Pass 1 - Openspace diskussion om PUL mm
---------------------------------------------------------------------------------
TOPIC: Consent, PUL och attribut överföring
CONVENER: Pål Axelsson
SCRIBE: Valter Nordh
# of ATTENDEES: 10
MAIN ISSUES DISCUSSED:
Under villka villkor kan vi som lärosäten släppa iväg information till SPar?
Diskussion om vad som är intentionen med lagstiftningen.
Utdrag ur PUL inkl. viss tolkning:
"10 § Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att
a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,
b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,
c) vitala intressen för den registrerade skall kunna skyddas,
d) en arbetsuppgift av allmänt intresse skall kunna utföras,
e) den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med
myndighetsutövning, eller
f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten."
För att skriva detta med andra ord ska samtycke användas om inte a-f kan tillämpas.
Alla tjänster som på ett eller annat sätt berör lärosätets myndighetsutövning är inte samtycke aktuellt enligt e. Detta innebär alltså att de system som uppfyller entitetskategorin SFS-1993-1153 faller under denna punkt men även många andra system vid lärosätena. Vidare faller en hel del av våra specialreleaser in här eftersom det ofta handlar om inloggning i myndighetsystem, t.ex. expertwebben för NyA.
Om den som loggar in i tjänsten gör detta för att direkt eller indirekt för att uppfylla intensionen i en annan lag är det b som gäller. Detta gäller t.ex. vid inloggning i lärosätets system för inköp av IT-utrustning (Wisum).
Om lärosätet har ett avtal om leverans av en tjänst från ett företag, t.ex. Microsoft Dreamspark Premium" gäller a per automatik. Likaså gäller denna om användaren ingår en överenskommelse med tjänsteleverantören vid första inloggningen.
f är en s.k. catch-all och här underlättar det att för R&E och CoC att det är relativt okänsliga data, dvs. motsvarande information i ett e-post, som skickas över vid attributöverföringen eftersom då minskar risken för kränkning av den personliga integriteten.
Detta var ett axplock av de olika möjligheterna med a-f.
Programvara som används för samtycke saknar ofta nödvändig funktionalitet, t.ex. möjligheten att definiera vilka tjänster som ska omfattas av samtycke och att återkalla samtycke.
IdP/SP loggar är känslig information med avseende på möjlig spårning av användarmönster och dessa omfattas därför av PUL.
Universitets IT skall vara stöd för universitetets 3 uppgifter vilket innebär att det är forskarnas/studenternas behov som borde bestämma val av attribut release.
ACTIVITIES GOING FORWARD / NEXT STEPS:
LINKS: (presentation, pictures, ...)