Integritetspolicy

IFAU:s arbete bygger på dataskyddsförordningens grundprinciper för behandling av personuppgifter.

IFAU är personuppgiftsansvarig för behandling av personuppgifter och ansvarar för att personuppgifter behandlas i enlighet med gällande lagstiftning. Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade) är personuppgifter.

Ibland behandlar en annan fysisk eller juridisk person utanför IFAU personuppgifter för IFAU:s räkning. Det kan exempelvis vara en offentlig myndighet, institution eller annat organ. Vid dessa tillfällen upprättas ett skriftligt avtal mellan IFAU (personuppgiftsansvarig) och den andra parten (personuppgiftsbiträde). I avtalet ska det stå att personuppgiftsbiträdet får behandla personuppgifterna i enlighet med IFAU:s instruktioner och måste vidta nödvändiga säkerhetsåtgärder för att skydda uppgifterna.

De lagliga grunderna för behandling av personuppgifter

För att IFAU:s behandling ska vara laglig krävs att det finns ett samtycke eller behandlingen är nödvändig för att

  • fullgöra ett avtal med den registrerade, t.ex. anställningsavtal
  • fullgöra en rättslig förpliktelse, t.ex. bokföringslagen
  • fullgöra en uppgift av allmänt intresse, t.ex. forskning.

IFAU förtecknar alla behandlingar, vilket gör att myndigheten på ett systematiskt sätt kan kontrollera att behandlingar har en rättslig grund.

Hur hanterar IFAU personuppgifter i löpande verksamhet?

Anställda, arvodister och uppdragstagare

Som arbetsgivare får IFAU lagligt behandla personuppgifter om anställda, arvodister och uppdragstagare i den utsträckning det är nödvändigt för att fullgöra anställnings- eller uppdragsavtalet.

Anställdas personuppgifter raderas en tid efter det att anställningen avslutats. Det avser exempelvis arbetstagarens e-postkonto eller uppgifter om arbetstagare på webbplatser. Andra personuppgifter kan det vara nödvändigt att bevara under en längre tid, exempelvis uppgifter som är nödvändiga för utbetalning av pension.

De som söker jobb på IFAU

Personuppgifterna kommer bara att användas inom myndigheten för rekryteringsändamål. Uppgifterna är endast åtkomliga för personer som arbetar med rekrytering. CV, personligt brev och annan information gallras efter två år. Personuppgifterna för den som anställs kommer att bevaras.

I vissa fall använder IFAU sig av en rekryteringsfirma och de blir då personuppgiftsbiträde. Ibland fastställer rekryteringsfirman arbetssätt och använder sig av en egenutarbetad metod för behandling av personuppgifter. I så fall är firman personuppgiftsansvarig för sina personuppgiftsbehandlingar.

Prenumeranter och övriga som har kontakt med IFAU

Personuppgifter (namn, adress och e-post) som lämnas i samband med en prenumeration eller beställning av informationsmaterial sparas bara så länge som det krävs för att kunna göra utskicket eller beställningen. När prenumerationen avslutas upphör samtycket till personuppgiftsbehandling och personuppgifterna tas bort.

Personuppgifter (namn, adress och e-post) som lämnas i samband med anmälningar till utbildningar och konferenser sparas bara så länge som det krävs för administration av utbildningen eller konferensen.

Sökande forskningsbidrag

IFAU delar enligt förordning med instruktion (SFS 2007:911, ändrad 2012:16) ut forskningsbidrag. De personuppgifter som anges på ansökan om forskningsbidrag används endast för IFAU:s hantering av forskningsmedel. Ansökan som beviljats forskningsbidrag kommer att bevaras. Samtliga ansökningar om forskningsbidrag diarieförs och laddas upp i myndighetens ärendehanteringssystem. För de som inte får bidrag gäller att e-posten och originalansökan gallras enligt IFAU:s dokumenthanteringsplan. P.g.a. tekniska begränsningar gallras dock inte uppladdade ansökningar ur ärendehanteringssystemet för tillfället.

Sociala medier

IFAU har konton på Twitter och Linkedin för att sprida information om myndighetens verksamhet och forskningsresultat.

Det som skrivs på IFAU:s sociala medier kan bli allmän handling. De registrerade bör inte lämna ut personlig information på myndighetens sociala medier. IFAU tar bort olagliga, kränkande och hotfulla kommentarer. Läs mer på IFAU:s policy för sociala medier.

