Riktlinjer för arbete med personuppgifter vid GIH

(1)

Styrdokument

Diarienummer: 01-546/12 Beslutat av: Rektor Beslutsdatum: 2012-09-10 Giltighetstid: Tills vidare

Gymnastik- och idrottshögskolan Lidingövägen 1 Box 5626 114 86 Stockholm Tel 08 120 53 700 Orgnr 202100-4334 www.gih.se info@gih.se

Riktlinjer för arbete med

personuppgifter vid GIH

(2)

INNEHÅLLSFÖRTECKNING

Riktlinjer för arbete med personuppgifter i forskningen ... 3

Bakgrund ... 3

Organisation ... 3

Riktlinjer vid arbete med personuppgifter i forskningen ... 4

Anmälan av personuppgifter enligt PUL 36 § ... 4

Förteckning över behandlingar av personuppgifter enligt PUL 36 och 39 §§ ... 4

Registerutdrag enligt PUL 26 § ... 5

Länkar ... 5

Personuppgiftslagen ... 6

Personuppgifter ... 6

Känsliga personuppgifter ... 6

Personuppgiftsansvarig ... 7

Personuppgiftsombud ... 7

Personuppgiftsbiträde ... 7

Samtycke och information till de registrerade ... 7

Registerutdrag ... 8

Förhandskontroll ... 8

Säkerhet vid behandling av personuppgifter... 8

Överföring av personuppgifter till tredje land ... 8

Etikprövningslagen ... 9

Ansökan ... 9

Datainspektionens roll ... 9

Informationssäkerhet ... 10

(3)

RIKTLINJER FÖR ARBETE MED PERSONUPPGIFTER I FORSKNINGEN

Bakgrund

Inom ramarna för verksamheten vid GIH behandlas personuppgifter i olika sammanhang t.ex. inom forskningen. Det finns flera olika lagar och regelverk som måste följas när man behandlar personuppgifter inom forskningen. Personuppgiftslagen (PuL) har som syfte att skydda människor mot att deras integritet kränks när personuppgifter behandlas och etikprövningslagen avser forskning på människor. Därutöver kan även regler om sekretess och tystnadsplikt bli aktuella när det gäller viss typ av forskning och/eller uppgifter.

Med anledning av ovanstående har dessa riktlinjer avseende organisation och rutiner i samband med upprättande av förteckningar över personuppgifter och registerutdrag enligt nedan tagits fram. Bifogat finns även en kort sammanfattning över PuL och

etikprövningslagen.

Organisation

Personuppgiftsansvarig

Gymnastik- och idrottshögskolan är personuppgiftsansvarig avseende all personuppgiftsbehandling inom högskolan.

Personuppgiftsombud

Vid GIH finns ett personuppgiftsombud som är anmält till Datainspektionen (Dnr 01- 547/12).

Personuppgiftsombudets uppgifter är att:

– se till att personuppgifter behandlas på ett korrekt och lagligt sätt inom myndigheten

– ge råd och anvisningar som rör tillämpningen av PuL – samråda med Datainspektionen

– se till att förteckningar över behandlingar av personuppgifter förs vid myndigheten

– fungera som kontaktperson för de registrerade och hjälpa de registrerade att få rättelse

– ingripa vid felaktig behandling av personuppgifter Medhjälpare

Fysisk person som behandlar personuppgifter under personuppgiftsansvariges ledning inom

Personuppgiftsbiträde

organisationen, t.ex. en anställd forskare.

Personuppgiftsbiträde är den som behandlat personuppgifter för den personuppgiftsansvariges räkning utanför

Den registrerade

organisationen (t.ex. ett labb som utför

laboratorietester på materialet, eller en servicebyrå som tillhandahåller serverutrymme för lagring av data).

Fysisk person som en personuppgift avser.

