Dataskyddsfรถrordningen fรถr kommunikatรถrer 3 maj 2018
2
Dataskyddsförordningen ersätter personuppgiftslagen Den 25 maj 2018 börjar EU:s nya regelverk för personuppgiftsbehandling, dataskyddsförordningen (GDPR), att gälla. Det nya regelverket kommer att innebära skärpta regler, kraftigt ökade sanktionsavgifter, för myndigheter på 5-10 miljoner kronor samt utökad efterlevnadskontroll. Det kommer med andra ord att ställas ännu högre krav på universitetets verksamhet i och med detta. Vad innebär det för dig? Som kommunikatör vid Stockholms universitet omfattas du av de nya reglerna när du behandlar personuppgifter i ditt arbete. Till exempel vid publiceringar på webben eller i sociala medier. I denna folder har vi samlat några av de saker du måste tänka på. LÄS MER På Datainspektionens webbplats datainspektionen.se hittar du mer information om GDPR. På su.se/gdpr hittar du samlad information om SU:s arbete med GDPR.
3
GDPR i korthet Den 25 maj blir Dataskyddsförordningen (GDPR) en direkt gällande lag inom EU. Personuppgiftslagen (PuL) upphävs, men i och med att det finns nationella lagar som hänvisar till PuL kommer PuL finnas kvar för dessa ändamål.
Syftet med GDPR
• Att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter • Att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU så att det fria flödet av uppgifter inom unionen inte hindras
De viktigaste förändringarna i GDPR • • • •
Skyddsnivån för personuppgifter höjs generellt Informationsskyldigheten till registrerade utvidgas Högre krav på IT-säkerheten Tydliga samtycken och hur man återkallar samtycket. Lärosäten som är myndigheter måste överväga särskilt om samtycke kan utgöra en rättslig grund genom att uppfylla bland annat krav på frivillighet och ändamålsbestämning
Personuppgifter
Personuppgifter är allt som kan härledas till en nu levande person. Typiska personuppgifter är personnummer, namn och adress. Känsliga personuppgifter avser uppgifter om; ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person. Om det rör sig om känsliga personuppgifter ställs högre krav på hanteringen enligt GDPR.
Rättslig grund för personuppgiftsbehandling • • • • • •
Samtycke Avtal med den registrerade Rättslig förpliktelse Skydda grundläggande intressen Allmänt intresse och myndighetsutövning Intresseavvägning (myndigheter får inte använda sig av en intresseavvägning när de fullgör sina uppgifter)
Exempel på personuppgiftsbehandlingar är registrering, strukturering, lagring, bearbetning, spridning eller radering.
4
Checklista för kommunikatörer Vid all kommunikation kring personuppgifter behöver man ha en rättslig grund för personuppgiftsbehandling. Det ska också finnas interna dokument och rutiner som visar att man följer de nya rättsliga principerna för behandling av personuppgifter. Tänk även på att personuppgifter inte får sparas under en längre tid än vad som är nödvändigt för ändamålet. Därför behövs det rutiner för att med jämna mellanrum rensa ut det som inte längre får lagras.
Är det en behandlig av personuppgifter?
• Handlar det om behandling av personuppgifter? Det vill säga kan uppgiften du kommunicerar kring knytas till en fysisk identifierbar levande person? • Vilken typ av personuppgifter rör det sig om? Tänk på att om det är fråga om känsliga uppgifter så ställs högre krav på hanteringen. • Vad är ändamålet med behandlingen av personuppgifterna? • Vilken rättslig grund stödjer ni behandlingen på? (se föregående sida)
Du måste informera om personuppgiftsbehandlingen
• De personer vars personuppgifter behandlas, de registrerade, har ett antal rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär i korthet att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har de bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta sina uppgifter. De registrerades rättigheter har utökats, förstärkts och specificerats i dataskyddsförordningen. Anvisningar för personuppgiftsbehandling inom Stockholms universitet håller på att tas fram.
Publicering av bild och rörlig bild
Även foton på personer klassas som personuppgifter. När du publicerar bilder eller filmer med människor måste du alltså alltid följa reglerna i dataskyddsförordningen. Tänk också på att vid bildpublicering måste även annan lagstiftning beaktas, exempelvis: • Upphovsrätt - För att använda upphovsrättsskyddat material måste ni ha upphovsmannens godkännande. • Marknadsrätt - Om kommunikationen har ett kommersiellt syfte gäller bland annat marknadsföringslagen (2008:486) (”MFL”) och lagen om namn och bild i reklam (1978:800).
