Behandling av personuppgifter

Om dataskyddsförordningen

Dataskyddsförordningen (General Data Protection Regulation, GDPR) är en EU-förordning som ersatte den svenska personuppgiftslagen PUL den 25 maj 2018. Det tillkom även kompletterande nationell dataskyddslagstiftning, främst Dataskyddslagen som anger hur personuppgifter får behandlas. Lagstiftningen innebär att kraven på hur personuppgifter får behandlas har stärkts.

Personuppgifter är all slags information som direkt eller indirekt kan kopplas till en levande person. Exempel på personuppgifter är namn, personnummer, adress och e-postadress. Dataskyddsförordningen anger ett antal rättsliga grunder, varav SBU behöver stöd i minst en för att det ska vara tillåtet att behandla personuppgifter.

De rättsliga grunder som finns är:

  • Samtycke: Förutsätter att godkännandet lämnas frivilligt genom ett uttalande eller ett entydigt bekräftande agerande, och att samtycket kan återkallas.
  • Avtal: Förutsätter att behandlingen är nödvändig för att fullgöra ett avtal med individen, exempelvis vid ett köp.
  • Rättslig förpliktelse: Förutsätter att behandlingen är nödvändig för att uppfylla lagkrav, exempelvis bokföringsskyldighet.
  • Skydd för grundläggande intressen: Förutsätter att behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse, som vård i akuta situationer.
  • Uppgift av allmänt intresse och myndighetsutövning: Förutsätter att behandlingen har stöd i lag och är nödvändig för att kunna utföra en uppgift av allmänt intresse, eller som ett led i myndighetsutövning, exempelvis registrering och arkivering av allmänna handlingar.
  • Intresseavvägning: Förutsätter att behandlingen är nödvändig för ändamål som rör berättigade intressen när den registrerades intresse av skydd av personuppgifterna inte väger tyngre.

Läs mer om de rättsliga grunderna och övrigt om dataskyddsförordningen på Datainspektionens webbplats.

Begrepp

Personuppgift: All information som direkt eller indirekt kan knytas till en levande person, exempelvis namn, bild, film, kundnummer, e-postadress, IP-adress eller personnummer. Huvudregeln är att samtycke behövs för att få behandla personnummer. Om inte samtycke finns får personnummer bara behandlas om det är klart motiverat med hänsyn till behandlingens syfte eller vikten av en säker identifiering.

Känsliga personuppgifter: Uppgifter som avslöjar personens etniska ursprung, politiska åsikter, religionsåskådning, fackliga tillhörighet eller sexuella läggning, eller uppgifter om personens hälsa.

Behandling: Att lagra, spara, skicka, sprida, registrera, publicera, inhämta eller samla in personuppgifter, eller handlingar som innehåller personuppgifter.

Personuppgiftsansvarig: Den som bestämmer varför och hur behandling av personuppgifter ska ske inom myndigheten. SBU som myndighet är personuppgiftsansvarig.

Dataskyddsombud: En utsedd medarbetare som har i uppdrag att övervaka att SBU hanterar personuppgifter korrekt och lagenligt.

Systemförvaltare: En medarbetare på SBU med utökad behörighet i ett visst system. Systemförvaltaren kan ha direktkontakt med systemägaren, exempelvis vid utveckling eller felanmälan av systemet. Även kallad systemadministratör eller registeransvarig.

Personuppgiftsbiträde: Ett företag, en fysisk eller juridisk person, myndighet, institution eller annat organ utanför SBU som behandlar personuppgifter för SBU:s räkning. I vissa sammanhang kallas personuppgiftsbiträdet för systemägare, leverantör eller systemansvarig. Personuppgiftsbiträden är skyldiga att behandla personuppgifter enligt SBU:s personuppgiftsbiträdesavtal och instruktioner. Personuppgiftsbiträdet ska kunna ge tillräckliga garantier att behandlingen uppfyller kraven i dataskyddsförordningen, samt säkerställa att den registrerades rättigheter skyddas.

SBU:s personuppgiftsbehandling

SBU är en statlig myndighet. Det innebär att det du skickar till oss blir en allmän handling som i flera fall registreras och bevaras i ett digitalt system. Allmänna handlingar kan begäras ut enligt offentlighetsprincipen.

SBU respekterar din personliga integritet och behandlar dina personuppgifter enligt dataskyddsförordningen och tillhörande lagstiftning. SBU säljer inte några personuppgifter till någon annan part. Vi hämtar aldrig in några personuppgifter om dig utan att först vända oss direkt till dig. SBU har inte tillgång till några patientjournaler. Beträffande överföring till tredjeland, se information om sociala medier nedan.

