Presentation laddar. Vänta.

Presentation laddar. Vänta.

Till dig som använder bildspelet för att presentera!

Liknande presentationer


En presentation över ämnet: "Till dig som använder bildspelet för att presentera!"— Presentationens avskrift:

1 Till dig som använder bildspelet för att presentera!
Om bildspelet Överkurs – nog mest lämpliga för fördjupade diskussioner om ni har gott om tid Del 3 – Projektet: Förklarar kortfattat projektet Originalet till bildspelet är producerat av Projekt för hantering av personuppgifter (Dnr STYR 2016/1173) Fördjupning – välj ut den eller de exempel som är mest relevanta för din målgrupp Disclaimer Eftersom dataskyddsförordningen inte tillämpas än är en del uppgifter fortfarande osäkra. Syftet är att hjälpa medarbetare att kommunicera innebörden av den kommande dataskyddsförordningen och vad den innebär för Lunds universitet. På en del sidor finns det information i Anteckningsfältet som antingen förklarar eller exemplifierar innehållet eller innehåller diskussionspunkter. De olika delarna och nya versioner av bildspelet kan komma att publiceras på: aktiviteter/kommunikationsfragor/downloads/ Avsnitt Bildspelet innehåller väldigt många bilder. Det är viktigt att du som presenterar gör ett urval. För att underlätta det har vi märkt sidorna med. Återkoppling Del 1 – Översikt: Fokuserar på allmän information om den nya lagen, kompletterat med exempel från universitetsvärlden. Har du förslag till förbättringar är du välkommen att kontakta projektkommunikatören Allmänt – bra om alla får del av dem Del 2 – IT-perspektiv: Bygger på att man är införstådd med innehållet i den första delen. Den har ett IT- och informationssäkerhets-perspektiv och riktar sig främst till medarbetare som ansvarar för olika IT-system som innehåller personuppgifter. Diskussion – ingen central fakta, men är tänkt att stimulera diskussion

2 Dataskyddsförordningen ur ett IT-perspektiv
WS november 2017

3 Allmänt Program 13.05 Introduktion och upplägg Kristina Dataskyddsförordningen och universitetet – översikt Kristina Roller och ansvar - vem gör vad? Block 1: Personuppgiftsbehandling: Vad får vi göra och hur måste vi göra det? Kristina Rättslig grundgrund, insamling, lagring och tillgängliggörande av personuppgifter Diskussion Sammanfattning block Fika Block 2: Hantering av registrerades rättigheter Jonas Hantering av rättigheter, Information till registrerade Diskussion Sammanfattning block Avrundning av dagen Kristina presentera oss Jonas, Maria, Eva, ego Johanna, Magnus, PerGus Ageberg

4 GDPR / Dataskyddsförordningen
WS november 2017 – Kristina Arnrup Thorsbro

5 ny lagstiftning EU-gemensam lag svensk kompletterande reglering GDPR
eller dataskyddsförordningen gäller från 25/5 2018 svensk kompletterande reglering tre relevanta utredningar har lämnat förslag: generell om offentlig verksamhet utbildning forskning De svenska utredningarna har lämnat förslag som har varit ute på remiss. Datainspektionen hade invändningar När regleringen är på plats ska den tolkas, vilket också kommer att ta tid.

6 Några nyheter i dataskyddsförordningen
Sanktionsavgifter införs. Kraven på dokumentation av arbetet skärps. Kraven på information till de registrerade skärps. Undantaget för ostrukturerat material försvinner ostrukturerat material: webben e-post

7 Dataskyddsförordningen och LU
Universitetet ska bl.a. visa för datainspektionen att vi följer förordningen säkerställa att vi möter de registrerades rättigheter hålla en förteckning över personuppgiftsbehandlingar strategier som projektet driver IT-system i PM3  Förvaltningsplaner beskriver systemet i förhållande till DSF Utbildning för ALLA anställda och ALLA studenter Samordnade strukturer för stöd & råd till hela universitetet Standardiserad information till de största grupperna av registrerade Register över behandlingar som kopplar IT-system  Verksamhet  Rättslig grund Rutiner för hantering av registrerades rättigheter

8 Informationshantering med inbyggda motsättningar?
DSF etik offent- lighet vårt uppdrag data- säker-het upp- hovs- rätt arkiv- ering

