Till dig som anvnder bildspelet fr att presentera
Till dig som använder bildspelet för att presentera! fördjupade diskussioner om ni har gott om tid Om bildspelet • Originalet till bildspelet är producerat av Projekt för hantering av personuppgifter (Dnr STYR 2016/1173) • Syftet är att hjälpa medarbetare att kommunicera innebörden av den kommande dataskyddsförordningen och vad den innebär för Lunds universitet. • Bildspelet innehåller väldigt många bilder. Det är viktigt att du som presenterar gör ett urval. För att underlätta det har vi märkt sidorna med. – Allmänt – bra om alla får del av dem – Diskussion – ingen central fakta, men är tänkt att stimulera diskussion – Överkurs – nog mest lämpliga för – Fördjupning – välj ut den eller de exempel som är mest relevanta för din målgrupp • På en del sidor finns det information i Anteckningsfältet som antingen förklarar eller exemplifierar innehållet eller innehåller diskussionspunkter. Avsnitt • Del 1 – Översikt: Fokuserar på allmän information om den nya lagen, kompletterat med exempel från universitetsvärlden. • Del 2 – IT-perspektiv: Bygger på att man är införstådd med innehållet i den första delen. Den har ett IT- och informationssäkerhets-perspektiv och riktar sig främst till medarbetare som ansvarar för olika IT-system som innehåller personuppgifter. • Del 3 – Projektet: Förklarar kortfattat projektet Disclaimer • Eftersom dataskyddsförordningen inte tillämpas än är en del uppgifter fortfarande osäkra. • De olika delarna och nya versioner av bildspelet kan komma att publiceras på: https: //personuppgifter. blogg. lu. se/pagaendeaktiviteter/kommunikationsfragor/downloads/ Återkoppling • Har du förslag till förbättringar är du välkommen att kontakta projektkommunikatören Jonas. Wisbrant@cs. lth. se.
Dataskyddsförordningen ur ett IT-perspektiv WS NOVEMBER 2017
Allmänt Program 13. 05 13. 15 13. 30 Introduktion och upplägg Dataskyddsförordningen och universitetet – översikt Roller och ansvar - vem gör vad? Kristina 13. 50 14. 05 14. 35 Block 1: Personuppgiftsbehandling: Vad får vi göra och hur måste vi göra det? Rättslig grund, insamling, lagring och tillgängliggörande av personuppgifter Diskussion Sammanfattning block 1 14. 55 Fika 15. 10 Jonas 15. 20 15. 40 Block 2: Hantering av registrerades rättigheter Hantering av rättigheter, Information till registrerade Diskussion Sammanfattning block 2 15. 50 Avrundning av dagen Kristina
GDPR / Dataskyddsförordningen WS NOVEMBER 2017 – KRISTINA ARNRUP THORSBRO
ny lagstiftning EU-gemensam lag svensk kompletterande reglering GDPR tre relevanta utredningar har lämnat förslag: eller dataskyddsförordningen gäller från 25/5 2018 • generell om offentlig verksamhet • utbildning • forskning
Några nyheter i dataskyddsförordningen Sanktionsavgifter införs. Kraven på dokumentation av arbetet skärps. Kraven på information till de registrerade skärps. Undantaget för ostrukturerat material försvinner
Dataskyddsförordningen och LU Universitetet ska bl. a. strategier som projektet driver • visa för datainspektionen att vi följer förordningen • IT-system i PM 3 Förvaltningsplaner beskriver systemet i förhållande till DSF • säkerställa att vi möter de registrerades rättigheter • hålla en förteckning över personuppgiftsbehandlingar • Utbildning för ALLA anställda och ALLA studenter • Samordnade strukturer för stöd & råd till hela universitetet • Standardiserad information till de största grupperna av registrerade • Register över behandlingar som kopplar IT-system Verksamhet Rättslig grund • Rutiner för hantering av registrerades rättigheter
