English Till intranät

Integritetspolicy - behandling av personuppgifter

IFAU:s arbete bygger på dataskyddsförordningens grundprinciper för behandling av personuppgifter.

Personuppgifter är uppgifter som avser en identifierad eller identifierbar fysisk person (den registrerade). IFAU är personuppgiftsansvarig och ansvarar för att personuppgifter behandlas enligt gällande lagstiftning.

När en fysisk eller juridisk person utanför IFAU behandlar personuppgifter för IFAU:s räkning tecknas ett personuppgiftsbiträdesavtal. Biträdet får endast behandla uppgifterna enligt IFAU:s instruktioner och ska vidta nödvändiga säkerhetsåtgärder.

Lagliga grunderna för behandling

För att IFAU:s behandling ska vara laglig krävs samtycke eller att behandlingen är nödvändig för att

  • fullgöra ett avtal med den registrerade, t.ex. anställningsavtal
  • fullgöra en rättslig förpliktelse, t.ex. bokföringslagen
  • fullgöra en uppgift av allmänt intresse, t.ex. forskning.

IFAU har en förteckning över alla behandlingar, vilket gör att myndigheten på ett systematiskt sätt kan kontrollera att behandlingarna har en rättslig grund.

Personuppgifter i den löpande verksamhet

Anställda, arvodister och uppdragstagare

Som arbetsgivare får IFAU lagligt behandla personuppgifter om anställda, arvodister och uppdragstagare i den utsträckning som krävs för att fullgöra anställnings- eller uppdragsavtalet.

Anställdas namn och bild och publiceras på webbplatsen ifau.se. Det är frivilligt för anställda att ha sitt namn och sin bild på webben.

När en anställning avslutas raderas personuppgifter som inte längre behövs, till exempelvis e-postkonto och namnuppgifter på webbplatsen. Vissa uppgifter behöver sparas längre, exempelvis sådana som behövs för pensionsutbetalning.

Rekrytering

Personuppgifter som används för rekrytering är endast åtkomliga för personer som arbetar med rekrytering. CV, personligt brev och annan information gallras efter två år. Personuppgifterna för den som anställs bevaras enligt gällande regler.

Eftersom IFAU är en myndighet blir ansökningar som kommer in en allmän handling och kan lämnas ut enligt offentlighetsprincipen.

I vissa rekryteringar anlitar IFAU en rekryteringsfirma som personuppgiftsbiträde. Om firman använder egna arbetssätt och metoder för att behandla personuppgifter kan den i de delarna vara personuppgiftsansvarig för sin behandling.

Prenumeranter, utbildning och konferenser

Personuppgifter (namn, adress och e-post) som lämnas vid prenumeration eller beställning av informationsmaterial sparas så länge som krävs för kommunikation och administration. När prenumerationen avslutas upphör samtycket och personuppgifterna tas bort.

Personuppgifter som lämnas vid anmälan till utbildningar och konferenser sparas så länge som de behövs för kommunikation och administration. Om mat och dryck ingår kan uppgifter om matpreferenser behandlas med anledning av allergier eller andra önskemål.

Kontaktuppgifter och matpreferenser gallras när de inte längre behövs. Uppgifter som bifogas fakturan gallras tillsammans med fakturan.

Sökande forskningsbidrag

IFAU delar ut forskningsbidrag. Personuppgifter i ansökningar används endast för IFAU:s hantering av forskningsmedel. Ansökningar som beviljats bidrag bevaras.

Samtliga ansökningar diarieförs och laddas upp i myndighetens ärendehanteringssystem. För ansökningar som inte beviljas bidrag gallras e-post och originalhandlingar enligt IFAU:s dokumenthanteringsplan. På grund av tekniska begränsningar gallras för närvarande inte uppladdade ansökningar ur ärendehanteringssystemet.

Eftersom IFAU är en myndighet är ansökningarna allmän handling. Personuppgifterna kan därför lämnas ut enligt offentlighetsprincipen.

Sociala medier

IFAU använder sociala medier för att informera om myndighetens verksamhet och forskningsresultat.