SBU ansvarar för att de personuppgifter som vi behandlar skyddas av lämpliga tekniska och organisatoriska åtgärder exempelvis behörighetsstyrning, kryptering och säkerhetskopiering. Säkerhetsaspekterna innefattar en klassning av informationens tillgänglighet, riktighet, spårbarhet och konfidentialitet där klassningen ska säkerställa en säkerhetsnivå som är lämplig i förhållande till behandlingens risker.

Vi behandlar dina personuppgifter:

När du kontaktar SBU med post, e-post eller via formulär på vår webbplats

När du skickar e-post och post till SBU:s funktionsbrevlådor, eller till någon medarbetare på SBU behandlas de personuppgifter som du själv delger, exempelvis namn och e-postadress. Ditt meddelande och dina kontaktuppgifter kan komma att registreras i ett digitalt system. Handlingar av så kallad tillfällig eller ringa betydelse gallras två år efter att handlingen inkommit, medan viktiga handlingar sparas för all framtid. Syftet med att behandla personuppgifter i e-postmeddelanden är att kunna handlägga ärendet som handlingen hör till. Vi tillämpar den rättsliga grunden Allmänt intresse, då hantering av allmänna handlingar är en del av myndighetens serviceskyldighet.

När du registrerar dig för att få vårt nyhetsbrev eller vår tidskrift Vetenskap & Praxis

När du prenumererar på vårt nyhetsbrev eller Vetenskap & Praxis behandlas ditt namn och din e-postadress, respektive din adress i vårt digitala system. Syftet att vi ska kunna skicka nyhetsbrevet eller tidskriften till dig. Du kan när som helst säga upp din prenumeration. Vi raderar då dina personuppgifter. Rättslig grund vid prenumeration på nyhetsbrev eller tidskrift är Allmänt intresse i enlighet med myndighetsförordningen 6 §, då det ingår i SBU:s uppdrag att informera om sin verksamhet.

När du beställer en rapport eller publikation av SBU

När du beställer något av oss sparas ditt namn och dina adressuppgifter i vårt digitala system i ett år. Om du köper SBU:s rapporter behöver vi också behandla kort- eller kontouppgifter för att kunna fakturera köpet. Ekonomiska uppgifter sparas i upp till sju år med hänsyn till bokföringslagen. Vi använder den rättsliga grunden Avtal då syftet med behandlingen är att uppgifterna är nödvändiga för att genomföra köpet.

När du besöker och använder SBU:s kanaler i sociala medier

Användning av sociala medier är nödvändigt för att nå de målgrupper som SBU vänder sig till. SBU har konton hos LinkedIn, YouTube, Twitter och Facebook. Dessa företag som finns i tredjeland behandlar dina personuppgifter. SBU kan ha tillgång till uppgifter om besökare på sidan. Din profil syns externt när du kommenterar eller delar SBU:s inlägg. Dina inlägg i våra kanaler är allmänna handlingar. Vi tillämpar den rättsliga grunden Allmänt intresse i enlighet med myndighetsförordningen 6 §, då det ingår i vårt uppdrag som myndighet att informera om vår verksamhet.

När du deltar i SBU:s utbildningar, konferenser och evenemang

SBU samlar in personuppgifter i samband med utbildningar, konferenser och mässor.

Den rättsliga grunden för administrationen av kursanmälan är att fullgöra det avtal som ingåtts i samband med anmälan. 
SBU diarieför i vissa fall deltagarlistor, eftersom allmänheten har rätt till insyn i vår verksamhet. Deltagarlistorna får dock inte innehålla fler personuppgifter än vad som behövs, vilket vanligen är namn, e-postadress, organisation och befattning. Vi tillämpar den rättsliga grunden Allmänt intresse, då hantering av allmänna handlingar är en del av myndighetens serviceskyldighet. Syftet med behandlingen är att kunna administrera evenemanget.

Ibland skickar vi ut en enkät till deltagarna efter evenemanget. Syftet är att utvärdera och följa upp vår verksamhet. Dina enkätsvar är anonymiserade om inte annat framgår innan du besvarar enkäten. Vi tillämpar den rättsliga grunden Allmänt intresse då detta är en del av myndighetens serviceskyldighet.

Ibland filmar eller fotograferar SBU vid evenemang. Syftet är att informera om SBU:s verksamhet. De som kan komma att hantera bilderna och filmerna är aktuell fotograf, de anställda som har tillgång till SBU:s mediabank, eller de som arbetar med bilderna eller filmerna på uppdrag av SBU, exempelvis en reklambyrå. Bilderna publiceras i sociala medier, i informationsmaterial om SBU, samt på vår webbplats. De sparas i ett digitalt system. Vi informerar alltid om när vi fotograferar och filmar så att du har möjlighet att säga till att du inte vill vara med. Vi tillämpar den rättsliga grunden Allmänt intresse, i enlighet med myndighetsförordningen 6 §, eftersom det ingår i vårt uppdrag att informera om vår verksamhet.

