Personuppgiftshantering enligt Personuppgiftslagen

Lagen om personuppgifter

Fram till den 25 maj 2018 regleras hantering av digitalt lagrade personuppgifter av Personuppgiftslagen, PuL. Den ersätts då av EU-förordningen GDPR. 

Hantering av personuppgifter

Hantering av personuppgifter inom Karolinska Institutet (KI) regleras av Personuppgiftslagen (1998:204) och lag (2003:460) om etikprövning av forskning som avser människor. Personuppgifter ska alltid hanteras i enlighet med vid var tid gällande lagstiftning och denna anvisning utgör ett stöd för att definiera den miniminivå på skyddsåtgärder för personuppgifter som ska följas inom KI.

Personuppgifter

Personuppgifter får endast samlas in och behandlas för särskilda, uttryckligt angivna och berättigade ändamål och de får inte bevaras under längre tid än som är nödvändigt. Grundprincipen är att personuppgifter endast får behandlas om den registrerade, det vill säga den som en personuppgift avser, har lämnat samtycke till behandlingen eller om det krävs för att KI ska kunna uppfylla sina rättsliga skyldigheter. Känsliga personuppgifter, till exempel uppgifter om hälsa eller sexualliv, och uppgifter om lagöverträdelser får endast behandlas om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. Innan någon form av behandling av ovan nämnda personuppgifter sker måste det således säkerställas att relevanta medgivanden och godkännanden har inhämtats. Godkännanden och medgivanden ska sparas åtminstone så länge som den aktuella personuppgiftsbehandlingen sker och i enlighet med gällande arkivlagstiftning.

Information till den registrerade

I samband med insamlande av personuppgifter ska den registrerade få; information om behandlingen (syfte och ändamål), vilka som är mottagare av personuppgifterna, information om KI:s skyldighet att lämna uppgifter till den registrerade om behandlingen, hur den registrerade kan ansöka om information om behandlingen hos KI och hur den registrerade kan ansöka om rättelse av eventuellt felaktiga uppgifter. Eftersom KI är skyldig att en gång per kalenderår gratis lämna besked om personuppgifter som rör den som ansöker om att få reda på dessa uppgifter måste all personuppgiftsbehandling hanteras och lagras så att det är möjligt för KI att inom en månad från ansökan informera om; vilka uppgifter om den sö- kande som behandlas, varifrån dessa uppgifter har inhämtats, ändamålen med behandlingen och till vilka mottagare som uppgifterna lämnats ut. Besked om behandling av personuppgifter för enskild individ får endast lämnas ut efter en skriftlig undertecknad ansökan från personen i fråga och under förutsättning att en utlämning inte bryter mot Offentlighets- och sekretesslagen (2009:400). Uppgifterna får endast skickas till den ansökande personens folkbokföringsadress.

Utlämnande av personuppgifter

För att hantera registrerades, myndigheters och andra aktörers begäran om information ska det finnas instruktioner för hantering vid utlämnande av personuppgifter. Av instruktionerna ska det framgå vem eller vilka som har rätt att fatta beslut om utlämnande. Innan utlämnande görs ska alltid en prövning om utlämnade i enlighet med Offentlighets- och sekretesslagen (2009:400) genomföras. Om utlämnande bedöms kunna ske får detta göras på löstagbara elektroniska lagringsmedier vilket innefattar bärbara hårddiskar, USB-minnen, cd-skivor etcetera. Informationen måste dock krypteras och hanteras på ett säkert sätt för att förhindra att obehöriga tar del av den. Personen som lämnar ut information ska alltid försäkra sig om att det är rätt person som tar emot informationen.

Lagring av personuppgifter

Känsliga personuppgifter som lagras i bärbara datorer och på löstagbara lagringsmedier ska vara krypterade, och hanteras på ett sådant sätt att obehöriga inte kan ta del av uppgifterna.

Bevarande, rensning och gallring av personuppgifter

Personuppgifter ska bevaras, rensas och gallras enligt aktuell lagstiftning och det ska finnas dokumenterade instruktioner avseende hur detta ska hanteras inom KI.

Obehörig åtkomst till personuppgifter

Det ska finnas rutiner och instruktioner för hur misstanke om obehörig åtkomst till personuppgifter ska hanteras. Instruktionen ska minst innefatta tillvägagångssätt och tågordning för hur ärendet ska hanteras och eventuellt tas vidare till högre instanser (t.ex. om polisanmälan blir aktuell).

Länkar