gemensam förståelse för juridiska och säkerhetsmässiga aspekter på systemintegration av personuppgifter. Målsättningen är att underlätta diskussion mellan informationsägare, integrationsarkitekter och andra inblandade när man värderar olika lösningsförslag för integration.

...

Begrepp

Innebörd

Exempel

Personuppgift

Personuppgifter är all slags information som kan knytas till en levande person. Det kan röra sig om namn, adress och personnummer. Även foton på personer klassas som personuppgifter.

Känsliga personuppgifter

Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd. De kallas för känsliga personuppgifter.

Känsliga personuppgifter är uppgifter om

  • etniskt ursprung

  • politiska åsikter

  • religiös eller filosofisk övertygelse

  • medlemskap i en fackförening

  • hälsa

  • en persons sexualliv eller sexuella läggning

  • genetiska uppgifter

  • biometriska uppgifter som används för att entydigt identifiera en person.

Extra skyddsvärd personuppgift

Ett personnummer anses vara en extra skyddsvärd personuppgift.

Extern aktör

Extern part

En annan organisation än GU

Personuppgiftsbehandling

Behandling

Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.

Personuppgiftsansvarig (PUA)

Personuppgiftsansvarig är den organisation (till exempel aktiebolag, stiftelse, förening eller myndighet) som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till.

Personuppgiftsbiträde (PUB)

Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning.

Ett personuppgiftsbiträde och dess personal får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvariga.

Personuppgiftsbiträdesavtal (PUBA)

Biträdesavtal

Det är vanligt att personuppgiftsansvariga anlitar biträden för att utföra en viss personuppgiftsbehandling för att använda biträdets specifika expertis eller erfarenhet som den personuppgiftsansvariga saknar i sin organisation.

När ett personuppgiftsbiträde behandlar personuppgifter åt den personuppgiftsansvariga, ska behandlingen regleras genom avtal (eller annan rättsakt)

Personuppgiftsbiträdesavtal - Integritetsskyddsmyndigheten (imy.se)

General Data Protection Regulation (GDPR)

Dataskyddsförordningen

Lagring (behandling)

Överföring (behandling)

Uppgiftsminimering (princip)

Personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet.

Riktighet (princip)

Personuppgifter som behandlas ska vara riktiga och, om nödvändigt, uppdaterade.

Rättslig grund

Ett lagligt stöd i dataskyddsförordningen för att behandlingen av personuppgifter ska vara tillåten.

Samtycke (rättslig grund)

Med samtycke menas varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

Samtycke - Integritetsskyddsmyndigheten (imy.se)

Allmänt intresse (rättslig grund)

se Myndighetsutövning

Myndighetsutövning och uppgifter av allmänt intresse (rättslig grund)

Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter är enligt regeringens mening av allmänt intresse. Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem.

Studieadministrativa processer

OBS! Uppgifter avser i sammanhanget inte personuppgifter utan myndighetens uppdrag som en rättslig grund för behandling

Se Myndighetsutövning och uppgifter av allmänt intresse - Integritetsskyddsmyndigheten (imy.se)

Spridning

Dessa begrepp är inte lika viktiga men ändå:

...

Överföringen initieras av att ett behov uppstår i källsystemet, t.ex. etablering av en ny person.

TBD Data behöver berikas från GU (t.ex. studieaktivitet), men endast en delmängd av data i källsystemet får behandlas av extern part. Kriterierna för att avgöra detta är inte tillgängliga på GU (t.ex. samtycke registrerat i leverantörens system). Det faktum att leverantören känner till en identifierare (t.ex. personnummer) är tillräcklig grund för utlämnande.

Notera att Extern part har personuppgiftsansvar även för den behandling (transformering) som görs av GU (enligt PUBA).

...

Personuppgiftsbiträdesavtal (PUBA)

(text från IMY Personuppgiftsbiträdesavtal - Integritetsskyddsmyndigheten (imy.se)

...

Exempel

Gränsöverskridande

Flytt från en juridisk person till en annan.

Flytt från ett juridiskt område till ett annat.

  • Lagring/behandling hos en part som baseras i en annan juridisk zon

Två Logiska bubblor

Överföring, lagring, filtrering (behandling) kan sträcka sig över fysiska implementationer.

Den behandling som sträcker sig utanför vår infrastruktur (fysiska platsen ligger utanför juridiska personen) måste regleras.

Note

Bild på gång!

En väldigt begriplig bild:

...

)

Vad ska ett personuppgiftsbiträdesavtal innehålla?  

Enligt artikel 28.3 ska avtalet innehålla följande information om behandlingen:   

  • föremålet för behandlingen och behandlingens varaktighet 

  • behandlingens art och ändamål 

  • typer av personuppgifter och kategorier av registrerade 

  • den personuppgiftsansvarigas rättigheter och skyldigheter.  

Det är väldigt viktigt att den personuppgiftsansvariga tydligt klargör vilka personuppgiftsbehandlingar det är man vill lägga över på ett personuppgiftsbiträde.  

Vilka är minimikraven för ett avtal?

I artikel 28.3 anges dessa minimikrav för vad ett personuppgiftsbiträdesavtal ska innehålla:   

  • att behandling endast får ske enligt dokumenterade instruktioner från den personuppgiftsansvariga 

  • försäkran om konfidentialitet eller lagstadgad tystnadsplikt 

  • lämpliga säkerhetsåtgärder 

  • villkor för anlitande av underbiträden 

  • skyldighet att vidta åtgärder för att uppfylla de registrerades rättigheter 

  • bistå den personuppgiftsansvariga i fråga om dennes skyldigheter enligt artikel 32-36 

  • hur personuppgifter ska hanteras när avtalet upphör 

  • skyldighet att gå med på och bistå vid granskning och inspektioner.  

Personuppgiftsansvarig och personuppgiftsbiträde kan alltid komplettera minimikraven med ytterligare avtalsvillkor. Minimikraven beskrivs utförligare nedan.

Typfall och scenarier

Exempel på vad vi som myndighet får respektive inte får göra och varför.

...