Inlägg och kommentarer på IFAU:s sociala medier kan bli allmän handling. Registrerade bör inte lämna personlig information på myndighetens sociala medier. IFAU tar bort olagliga, kränkande och hotfulla kommentarer. Läs mer på IFAU:s policy för sociala medier.

IFAU har inget inflytande på hur användarnas personuppgifter behandlas av plattformsleverantören.

Kakor

På IFAU:s webbsida används kakor som kan utgöra personuppgifter. Mer om hantering av kakor finns på IFAU:s externa webbplats.

Läs mer om hur vi hanterar kakor här.

Personuppgifter i forskningen

IFAU har enligt lag (2012:741, ändrad 2018:261) om behandling av personuppgifter vid IFAU rätt att hålla datasamlingar för att kunna fullgöra sina uppdrag. Detta sker enligt förordningen med instruktion för IFAU (SFS 2007:911, ändrad 2012:16).

Personuppgifter i forskning omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (OSL). Sekretessen gäller för all forskning och utvärdering som bedrivs av IFAU.

Personuppgifter som behandlas för forskningsändamål gallras när projektet är avslutat, enligt myndighetens dokumenthanteringsplan. Ändamålet med behandlingen är den forskning som sker i projektet och när projektet är avslutat och resultaten publicerade får uppgifterna inte längre användas av forskaren.

För att möjliggöra efterhandsgranskning av forskningsresultaten förvarar IFAU vanligen dataunderlag i 5–10 år efter att projektet avslutas. Materialet förvaras i myndighetens arkiv.

När IFAU använder sig av personuppgiftsbiträden inom forskning, till exempel för enkätinsamling eller när en statlig myndighet bistår med data, behandlar biträdena personuppgifter för IFAU:s räkning och enligt myndighetens instruktioner.

Läs mer om IFAU:s policy för forskningsdata här.

Pseudonymiserade personuppgifter

Forskningen vid IFAU baseras nästan uteslutande på pseudonymiserade personuppgifter, vilket innebär att personnummer och namn har ersatts med ett särskilt löpnummer. Kopplingen mellan löpnummer och personnummer bevaras hos Statistiska centralbyrån (SCB) och IFAU har inte tillgång till kopplingen. Det är förbjudet att försöka ta reda på enskilda individers identitet.

Pseudonymiserade personuppgifter behandlas sedan 2014 i tre forskningsdatabaser. Uttag ur databaserna görs som underlag för forskningsstudier. Endast projektdeltagare som anges i en diarieförd projektbeskrivning får tillgång till data och bara i den omfattning som krävs. Inga forskare eller utredare har tillgång till databaserna i sin helhet.

Ibland beställer IFAU pseudonymiserade uppgifter från andra myndigheter inom ramen för ett specifikt projekt. Dessa data kan inte kopplas till IFAU:s databaser.

Läs mer om pseudonymiserade data här.

Insamlade personuppgifter

IFAU kan samla in uppgifter direkt från individer för specifika forskningsändamål, exempelvis via enkäter. Vid sådan insamling krävs uttryckligt samtycke. Respondenterna ska få information enligt dataskyddsförordningen så att de kan ta tillvara sina rättigheter.

Uppgifter som samlas in via enkäter är identitetsangivna under insamlingsfasen då urval ofta görs med personnummer och kontaktuppgifter behövs under insamlingen. När uppgifterna inte längre behöver vara direkt kopplade ersätts de med ett löpnummer.

I vissa fall anlitas personuppgiftsbiträden för insamling.

Känsliga personuppgifter

Forskning som innefattar känsliga personuppgifter är endast tillåten efter godkännande av etikprövningsnämnd. Enligt § 7 i lagen om behandling av personuppgifter vid IFAU får följande kategorier behandlas efter etikprövning:

  • etniskt ursprung
  • medlemskap i fackförening
  • uppgifter som rör hälsa
  • sexuell läggning.

Regelbunden lagring och gallring

Personuppgifter rensas, gallras eller avidentifieras regelbundet. Hur länge en uppgift sparas beror på vilket ändamål den behandlas för och vilka krav som följer av lagstiftningen. Uppgifter sparas aldrig längre än nödvändigt. Information om bevarandetiden finns i IFAU:s dokumenthanteringsplan.

