Till dig som använder bildspelet för att presentera! Om bildspelet Överkurs – nog mest lämpliga för fördjupade diskussioner om ni har gott om tid Del 3 – Projektet: Förklarar kortfattat projektet Originalet till bildspelet är producerat av Projekt för hantering av personuppgifter (Dnr STYR 2016/1173) Fördjupning – välj ut den eller de exempel som är mest relevanta för din målgrupp Disclaimer Eftersom dataskyddsförordningen inte tillämpas än är en del uppgifter fortfarande osäkra. Syftet är att hjälpa medarbetare att kommunicera innebörden av den kommande dataskyddsförordningen och vad den innebär för Lunds universitet. På en del sidor finns det information i Anteckningsfältet som antingen förklarar eller exemplifierar innehållet eller innehåller diskussionspunkter. De olika delarna och nya versioner av bildspelet kan komma att publiceras på: https://personuppgifter.blogg.lu.se/pagaende- aktiviteter/kommunikationsfragor/downloads/ Avsnitt Bildspelet innehåller väldigt många bilder. Det är viktigt att du som presenterar gör ett urval. För att underlätta det har vi märkt sidorna med. Återkoppling Del 1 – Översikt: Fokuserar på allmän information om den nya lagen, kompletterat med exempel från universitetsvärlden. Har du förslag till förbättringar är du välkommen att kontakta projektkommunikatören Jonas.Wisbrant@cs.lth.se. Allmänt – bra om alla får del av dem Del 2 – IT-perspektiv: Bygger på att man är införstådd med innehållet i den första delen. Den har ett IT- och informationssäkerhets-perspektiv och riktar sig främst till medarbetare som ansvarar för olika IT-system som innehåller personuppgifter. Diskussion – ingen central fakta, men är tänkt att stimulera diskussion

Del 1: Introduktion till dataskyddsförordningen Version November 2017

… tack, jag vill att ni raderar dem. Diskussion … tack, jag vill att ni raderar dem. Hej universitetet! Jag heter ✱✱✱✱✱. Jag vill veta vilka uppgifter ni har om mig… Glöm inte att presentera dig själv om det behövs Någon som kan se några utmaningar i detta? Hur hitta information i en stor organisation? Konflikter mellan radering och arkivering? Vi kanske bör radera vissa uppgifter om en person, men inte andra? Hur vet vi vem som frågar? Hur dokumenterar vi beslutet att radera någon? Källa: https://pixabay.com/en/people-white-phone-holding-kid-315907/

Innehåll Del 1: Om dataskyddsförordningen Allmänt Innehåll Del 1: Om dataskyddsförordningen Varför, sammanfattning & konsekvenser Generella begrepp Personuppgift Behandling av personuppgift Rättslig grund Registrerades rättigheter Information till registrerade Dokumenterat samtycke Del 2: IT-perspektiv Ansvar & roller i organisationen Behörigheter i IT-system Teknik var kommer informationen i från utbyte av uppgifter mellan system Hantering av registrerades rättigheter Information till registrerade Målsättningen med del 1 är att åhörarna ska få en bild av vad som är på gång och vilka de viktigaste förändringarna är. Verksamhet  Rättslig grund  hur vi arbetar med personuppgifter En central del (och utmaning) är att försöka kommunicera kopplingen mellan vår olika verksamheter inom utbildning, forskning, samverkan och administration och rättslig grund för behandling av personuppgifter. Olika rättslig grund ställer olika krav på vad som gäller och hur vi bör arbeta. Ett syfte med att ha med innehållet i del två är att visa vilka centrala frågor som inte diskuteras ii del ett. Allmänt

Orsak och verkan syftar till att skydda rätten till privatliv Allmänt Orsak och verkan Dataskyddsförordningen (DSF) = General Data Protection Regulation (GDPR) Gäller från 25 maj 2018 Gäller organisationer – men inte privatpersoner syftar till att skydda rätten till privatliv underlätta fritt flöde av personuppgifter inom EU (men inte ut) konsekvenser vi måste veta vad vi får och inte får göra tydligare och mer information till registrerade stringent och dokumenterad organisation

Quizz: Vad är det värsta som kan hända 26/5 2017? Diskussion Quizz: Vad är det värsta som kan hända 26/5 2017? 1. Hög administrativ belastning när vi ska möta registrerades rättigheter… x. 20 miljoner kr i böter… 2. Tidningen Lundagård eller Uppdrag Granskning kommer med allvarlig kritik… 3. Vi ställer till det för en registrerad…

