Lunds universitet firar 350 år. Läs mer på lu.se

Meny

Javascript verkar inte påslaget? - Vissa delar av Lunds universitets webbplats fungerar inte optimalt utan javascript, kontrollera din webbläsares inställningar.
Du är här

Särskilda bestämmelser i Personuppgiftslagen

I Personuppgiftslagen finns vissa särskilda bestämmelser om bland annat informerat samtycke, personuppgifter och hur du ska tänka vid överföring av personuppgifter till tredje land. Se nedan för mer information om dessa bestämmelser. 

Informerat samtycke

Informerat samtycke innebär att en person frivilligt, efter att ha fått information, godtar en behandling av personuppgifter som rör honom eller henne. Utgångspunkten är att personens samtycke behövs för att få behandla personuppgifter om någon i form av register eller databas. För att ett samtycke ska ha rättslig verkan enligt bestämmelserna i PuL krävs att den registrerade fått information om den personuppgiftsansvariges identitet, ändamålet med behandlingen samt övrig information som den registrerade behöver för att ta till vara sin rätt.

Nedan hittar du en mall för informerat samtycke. Dessutom har universitetet i samråd med Datainspektionen tagit fram Allmän information om behandling av personuppgifter i forskningssyfte vid Lunds universitet, se nedan. Den kan du med fördel foga till den övriga information som lämnas till de registrerade i din studie.

Mall för informerat samtycke (Word-dokument, 82 kB, nytt fönster)

Vid dessa tillfällen behövs inte samtycke

Samtycke behövs däremot inte om behandlingen av personuppgifterna är nödvändig för att fullgöra en rättslig skyldighet, ett avtal med den registrerade eller för att utföra en arbetsuppgift av allmänt intresse eller i samband med myndighetsutövning.

Undantaget är också de fall där ett intresse hos den personuppgiftsansvarige eller tredje man väger tyngre än den registrerades integritet. Observera att samtycke inte bör inhämtas om det inte behövs. Ett lämnat samtycke kan nämligen alltid dras tillbaka.

Allmän information om behandling av personuppgifter i forskningssyfte vid Lunds universitet (PDF, 27 kB, nytt fönster)

Känsliga personuppgifter

Det är förbjudet att behandla personuppgifter som rör

  • hälsa eller sexualliv,
  • ras eller etniskt ursprung,
  • politiska åsikter,
  • religiös eller filosofisk övertygelse,
  • medlemskap i fackförening.

Sådana känsliga personuppgifter får endast behandlas om den registrerade samtyckt eller om det är nödvändigt inom exempelvis hälso- och sjukvården, inom arbetsrättens område eller för att en ideell organisation ska kunna registrera sina medlemmar.

Känsliga personuppgifter får dock behandlas utan samtycke för forsknings- och statistikändamål om behandlingen godkänts av forskningsetisk kommitté.

Personnummer

Huvudregeln är att personnummer inte får behandlas utan samtycke från den registrerade. Från huvudregeln finns dock några undantag, nämligen när det är klart motiverat med hänsyn till:

  • ändamålet med behandlingen,
  • vikten av en säker identifiering, eller
  • något annat beaktansvärt skäl. I sådana fall får alltså personnummer behandlas utan samtycke.

Överföring av personuppgifter till tredje land

Den nya personuppgiftslagen innehåller ett generellt förbud mot överföring av personuppgifter till tredje land. Med tredje land menas länder utanför EU och EES och som inte anslutit sig till Europarådets dataskyddskonvention. 

Vissa undantag från överföringsförbudet finns dock. Personuppgifter får föras över till tredje land 1. om det finns en adekvat skyddsnivå i mottagarlandet (till exempel i enlighet med beslut av EU-kommissionen), 2. när den registrerade lämnat sitt samtycke till överföringen, 3. i vissa särskilda situationer som finns uppräknade i 34 § PuL eller 4. om det i annat fall är tillåtet enligt föreskrifter eller särskilda beslut av regeringen eller Datainspektionen därför att det finns tillräckliga garantier för att de registrerades rättigheter skyddas (Sådana garantier kan finnas genom: Standardavtalsklausuler som EU-kommissionen godkänt och bindande företagsinterna regler, så kallade Binding Corporate Rules ).

Datasäkerhet

Tänk på att vid behandling av känsliga personuppgifter ska följande säkerhetsåtgärder vidtas:

  • system för behörighetskontroll med personlig behörighet ska finnas
  • åtkomst till personuppgifter ska loggas med uppgift om användare
  • all överföring via datakommunikation ska ske i krypterad form
  • lagringsmedier som inte arkiveras ska raderas på ett sådant sätt att informationen inte kan återskapas, och
  • lokaler där datorutrustning och lagringsmedia förvaras ska ha tillträdesskydd.

Skadeståndsansvar

Om personuppgifter behandlas i strid med personuppgiftslagen kan Lunds universitet tvingas betala skadestånd till den eller de personer som fått sin integritet kränkt.

Sidansvarig:

Kontakt

Vid frågor om Personuppgifter - kontakta Lunds universitets personuppgiftsombud:

Johanna Alhem
Jurist
+46 46 222 09 85
johanna.alhem [at] legal.lu.se
 

Carl Petersson
Jurist
+46 46 222 76 41
carl.petersson [at] legal.lu.se  

Telefon: 046-222 00 00 (växel)
Postadress: Box 117, 221 00 LUND
Organisationsnummer: 202100-3211
Fakturaadress: Box 188, 221 00 LUND

Webbplatsansvarig: medarbetarwebben [at] lu.se
Om den här webbplatsen