Informationshantering med inbyggda motsättningar? DSF etik offentlighet vårt uppdrag upphovsrätt arkivering datasäkerhet
Allmänt Roller och ansvar - vem gör vad? Roll Innebär personuppgiftsansvarig universitetet personuppgiftsbiträde hanterar personuppgifter åt oss enligt avtal dataskyddsombud kontrollerar att vi hanterar personuppgifter på ett korrekt sätt regleras i DSF informationssäkerhetssamordnare ny tjänst vid LU som är under rekrytering systemansvariga enligt pm 3 IT-kontoret uppdaterar systemförvaltningsmodell ger stöd till systemansvariga projektet rörande personuppgifter tar fram ny organisation förbereder LU för DSF
Grov tidsplan per november 2018 November December systemförvaltare centralt Januari Februari Mars April Maj Juni Augusti systemförvaltare fakulteter 2019 PM 3 anpassat behov av styrdokument WS PU-behandlingar WS för info. till reg. Utskick E-kurs personal Dataskyddsombud intro E-kurs studenter Release Process
Vilka personuppgifter har vi – och vad har vi dem till? WS NOVEMBER 2017 – KRISTINA ARNRUP THORSBRO
Block 1: Vilka personuppgifter har vi – och vad har vi dem till? • rättslig grund för behandlingar – och hur vet vi det? • vilka personuppgifter finns i systemet? • var kommer de ifrån - de registrerade eller andra system? • var lagras data (LU, EU, annat)? • behörigheter • personer och system • vem kan ändra?
För vilket ändamål sker personuppgiftsbehandlingen? • forskning Uppgifterna behövs för att veta: • utbildning • rättslig grund • personalhantering • konsekvenser • annat: På vilken rättslig grund vilar personuppgiftsbehandlingen? • rättslig förpliktelse • avtal • myndighetsutövning • samtycke • uppgift av allmänt intresse • (skydd för grundläggande intressen)
Allmänt Rättsliga grunder för behandling av personuppgifter Rättslig grund Innebär Aktuellt för universitetet rättslig förpliktelse för att leva upp till lag och andra regler LADOK-förordningen Arkivlagen Arbetsmiljölagen myndighetsutövning nödvändig som ett led i myndighetsutövning examinering disciplinärenden uppgift av allmänt intresse uppdrag från riksdag och regering utbildning forskning samverkan avtal för att fullfölja avtal med den registrerade samarbetsavtal inköpsavtal samtycke • • • forskning samverkan marknadsföring skydd för grundläggande intressen säkerhetspolitik frivilligt informerat dokumenterat ev. vid samarbete med försvar
Allmänt Ändamål rättsliga grund konsekvenser - exempel inom utbildning Ändamål med verksamhet rättslig grund konsekvenser rekrytera studenter till våra utbildningsprogram och kurser samtycke - information beroende på situation - dokumentera samtycke - process för återtagande av samtycke antagning av studenter myndighetsutövning LU-gemensam standardinformation registrera studenter rättslig förpliktelse LU-gemensam standardinformation e-kurs för alla studenter genomföra utbildning allmänt intresse + ev samtycke LU-gemensam standardinformation + ev. tillägg till standardinformation + samtycke vid ev. tillägg myndighetsutövning LU-gemensam standardinformation examinera studenter
Om den rättsliga grunden är samtycke… troligen nödvändigt för Uppgifterna behövs för att: • marknadsföring • informera DI • forskning • informera de registrerade • donationsverksamhet • åtgärda återtagande • alumniverksamhet • rekrytering av studenter och personal Frågor • När samlas samtycke in? • Hur dokumenteras samtycket? • Hur tas samtycket tillbaka?
