Versions Compared

Old Version 44

changes.mady.by.user Ola Ljungkrona

Saved on

compared with

New Version 45

changes.mady.by.user Ola Ljungkrona

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Table of Contents

Sammanfattning

Systemintegrationer är inte alltid enkla att betrakta ur ett GDPR-perspektiv. Diskussionen runt vad som är tillåtet inom GDPR hänförs väldigt ofta till systemens fysiska gränser. GDPR tar inte hänsyn till ett systems fysiska gränser utan endast om systemet logisk sträcker sig till en annan juridiks person som utför behandlingar på uppdrag av personuppgiftsansvarig och i vilket land den juridiska personen (extern part) har sitt säte.

Därför behöver en överföring betraktas ur tre perspektiv för att reda ut hur överföringen skall betraktas och om det är tillåtet i enlighet med GDPR. Dessa tre perspektiv är:

  1. Vem äger infrastrukturen som utför behandlingen

  2. Vilken rättslig grund har behandlingen

  3. Vem är personuppgiftsansvarig för behandlingen

Ett försök att förtydliga de olika perspektiven syns färgkoden återkommande i diagrammen nedan.

En behandling är helt skild från systemets fysiska gränser - utan behandlingen är endast kopplat till vilken part som gör behandlingen och vilket land behandlingen görs. En behandling kan alltså sträcka sig över flera system och dessutom gå över flera parter som då alla behöver teckna ett PUBA för att kunna göra behandlingen på uppdrag av GU.

Likheten i resonemanget kan göras till exempelvis lagring av filer på extern tjänst som på en begäran om utlämnade görs det direkt av leverantören på uppdrag av GU så länge den begärande parten har rättslig grund för att ta del av personuppgifterna. Dvs hur utlämnandet sker regleras tydligt av PUBA.

Genom att betrakta överföringar där GU som personuppgiftsansvarig äger en liten bit i den externa partens implementation ger en kraftigt ökad kvalitet på data som samtycket exempelvis samtycke grundar sig på samt att integrationsarkitekturen bidrar till effektivare och återanvändande av redan befintliga tjänster inom sektorn. Ett exempel är att Ladok idag redan har tjänster som publicerar studieinformation som används av flera lärosäten och som direkt skulle kunna användas för applikationer som kräver samtycke. Dvs. att använda samma Ladok LIS-tjänster till flera applikationer utan att behöva bygga nya integrationer och tjänster.

...