Sammanfattning Hur uppgifter får behandlas – i korthet Allmänt Sammanfattning Hur uppgifter får behandlas – i korthet  Idag får behandlas för vissa särskilt angivna och berättigade ändamål behandling ska ske korrekt och öppet gentemot den registrerade Principer från 25 maj 2018 uppgiftsminimering, dvs att man inte får behandla fler uppgifter än vad som behövs lagringsminimering, dvs att de inte får förvaras längre än nödvändigt mer betoning på uppgifternas integritet och konfidentialitet.  ansvarsskyldighet – vi måste dokumentera att vi följer reglerna överföring till tredje land endast med uttryckligt stöd i förordningen  Din personliga rätt till information om att och varför personuppgifter behandlas snabb rättning av felaktigheter att bli bortglömd dataportabilitet information vid incidenter med personuppgifter att undanbe dig automatiska beslut Kommissionen kan komma med bedömning om att ett land har adekvat skyddsnivå, varvid det är tillåtet att föra över uppgifter till sådant land. Privacy shield (överenskommelsen med USA) ser ut att fortsatt gälla (OBS! KÄLLA SAKNAS ???) 

Kontext: Dataskyddsombud och förteckning över personuppgiftsbehandlingar Dataskyddsombudet ska bl a: troliggöra för datainspektionen att vi följer förordningen kunna säkerställa att vi kan möta de registrerades rättigheter hålla en förteckning över personuppgiftsbehandlingar 6 strategier på hög nivå som projektet driver så lång vi hinner Stora system i PM3  Förvaltningsplaner beskriver systemet i förhållande till DSF Utbildning för ALLA anställda och ALLA studenter Samordnad organisation för stöd & råd Standardiserad information till de största grupperna av registrerade Register över behandlingar som kopplar Verksamhet  Rättslig grund  IT-system Rutiner för hantering av registrerades rättigheter

Dataskyddsförordningen – centrala begrepp Version November 2017

Personuppgift – vad är det? § Allmänt Personuppgift – vad är det? ”varje upplysning som avser en identifierad eller identifierbar fysisk person”* Namn, foto, adress, genom, epost, beskrivning, betyg, ålder, personnummer… … hårfärg, skonummer, humör, kompetens… En mycket bred definition om man tänker efter: varje upplysning identifierad Identifierbar fysisk person Tänk på att flera triviala uppgifter kan tillsammans göra en person identifierbar. DSF artikel 4.1 ”en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet, Vi FÅR och SKA behandla stora mängder personuppgifter. Katter, fiktiva eller avlidna personer har inga rättigheter * Källa: DSF Artikel 4.1

Särskilda (känsliga) personuppgifter § Allmänt Särskilda (känsliga) personuppgifter Uppgifter som avslöjar samt ras genetiska uppgifter etniskt ursprung biometriska uppgifter som entydigt identifiera en fysisk person politiska åsikter uppgifter om hälsa religiös övertygelse uppgifter fysisk persons sexualliv filosofisk övertygelse uppgifter om fysisk persons sexuella läggning medlemskap i fackförening personuppgifter som rör fällande domar i brottmål samt överträdelser personnummer* Ny NOTERA skillnad mellan ”Uppgifter som avslöjar” ≈ inkluderar indirekt syftning på och ”Behandling av” = FAKTA NOTERA: biometriska uppgifter som entydigt identifiera en fysisk person: Exempel: fingeravtryck, kanske blodprov, saliv. Det finns många undantag för när universiteten får behandla känsliga personuppgifter. Exempel: FORSKNING baserad på personuppgifter!!! personalhälsa studenthälsa stöd för personal eller studenter med särskilda behov Men: - vi kanske kan kanske undvika att dokumentera varandras allergier Fundera på om vi behöver vi ha sjukintyg på papper – med diagnoser? Hur länge? Vad ligger och skvalpar i våra mail eller på våra lärplattformar? … får i utgångsläget INTE hanteras! * Personnummer nämns inte i DSF/GDPR – men ges samma ställning

Behandling av personuppgift enligt DSF § Allmänt Behandling av personuppgift enligt DSF Insamling Användning Registrering Utlämning genom överföring, spridning eller tillhandahållande på annat sätt Organisering Strukturering Justering eller sammanförande Lagring Begränsning Bearbetning eller ändring Radering eller förstöring Framtagning Läsning DSF exemplifierar innebörden av att behandla med listan. I praktiken betyder det ”att ha att göra med” Exempel Insamling – Via enkäter, ta närvaro Registrering – Lägga in medförfattare i LUCRiS Organisering – skapa studentgrupper Strukturering – (kanske?) gruppera kvinnor och män för att jämföra studieresultat Lagring – Spara excelfil på hårddisk Bearbetning eller ändring – redigera foto, Framtagning – fotografera någon Läsning – undersöka förkunskaper genom att titta i LADOK Användning – maila student, förbereda löneutbetalning, godkänna reseräkning Utlämning genom överföring, spridning eller tillhandahållande på annat sätt – föraöver från LUCRIS till research.portal.lu.se Justering eller sammanförande - ??? Begränsning – ??? Radering eller förstöring – radera excelfil, radera mail