IFAU har inget inflytande på hur användarnas personuppgifter behandlas av plattformsleverantören.

Kakor

På IFAU:s webbsida använder vi kakor.  De är också personuppgifter. Läs mer om hantering av kakor här.

Hur behandlar IFAU personuppgifter för forskningsändamål?

IFAU har enligt lag (2012:741, ändrad 2018:261) om behandling av personuppgifter vid IFAU rätt att hålla datasamlingar för att kunna uppfylla sina åtaganden. Det sker enligt förordningen om ändring i förordningen (2007:911) med instruktion för Institutet för arbetsmarknadspolitisk utvärdering, SFS 2012:16.

Personuppgifterna är sekretessbelagda enl. 24 kap. 8 § offentlighets- och sekretesslagen (OSL). Enligt OSL gäller sekretess med stöd av 24 kap. 8 § för all forskning och utvärdering som bedrivs av IFAU.

Ibland använder IFAU sig av personuppgiftsbiträden, det kan vara ett företag som hjälper till med enkätinsamling eller en statlig myndighet som bistår med data.

För mer information se IFAU:s policy för forskningsdata.

Pseudonymiserade personuppgifter

Forskningen vid IFAU baseras nästan uteslutande på pseudonymiserade personuppgifter, d.v.s. personnummer och namn har ersatts med ett särskilt löpnummer. Kopplingen mellan löpnummer och personnummer bevaras hos Statistikmyndigheten SCB. IFAU har inte tillgång till kopplingen. Det är i lag förbjudet att vidta åtgärder för att söka ta reda på enskilda individers identitet. Pseudonymiserade personuppgifter behandlas sedan 2014 i tre forskningsdatabaser. Uttag från databaser görs som underlag för IFAU:s forskningsstudier. Endast projektdeltagare som anges i en diarieförd projektbeskrivning får tillgång till data från databaserna. Forskaren eller utredaren får tillgång till en delmängd av uppgifterna som behövs för ändamålet och aldrig tillgång till databasen i sin helhet.

Ibland beställer IFAU pseudonymiserade uppgifter från andra myndigheter inom ramen för ett specifikt projekt. Dessa data kan inte kopplas till IFAU:s databaser.

Läs mer om pseudonymiserade data här.

Insamlade personuppgifter

IFAU får även samla in uppgifter från enskilda individer för specifika forskningsändamål, exempelvis vid enkätundersökning. I så fall ska det finnas ett uttryckligt samtycke och respondenterna ska få information om behandlingen enligt dataskyddsförordnigen för att kunna ta tillvara sina rättigheter. Uppgifter som samlas in med enkät är alltid identitetsangivna, dels för att de registrerade i allmänhet väljs ut med hjälp av personnummer, dels för att identitet och kontaktuppgifter behövs under själva insamlingen. Vanligen ersätts namn och personnummer med ett löpnummer när de inte längre är nödvändiga. Ibland använder IFAU sig av personuppgiftsbiträden för insamling av uppgifter.

Känsliga personuppgifter

Forskning som innefattar känsliga personuppgifter är bara tillåten om den först godkänts av en etikprövningsnämnd. Enligt § 7 Lag om behandling av personuppgifter vid IFAU, får följande känsliga personuppgifter, efter etikprövning, behandlas på IFAU:

  • etniskt ursprung
  • medlemskap i fackförening
  • uppgifter som rör hälsa
  • en persons sexuella läggning.

Hur länge lagras personuppgifter?

Personuppgifter rensas, gallras eller avidentifieras regelbundet. De person-uppgifter IFAU samlar in behandlas för olika ändamål och sparas därmed under olika lång tid beroende på vad de ska användas till och vilka skyldigheter som finns enligt lag. Personuppgifter sparas dock aldrig under en längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas.

IFAU:s dokumenthanteringsplaner innehåller information om bevarandetiden.

När lämnas personuppgifter ut?

IFAU är en statlig myndighet. Allmänna handlingar kan lämnas ut enligt offentlighetsprincipen till journalister och enskilda som begär att få ta del av allmänna handlingar.

IFAU är även skyldigt att lämna personuppgifter till Arbetsgivarverket, Skatteverket, Statens pensionsverk, Statistikmyndigheten SCB, IFAU:s upphandlade bank och Statens servicecenter.

Personuppgifter kan också lämnas till våra avtalspartners och IT-leverantörer. I så fall är IT-leverantörer personuppgiftsbiträde och hanterar personuppgifterna på IFAU:s uppdrag och enligt IFAU:s instruktioner.