Hur samlas personuppgifterna in? Direkt från de registrerade Uppgifterna behövs för att veta: När? • Vem som ska informera Hur? • När det ska informeras • Vem som ansvarar för vad Från andra system • Hantera rättigheter • LU-system – vi är ansvariga, inget biträde • Redogöra för DI • Andras system – vi är ansvariga, de är biträde • Andras system – de är ansvariga, vi är biträde
Vilka typer av personuppgifter finns i systemet? Identifierande personuppgifter Kopplade personuppgifter direkt namn, e-post, personnummer, foto indirekt publikt IP-adress, mobilnummer, ORCID indirekt internt Stil-id, LUCAT-id, LU-kortsnummer pseudonymnyckel triviella närvaro, anställningsår, semsterdagar, kursregistrering, adress, ärendenr. integritetskänsliga (etik) foto? röst? film? betyg? lön? känsliga (juridik) etnicitet, politiska åsikter, religion, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter, hälsa, sexualliv, sexuell läggning, lagöverträdelser
Försök fördela personuppgifter som finns i systemet? Identifierande direkt personindirekt publikt uppgifter indirekt internt Kopplade personuppgifter triviala Integritetskänsliga (etik) känsliga (juridik)
Var och hur kommer personuppgifterna att lagras? • LDC • LU övrigt • EU – med biträdesavtal • godkänd internationell organisation • utanför EU – godkänt land • utanför EU – ändå… Uppgifterna behövs för att • informera registrerade • redogöra för DI • hantera rättigheter
Vem har tillgång till personuppgifterna? • internet • alla studenter • all personal • personalgrupper • roller • avdelningar • individer • externa • andra länder • internationell organisation Uppgifterna behövs för att • redogöra för DI • informera registrerade • hantera rättigheter
Gallring, arkivering, radering? • Hur länge kommer personuppgifterna att sparas? (DSF art. 30) • Finns det en plan för gallring av personuppgifterna? (arkivlagen) • Finns det en plan för arkivering av personuppgifterna? (arkivlagen) Uppgifterna behövs för att • redogöra för DI • informera registrerade • hantera rättigheter
Block 1: Diskussion Testa Kategorierna Diskutera vad ni vet och inte vet om era system: • vilka ändamål stödjer systemet – och hur vet vi det? • vilka personuppgifter finns i systemet? Ange system och markera i PPT-bilden • var kommer de ifrån – från de registrerade eller från andra system? • var lagras data (LU, EU, annat)? • vem har tillgång? • vem kan ändra?
Block 1: Diskussion – uppföljning Diskutera vad ni vet och inte vet om era system: Fungerade kategorierna? Vad saknas? • vilka ändamål stödjer systemet – och hur vet vi det? • vilka personuppgifter finns i systemet? • var kommer de ifrån – från de registrerade eller från andra system? Har vi koll på detta? • var lagras data (LU, EU, annat)? Kritisk områden? • vem har tillgång? • vem kan göra utdrag - personer och system? • vem kan ändra?
Block 2: Registerarades rättigheter WS NOVEMBER 2017 – JONAS WISBRANT
Allmänt Program 13. 05 13. 15 13. 30 Introduktion och upplägg Dataskyddsförordningen och universitetet – översikt Roller och ansvar - vem gör vad? Kristina 13. 50 14. 05 14. 35 Block 1: Personuppgiftsbehandling: Vad får vi göra och hur måste vi göra det? Rättslig grund, insamling, lagring och tillgängliggörande av personuppgifter Diskussion Sammanfattning block 1 14. 55 Fika 15. 10 Jonas 15. 20 15. 40 Block 2: Hantering av registrerades rättigheter Hantering av rättigheter, Information till registrerade Diskussion Sammanfattning block 2 15. 50 Avrundning av dagen Kristina
Block 2: Hur stödjer IT-systemet de registrerades rättigheter? Rätt till: • rättelse • radering (bli glömd) • dataportabilitet • begränsning av behandling eller invändningar • att slippa automatiserat beslutsfattande och profilering • information: • • om vad som samlats in om syfte om rättigheter vid incidenter Rutiner för: • bra underlag till den som informerar? • att själv informera registrerade? • att samla in och dokumentera samtycke? • återtagande av samtycke? • information vid incidenter