Personuppgifter även i ostrukturerat material – i mail, lokala listor och på webben Personuppgifter i ostrukturerat material slutar vara undantag.  Vi behöver säkerställa rättslig grund och information för t ex information och marknadsföring… symbolfoton och mingelbilder text, nyheter och kalendarier sociala medier ? ! ! Ostrukturerat material Data inspektionen: När missbruksregeln försvinner innebär det att samma regler som gäller för personuppgifter i databaser och ärendehanteringssystem, också ska användas för det som skrivs om personer i exempelvis e-post och på webbplatser. Det kommer att innebära krav på att bland annat ha en rättslig grund, informera de registrerade och föra register över sina behandlingar/…./ Högskolelagen 1 kap. 2 §: I högskolornas uppgift ska ingå att samverka med det omgivande samhället och informera om sin verksamhet samt verka för att forskningsresultat tillkomna vid högskolan kommer till nytta.

Rättsliga grunder för behandling av personuppgifter Allmänt Rättsliga grunder för behandling av personuppgifter Rättslig grund Innebär Aktuellt för universitetet rättslig förpliktelse för att leva upp till lag och andra regler LADOK-förordningen Arkivlagen Arbetsmiljölagen myndighetsutövning nödvändig som ett led i myndighetsutövning examinering disciplinärenden uppgift av allmänt intresse uppdrag från riksdag och regering utbildning forskning samverkan avtal för att fullfölja avtal med den registrerade samarbetsavtal inköpsavtal samtycke frivilligt informerat dokumenterat marknadsföring skydd för grundläggande intressen säkerhetspolitik ev. vid samarbete med försvar OBS! Det finns en rättslig grund som utgörs av ”berättigat intresse” – men kan i princip inte åberopas av universitetet Detaljerade exempel Rättslig förpliktelse - Uppgifter i regleringsbrev (t ex breddad rekrytering) Myndighetsutövning - Utlämnande av allmän handling Uppgift av allmänt intresse (uppdrag från riksdag och regering) – hantera den känsliga uppgiften ”foton på student” för LU-kort och stöd till lärare Avtal - samarbetsavtal - inköpsavtal Samtycke: all forskning med personuppgifter publika evenemang, ambassadörer Marknadsföring alumni donatorer publika webbplatser KANSKE: vissa integritetskänsliga uppgifter från studenter och personal  MEN: Samtycke kan i princip inte användas angående personer i beroendeställning (studenter och personal)…

Rättsliga grunder: Exempel på varför vi får göra det vi gör Allmänt Rättsliga grunder: Exempel på varför vi får göra det vi gör Ändamål med verksamhet  Rättslig grund  Konsekvenser Att rekrytera studenter till våra utbildningsprogram och kurser Samtycke - Information beroende på situation - Dokumentera samtycke - Process för återtagande av samtycke Antagning av studenter Allmänt intresse - LU-gemensam standardinformation Skriva in studenter + ev samtycke Standardinformationen gäller eKurs för alla studenter + ev dokumentation av samtycke Genomföra kurser Standard-info gäller + ev. tillägg till standardinformation + samtycke vid ev. tillägg** Examinera studenter Myndighetsutövning Standardinformation gäller Samtycke kan kanske behövas till att: Samla in foton, ljud och video till lärare och handledare i undervisningssyfte Samtycke kommer troligen behövas för att: Publicera bilder, ljud och video åtkomligt för större grupper Exempel på aktiviteter under utredning är:   Analysera och följa universitetets verksamhet och dess medarbetare Analysera och följa upp kommunikationsinsatser Anta studenter Arrangera event, konferenser och möten Att ansöka om forskningsanslag Att beskriva universitetet, organisation och medarbetare Backup av IT-system Bemanna, leda och följa upp arbetsuppgifter Betala ut ersättning Dokumentation av studier i en enskild kurs Dokumentation från nyttiggörande Dokumentera universitetet och dess verksamhet Dokumentera universitetet och dess verksamhet – i bilder och video Driva, följa upp och dokumentera forskningsprojekt Ekonomisk budget, redovisning och uppföljning av verksamhet Examinera studenter Följa och analysera forskning och nyttiggörande Ge IT-stöd till medarbetare och studenter Genomföra kurser Granskning och utvärdering av forskning Hantera alumner Hantera anställningar Hantera bidragsgivare och fundraising Hantera dokumentation av forskarstudier Hantera ekonomiska kontrakt med externa parter Hantera förfrågningar om personuppgifter Hantera in- och utlåning av biblioteksresurser Hantera information och universitetets fastigheter och lokaler Hantera IT-resurser för universitetet och dess medarbetare Hantera IT-resurser för universitetets studenter Hantera och utreda säkerhetsincidenter Hantera olyckstillbud, dödsfall och andra kriser Hantera samarbetsavtal forskning Hantera studenter med funktionshinder Hantera studieavgifter Hantera utresande utbytesstudenter Hantering av gästforskare Informera om vår forskning Informera om våra utbildningar Informera om vår verksamhet Intern styrning och kontroll Kommunicera internt och externt med enskilda personer och grupper av personer Kontrollera eventuell plagiat i inlämnade studieuppgifter Köpa in varor och tjänster Leda, styra och följa upp universitetets verksamhet Medarbetarundersökning Pliktexemplar av publikationer Publicera forskningsresultat Rekrytera medarbetare Rekrytera studenter Rekrytering och antagning av doktorander Samarbetsavtal utbildning Skriva in studenter Studenthälsovård Styra behörigheter till universitetets lokaler Säker och verifierad inlogging och behörighetshantering i IT-system Tidrapporter Utlämnande av uppgifter för behandling till annan organisation Utreda forskningfusk och oredlighet Utredning av tekniska fel och driftstörningar Utveckla medarbetare Utvärdera och belöna medarbetare Vägleda och informera besökare

