Forskningsområden
  •  
Visa Ämnen

Om personuppgifter

Till grund för IFAU:s arbete ligger grundprinciperna för behandling av personuppgifter: Att tänka på att inte hantera fler personuppgifter än nödvändigt och bara för ett visst i förväg bestämt ändamål. Att inte spara uppgifterna längre än nödvändigt, att se till att det finns stöd i lagen för behandlingen och att se till att obehöriga inte får tillgång till uppgifterna.

IFAU är personuppgiftsansvarig för behandling av personuppgifter och ansvarar för att personuppgifter behandlas i enlighet med gällande lagstiftning. Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade) är personuppgifter.

Ibland använder IFAU sig av personuppgiftsbiträden. Med personuppgiftsbiträde avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Det kan vara ett företag som genomför telefonenkätundersökning för IFAU:s räkning. Personuppgiftsbiträdet finns alltid utanför den egna organisationen. Ett skriftligt avtal med personuppgiftsbiträdet måste upprättas. I avtalet ska det stå att personuppgiftsbiträdet får behandla personuppgifterna i enlighet med IFAU:s instruktioner och måste vidta nödvändiga säkerhetsåtgärder för att skydda uppgifterna.

De lagliga grunderna för behandling av personuppgifter

  • För att behandla personuppgifter måste det finnas stöd i gällande dataskyddsreglering, en så kallad rättslig grund.

Personuppgifter får behandlas

  • om den registrerade har lämnat sitt samtycke till behandlingen
  • eller om behandlingen är nödvändig.

Behandlingen kan vara nödvändig för att

  • fullgöra ett avtal med den registrerade, t.ex. anställningsavtal
  • fullgöra en rättslig förpliktelse, t.ex. bokföringslagen
  • skydda den registrerades grundläggande intressen
  • fullgöra en uppgift av allmänt intresse, t.ex. forskning
  • myndighetsutövning
  • intresseavvägning (begränsat för myndigheter)

Alla behandlingar finns i en förteckning. Det gör att IFAU på ett systematiskt sätt kan kontrollera att behandlingar har en rättslig grund.

IFAU samlar endast in och behandlar personuppgifter som är relevanta för förteckningens angivna ändamål.

Så här behandlar IFAU personuppgifter om anställda, arvodister och uppdragstagare

Som arbetsgivare får IFAU lagligt behandla personuppgifter om anställda, arvodister och uppdragstagare i den utsträckning det är nödvändigt för att fullgöra anställnings- eller uppdragsavtalet.

Anställdas personuppgifter raderas en tid efter det att anställningen avslutats. Det avser exempelvis arbetstagarens e-postkonto eller uppgifter om arbetstagare på webbplatser. Andra personuppgifter kan det vara nödvändigt att bevara under en längre tid, exempelvis uppgifter som är nödvändiga för utbetalning av pension.

Så här behandlar IFAU personuppgifter om arbetssökande

Personuppgifterna kommer bara att användas inom myndigheten för rekryteringsändamål. Uppgifterna är endast åtkomliga för personer som arbetar med rekrytering. CV, personligt brev och annan information gallras efter två år. Personuppgifterna för den som anställs kommer att bevaras.

I vissa fall använder IFAU sig av en rekryteringsfirma s.k. personuppgiftsbiträde.

Så här behandlar IFAU personuppgifter vid beställning av informationsmaterial, nyhetsbrev, prenumerationer, anmälningar till utbildningar och konferenser

Personuppgifter (namn, adress och e-post) som lämnas i samband med en prenumeration eller beställning av informationsmaterial sparas bara så länge som du är prenumerant eller så länge det krävs för att kunna göra utskicket eller beställningen. Du kan närsomhelst avsluta din prenumeration och då tar vi bort alla dina personuppgifter.

Så här behandlar IFAU personuppgifter om sökande till forskningsbidrag

De personuppgifter som anges på ansökan om forskningsbidrag används endast för IFAU:s hantering av forskningsmedel. Ansökan som beviljats forskningsbidrag kommer att bevaras. De ansökningar som inte beviljas forskningsbidrag gallras just nu bara delvis. Det beror på tekniska problem som vi arbetar med att lösa. Ansökan om forskningsbidrag är en allmän handling och kan lämnas ut vid begäran.

Så här behandlar IFAU personuppgifter för forskningsändamål

IFAU har enligt Lag (2012:741) om behandling av personuppgifter vid IFAU rätt att hålla datasamlingar för att kunna uppfylla sina åtaganden. Det sker enligt förordningen om ändring i förordningen (2007:911) med instruktion för Institutet för arbetsmarknadspolitisk utvärdering, SFS 2012:16.

Forskningen vid IFAU baseras nästan uteslutande på pseudonymiserade personuppgifter, d.v.s. personnummer och namn har ersatts med ett särskilt löpnummer. Kopplingen mellan löpnummer och personnummer bevaras hos SCB. IFAU har inte tillgång till kopplingen. Det är i lag förbjudet att vidta åtgärder för att söka ta reda på enskilda individers identitet. Pseudonimiserade personuppgifter behandlas sedan 2014 i tre forskningsdatabaser. Uttag från databaser görs som underlag för IFAU:s forskningsstudier. Endast projektdeltagare som anges i en diarieförd projektbeskrivning får tillgång till data från databaserna. Forskaren får tillgång till en delmängd av uppgifterna som behövs för ändamålet och aldrig tillgång till databasen i sin helhet.

