UCR-PO-013-01
Bakgrund
UCR behandlar personuppgifter i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679, dataskyddsförordningen. Den kallas ofta GDPR efter den engelska förkortningen för General Data Protection Regulation.
På UCR värnar vi om personlig integritet och eftersträvar alltid en hög nivå av dataskydd. Denna policy för behandling av personuppgifter beskriver hur vi hanterar de personuppgifter som vi behöver för att fullgöra våra arbetsuppgifter. Vi följer dataskyddsförordningen och anpassar våra rutiner kontinuerligt så att den behandling av personuppgifter som vi ansvarar för inte kränker individers fri- och rättigheter. Policyn beskriver också de rättigheter som finns och hur den registrerade kan göra dem gällande.
UCR ligger organisatoriskt under Akademiska sjukhuset i Region Uppsalas struktur, och sjukhuset i sin tur ligger under Sjukhusstyrelsen. Det innebär att det formellt blir Sjukhusstyrelsen som är personuppgiftsansvarig för de behandlingar där UCR har personuppgiftsansvar.
UCR: s policy för behandling av personuppgifter täcker in nedanstående avsnitt:
- Vad är personuppgifter?
- Vad gör UCR med personuppgifter?
- Vilka personuppgifter samlar UCR in?
- Hur skyddas dina personuppgifter?
- Vad har du för rättigheter som registrerad och hur nyttjar du dem?
- Vem kan komma att ta del av dina personuppgifter?
- Överföring av personuppgifter till andra länder
- Hur länge sparar UCR personuppgifter?
Vad är personuppgifter?
Personuppgifter är uppgifter som på ett eller annat sätt kan kopplas till en nu levande person, direkt eller indirekt. Det kan vara namn, mejladress, telefonnummer, postadress eller födelsedatum. Även bilder och inspelning av röster kan vara en form av personuppgift.
Behandling av personuppgifter sker vid exempelvis insamling, registrering, spridning, bearbetning och gallring av uppgifter.
Vad gör UCR med personuppgifter?
UCR behandlar personuppgifter för att uppfylla vårt uppdrag att på uppgift av såväl akademi som industri genomföra och hantera alla aspekter av klinisk forskning. I vår roll som registercentrum behandlar UCR personuppgifter i arbetet med att tillhandahålla plattform, teknisk support av denna samt stödja utveckling av svenska nationella kvalitetsregister knutna till UCR. All behandling av personuppgifter inom UCR ska utföras som en del av vårt uppdrag.
Behandlingen ska ha en rättslig grund, endast de personuppgifter som behövs för ändamålet får behandlas. Exempel på rättsliga grunder som tillämpas på UCR:
|
Uppgift av allmänt intresse |
För forskning är det nästan uteslutande den rättsliga grunden allmänt intresse som är aktuell vid personuppgiftsbehandling. |
|
Avtal |
I vissa fall måste personuppgifter registreras för att uppfylla ett avtal. Anställningsavtal, kundavtal och leverantörsavtal är exempel på avtal som innebär att personuppgifter måste registreras och hanteras. |
|
Rättlig förpliktelse |
I vissa fall finns en skyldighet att registrera personuppgifter, som exempelvis för att uppfylla bokföringsskyldigheten i bokföringslagen. |
|
Intresseavvägning |
Det är också möjligt att hantera personuppgifter efter en så kallad intresseavvägning om vi kan visa ett berättigat behov av att hantera uppgifterna och att detta behov väger tyngre än den enskildas rätt till skydd för uppgifterna. |
|
Samtycke |
I vissa fall kan UCR behöva ditt samtycke för att behandla dina personuppgifter. När du lämnar ditt samtycke ska du alltid få tydlig information om vad du samtycker till. |
Vilka personuppgifter samlar UCR in?