(4)

4(10)

Riktlinjer för arbete med personuppgifter vid GIH

Riktlinjer vid arbete med personuppgifter i forskningen

– Kontrollera att arbetet är förenligt med lagar och förordningar – Informerat och skriftligt samtycke från de registrerade ska föregå all

dataregistrering som innehåller personuppgifter – Forskning som avser människor ska etikprövas

– Vid behandling av genetiska data ska anmälan om förhandsprövning göras hos Datainspektionen senast tre veckor innan insamlandet påbörjas

– Datainspektionens och GIH:s egna anvisningar för datasäkerhet ska beaktas – Känsliga uppgifter ska alltid krypteras

– Ett biträdesavtal ska upprättas när en annan organisation anlitas för att bearbeta uppgifter eller när registren läggs på datorer tillhörig någon annan

Anmälan av personuppgifter enligt PUL 36 §

Enligt PuL ska all behandling av personuppgifter generellt anmälas till Datainspektionen, men den personuppgiftsansvarig som utser ett personuppgiftsombud slipper skyldigheten att anmäla viss behandling av personuppgifter till Datainspektionen.

All behandling av personuppgifter för forsknings-, statistik- och administrativt ändamål där samtycke inhämtas eller där annat särskilt lagstöd gäller ska anmälas till GIH:s personuppgiftsombud.

Om aktuellt ska nedanstående beslut bifogas anmälan till personuppgiftsombudet enligt följande:

– Beslut från den Regionala etikprövningsnämnden. Vid behandling av personuppgift för forsknings- och statistikändamål, innehållande känsliga personuppgifter där samtycke inte inhämtats och behandlingen godkänts av en Regional etikprövningsnämnd.

– Beslut från Datainspektionen. Vid behandling av personuppgift för forsknings- och statistikändamål, innehållande känsliga personuppgifter där samtycke inte inhämtats och där ansökan inte skall behandlas av Regional etikprövningsnämnd, skall anmälas till Datainspektionen för en förhandskontroll.

– Beslut från Datainspektionen. Vid behandling av personuppgifter där genetiska anlag kan framkomma skall behandlingen anmälas till Datainspektionen för en förhandskontroll.

Avanmälan

När en behandling av personuppgifter är avslutad skall dessa normalt avidentifieras. Ta kontakt med personuppgiftsombudet för vidare åtgärd.

Förteckning över behandlingar av personuppgifter enligt PUL 36 och 39 §§

GIH:s personuppgiftsombud ska enligt PuL 39§ ansvara för att upprätthålla en

förteckning över de behandlingar av personuppgifter som äger rum vid universitetet och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Som underlag till denna förteckning ska uppgifter lämnas till personuppgiftsombudet på särskild blankett.

(5)

5(10)

Registerutdrag enligt PUL 26 §

Den registrerade har rätt till ett gratis registerutdrag en gång per år efter skriftlig signerad ansökan till personuppgiftsombudet. Den skriftliga ansökan fungerar som ett ”kvitto” på att den registrerade själv signerat en begäran om detta.

Registerutdraget skall vara skriftligt och innehålla information om vilka av den registrerades personuppgifter som har behandlas, varifrån dessa uppgifter har hämtats, vilka ändamålen med behandlingen är och till vilka mottagare som uppgifterna lämnas ut.

Information om personuppgifter i löpande text behöver inte lämnas ut.

Informationen skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får informationen dock lämnas senast fyra månader efter ansökan.

Som exempel på särskilda skäl kan nämnas att personuppgifterna är krypterade, att sökmöjligheterna är begränsade eller att det rör sig om många uppgifter som är uppdelade på flera olika register eller databaser. Det efterfrågade registerutdraget skall skickas via posten till folkbokföringsadressen för att minimeras risken att registerutdraget kommer till fel person.

Länkar

www.datainspektionen.se www.cepn.se

www.codex.vr.se www.biobanksverige.se

(6)

Bilaga 1

PERSONUPPGIFTSLAGEN

Nedanstående text är endast en sammanfattning av innehållet i personuppgiftslagen och personuppgiftsförordningen. Se personuppgiftslagen (länk till lagtexten) och

personuppgiftsförordningen (länk till lagtexten) för att se texterna i sin helhet.

Personuppgiftslagen (PuL) trädde i kraft 1998 och bygger på gemensamma regler, det så kallade dataskyddsdirektivet som har beslutats inom EU. Övriga EU-länder har liknande lagar vilket underlättar flödet av information inom EU.