9 Roller och ansvar - vem gör vad?
Allmänt Roller och ansvar - vem gör vad? Roll Innebär personuppgiftsansvarig universitetet personuppgiftsbiträde hanterar personuppgifter åt oss enligt avtal dataskyddsombud kontrollerar att vi hanterar personuppgifter på ett korrekt sätt regleras i DSF informationssäkerhetssamordnare ny tjänst vid LU som är under rekrytering systemansvariga enligt pm3 IT-kontoret uppdaterar systemförvaltningsmodell ger stöd till systemansvariga projektet rörande personuppgifter tar fram ny organisation förbereder LU för DSF

10 Grov tidsplan per november 2018
December Januari Februari Mars April Maj Juni Augusti 2019 systemförvaltare centralt systemförvaltare fakulteter PM3 anpassat behov av styrdokument WS PU-behandlingar WS för info. till reg. Utskick Process E-kurs personal Dataskyddsombud intro E-kurs studenter Release

11 Vilka personuppgifter har vi – och vad har vi dem till?
WS november 2017 – Kristina Arnrup Thorsbro

12 Block 1: Vilka personuppgifter har vi – och vad har vi dem till?
rättslig grund för behandlingar – och hur vet vi det? vilka personuppgifter finns i systemet? var kommer de ifrån - de registrerade eller andra system? var lagras data (LU, EU, annat)? behörigheter personer och system vem kan ändra?

13 För vilket ändamål sker personuppgiftsbehandlingen?
forskning utbildning personalhantering annat: Uppgifterna behövs för att veta: rättslig grund konsekvenser På vilken rättslig grund vilar personuppgiftsbehandlingen? rättslig förpliktelse avtal myndighetsutövning samtycke uppgift av allmänt intresse (skydd för grundläggande intressen) 7 För vilket ändamål sker personuppgiftsbehandlingen? (DSF art. 30) forskning, utbildning, samverkan ... 8 Vilken rättslig grund finns för behandlingen? rättslig förpliktelse, myndighetsutövning, uppgift av allmänt intresse, fullgöra avtal, samtycke 9 Ska de registrerade samtycka till behandlingen? (DSF art. 6 & 7)

14 Rättsliga grunder för behandling av personuppgifter
Allmänt Rättsliga grunder för behandling av personuppgifter Rättslig grund Innebär Aktuellt för universitetet rättslig förpliktelse för att leva upp till lag och andra regler LADOK-förordningen Arkivlagen Arbetsmiljölagen myndighetsutövning nödvändig som ett led i myndighetsutövning examinering disciplinärenden uppgift av allmänt intresse uppdrag från riksdag och regering utbildning forskning samverkan avtal för att fullfölja avtal med den registrerade samarbetsavtal inköpsavtal samtycke frivilligt informerat dokumenterat marknadsföring skydd för grundläggande intressen säkerhetspolitik ev. vid samarbete med försvar OBS! Det finns en rättslig grund som utgörs av ”berättigat intresse” – men kan i princip inte åberopas av universitetet Detaljerade exempel Rättslig förpliktelse - Uppgifter i regleringsbrev (t ex breddad rekrytering) Myndighetsutövning - Utlämnande av allmän handling Uppgift av allmänt intresse (uppdrag från riksdag och regering) – hantera den känsliga uppgiften ”foton på student” för LU-kort och stöd till lärare Avtal - samarbetsavtal - inköpsavtal Samtycke: all forskning med personuppgifter publika evenemang, ambassadörer Marknadsföring alumni donatorer publika webbplatser KANSKE: vissa integritetskänsliga uppgifter från studenter och personal  MEN: Samtycke kan i princip inte användas angående personer i beroendeställning (studenter och personal)…

15 Ändamål  rättsliga grund  konsekvenser - exempel inom utbildning
Allmänt Ändamål  rättsliga grund  konsekvenser - exempel inom utbildning Ändamål med verksamhet  rättslig grund  konsekvenser rekrytera studenter till våra utbildningsprogram och kurser samtycke - information beroende på situation - dokumentera samtycke - process för återtagande av samtycke antagning av studenter myndighetsutövning LU-gemensam standardinformation registrera studenter rättslig förpliktelse e-kurs för alla studenter genomföra utbildning allmänt intresse + ev samtycke + ev. tillägg till standardinformation + samtycke vid ev. tillägg examinera studenter Samtycke kan kanske behövas till att: Samla in foton, ljud och video till lärare och handledare i undervisningssyfte Oklart: samla in känsliga personuppgifter (foto) och dela ut bland studenterna… Samtycke kommer troligen behövas för att: Publicera bilder, ljud och video åtkomligt för större grupper Utmaning: Samtycke kan i princip inte användas angående personer i beroendeställning (studenter och personal)…