Det finns olika anledningar till att vi behandlar dina personuppgifter. De vanligaste anledningarna är att du är forskare, deltagare i en studie, anställd, patient registrerad i ett av de kvalitetsregister som UCR förvaltar, sjukvårdpersonal som registrerar data i kvalitetsregister, kvalitetsregisterrepresentant, deltagare i en utbildning eller annat evenemang, om du söker en anställning, eller om du av annan anledning har kontaktat eller samarbetar med UCR.
Den mesta av denna information får vi oftast direkt från dig. I vissa fall samlar vi även in uppgifter från andra källor, exempelvis Skatteverket. Varför detta eventuellt görs informerar vi om i det enskilda fallet.
|
Kontaktinformation |
Kontaktinformation som namn, adress, telefonnummer och e-post. Personnummer behandlas när det behövs för att säkert kunna fastställa din identitet eller för att samordna dina uppgifter mellan system för att säkerställa enhetlighet i informationen om dig. |
|
Bank- och annan ekonomisk information |
Bank- och annan ekonomisk information för att betala ut pengar eller fakturera. |
|
Forskningsuppgifter |
Personuppgifter som inhämtats inom ramen för deltagande i en forskningsstudie. |
|
Kvalitetsregisteruppgifter - hälsouppgifter |
Personuppgifter inklusive hälsouppgifter insamlade i svenska nationella kvalitetsregister som UCR förvaltar. |
|
Information för utbildning |
Information vid deltagande i utbildningar eller kurser. |
|
Uppgifter för att hantera anställning |
Personuppgifter som behövs för uppdrag, anställning eller om du söker en befattning hos oss. |
|
Webbanvändning |
Information om hur du använder våra webbplatser, i syfte att förbättra användarvänligheten på dem, exempelvis via kakor (”cookies”). |
Hur skyddas dina personuppgifter?
UCR ansvarar för att behandling av personuppgifter skyddas av lämpliga tekniska och organisatoriska åtgärder. Åtgärderna ska vara sådana att de säkerhetsställer en säkerhetsnivå som är lämplig i förhållandet till risken med behandlingen. Att fastställa säkerhetsnivå innefattar en bedömning av de tre informationssäkerhetsaspekterna konfidentialitet, riktighet och tillgänglighet för att säkerställa en adekvat skyddsnivå.
Exempel på säkerhetsåtgärder är att enbart behöriga personer får tillgång till uppgifterna, att uppgifterna krypteras, att de lagras i särskilt skyddade IT-miljöer eller att uppgifterna säkerhetskopieras.
Vad har du för rättigheter som registrerad och hur nyttjar du dem?
Du har flera rättigheter som följer av Dataskyddsförordningen, se nedan för kortare beskrivning av respektive rättighet. Mer utförlig information om dina rättigheter finns på Integritetsskyddsmyndighetens hemsida under rubriken De registrerades rättigheter. Om du har frågor eller vill nyttja dina rättigheter kan du kontakta oss via ucrdataskydd
|
Rätt till information |
Du har rätt att få information om hur dina personuppgifter behandlas. |
|
Rätt till tillgång |
Du har rätt att få tillgång till de personuppgifter vi behandlar om dig, det kan du få genom att begära ett registerutdrag. |
|
Rätt till rättelse |
Du kan begära att dina personuppgifter rättas ifall uppgifterna är felaktiga. Inom ramen för det angivna ändamålet har du också rätt att komplettera eventuellt ofullständiga personuppgifter. |
|
Rätt till radering |
Du har rätt att vända dig till oss och be att uppgifterna om dig raderas. Det finns undantag från rätten till radering om det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet, för att uppfylla en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Om UCR inte kan radera dina uppgifter av rättsliga skäl, kommer vi att begränsa behandlingen av dina uppgifter till att endast omfatta det som krävs för att uppfylla våra skyldigheter enligt de bestämmelserna. |
|
Rätt till begränsning av behandling |
Du har rätt att begära att behandlingen av dina personuppgifter begränsas hos oss. Det innebär att vi bara behandlar dina personuppgifter för vissa specifika ändamål. |
|
Rätt till dataportabilitet |
Om vår rätt att behandla dina personuppgifter grundar sig antingen på ditt samtycke eller fullgörande av ett avtal med dig har du rätt att begära att få de uppgifter som rör dig och som du har lämnat till oss överförda till en annan personuppgiftsansvarig (s.k. dataportabilitet). En förutsättning för dataportabilitet är att överföringen är tekniskt möjlig och kan ske automatiserat. |
Vem kan komma att ta del av dina personuppgifter?