Personuppgiftslagen är subsidär, dvs. träder åt sidan i förhållande till annan lagstiftning.

Det betyder att PuL:s bestämmelser inte gäller i den utsträckningen bestämmelserna strider mot bestämmelser i andra lagar, t.ex. tryck- och yttrandefrihetslagen, patientdatalagen, arkivlagen eller sekretesslagen.

Personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. PuL omfattar i princip all behandling av personuppgifter. Begreppet "behandlas" är brett och omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera. I personuppgiftslagen finns regler för hur personuppgifter får behandlas och lagen bygger i hög grad på samtycke och information till de registrerade.

PuL gäller när den personuppgiftsansvarige (se definition nedan) är etablerad i Sverige eller då den personuppgiftsansvarige är etablerad i tredje land men där utrustningen som används för behandlingen av personuppgifter finns i Sverige. PuL gäller både vid automatiserad behandling och vid manuell behandling.

Personuppgifter

Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgifter är således inte bara namn, ID-nummer och personnummer, utan även t.ex. DNA, ägande, längd, kön, levnadsvanor, medlemskap och adress. Detta gäller även om det finns en kodnyckel i eller utanför den egna

organisationen.

Känsliga personuppgifter

Enligt PuL §13 är det förbjudet att behandla personuppgifter som avslöjar:

– ras eller etniskt ursprung – politiska åsikter

– religiös eller filosofisk övertygelse – medlemskap i fackförening – hälsa eller sexualliv

Dessa känsliga personuppgifter är det som huvudregel förbjudet att behandla, men det finns undantag. Ett av dessa undantag är forskning och statistik (19 § PuL).

”Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.”

"Känsliga personuppgifter får behandlas för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära."

(7)

7(10)

Undantaget för forskning i 19§ PuL innebär att det under viss förutsättning är tillåtet att behandla personuppgifter utan samtycke.

Personuppgiftsansvarig

Personuppgiftsansvarig, dvs. högskolan, är den som bestämmer ändamålen med och medlen för behandlingen (PuL 3§). Det är den personuppgiftsansvariga som skall se till att personuppgifter bara behandlas på ett lagligt sätt. Det innebär bl.a. att personuppgifter:

– bara får behandlas för ett särskilt och uttryckligt angivet ändamål, – är riktiga och inte fler än som behövs och

– inte bevaras längre än nödvändigt

Det är också den personuppgiftsansvarigas ansvar att se till att information och samtycke till registreringen ges i de fall det är nödvändigt.

Personuppgiftsombud

Enligt PuL ska all behandling av personuppgifter generellt anmälas till Datainspektionen.

Personuppgiftsansvarig som utser ett personuppgiftsombud slipper skyldigheten att anmäla viss behandlingar av personuppgifter till Datainspektionen och minskar därigenom sin administration.

Ett personuppgiftsombud är en fysisk person som ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt inom den egna organisationen. Ansvaret ligger dock kvar hos personuppgiftsansvarig. Personuppgiftsombudet fungerar även som kontaktperson för de registrerade. Om ett personuppgiftsombud är utsett måste det anges i

deltagarinformationen.

Personuppgiftsbiträde

Personuppgiftsbiträde är den som behandlat personuppgifter för den

personuppgiftsansvariges räkning utanför organisationen (t.ex. ett labb som utför

laboratorietester på materialet, eller en servicebyrå som tillhandahåller serverutrymme för lagring av data). Observera att det alltid ska upprättas ett skriftligt biträdesavtal och att ansvaret för personuppgifterna alltid vilar på den personuppgiftsansvarige. Skyddet för personuppgifterna ska inte bli sämre bara för att man väljer att anlita ett

personuppgiftsbiträde.

Samtycke och information till de registrerade

Tillåten behandling av personuppgifter kräver ett samtycke och samtycket ska enligt PuL vara frivilligt, särskilt, otvetydigt, individuellt, informerat och skriftligt. Det finns grundläggande forskningsetiska krav på hur informerat samtycke skall ske och vad informationen skall innefatta på datainspektionens hemsida

(http://www.datainspektionen.se/ ).

Samtycket kan alltid återkallas. Vid återkallning av samtycke kan redan erhållna resultat användas, men inga nya analyser får göras.