IFAU får även samla in uppgifter från enskilda individer för specifika ändamål, exempelvis vid enkätundersökning. I så fall ska det finnas ett uttryckligt samtycke och respondenterna ska få information om behandlingen enligt GDPR för att kunna ta tillvara sina rättigheter. Uppgifter som samlas in med enkät är alltid identitetsangivna, dels för att de registrerade i allmänhet väljs ut med hjälp av personnummer, dels för att identitet och kontaktuppgifter behövs under själva insamlingen. Vanligen ersätts namn och personnummer med ett löpnummer när de inte längre är nödvändiga. Ibland använder IFAU sig av personuppgiftsbiträden för insamling av uppgifter.

Personuppgifterna är sekretessbelagda enl. 24 kap. 8 § Offentlighets- och sekretesslagen (OSL). Enligt Offentlighets- och sekretessförordningen gäller sekretess med stöd av 24 kap. 8 § för all forskning och utvärdering som bedrivs av IFAU.

Anställda vid IFAU får endast behandla personuppgifter som är nödvändiga för de forskningsprojekt de jobbar med. Detta innebär exempelvis att man inte får titta på personuppgifter då det inte finns något berättigat skäl. Varje behandling anmäls till IFAU:s dataskyddsombud och förtecknas. Den som behandlar personuppgifter är ansvarig för att behandlingen sker i enlighet med IFAU:s instruktioner och gällande lagar.

Ibland använder IFAU sig av personuppgiftsbiträden.

Personuppgifter som hanteras för forskningsändamål gallras efter att projektet avslutas enligt dokumenthanteringsplan för forskningshandlingar. Man kan säga att ändamålet med att använda uppgifterna är den forskning som sker i projektet. När ett forskningsprojekt är avslutat och resultaten är publicerade har forskaren därför heller inte längre rätt att använda uppgifterna.

Känsliga personuppgifter

Forskning som innefattar känsliga personuppgifter är bara tillåten om den först godkänts av en etikprövningsnämnd. Enligt § 7 Lag om behandling av personuppgifter vid IFAU, får följande känsliga personuppgifter, efter etikprövning, behandlas på IFAU:

  • etniskt ursprung
  • medlemskap i fackförening
  • uppgifter som rör hälsa
  • en persons sexuella läggning.

Lagringstider

Personuppgifter rensas, gallras eller avidentifieras regelbundet. De personuppgifter IFAU samlar in behandlas för olika ändamål och sparas därmed under olika lång tid beroende på vad de ska användas till och vilka skyldigheter som finns enligt lag. Personuppgifter sparas dock aldrig under en längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas.

IFAU:s dokumenthanteringsplaner innehåller information om bevarandetiden.

Lämnas personuppgifter ut till andra mottagare?

Allmänna handlingar kan lämnas ut enligt offentlighetsprincipen till journalister och enskilda som begär att få ta del av allmänna handlingar. Sekretessbelagda allmänna handlingar prövas innan beslut om utlämnande fattas. IFAU:s dokumenthanteringsplaner innehåller mer information om offentlighet och sekretess.

Säkerhetsåtgärder

IFAU vidtar tekniska och organisatoriska åtgärder för att säkerställa att all information som IFAU behandlar skyddas från obehörig åtkomst, förändring och förstörelse. Några säkerhetsåtgärder:

  • Åtkomstskyddade datorer och servrar (exempelvis skyddade med lösenord/ kryptering/ behörighet) för att bara behöriga ska ha tillgång till uppgifter

  • Projektspecifikt löpnummer (automatisk generering vid uttag från IFAU:s databaser/generering av SCB eller annan berörd myndighet/ annan åtgärd) för att skydda personlig integritet

  • Datatillgänglighet endast via IFAU:s servrar för att skydda mot oavsiktlig spridning av data

  • Insamling av data i enlighet med IFAU:s policy och riktlinjer för att hantering ska ske på rätt sätt

  • Inlåst material (låsbar hyllsektion i institutets arkiv eller arkivskåp i institutets närarkiv)

Dina rättigheter

IFAU ansvarar för att dina personuppgifter behandlas i enlighet med gällande lagstiftning.

IFAU kommer på din begäran eller på eget initiativ rätta eller komplettera personuppgifter som upptäcks vara felaktiga, ofullständiga eller missvisande.

Beroende på vilken laglig grund behandlingen bygger på har du rätt till radering av dina personuppgifter. Det innebär att du har rätt att begära att dina personuppgifter tas bort om de inte längre behövs för de ändamål de samlats in för. Det kan dock finnas lagkrav som gör att IFAU inte omedelbart får radera dina personuppgifter.

Du har rätt att inge eventuella klagomål angående behandling av dina personuppgifter till Datainspektionen.

Begäran om registerutdrag och rättelse

Du har rätt att efter ansökan kostnadsfritt få information om vilka personuppgifter som IFAU registrerar och behandlar i sina register om dig. Kontakta oss skriftligen (brev eller e-post) samt ange ditt namn, personnummer, postadress, telefonnummer och e-postadress.

IFAU:s dataskyddsombud

Alla myndigheter är skyldiga att utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen. IFAU:s dataskyddsombud är Anahid Zakinian.


Publicerad av:

Anahid Zakinian

Senast uppdaterad:

2018-08-14