Identifierar system som berörs Fördjupning Behandling Rättslig grund  konsekvenser Exempel: Attrahera och rekrytera studenter Behandling Locka studenter utifrån till utbildnings-program och kurser Exempel Intresseanmälningar, katalogutskick, deltagarlistor och anmälningar till events… Rättslig grund Samtycke Verktyg Webbformulär Maillistor E-post Deltagarlistor + = Identifierar system som berörs Konsekvens Unik information till berörda Dokumentera samtycke Process för återtagande av samtycke De svarta rutorna beskriver hur projektet försöker strukturera verksamheter och arbetsprocesser som hanterar personuppgifter så att det går att avgöra rättslig grund för behandlingarna inom området. Utifrån den rättsliga grunden kan man sedan avgöra vilka krav verksamheten behöver leva upp till. (konsekvenser) Exempel på utmaning: Var kommer adresserna till katalogutskicken ifrån? Behöver vi de ”registerades” samtycke till att hantera adressuppgifterna för ändamålet att skicka kataloger till dem? Hur samlar vi in och dokumenterar ett sådant samtycke? Definierar 40-50 verksamheter/ ändamål Kopplar rättsliga grunder Drar slutsatser utifrån den rättsliga grunden PU-projektet

Registrerades rättigheter Allmänt Registrerades rättigheter Rätt till… Innebär Konflikt Information Information om personuppgiftsbehandlingen när uppgifterna samlas och på begäran. Incidenter Infosäkerhet Rättelse Få felaktiga uppgifter rättade och kompletterade Arkivering? Radering När uppgifter inte behövs Återkallat samtycke Om det inte finns berättigade skäl vid myndighetsutövning mm. Arkivering Dokumenterad myndighetsutövning Begränsning av behandling Markeras för begränsad behandling – även under utredning - Dataportabilitet Vid samtycke (ej forskningsstudier) och avtal Att göra invändningar Myndighetsutövning och uppgift av allmänt intresse Att slippa automatiserat beslutsfattande och profilering Antagning1 1 UHR är nog personuppgiftsansvarig för antagningsprocessen fram tills universiteten tar över kommunikationen med de antagna

Information till den registrerade Allmänt Information till den registrerade Vid import av data från andra system: NyA  LADOK  Kuben  andra lokala system Vid insamling från den registrerade: vid inskrivning av studenter (redan gjort*) vid rekrytering av studenter publika arrangemang Inför forskning- med personuppgifter Gemensam standard- information eller mallar tas fram för Nya studenter Nya medarbetare Forskningsstudier Kommunikation och samverkan * Man behöver INTE informera registrerade om man kan troliggöra att de redan är informerade. Det innebär att ju rikare information vi kan ge nya studenter under antagnings- och inskrivningsprocesser, desto färre tillfällen behöver vi informera under själva utbildningen. Men, om man vill ha kontakt med studenter efter att de lämnat oss är det nog viktigt att de ger samtycke till detta INNAN de lämnar oss. Samma sak gäller tillfälliga besökare som vi vill upprätthålla kontakten med.

Fördjupning Fler ”rättsliga förpliktelser” ger informations-hantering med inbyggda motsättningar? vårt upp-drag etik data-säker-het arki-vering person-upp-gifter upp-hovs-rätt offent-lighet öppen data T ex Rätten att bli glömd arkiveringslagen  datasäkerhet (backup)

Vad gör jag nu? FAQ etc. på personuppgifter.blogg.lu.se Prenumerera gärna!