För barn under ca 15 år ska båda vårdnadshavarnas samtycke inhämtas. Åldersgränsen är en godtycklig bedömning av när ett barn själv kan anses klara av att göra en adekvat bedömning av vad det innebär att låta sina personuppgifter behandlas av t.ex. forskare.

Ansvaret att informera barnen ligger på föräldrarna. Ett barn kan från ca 12 års ålder dra tillbaka sina föräldrars samtycke (även här gäller en godtycklig bedömning av åldern).

(8)

8(10)

Registerutdrag

Den registrerade har rätt till ett gratis registerutdrag en gång per år efter skriftlig ansökan till personuppgiftsansvarig. Den skriftliga signerade ansökan fungerar som ett ”kvitto” på att den registrerade själv signerat en begäran om detta. Genom att skicka efterfrågat registerutdrag via posten till folkbokföringsadressen minimeras risken att registerutdraget kommer till fel person.

Den registrerade har rätt att få felaktiga uppgifter rättade. Vid oenighet kan den registrerade anmäla ärendet till Datainspektionen.

Förhandskontroll

Vid behandling av personuppgifter där genetiska anlag kan framkomma, t.ex. efter en genetisk undersökning, ska alltid en anmälan om förhandskontroll göras till

Datainspektionen senast tre veckor innan planerad start. Förhandskontrollen innebär att Datainspektionen gör en bedömning av om den planerade behandlingen är förenlig med gällande lagstiftning. Blankett finns på datainspektionens hemsida

(www.datainspektionen.se).

Säkerhet vid behandling av personuppgifter

30 § Personer som behandlar personuppgifter och 31 § Säkerhetsåtgärder i PuL reglerar säkerheten vid behandling av personuppgifter.

I 31 § PuL står att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.

Med ”lämplig” säkerhetsnivå menas, ”en säkerhet som med beaktande av samtliga omständigheter får anses tillräcklig”. Det skall finnas en balans mellan nedlagda kostnader och ansträngningarna i relation till allvarlighetsgraden av de behandlade personuppgifterna.

När det gäller fysisk säkerhet är det viktigt att se på tillträdeskontroll och skydd av utrustningen. Det bör upprättas rutiner för t.ex. mobila enheter och flyttbara

lagringsmedia samt för autentisering, datakommunikation, säkerhetskopiering (externa nätverk, internet), utplåning, reparation och service (avtal med extern part om

tystnadsplikt/sekretess) och skydd mot skadliga program. Vid anlitande av utomstående personuppgiftsbiträde för uppdrag som utgör behandling av personuppgifter, skall det finnas ett skriftligt avtal (personuppgiftsbiträdesavtal) som särskilt reglerar

säkerhetsfrågorna. Det är dock alltid högskolan som har det slutgiltiga ansvaret och därtill det rättsliga ansvaret gentemot den registrerade.

Känsliga uppgifter bör som regel alltid krypteras.

Se informationsbladet ”Säkerhet för personuppgifter” på datainspektionens hemsida för ytterligare information.

Överföring av personuppgifter till tredje land

Det finns ett generellt förbud mot att föra över personuppgifter som är under behandling till ett tredje land, d.v.s. ett land utanför EU och EES. Men om det finns en adekvat skyddsnivå i det tredje landet, samtycke från den registrerade eller vid särskilda situationer, avtal, rättsliga anspråk, vitala intressen finns det möjlighet att överföra personuppgifter till tredje land.

(9)

9(10)

ETIKPRÖVNINGSLAGEN

Nedanstående text är endast en sammanfattning av innehållet i de lagar och förordningar som styr etikprövning av forskning som avser människor. Se Lagen om etikprövning av forskning som avser människor (länk till lagtexten) och Förordning om etikprövning av forskning som avser människor (länk till lagtexten) för att se texterna i sin helhet.

Från den 1 januari 2004 finns en lag om etikprövning av forskning som avser människor (etikprövningslagen, EPL). Den omfattar forskning på levande personer, men också forskning på avlidna och på biologiskt material från människor samt forskning som innebär hantering av känsliga personuppgifter.