Sekretessbelagda allmänna handlingar prövas innan beslut om utlämnande fattas. IFAU:s dokumenthanteringsplaner innehåller mer information om offentlighet och sekretess.

Vilka säkerhetsåtgärder har IFAU?

IFAU vidtar tekniska och organisatoriska åtgärder för att säkerställa att all information som IFAU behandlar skyddas från obehörig åtkomst, förändring och förstörelse. Oavsett om uppgifterna ska bevaras för all framtid eller under en begränsad tid ska de förvaras på ett betryggande sätt.

Anställda vid IFAU får endast behandla personuppgifter som är nödvändiga för de arbetsuppgifter de jobbar med. Detta innebär exempelvis att man inte får titta på personuppgifter då det inte finns något berättigat skäl. Varje behandling anmäls till IFAU:s dataskyddsombud och förtecknas. Den som behandlar personuppgifter är ansvarig för att behandlingen sker i enlighet med IFAU:s instruktioner och gällande lagar.

Exempel på några säkerhetsåtgärder:

  • Åtkomstskyddade datorer och servrar (exempelvis skyddade med lösenord/ kryptering/ behörighet) för att bara behöriga ska ha tillgång till uppgifter.

  • Projektspecifikt löpnummer (automatisk generering vid uttag från IFAU:s databaser/generering av SCB eller annan berörd myndighet/ annan åtgärd) för att skydda personlig integritet.

  • Datatillgänglighet endast via IFAU:s servrar för att skydda mot oavsiktlig spridning av data.

  • Projektspecifika datamängder levereras oftast till IFAU via ett filöverföringsprotokoll.
  • Insamling av data i enlighet med IFAU:s policy och riktlinjer för att hantering ska ske på rätt sätt.

  • Inlåst material (låsbar hyllsektion i institutets arkiv eller arkivskåp i institutets närarkiv).

Vilka rättigheter har de registrerade?

IFAU ansvarar för att personuppgifterna behandlas i enlighet med gällande lagstiftning. De registrerade har en rad rättigheter enligt dataskyddsförordningen. Rättigheterna kan begränsas p.g.a. annan lagstiftning t.ex. offentlighets- och sekretesslagen eller arkivlagen.

IFAU rättar eller kompletterar personuppgifter som upptäcks vara felaktiga, ofullständiga eller missvisande.

När IFAU behandlar personuppgifter för att kunna utföra arbetsuppgifter av allmänt intresse har den registrerade rätt att när som helst invända mot behandlingen. Om IFAU inte kan visa att det finns avgörande berättigade skäl att fortsätta att behandla uppgifterna måste IFAU upphöra med behandlingen.
Det går inte att invända mot behandling av pseudonymiserade data. Det är i lag förbjudet att försöka identifiera en pseudonymiserad uppgift. IFAU fattar inte automatiserade beslut, använder inte personuppgifter för marknadsföring och gör inte profilering.

Beroende på vilken laglig grund behandlingen bygger på har de registrerade rätt till radering av sina personuppgifter. Det innebär att de har rätt att begära att personuppgifterna tas bort om de inte längre behövs för de ändamål de samlats in för. Det kan dock finnas lagkrav som gör att IFAU inte omedelbart får radera personuppgifterna.

Om IFAU behandlar personuppgifter om den registrerade för att uppfylla ett avtal har den registrerade i vissa fall möjlighet att få ut sina personuppgifter för att använda dessa på annat håll, exempelvis överföra uppgifterna till en annan personuppgiftsansvarig.

De registrerade har rätt att kontakta Integritetsskyddsmyndigheten (IMY) med eventuella klagomål angående behandling av sina personuppgifter.

Begäran om registerutdrag

De registrerade har rätt att få information om vilka personuppgifter som registreras och behandlas om dem vid IFAU. Ansökan görs skriftligen (brev eller e-post) med namn, personnummer, postadress, telefonnummer och e-postadress. Ansökan är kostnadsfri.

Observera att rättigheten att begära registerutdrag inte gäller pseudonymiserade uppgifter.

IFAU:s dataskyddsombud

Alla myndigheter är skyldiga att utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen. För att komma ikontakt med dataskyddsombudet skriv till:

IFAU
Dataskyddsombud,
Box 513, 751 20 Uppsala

Eller mejla till
ifau@ifau.uu.se