16 Om den rättsliga grunden är samtycke…
troligen nödvändigt för marknadsföring forskning donationsverksamhet alumniverksamhet rekrytering av studenter och personal Uppgifterna behövs för att: informera DI informera de registrerade åtgärda återtagande Frågor När samlas samtycke in? Hur samlas samtycke in? Hur dokumenteras samtycket? Hur tas samtycket tillbaka? 9 Ska de registrerade samtycka till behandlingen? (DSF art. 6 & 7)

17 Hur samlas personuppgifterna in?
Direkt från de registrerade När? Hur? Från andra system LU-system – vi är ansvariga, inget biträde Andras system – vi är ansvariga, de är biträde Andras system – de är ansvariga, vi är biträde Uppgifterna behövs för att veta: Vem som ska informera När det ska informeras Vem som ansvarar för vad Hantera rättigheter Redogöra för DI 2 Hur samlas personuppgifterna in? (DSF art. 13 & 14) direkt från de registrerade, från register

18 Vilka typer av personuppgifter finns i systemet?
Identifierande personuppgifter direkt namn, e-post, personnummer, foto indirekt publikt IP-adress, mobilnummer, ORCID indirekt internt Stil-id, LUCAT-id, LU-id, LU-kortsnummer pseudonymnyckel Kopplade personuppgifter triviella närvaro, anställningsår, semsterdagar, kursregistrering, adress, ärendenr. integritetskänsliga (etik) foto? röst? film? betyg? lön? känsliga (juridik) etnicitet, politiska åsikter, religion, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter, hälsa, sexualliv, sexuell läggning, lagöverträdelser 3. Kommer känsliga personuppgifter att behandlas? 4. Har behandling av känsliga personuppgifter godkänts av regionala etikprövningsnämnden? 5. Kommer personnummer att registreras? (förslag till ny dataskyddslag) 6. Kommer uppgifter om lagöverträdelser att behandlas? (DSF art. 10) 11 Har en informationsklassning genomförts? (MSBFS 2016:1 9 §)

19 Försök fördela personuppgifter som finns i systemet?
Identifierande person-uppgifter direkt indirekt publikt indirekt internt Kopplade person-uppgifter triviala Integritets-känsliga (etik) känsliga (juridik) 3. Kommer känsliga personuppgifter att behandlas? 4. Har behandling av känsliga personuppgifter godkänts av regionala etikprövningsnämnden? 5. Kommer personnummer att registreras? (förslag till ny dataskyddslag) 6. Kommer uppgifter om lagöverträdelser att behandlas? (DSF art. 10) 11 Har en informationsklassning genomförts? (MSBFS 2016:1 9 §)

20 Var och hur kommer personuppgifterna att lagras?
LDC LU övrigt EU – med biträdesavtal godkänd internationell organisation utanför EU – godkänt land utanför EU – ändå… Uppgifterna behövs för att informera registrerade redogöra för DI hantera rättigheter 12 Var och hur kommer personuppgifterna att lagras? 19 Kommer personuppgifterna att behandlas av personuppgiftsbiträde? (DSF art. 28) 20 Är uppgifterna som behandlas tillgängliga för personer utanför LU? (DSF art. 30)

21 Vem har tillgång till personuppgifterna?
internet alla studenter all personal personalgrupper roller avdelningar individer externa andra länder internationell organisation Uppgifterna behövs för att redogöra för DI informera registrerade hantera rättigheter 15a Har särskilda risker identifierats? stort antal registrerade, stort antal personer har tillgång till personuppgifterna, risk för obehörig åtkomst av personuppgifterna ...

22 Gallring, arkivering, radering?
Hur länge kommer personuppgifterna att sparas? (DSF art. 30) Finns det en plan för gallring av personuppgifterna? (arkivlagen) Finns det en plan för arkivering av personuppgifterna? (arkivlagen) Uppgifterna behövs för att redogöra för DI informera registrerade hantera rättigheter 23 Hur länge kommer personuppgifterna att sparas? (DSF art. 30) 24 Finns det en plan för gallring av personuppgifterna? (arkivlagen) 25 Finns det en plan för arkivering av personuppgifterna? (arkivlagen)

23 Block 1: Diskussion Testa Kategorierna
Diskutera vad ni vet och inte vet om era system: vilka ändamål stödjer systemet – och hur vet vi det? vilka personuppgifter finns i systemet? var kommer de ifrån – från de registrerade eller från andra system? var lagras data (LU, EU, annat)? vem har tillgång? vem kan ändra? Testa Kategorierna Ange system och markera i PPT-bilden

24 Block 1: Diskussion – uppföljning
Diskutera vad ni vet och inte vet om era system: vilka ändamål stödjer systemet – och hur vet vi det? vilka personuppgifter finns i systemet? var kommer de ifrån – från de registrerade eller från andra system? var lagras data (LU, EU, annat)? vem har tillgång? vem kan göra utdrag - personer och system? vem kan ändra? Fungerade kategorierna? Vad saknas? Har vi koll på detta? Kritisk områden?