EPL gäller för forskning som:

– Innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott m.m. (3 § EPL)

– innebär ett fysiskt ingrepp på en forskningsperson (4 § 1. EPL)

– utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt (4 § 2. EPL)

– avser studier på biologiskt material från en levande människa och kan härledas till denna människa (4 § 3. EPL)

– innebär ett fysiskt ingrepp på en avliden människa (4 § 4. EPL)

– avser studier på biologiskt material som tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa (4 § 5. EPL)

Forskning som omfattas av EPL får endast utföras om den har godkänts vid etikprövning.

Forskningen måste påbörjas inom två år från det att beslutet vunnit laga kraft, därefter upphör godkännandet.

Ansökan

Ansökan om etikprövning ska göras av forskningshuvudmannen (23§ EPL).

Forskningshuvudman är en statlig myndighet (t.ex. GIH) eller en fysisk eller juridisk person i vars verksamhet forskningen utförs. För hjälp att skriva en ansökan och blanketter, se www.epn.se.

Forskning förutsätter att det finns ett vetenskapligt syfte, dvs. en vetenskapligt relevant frågeställning som avses belysas på ett systematiskt sätt eller med vetenskapliga metoder.

I vissa fall krävs dessutom en avsikt att göra resultaten tillgängliga.

Studentarbeten behöver inte etikprövas förutsatt att de inte ska publiceras i vetenskaplig tidskrift eller användas i avhandling. Det går att få en studie etikprövad i efterhand i det fall studenten som vill använda sin uppsats för publikation eller i avhandling.

Avslagen ansökan kan överklagas till Centrala etikprövningsnämnden av forskningshuvudmannen.

DATAINSPEKTIONENS ROLL

Datainspektionen är en tillsynsmyndighet som genom sin verksamhet ska bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet.

Om Datainspektionen i sin tillsynsverksamhet finner att en personuppgiftsansvarig behandlar uppgifter i strid med lagen och organisationen inte ändrar sitt agerande efter påpekande har Datainspektionen möjlighet att sätta ut vite (böter). Andra

(10)

10(10)

”straffmöjligheter” som finns är att den som registrerats kan få skadestånd vid felaktigheter i registren.

INFORMATIONSSÄKERHET

För GIH:s allmänna policy och riktlinjer gällande informationssäkerhet hänvisas till övriga styrdokument rörande informationssäkerhet. Kortfattat ska följande beaktas beträffande informationssäkerhet vid behandling av personuppgifter i forskningen.

Åtkomstskydd:

När datorutrustning och löstagbara datamedier inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall skall personuppgifterna krypteras.

I bärbara datorer ska personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade.

Säkerhetskopia

Personuppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna skall förvaras avskilt och väl skyddade så att personuppgifterna kan återskapas efter en störning. Det är viktigt att det finns en rutin för test av återläsning.

Behörighetskontroll

Ett tekniskt system för behörighetskontroll ska styra åtkomsten till personuppgifterna.

Behörigheten skall begränsas till de som behöver uppgifterna för sitt arbete.

Användaridentitet och lösenord skall vara personliga och får inte överlåtas på någon annan.

Åtkomst till personuppgifter ska i efterhand kunna följas upp genom en maskinell logg eller liknande maskinellt underlag om datorn används av mer än en person. Av underlaget ska framgå vem som har haft åtkomst, tidpunkten för åtkomsten samt till vilken persons uppgifter åtkomsten har skett. Underlaget skall kontrolleras i erforderlig utsträckning.

Datakommunikation

Personuppgifter som överförs via datorkommunikation (t.ex. E-post) ska skyddas med kryptering.

Utplåning

När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre ska användas för sitt ändamål ska lagringsmedierna förstöras. Alternativt ska

personuppgifterna raderas på sådant sätt att de inte kan återskapas.

Reparation och service

Vid servicebesök ska lagringsmedier som innehåller personuppgifter avlägsnas. Är detta inte möjligt ska servicen ske under medhjälparen/personuppgiftsbiträdets överinseende.

Service via datakommunikation får endast ske efter säker identifiering av den som utför servicen. Servicepersonal skall ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service ska den vara stängd när service inte pågår.