| Table of Contents |
|---|
Sammanfattning
Systemintegrationer är inte alltid enkla att betrakta ur ett GDPR-perspektiv. Diskussionen runt vad som är tillåtet inom GDPR hänförs väldigt ofta till systemens fysiska gränser. GDPR tar inte hänsyn till ett systems fysiska gränser utan endast om systemet logisk behandlingen sträcker sig till en annan juridiks person som utför behandlingar på uppdrag av personuppgiftsansvarig och i vilket land den juridiska personen (extern part) har sitt säte.
Därför behöver en överföring betraktas ur tre perspektiv för att reda ut hur överföringen skall betraktas och om det är tillåtet i enlighet med GDPR. Dessa tre perspektiv är:
Vem äger infrastrukturen som utför behandlingen
Vilken rättslig grund har behandlingen
Vem är personuppgiftsansvarig för behandlingen
Ett försök att förtydliga de olika perspektiven syns färgkoden återkommande i diagrammen nedan.
...
Syftet med denna sida är att skapa en gemensam förståelse för juridiska och säkerhetsmässiga aspekter på systemintegration av personuppgifter. Målsättningen är att underlätta diskussion mellan informationsägare, integrationsarkitekter och andra inblandade när man värderar olika lösningsförslag för integration.
Innan ett mönster används måste en bedömning göras så att det inte föreligger några juridiska hinder för att genomföra en överföring. Det som mönstren visar är att det finns stöd i GDPR att låta en extern part ta ett större ansvar av behandlingarna. Detta höjer ofta kvalitén på integrationen då det genom exempelvis ett PUBA kan utföra behandlingar med mycket större korrekthet än att lärosätet själv försöker gissa vilka uppgifter som skall distribueras.
Bedöma skälet till att lägga ut behandling på extern part
För studentrabatt är det begränsad behandling med harmlösa uppgifter, medan Alumni kan vara mer omfattande och problematiskt. Den egna rättsliga grunden behöver identifieras.
Uppgifter som exempelvis om studenters psykologiska ohälsa kanske inte lämpligt.
Modeller
Begrepps- och processmodeller på denna sida finns i arkitekt-repositoryt på 2c8.
...
Begrepp | Innebörd | Exempel |
|---|---|---|
Asynkron kommunikation | Information skickas utan att svar förväntas | e-post är det mest kända asynkrona verktyget |
Synkron kommunikation | Information skickas och ett svar förväntas direkt | Ett telefonsamtal är synkront. En webbtjänst är ofta synkron. |
Personuppgift | Personuppgifter är all slags information som kan knytas till en levande person. Det kan röra sig om namn, adress och personnummer. Även foton på personer klassas som personuppgifter. | |
Känsliga personuppgifter | Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd. De kallas för känsliga personuppgifter. | Känsliga personuppgifter är uppgifter om
|
Extra skyddsvärd personuppgift | Ett personnummer anses vara en extra skyddsvärd personuppgift. | |
Extern aktör Extern part | En annan organisation än GU. Annan juridisk person. Annan juridisk zon. | |
Personuppgiftsbehandling Behandling | Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. | |
Personuppgiftsansvarig (PUA) | Personuppgiftsansvarig är den organisation (till exempel aktiebolag, stiftelse, förening eller myndighet) som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. | |
Personuppgiftsbiträde (PUB) | Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde och dess personal får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvariga. | |
Personuppgiftsbiträdesavtal (PUBA) Biträdesavtal | Det är vanligt att personuppgiftsansvariga anlitar biträden för att utföra en viss personuppgiftsbehandling för att använda biträdets specifika expertis eller erfarenhet som den personuppgiftsansvariga saknar i sin organisation. … När ett personuppgiftsbiträde behandlar personuppgifter åt den personuppgiftsansvariga, ska behandlingen regleras genom avtal (eller annan rättsakt) | Personuppgiftsbiträdesavtal - Integritetsskyddsmyndigheten (imy.se) |
General Data Protection Regulation (GDPR) Dataskyddsförordningen | ||
Lagring (behandling) | ||
Överföring (behandling) | ||
Uppgiftsminimering (princip) | Personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet. | |
Riktighet (princip) | Personuppgifter som behandlas ska vara riktiga och, om nödvändigt, uppdaterade. | |
Rättslig grund | Ett lagligt stöd i dataskyddsförordningen för att behandlingen av personuppgifter ska vara tillåten. | |
Samtycke (rättslig grund) | Med samtycke menas varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. | |
Allmänt intresse (rättslig grund) se Myndighetsutövning | ||
Myndighetsutövning och uppgifter av allmänt intresse (rättslig grund) | Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter är enligt regeringens mening av allmänt intresse. Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. | Studieadministrativa processer OBS! Uppgifter avser i sammanhanget inte personuppgifter utan myndighetens uppdrag som en rättslig grund för behandling Se Myndighetsutövning och uppgifter av allmänt intresse - Integritetsskyddsmyndigheten (imy.se) |
Spridning |
Dessa begrepp är inte lika viktiga men ändå:
Begrepp | Innebörd | Exempel |
|---|---|---|
Dataskyddsombud | ||
Dataskyddsgruppen |
Interaktionsmönster
Push (sändare initierar)
...