5
Att tänka på vid publicering av bilder/rörlig bild:
• Samtycke krävs av de som medverkar på bilden. Om underåriga avbildas är huvudregeln att vårdnadshavare ska ge samtycke. Använd den framtagna samtyckesblanketten (finns för både vuxna och barn). • Säkerställ att ni har nödvändiga avtal med upphovsmän. När du använder bilder från Mediabanken var noga med att kontrollera rättigheterna, det vill säga i vilka kanaler och i vilket syfte bilden får användas. Kontrollera även hur länge bilden får användas. Anteckna detta, på till exempel webbsidan där du publicerar den, så att du kommer ihåg att ta bort den från din webbsida. I Polopoly går det idag inte att tidstyra bilder och rörlig bild utan det är manuellt jobb. Artiklar går ju att tidstyra, så enklast är kanske att tidstyra av hela artikeln på utgångsdatum redan från början. Det underlättar även för dig när du granskar dina artiklar efter 1,5 år som granskningsfunktionen kräver. • Tänk på att du även måste namnge upphovsmannen i anslutning till det upphovsrättsskyddade materialet såvida upphovsmannen inte uttryckligen frånsagt sig denna rättighet. I Polopoly lägger vi upphandlade fotografens namn i alt-texten. • Om det rör sig om kommersiell kommunikation måste du säkerställa att mottagarna förstår att det är fråga om reklam (9 § MFL). Enligt lagen (1978:800) om namn och bild i reklam krävs det att ni har ett tillstånd från den avbildade personen att avbilda denne i reklam. Använd samtyckesblanketten för detta.
Förvaring av bilder, filmer och blanketter
Tänk på att du även måste ha rutiner för hur du förvarar dina bilder. Du ska kunna söka fram personuppgifter enkelt om någon begär ett registerutdrag. Den som beställer foto ansvarar för förvaring av samtyckesblanketterna. Det finns ett stödsystem för universitetets registerförteckning där samtyckesblanketterna ska registreras. De som ska ha behörighet till registerförteckningen är administrativ chef eller motsvarande. Tanken är att alla bilder som lagras i mediabanken ska ha ett utgångsdatum. Tänk också på att inte spara de nedladdade bilderna från mediabanken lokalt på din dator. Om du är osäker på ett tidigare samtycke enligt PuL eller om du inte hittar den godkända blanketten - ta bort bilden.
6
Mingelbilder från evenemang
Även för att få publicera mingelbilder från ett evenemang krävs det en rättslig grund för behandlingen och att i övrigt uppfylla dataskyddsförordningen. Att använda samtycke kan vara onödigt krångligt i detta fall och det kan vara svårt att inhämta samtycke om det är många personer på bilden. En rättslig grund för myndigheter kan då till exempel vara att syftet med att publicera bilderna är att informera om verksamheten. Den rättsliga grunden kan då vara att man utför en uppgift av allmänt intresse vid publicering. (Enligt 6 § myndighetsförordningen framgår att det är myndigheters uppgift att tillhandahålla information om sin verksamhet). Besökarna på evenemanget ska informeras om att deras personuppgifter, alltså bilderna, kan komma att användas för att informera om verksamheten och att de har möjlighet att invända mot detta. Informera också om vem de ska kontakta. Om någon hör av sig måste du avpublicera bilden.
Bilder på medarbetare
Även när det gäller bilder på medarbetare ska det vara tydligt vad syftet med publiceringen är och vilken den rättsliga grunden till behandlingen är. Den anställde bör alltid tillfrågas innan bilden publiceras. Samtycke är dock ofta inte lämpligt som rättslig grund vid anställningsförhållanden eftersom anställda står i beroendeställning till arbetsgivaren. Om ändamålet med publiceringen är att informera om er verksamhet kan den rättsliga grunden vara att behandlingen är nödvändig för att uppfylla en uppgift av allmänt intresse. Att det är myndigheters uppgift att tillhandahålla information om sin verksamhet framgår av 6 § myndighetsförordningen. Inom ramen för den uppgiften anser Datainspektionen att det finns utrymme att ha namn och bild på exempelvis generaldirektör, presskontakt och andra anställda i publika roller (beroende på myndighet). Däremot kan man förmodligen inte åberopa den rättsliga grunden för att få publicera bilder på alla anställda. LÄS MER På su.se/blanketter hittar du samtyckesblanketter för bild/rörlig bild. Där finns utrymme för kontaktuppgifter till den person eller funktion som förvarar samtyckesblanketter hos er. Mer information om bildpubliceringar finns på Datainspektionens webbplats.
7
Sociala medier
Dataskyddsförordningen gäller även vid publicering av personuppgifter i sociala medier. Även här ska publiceringar ha rättslig grund och det ska finnas rutiner för hur exempelvis inlägg från besökare ska hanteras. Tänk på att samtyckesblanketten behöver användas även för publiceringar i sociala medier. När det gäller Facebook, Youtube, Instagram, Linkedin och bloggar är organisationen ansvarig för personuppgifter som publiceras på organisationens profil. Ansvaret omfattar även personuppgifter som publiceras av andra, till exempel i kommentarer. På Twitter endast ansvar för de personuppgifter som organisationen själv publicerat. Det beror på att organisationen inte kan påverka publiceringen av andras inlägg på Twitter. LÄS MER Riktlinjer för universitets sociala medier-kanaler
Evenemang Vid evenemang finns personuppgifter ofta med på deltagarlistor. Förutom namn och kontaktuppgifter kan här även finnas känsliga personuppgifter som såsom uppgifter om allergier eller funktionsnedsättningar. Innehåller listan sådana uppgifter ställs högre krav på hanteringen av listan. Du får samla in uppgifter om allergier för ett evenemang men uppgifterna måste raderas efter avslutat evenemang. Detta gäller oavsett om du använder en molntjänst eller har listor i Excel-dokument. För massutskick av e-post i samband med evenemang - se vidare under avsnittet om e-post.