25 Block 2: Registerarades rättigheter
WS november 2017 – Jonas Wisbrant

26 Allmänt Program 13.05 Introduktion och upplägg Kristina Dataskyddsförordningen och universitetet – översikt Kristina Roller och ansvar - vem gör vad? Block 1: Personuppgiftsbehandling: Vad får vi göra och hur måste vi göra det? Kristina Rättslig grundgrund, insamling, lagring och tillgängliggörande av personuppgifter Diskussion Sammanfattning block Fika Block 2: Hantering av registrerades rättigheter Jonas Hantering av rättigheter, Information till registrerade Diskussion Sammanfattning block Avrundning av dagen Kristina presentera oss Jonas, Maria, Eva, ego Johanna, Magnus, PerGus Ageberg

27 Block 2: Hur stödjer IT-systemet de registrerades rättigheter?
Rätt till: Rutiner för: rättelse bra underlag till den som informerar? radering (bli glömd) att själv informera registrerade? att samla in och dokumentera samtycke? dataportabilitet begränsning av behandling eller invändningar återtagande av samtycke? information vid incidenter att slippa automatiserat beslutsfattande och profilering information: om vad som samlats in om syfte om rättigheter vid incidenter

28 Registrerades rättigheter
Allmänt Registrerades rättigheter Rätt till… Innebär Konflikt Information Information om personuppgiftsbehandlingen när uppgifterna samlas och på begäran. Vid incidenter Infosäkerhet? Rättelse Få felaktiga uppgifter rättade och kompletterade Arkivering? Radering När uppgifter inte behövs Återkallat samtycke Om det inte finns berättigade skäl vid myndighetsutövning mm. Arkivering Dokumenterad myndighetsutövning Dataportabilitet Vid samtycke och avtal (ej forskningsstudier) - Begränsning av behandling Markeras för begränsad behandling – även under utredning Når begränsning sekundära system? Att göra invändningar Myndighetsutövning och uppgift av allmänt intresse Att slippa automatiserat beslutsfattande och profilering Antagning1 9 Ska de registrerade samtycka till behandlingen? (DSF art. 6 & 7) 9a Varför? Varför inte? 10 Hur har de registrerade informerats om behandlingen? (DSF art. 13 & 14) 10a Har de informerats om vart de vänder sig för rättning eller borttagning? 18 Finns det rutiner för incidentrapportering? (DSF art. 33; MSBFS 2016:1 10 §) *UHR är nog personuppgiftsansvarig för antagningsprocessen fram tills universiteten tar över kommunikationen med de antagna

29 Rätt till rättelse: vem har kan ändra – och rätta personuppgifter?
De registrerade själva Definierade grupper Roller Avdelningar Individer Externa organisationer eller system Uppgifterna behövs för att Redogöra för DI Hantera rättigheter 9 Ska de registrerade samtycka till behandlingen? (DSF art. 6 & 7) 9a Varför? Varför inte? 10 Hur har de registrerade informerats om behandlingen? (DSF art. 13 & 14) a. Har de informerats om sina rättigheter? 10a Har de informerats om vart de vänder sig för rättning eller borttagning? 18 Finns det rutiner för incidentrapportering? (DSF art. 33; MSBFS 2016:1 10 §) Finns det några Risker här?

30 Rätt till radering (bli glömd)
Nog alltid vid samtycke - undantag forskningsstudier Överskottsinformation Konflikt: Arkivering & backup Uppgifterna behövs för att Redogöra för DI Informera registrerade Hantera rättigheter 9 Ska de registrerade samtycka till behandlingen? (DSF art. 6 & 7) 9a Varför? Varför inte? 10 Hur har de registrerade informerats om behandlingen? (DSF art. 13 & 14) a. Har de informerats om sina rättigheter? 10a Har de informerats om vart de vänder sig för rättning eller borttagning? 18 Finns det rutiner för incidentrapportering? (DSF art. 33; MSBFS 2016:1 10 §) DSF SKÄL 66: För att stärka "rätten att bli bortglömd" i nätmiljön bör rätten till radering utvidgas genom att personuppgift­sansvariga som offentliggjort personuppgifter är förpliktigade att vidta rimliga åtgärder, däribland tekniska åtgärder, för att informera de personuppgiftsansvariga som behandlar dessa personuppgifter om att den registrerade har begärt radering av alla länkar till och kopior eller reproduktioner av dessa personuppgifter. I samband med detta bör den personuppgiftsansvarige vidta rimliga åtgärder, med beaktande av tillgänglig teknik och de hjälpmedel som står den personuppgiftsansvarige till buds, däribland tekniska åtgärder, för att informera de personuppgiftsansvariga som behandlar personuppgifterna om den registrerades begäran.