Personuppgifterna behandlas så länge bilderna eller filmerna används för att informera om SBU:s verksamhet eller tills du invänder mot användningen. Bilder och filmer av tillfällig eller ringa betydelse gallras då de inte längre är aktuella, medan bilder och filmer av vikt ska arkiveras.

Om du identifierar dig på en bild eller film och vill utöva dina rättigheter och exempelvis begära att den tas bort, kan du kontakta oss enligt kontaktuppgifterna nedan.

När du besöker vår webbplats

När du besöker vår webbplats loggas din IP-adress. Denna uppgift används endast till vår besöksstatistik och gallras efter 14 månader. Vi tillämpar den rättsliga grunden Allmänt intresse och syftet med behandlingen är att förbättra vår webbplats. För information om cookies, läs här

När du svarar på en av SBU:s enkäter

Enskilda enkätsvar är anonymiserade, om inte annat framgår innan du besvarar enkäten. Din IP-adress kan utgöra en personuppgift om den kan kopplas till en enskild användare. Uppgift om IP-adress i Google Analytics gallras efter 14 månader. Enskilda enkätsvar som hör till praxisundersökningar gallras efter tio år medan enkätsvar av mer tillfällig betydelse gallras efter två år. Vi tillämpar den rättsliga grunden Allmänt intresse eftersom hantering av allmänna handlingar är en del av myndighetens serviceskyldighet. Syftet med enkäter är att stödja och förbättra SBU:s verksamhet generellt, eller att utgöra faktaunderlag för specifika projekt.

När du söker en anställning hos oss

Vi sparar alla ansökningshandlingar inklusive spontanansökningar i två år. Behandling av personuppgifter i samband med tillsättning av en tjänst sker som ett led i SBU:s myndighetsutövning. Vi tillämpar den rättsliga grunden Allmänt intresse då hantering av allmänna handlingar är en del av myndighetens serviceskyldighet. Klicka här för mer information

När du deltar i ett av SBU:s projekt

SBU behandlar dina personuppgifter när du deltar i arbetet i våra projekt. Vi registrerar ditt namn, din adress, ditt personnummer och ditt kontonummer i vårt ekonomisystem. Syftet är att vi ska kunna uppfylla vår del av avtalet och betala ut ditt arvode. Vi tillämpar de rättsliga grunderna Avtal och Rättslig förpliktelse då vi enligt lagen måste spara dina kvitton, reseräkningar och övriga fakturaunderlag i sju år i enlighet med bokföringslagen.

Vi diarieför och arkiverar kontrakt, jävsdeklarationer och viktig korrespondens. Syftet med behandlingen är att SBU ska kunna visa vilka som deltagit i rapportproduktionen, eftersom allmänheten har rätt till insyn i verksamheten. Dessa handlingar bevaras för all framtid, eftersom det är allmänna handlingar. Vi tillämpar den rättsliga grunden Allmänt intresse då hantering av allmänna handlingar är en del av myndighetens serviceskyldighet.

E-postmeddelanden av tillfällig eller ringa karaktär som skickas till eller ifrån SBU lagras på vår server, i projektverktyget eller i vårt e-postsystem, eftersom det är allmänna handlingar. Sådana handlingar raderas två år efter projektets slut. Vi tillämpar den rättsliga grunden Allmänt intresse då hantering av allmänna handlingar är en del av myndighetens serviceskyldighet.

Under projektets gång finns dina användaruppgifter i vårt projektverktyg för att du ska kunna logga in och använda verktyget. Dina e-postuppgifter finns i vårt e-postsystem för att vi ska kunna kontakta dig så länge projektet pågår. Vi tillämpar den rättsliga grunden Allmänt intresse då behandlingen är nödvändig för att du ska kunna utföra ditt arbete åt SBU.

Av säkerhetsskäl behöver du skriva in dig i vår besöksdator när du besöker oss. Ditt namn sparas i systemet i två månader. Vi tillämpar den rättsliga grunden Allmänt intresse.

Vi skickar också ut en enkät till dig efter att projektet avslutats. Enskilda enkätsvar är alltid anonymiserade om inte annat framgår innan du besvarar enkäten. IP-adressen du svarar ifrån kan utgöra en personuppgift om den kan kopplas till en enskild användare. Uppgift om IP-adress gallras efter 14 månader. Vi tillämpar den rättsliga grunden Allmänt intresse eftersom uppföljningar ger SBU möjlighet att förbättra sin verksamhet.