Utlämnande av personuppgifter

Som statlig myndighet kan IFAU lämna ut allmänna handlingar enligt offentlighetsprincipen.

För att möjliggöra efterhandsgranskning av forskningsresultat kan data lämnas ut efter sekretessprövning.

IFAU är även skyldigt att lämna personuppgifter till Arbetsgivarverket, Skatteverket, Statens pensionsverk, Statistiska centralbyrån SCB, IFAU:s upphandlade bank samt Statens servicecenter.

Personuppgifter kan även lämnas till avtalspartners och IT-leverantörer som är personuppgiftsbiträde och behandlar data på IFAU:s uppdrag och enligt IFAU:s instruktioner.

Sekretessbelagda handlingar prövas alltid innan de lämnas ut. IFAU:s dokumenthanteringsplaner innehåller mer information om offentlighet och sekretess.

Säkerhetsåtgärder

IFAU vidtar tekniska och organisatoriska åtgärder för att skydda informationen från obehörig åtkomst, förändring och förstörelse.

Uppgifter får bara behandlas av medarbetare som behöver dem för sina arbetsuppgifter. Anställda får inte ta del av personuppgifter om det inte finns berättigat skäl.

Den som behandlar personuppgifter är ansvarig för att behandlingen sker i enlighet med IFAU:s instruktioner och gällande lagar. Varje behandling anmäls till IFAU:s dataskyddsombud och dokumenteras.

Exempel på säkerhetsåtgärder:

  • Åtkomstskyddade datorer och servrar (exempelvis skyddade med lösenord/ kryptering/ behörighet) för att bara behöriga ska ha tillgång till uppgifter.

  • Projektspecifikt löpnummer (automatisk generering vid uttag från IFAU:s databaser/generering av SCB eller annan berörd myndighet/ annan åtgärd) för att skydda personlig integritet.

  • Datatillgänglighet endast via IFAU:s servrar för att skydda mot oavsiktlig spridning av data.

  • Projektspecifika datamängder levereras oftast till IFAU via ett filöverföringsprotokoll.

  • Insamling av data i enlighet med IFAU:s policy och riktlinjer för att hantering ska ske på rätt sätt.

  • Inlåst material (låsbar hyllsektion i institutets arkiv eller arkivskåp i institutets närarkiv).

De registrerade har rättigheter

De registrerade har en rad rättigheter enligt dataskyddsförordningen. Rättigheterna kan begränsas av annan lagstiftning t.ex. offentlighets- och sekretesslagen eller arkivlagen.

IFAU rättar eller kompletterar felaktiga, ofullständiga eller missvisande uppgifter.

Den registrerade har rätt att invända mot behandling som sker för uppgift av allmänt intresse. Om IFAU inte kan visa avgörande berättigade skäl måste behandlingen upphöra.

Det går inte att invända mot behandling av pseudonymiserade data. Det är förbjudet att försöka identifiera en pseudonymiserad uppgift. IFAU fattar inte automatiserade beslut, använder inte personuppgifter för marknadsföring och gör inte profilering.

Beroende på laglig grund kan registrerade ha rätt till radering. Radering kan dock begränsas av lagkrav som innebär att uppgifter inte får raderas omedelbart.

När IFAU behandlar personuppgifter för att uppfylla ett avtal kan registrerade i vissa fall få ut sina personuppgifter för att använda dem på annat håll, exempelvis överföra dem till en annan personuppgiftsansvarig.

Registrerade kan lämna klagomål till Integritetsskyddsmyndigheten (IMY).

Begäran om registerutdrag

Registrerade har rätt att få information om vilka uppgifter som behandlas om dem. Begäran görs skriftligen via brev eller e-post med namn, personnummer, postadress, telefonnummer och e-postadress. Begäran är kostnadsfri.

Rätten gäller inte pseudonymiserade uppgifter.

Dataskyddsombud

Alla myndigheter är skyldiga att utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen. För att komma ikontakt med dataskyddsombudet skriv till:

IFAU
Dataskyddsombud,
Box 513, 751 20 Uppsala

Eller mejla till
ifau@ifau.uu.se