31 Rätt till dataportabilitet
Vid samtycke - undantag forskningsstudier Kanske lämpligt för: LUCRIS Kompetensportföljer Tjänsteansökningar Studieresultat CV för studenter som medverkat i undervisning Uppgifterna behövs för att Redogöra för DI Informera registrerade Hantera rättigheter Undantaget bygger på att forskning är ett ”allmänt intresse” 9 Ska de registrerade samtycka till behandlingen? (DSF art. 6 & 7) 9a Varför? Varför inte? 10 Hur har de registrerade informerats om behandlingen? (DSF art. 13 & 14) a. Har de informerats om sina rättigheter? 10a Har de informerats om vart de vänder sig för rättning eller borttagning? 18 Finns det rutiner för incidentrapportering? (DSF art. 33; MSBFS 2016:1 10 §)

32 Rätt till att slippa automatiserat beslutsfattande – och profilering
Har vi detta? Profilering Uppgifterna behövs för att Redogöra för DI Informera registrerade Hantera rättigheter Automaträttning av prover och tester i LMSer? Betygssättning? Marknadsföring i sociala medier – FBsom persouppgiftsbiträde? DSF Artikel 4.4: profilering: varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar,

33 Rätt till att göra invändningar och till begränsning
Innebär Relevant vid att invända Man kan ifrågasätta behandlingen Myndighetsutövning Uppgift av allmänt intresse till be-gräns-ning Fortsätt med behandling A, men sluta med behandling B ≈ Delvis återtagande av samtycke Samtycke Uppgifterna behövs för att Redogöra för DI Informera registrerade Hantera rättigheter Behandling ska begränsas under utredning Kan vi tillfälligt dölja eller frysa någons personuppgifter? Har vi teknikstöd för att: styra access till vissa uppgifter? I systemet? begränsa till några behandlingar (av de 40-60)? I sekundära system? I ostrukturerat material? 10 Hur har de registrerade informerats om behandlingen? (DSF art. 13 & 14) a. Har de informerats om sina rättigheter? 10a Har de informerats om vart de vänder sig för rättning eller borttagning? 18 Finns det rutiner för incidentrapportering? (DSF art. 33; MSBFS 2016:1 10 §) DSF Skäl 67: ”Sätten att begränsa behandlingen av personuppgifter kan bland annat inbegripa att man tillfälligt flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör klart anges inom systemet.”

34 Rätt till Information Innehåll Vilka personuppgifter som samlas in
Ändamål Rättslig grund Registrerades rättigheter Hur man hävdar rättigheter Vid incidenter Uppgifterna behövs för att Redogöra för DI Informera registrerade När – normal Vid import av data Vid insamling från registrerade När – undantag Vid incidenter Vid avvikelse från den rättsliga grunden Vid avvikelse från samtycke

35 Rutiner att säkerställa att de som informerar registrerade har bra underlag? att själv informera registrerade? att samla in och dokumentera samtycke? för återtagande av samtycke? för information vid incidenter Uppgifterna behövs för att Redogöra för DI Hantera rättigheter

36 Block 2: Diskussion Diskutera vad ni vet och inte vet om era system:
Rätt till: Rutiner för: rättelse bra underlag till den som informerar? radering (bli glömd) att själv informera registrerade? att samla in och dokumentera samtycke? dataportabilitet begränsning av behandling eller invändningar återtagande av samtycke? information vid incidenter att slippa automatiserat beslutsfattande och profilering information: om vad som samlats in om syfte om rättigheter vid incidenter

37 Block 2: Sammanfattning – var står vi?
Var finns osäkerheter Rätt till: Rutiner för: rättelse bra underlag till den som informerar? radering (bli glömd) att själv informera registrerade? att samla in och dokumentera samtycke? dataportabilitet begränsning av behandling eller invändningar återtagande av samtycke? information vid incidenter att slippa automatiserat beslutsfattande och profilering information: om vad som samlats in om syfte om rättigheter vid incidenter

38 Vad gör jag nu? FAQ etc. på personuppgifter.blogg.lu.se Prenumerera gärna!


Ladda ner ppt "Till dig som använder bildspelet för att presentera!"

Liknande presentationer


Google-annonser