En del av den information som hanteras på UCR utgörs av allmänna handlingar. Allmänna handlingar är uppgifter som inkommit till, upprättats hos eller som förvaras vid en myndighet. Personuppgifter i t.ex. ett register kan vara allmän handling och de kan också vara offentliga. Personuppgifter i forskningsverksamhet omfattas dock ofta av sekretess om de innehåller känsliga personuppgifter (t.ex. om hälsa). Om en uppgift begärs ut som en allmän handling görs alltid en sekretessprövning mot bestämmelserna i offentlighets- och sekretesslagen (2009:400). Personuppgifter inom UCR verksamhet som skyddas av sekretess är till exempel hälsouppgifter i kvalitetsregister. Innan en allmän handling kan lämnas ut, måste UCR göra en sekretessprövning för att kontrollera om uppgifterna får lämnas ut.
Utöver detta kan dina uppgifter användas i vårt arbete med partners inom forskningsprojekt, till leverantörer eller till andra parter som behöver ta del av dem till följd av avtal mellan oss. Vi behandlar också uppgifter som ett led i ett allmänt intresse t.ex. forskning. En uppgift av allmänt intresse är en uppgift som vi måste uppfylla enligt lag eller med stöd i lag. Vid överföring av personuppgifter till annan part skyddar vi dem med de juridiska, organisatoriska och tekniska åtgärder som krävs. Vi lämnar aldrig ut personuppgifter till andra utan stöd i lag.
I de fall det är nödvändigt delar vi dina personuppgifter med företag eller organisationer som är personuppgiftsbiträden för oss. Ett personuppgiftsbiträde är en aktör som behandlar informationen för vår räkning och enligt våra instruktioner. Vi kan också komma att dela dina personuppgifter med företag eller organisationer som är självständigt personuppgiftsansvariga. Att företaget är självständigt personuppgiftsansvarig innebär att det inte är vi som styr hur informationen som lämnas ska behandlas.
Överföring av personuppgifter till andra länder
Vi kan ibland komma att dela personuppgifter med andra länder inom eller utom EU/EES (tredjeland t.ex. USA), framför allt när det gäller internationella forskningsprojekt. I de fallen ansvarar vi för att vi och våra samarbetspartners vidtar de juridiska, organisatoriska och tekniska åtgärder som krävs för att skydda dina personuppgifter. Du är redan eller kommer att bli informerad om detta i den mån det blir aktuellt.
Hur länge sparar UCR personuppgifter?
Vi sparar dina personuppgifter endast så länge som ändamålet med behandlingen kräver, eller så länge som krävs i lag.
Om du är anställd behandlar vi dina personuppgifter så länge det behövs för att administrera anställningsförhållandet, om du är deltagare i en studie behandlar vi dina personuppgifter så länge som det behövs för att säkerställa forskningens kvalitet. När vi behandlar dina personuppgifter som biträde, dvs. på uppdrag av någon annan, sparar vi uppgifterna enligt instruktioner från personuppgiftsansvarig. När vi slutar behandla uppgifterna som biträde, återlämnar vi dem till den personuppgiftsansvarige, eller raderar dem. Vad gäller allmänna handlingar hanteras personuppgifter i dessa i enlighet med vad som gäller enligt tryckfrihetsförordningen (1949:105), arkivlagen (1990:782) samt Riksarkivets föreskrifter och Region Uppsalas regelverk för arkiv- och informationshantering.