8
Personuppgifter i jobbets dator eller i molnet:
Dataskyddsförordningen gäller även för personuppgifter i anställdas arbetsdatorer, eller i mappar/dokument i molntjänster på nätet. Så långt det går bör personuppgifter hanteras i gemensamma system med behörighetsstyrning och inte i enskilda anställdas datorer. Om någon ändå måste spara personuppgifter i en egen dator, se till att behandlingen följer dataskyddsförordningen. Den ska till exempel finnas med i förteckningen över organisationens personuppgiftsbehandling och kraven på lämplig säkerhet måste vara uppfyllda. Se också till att personuppgifterna är ordnade så att de går att komma åt, till exempel om den registrerade begär att få ut sina uppgifter. LÄS MER Mer information om universitetets arbete med införande av dataskyddsförordningen hittar du på su.se/gdpr Frågor om GDPR kan ställas till gdpr@su.se eller till universitetets dataskyddsombud dso@su.se Mer information om uppgifter i anställdas datorer hittar du på Datainspektionens webbplats.
E-post
E-post innebär i princip alltid att man behandlar personuppgifter. Själva epostadressen i sig är oftast en personuppgift och all annan information i meddelandet som kan kopplas till en enskild person är också det. Det som skiljer e-post från annan uppgiftshantering är att innehållet oftast är okänt när e-posten kommer in till verksamheten. Utgångspunkten är att en verksamhet behöver ta hand om sin inkommande post. Myndigheter kan också som regel stödja sig på att det är ett allmänt intresse att svara på eposten. E-post som kommer in till en myndighet blir normalt en allmän handling som ska registreras eller hållas ordnad. Enligt arkivlagen är myndigheter, kommunala bolag och vissa andra organ skyldiga att bevara allmänna handlingar. Utgångspunkten är att det är tillåtet att behandla personuppgifter för att uppfylla kraven i arkivlagen. Alla e-postmeddelanden hos myndigheter är dock inte allmänna handlingar, till exempel privata meddelanden och meddelanden inom en facklig organisation.
9
Utskick av nyhetsbrev och e-postlistor
I samband med övergången till GDPR kan ni behöva se över era befintliga epostlistor om ni använder sådan vid exempelvis utskick av nyhetsbrev. Varför har ni dessa personer på listan, har de gett sitt samtycke eller har ni annan grund för att de ska vara med på listan? Det vill säga har ni rätt att göra utskick till de här adresserna? Tänk också på att om listan används i andra sammanhang, exempelvis vid riktad annonsering på Facebook, så måste ni informera de registrerade om att ni gör det. När du kommunicerar på detta sätt är det också viktigt att tänka på att mottagaren enkelt ska kunna avregistrera sig från framtida utskick (så kallad ”opt-out”). Några av de allmänna rekommendationer som Datainspektionen ger kring hantering av kommunikation via e-post: • Sprid inte personuppgifter i onödan. Skicka bara personuppgifter till dem som behöver uppgifterna för sitt arbete • När ni mottagit och läst e-posten, bedöm om uppgifterna ska bevaras och var det i så fall ska ske för att uppfylla de krav som gäller för just dessa uppgifter. • Skicka inte känsliga personuppgifter i oskyddad e-post. • Informera på er webb i samband med e-postadressen hur ni behandlar personuppgifter. • Om ni skickar svarsmejl, bifoga en standardtext där ni informerar den som skickat e-post om hur ni behandlar personuppgifter. LÄS MER Anvisningar för personuppgiftsbehandling vid Stockholms universitet håller på att tas fram. Mer om hantering av e-post på Datainspektionens webbplats.
10
Länkar och kontaktinformation Här finns alla länkar samlade och klickbara • • • • • • •
SU:s GDPR-info - su.se/gdpr Datainspektionen - datainspektionen.se Samtyckesblanketter - su.se/blanketter Information om bildpubliceringar hos Datainspektionen Riktlinjer för universitetets sociala medier-kanaler Information om uppgifter i anställdas datorer hos Datainspektionen Information om hantering av e-post hos Datainspektionen
Frågor om GDPR?
Du kan ställa frågor om GDPR till gdpr@su.se eller till universitetets dataskyddsombud på dso@su.se