Kårens medlemsregister - Överföring av personuppgifter krävs för att avgöra om en person får vara kårmedlem eller inte. Kåren har enligt förordning 1993 rätt att göra denna behandling av samtliga studenters personuppgifter. Kan göras av extern leverantör med stöd av PUBA (leverantör-kåren). /wiki/spaces/LAD/pages/1860731013
Chalmers - Överföring av personuppgifter krävs till Chalmers interna system men för att avgöra vilka personer som är relevanta behöver filtrering göras enligt kriterier som Chalmers bestämmer. Kan göras av Chalmers med stöd av PUBA (GU-Chalmers). Integrationsarkitektur - Chalmers - Confluence (atlassian.net) /wiki/spaces/LAD/pages/1103069304
Mecenat kortproduktion - Utlämnande av personuppgifter krävs för att avgöra om en person är berättigad till rabatter baserat på studieaktivitet. Utlämnande av dessa uppgifter från GU kan ske på begäran av personen som söker rabatter. Att ansöka om rabattkort innebär samtycke till personuppgiftsbehandling vilket i sin tur ligger till grund för Utlämnande av uppgifter, som delegeras till extern part och regleras i PUBA. Detta innebär att uppgifterna kan lagras lokalt hos leverantören istället för att hämtas med synkront uppslag mot GU.
Arkitektur
Asynkron push med filter hos extern part
Följande beskriver integrationsarkitektur där filter implementeras utanför GU:s infrastruktur.
Tjänsten skickar ut ALLA uppgifter. Extern part behöver oftast göra behandling i form av någon filtrering. Denna behandling görs på uppdrag och regleras i PUBA. Anledningen till att den görs på uppdrag är att den externa aktören saknar rättslig grund för filtreringen. Denna har dock Personuppgiftsansvarig.
Följande bild visar infrastruktur och logiska ansvarsgränser för personuppgiftsbehandling vid asynkron överföring (push) från GU till en extern part:
...
Det kan finnas problem med denna approach i vissa fall. Alla uppgifter kommer att skickas och här måste man bedöma om huruvida man litar på mottagaren eller inte. Vilken risk finns att uppgifterna missbrukas, dvs att mottagaren bryter mot avtalet. Risk- och sårbarhetsanalys måste göras.
Pros | Cons |
|---|---|
Asynkron push med uppslag från cache hos extern part
Scenariot innebär Utlämnande av personuppgifter delegerat till extern part
...
. I detta scenario används uppdateringsmeddelanden för att underhålla en lokal cache hos en extern part. Användandet av denna cache begränsas till uppslag på personnummer när en person lämnar samtycke till behandling. I denna behandling ingår att den externa parten begär ut personuppgifter från GU på uppdrag av personen i fråga.
...
Syftet med detta är att undvika ett synkront beroende med uppslag mot GU. Samma data är tillgänglig för leverantören men i form av en enklare teknisk lösning.
Pros | Cons |
|---|---|
Pull (mottagare initierar)
...
I detta fall regleras förhållandet mellan GU och extern part genom ett Tjänsteavtal t.ex. att extern part har rätt att begära ut information om student baserat på personnummer.
Pros | Cons |
|---|---|
Beslutsstöd
Rättsliga aspekter
...
Det är väldigt viktigt att den personuppgiftsansvariga tydligt klargör vilka personuppgiftsbehandlingar det är man vill lägga över på ett personuppgiftsbiträde.
Juridiska hinder
Man måste givetvis bedöma redlighet och lämplighet hos den aktören som skall utföra behandlingen innan beslut kan tas:
Bedömning måste göras som alltid enligt
OSL
GDPR
Vilka är minimikraven för ett avtal?
...
Exempel på scenarier där ovanstående resonemang tillämpas:
Kårsystem: /wiki/spaces/LAD/pages/1860731013
...