Kort om den nya dataskyddsförordningen och webben

Den nya dataskyddsförordningen (GDPR) trädde i kraft den 25 maj 2018. Den ställer stora krav på hur personuppgifter hanteras i text och bild på webben. I medarbetarportalen finns fyllig information i ämnet. Här lyfter vi det viktigaste att tänka på för dig som webbplatsansvarig.

Personuppgifter i vår verksamhet kan vara namn och adresser i text, men även fotografier där personer på bilder är kopplade till namn eller annat som kan identifiera personen i fråga.

Vi får även fortsättningsvis behandla personuppgifter, men det måste finnas ett klart angivet ändamål, behandlingen måste var nödvändig för ändamålet och det ska finnas en laglig grund för behandlingen. Med behandling menas allt man gör med personuppgifter – till exempel insamling, registrering, lagring, bearbetning och spridning.

Personuppgiftsbehandling ska anmälas och registreras centralt. Informera först din chef för att höra om motsvarande personuppgifter redan registrerats av en kollega. Det är du som enskild handläggare som ansvarar för att behandling av personuppgift anmäls till dataskyddsombudet vid Uppsala universitet.

Dataskyddsförordningen handlar i någon mening om "rätten att bli bortglömd". Vill någon anställd, student etc. att vi stryker hens personuppgifter eller kasserar fotografier med vederbörande förevigad på bild ska detta göras via universitetets dataskyddsombud, som efter övervägande tar kontakt kring borttagning.

Personuppgifter i text

Det måste finnas laglig grund för att publicera personuppgifter i text på webben. Exempel på laglig grund kan vara allmänt intresse. Laglig grund behöver också finnas för material som redan publicerats och som innehåller personuppgifter. Finns ingen laglig grund kan i sista hand samtycke inhämtas. Alternativt raderas eller anonymiseras uppgifterna.

Bilder

För fotografier som föreställer människor ska det finnas avtal. Om du tar en egen bild ska du vara överens med den fotograferade om att du får använda bilden. Det ska framgå av avtalet var bilden får användas, hur länge och sedan ska den tas bort om tidsgräns finns.

"Mingelbilder, forskarbilder, bilder på vår personal" som används för att beskriva vår verksamhet omfattas inte direkt, men bilder får inte läggas ut på exempelvis sociala medier utan tillstånd. Informera i förväg om att mingelbilder kommer att tas så alla är medvetna om det.

Formulär

Alla personuppgiftsbehandlingar ska anmälas till dataskyddsombudet via detta formulär. Informera först din chef för att kontrollera om motsvarande personuppgifter redan registrerats av någon kollega. Det måste finnas en laglig grund för uppgiftsinsamlingen, de som fyller i formuläret måste informeras om varför uppgifterna samlas in, vilken laglig grund som finns och hur länge uppgifterna kommer att sparas.

Dataskyddsförordningen listar lagliga grunder för insamling av personuppgifter: 

  • samtycke
  • ingå eller fullgöra avtal
  • intresseavvägning
  • rättslig förpliktelse
  • myndighetsutövning och uppgift av allmänt intresse
  • berättigat intresse

Vad gäller webbformulär handlar det vanligen om samtycke, ingå och fullgöra avtal eller myndighetsutövning.

Vid insamling av personuppgifter måste personen i fråga informeras om att insamlingen sker, vilka uppgifter som samlas in, varför uppgifterna samlas in (se laglig grund ovan) och om uppgifterna kommer att lämnas vidare till andra samt hur länge personuppgifterna kommer att sparas. Insamlade personuppgifter får inte användas för andra syften än vad som informerades om när de samlades in. Glöm inte att ta bort personuppgifterna när de inte längre behövs.

I de fall det krävs samtycke till uppgiftslämningen ska vederbörande ge detta exempelvis genom att kryssa i en kryssruta som tydligt visar att samtycke lämnas.

Vi kommer stänga av möjligheten att samla in formulärsvar i Infoglue via e-post. Detta då det är svårt att kontrollera var eventuella personuppgifter hamnar om de hanteras via e-post.
Vi kommer även att radera alla gamla formulärsvar inom kort. Se till att du laddar ner det du behöver (och har laglig grund för). Alla nya formulär som skapas ska ha en tidsbegränsning när uppgifterna gallras.

Och kom ihåg att alla personuppgiftsbehandlingar ska anmälas till dataskyddsombudet via detta formulär.