Allmänt Registrerades rättigheter Rätt till… Innebär Information om personuppgiftsbehandlingen när uppgifterna samlas och på begäran. Vid incidenter Infosäkerhet? Rättelse Få felaktiga uppgifter rättade och kompletterade Arkivering? Radering När uppgifter inte behövs Återkallat samtycke Om det inte finns berättigade skäl vid myndighetsutövning mm. Arkivering Dokumenterad myndighetsutövning Dataportabilitet Vid samtycke och avtal (ej forskningsstudier) - Begränsning av behandling Markeras för begränsad behandling – även under utredning Når begränsning sekundära system? Att göra invändningar Myndighetsutövning och uppgift av allmänt intresse - Att slippa automatiserat beslutsfattande och profilering Antagning 1 - *UHR är nog personuppgiftsansvarig för antagningsprocessen fram tills universiteten tar över kommunikationen med de antagna Konflikt
Rätt till rättelse: vem har kan ändra – och rätta personuppgifter? • De registrerade själva • Definierade grupper • Roller • Avdelningar • Individer • Externa organisationer eller system Finns det några Risker här? Uppgifterna behövs för att • Redogöra för DI • Hantera rättigheter
Rätt till radering (bli glömd) • Nog alltid vid samtycke - undantag forskningsstudier • Överskottsinformation • Konflikt: Arkivering & backup Uppgifterna behövs för att • Redogöra för DI • Informera registrerade • Hantera rättigheter
Rätt till dataportabilitet • Vid samtycke - undantag forskningsstudier • Kanske lämpligt för: • LUCRIS • Kompetensportföljer • Tjänsteansökningar • Studieresultat • CV för studenter som medverkat i undervisning Uppgifterna behövs för att • Redogöra för DI • Informera registrerade • Hantera rättigheter
Rätt till att slippa automatiserat beslutsfattande – och profilering Automatiserat beslutsfattande • Har vi detta? Profilering • Har vi detta? Uppgifterna behövs för att • Redogöra för DI • Informera registrerade • Hantera rättigheter
Rätt till att göra invändningar och till begränsning Rätt Innebär Relevant vid att invända Man kan ifrågasätta behandlingen Myndighetsutövning Uppgift av allmänt intresse till begränsning Fortsätt med behandling A, men sluta med behandling B ≈ Delvis återtagande av samtycke Samtycke Uppgifterna behövs för att • Redogöra för DI • Informera registrerade • Hantera rättigheter Behandling ska begränsas under utredning Kan vi tillfälligt dölja eller frysa någons personuppgifter? • I systemet? • I sekundära system? • I ostrukturerat material? Har vi teknikstöd för att: • styra access till vissa uppgifter? • begränsa till några behandlingar (av de 40 -60)?
Rätt till Information Innehåll • Vilka personuppgifter som samlas in • Ändamål • Rättslig grund • Registrerades rättigheter • Hur man hävdar rättigheter • Vid incidenter Uppgifterna behövs för att • Redogöra för DI • Informera registrerade När – normal • Vid import av data • Vid insamling från registrerade När – undantag • Vid incidenter • Vid avvikelse från den rättsliga grunden • Vid avvikelse från samtycke
Rutiner • att säkerställa att de som informerar registrerade har bra underlag? • att själv informera registrerade? • att samla in och dokumentera samtycke? • för återtagande av samtycke? • för information vid incidenter Uppgifterna behövs för att • Redogöra för DI • Hantera rättigheter
Block 2: Diskussion Diskutera vad ni vet och inte vet om era system: Rätt till: • rättelse • radering (bli glömd) • dataportabilitet • begränsning av behandling eller invändningar • att slippa automatiserat beslutsfattande och profilering • information: • • om vad som samlats in om syfte om rättigheter vid incidenter Rutiner för: • bra underlag till den som informerar? • att själv informera registrerade? • att samla in och dokumentera samtycke? • återtagande av samtycke? • information vid incidenter
Block 2: Sammanfattning – var står vi? Var finns osäkerheter Rätt till: • rättelse • radering (bli glömd) • dataportabilitet • begränsning av behandling eller invändningar • att slippa automatiserat beslutsfattande och profilering • information: • • om vad som samlats in om syfte om rättigheter vid incidenter Rutiner för: • bra underlag till den som informerar? • att själv informera registrerade? • att samla in och dokumentera samtycke? • återtagande av samtycke? • information vid incidenter
Vad gör jag nu? FAQ etc. på personuppgifter. blogg. lu. se Prenumerera gärna!
- Slides: 38