Ibland filmar eller fotograferar SBU projektgruppen. Bilder och film kan spegla och illustrera frågor som är känsliga. SBU bör upplysa dig om detta om vid tillfällen då du fotograferas eller filmas i samband med något av våra projekt. De som kan komma att hantera bilderna och filmerna är aktuell fotograf, de anställda som har tillgång till SBU:s mediabank och intranät, eller de som arbetar med bilderna eller filmerna på uppdrag av SBU, exempelvis en reklambyrå. Bilderna publiceras på sociala medier samt vår webbplats, och sparas i ett digitalt system. Vi informerar alltid om när vi fotograferar och filmar så att du har möjlighet att säga till att du inte vill vara med. Vi tillämpar den rättsliga grunden Allmänt intresse, i enlighet med myndighetsförordningen 6 §, eftersom det ingå i vårt uppdrag att informera om vår verksamhet.

Personuppgifterna behandlas så länge bilderna eller filmerna används för att informera om SBU:s verksamhet eller tills personen invänder mot användningen. Bilder av tillfällig eller ringa betydelse gallras då de inte längre är aktuella, medan bilder och filmer av vikt ska arkiveras.

Om du identifierar dig på en bild eller film och vill utöva dina rättigheter och exempelvis begära att den tas bort, kan du kontakta oss enligt kontaktuppgifterna nedan.

Kontaktuppgifter

SBU är personuppgiftsansvarig och har därmed ansvar för all behandling av personuppgifter i myndighetens verksamhet. Om du har frågor till den personuppgiftsansvarige kan du kontakta administrativ chef Karin Coster.

SBU:s registrator är dataskyddsombud och nås på e-postadressen registrator@sbu.se ifall du vill utöva någon av dina rättigheter eller få mer information.

Dina rättigheter

Om rättigheter

Du har en rad rättigheter enligt dataskyddsförordningen. Rättigheterna ska dock beaktas i ljuset av övrig lagstiftning exempelvis arkivlagen, offentlighets- och sekretesslagen och tryckfrihetsförordningen.

Rätt till tillgång

Du har rätt att begära tillgång till de personuppgifter som SBU behandlar om dig. Du har rätt att kostnadsfritt få information om vilka av dina personuppgifter som SBU behandlar, varifrån uppgifterna har hämtats, vad uppgifterna har använts till, samt till vem uppgifterna har lämnats ut. Du kan bara begära ut information om dina egna personuppgifter. Svaret skickas till din folkbokföringsadress. Innehåller uppgifterna sekretess kan de behöva skickas med rekommenderat brev.

Fyll i en ansökan för dig själv eller för ditt barn och posta till oss om du vill få information om vilka personuppgifter vi behandlar om dig.

SBU
Att: Dataskyddsombud
Box 6183
102 33 Stockholm

Eller skicka blanketten till registrator@sbu.se

Vi svarar på din ansökan inom en månad.

Rätt till rättelse, radering eller begränsning

Du har rätt att begära att användningen av dina personuppgifter begränsas. Du har rätt att återkalla ett samtycke. Du har rätt att begära att personuppgifterna raderas. Allmänna handlingar av tillfällig eller ringa betydelse gallras generellt efter två år. Allmänna handlingar av vikt bevaras däremot för all framtid i enlighet med den lagstiftning som gäller allmänna handlingar och arkivering, och då kan personuppgifterna inte raderas.

Du har rätt att begära att SBU rättar personuppgifter som vi behandlar om dig utan onödigt dröjsmål. Du har rätt att göra invändningar mot behandling av dina personuppgifter hos oss.

Du har rätt till dataportabilitet

Du har under vissa förutsättningar rätt att få ut de personuppgifter som du tillhandahållit SBU, samt rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig. Detta gäller under förutsättning att det är tekniskt möjligt, att den rättsliga grunden för behandlingen utgörs av samtycke, eller att behandlingen varit nödvändig för fullgörande av avtal. Vid en begäran om dataportabilitet måste gällande sekretesslagstiftning beaktas.

Rättigheter vid automatiserat beslutsfattande

Du har rätt att inte bli föremål för beslut som enbart grundas på automatiserad behandling, så som profilering, och som kan få rättsliga följder eller motsvarande för dig. Detta gäller dock inte om sådan behandling är nödvändig för ingående eller fullgörande av avtal med dig, eller om sådan behandling är tillåten enligt tillämplig lagstiftning, eller ditt samtycke.

Rätt att klaga till Datainspektionen

Du har rätt att rikta klagomål till Datainspektionen om hur SBU behandlar dina personuppgifter. Vänd dig till Datainspektionen

Sidan uppdaterad