Chef/prefekt
Som avdelningschef eller prefekt har man ett stort ansvar för att se till att avdelningens eller institutionens anställda får den information de behöver för att kunna behandla personuppgifter på ett korrekt sätt under dataskyddsförordningen och kompletterande nationell lagstiftning. Som hjälp till detta finns vägledande dokument såsom en personuppgiftsspolicy och en riktlinje för e-post. Vidare finner dina medarbetare information på Medarbetarportalen om vad som kan vara bra att tänka på vid personuppgiftsbehandling vid Uppsala universitet. Där kan de själva läsa den information som de behöver i just sin roll genom att klicka på den rollbeskrivning som passar dem bäst. Vill man sedan ha mer information kan man läsa på mer under övriga rollbeskrivningar eller under samlingssidan.
Först och främst är det bra att inventera när man utför en personuppgiftsbehandling. Personuppgifter är alla upplysningar som direkt eller indirekt kan identifiera en person, exempelvis namn, personnummer och e-postadress. Det gör att nästan allt som rör människor kan bli personuppgifter, om inte annat när flera uppgifter behandlas tillsammans. Det gäller även så kallade känsliga personuppgifter såsom genetiska uppgifter eller uppgifter om hälsa. Enkelt uttryckt blir sedan allt du gör med personuppgifterna en behandling, till exempel insamlar och bearbetar. Läs mer om personuppgifter och känsliga personuppgifter nedan.
Viktigt att tänka på
- Var noga med att informera dina anställda om dataskyddsförordningen.
- Ta fram styrdokument och arbetsdokument som passar just er avdelning, som underlättar arbetet med att införa dess bestämmelser.
- Inventera och dokumentera vilka behandlingar ni utför. Anmäl dessa till universitetets registerförteckning (vid personuppgiftsansvar) här. Läs mer om när och hur personuppgiftsbehandlingar ska anmälas nedan.
- Utred vad ni har för laglig grund för era behandlingar. Läs mer om detta nedan eller läs fördjupningen här.
- Har ni några biträdesförhållanden? I sådana fall behöver ni upprätta avtal om detta. Läs mer om biträden nedan. Biträden ska också anmälas. Det gör du här.
- Var nog med informationen kring vad som ska göras vid en misstänkt personuppgiftsincident. Läs mer här.
- Samordna arbetet kopplat till de informationssäkerhetsmässiga aspekterna. En metod att bedöma vilken skyddsnivå som både är nödvändig men också tillräcklig får man genom en så kallad informationsklassificering. Mer om informationssäkerhet. I ett fall då institutionen har egna system behöver dessa bli till föremål för momentet kravanalys. Resultatet från genomförda informationsklassificeringar och kravanalyser används som utgångspunkt i institutionens lokala informationssäkerhetsarbete. Kopior från genomförda informationsklassificeringar och kravanalyser sänds till Säkerhetsavdelningen.
Allmänna principer
Personuppgiftsbehandling kan kännas svårt och diffust, men med rätt tankesätt är det inte svårt att göra rätt. Först och främst finns det vissa allmänna principer i dataskyddsförordningen att förhålla sig till.
De grundläggande principerna är:
- Principen för laglighet, korrekthet och öppenhet
- Principen om ändamålsbegränsning
- Principen för uppgiftsminimering
- Principen om riktighet
- Principen om lagringsminimering, och
- Principen för integritet och konfidentialitet.
Vill du läsa mer om vad principerna innebär, se dokumentet här.
Laglig grund
För att utföra en laglig behandling av personuppgifter krävs det att behandlingen stödjer sig på åtminstone en av sex möjliga lagliga grunder. Dessa är:- Samtycke
- Avtal
- Rättslig förpliktelse
- Skydd av intressen av grundläggande betydelse
- Nödvändig för utövande av uppgift av allmänt intresse eller myndighetsutövning
- Intresseavvägning (Berättigat intresse). Får dock inte användas av offentliga myndigheter när de fullgör sina uppgifter.
Personuppgiftsansvar och personuppgiftsbiträden
Många gånger är det fler än en aktör iblandad i en personuppgiftsbehandling och det är då viktigt att veta vilken av aktörerna som bär ansvaret för behandlingen.
Personuppgiftsansvar – Den juridiska eller fysiska person som bestämmer ändamålen och medel för behandlingen av personuppgifter har ansvar för personuppgiftsbehandlingen. Det innebär att man behandlar uppgifterna så att säga ”för sin egen skull” - man bestämmer vad som ska göras med uppgifterna, ex. insamling och lagring och vad ändamålet med insamlingen och lagringen är samt hur det ska göras. Det är viktigt att komma ihåg att det är Uppsala universitet i sin egenskap av juridisk person, och inte enskilda personer i verksamheten som är ansvarig för de behandlingar där universitetet bestämmer mål och medel för behandlingen.
Personuppgiftsbiträde – Den personuppgiftsansvarige kan ge en annan juridisk eller fysisk person i uppdrag att göra en personuppgiftsbehandling. Biträdet utför då behandlingen ”för annans räkning”. Hur biträdet ska behandla uppgifterna ska regleras i ett personuppgiftsbiträdesavtal. Juridiska avdelningen har tagit fram en mall till ett sådant avtal. Är du i behov av en sådan mall? Hör av dig till juravd@uadm.uu.se.
Gemensamt personuppgiftsansvar – Om flera tillsammans bestämmer ändamålet med och medlen för en behandling kan man vara gemensamt personuppgiftsansvarig. Om så är fallet ska man upprätta ett avtal som tydligt redogör vem som har ansvar för vad. Vill du ha hjälp med detta? Kontakta juridiska avdelningen: juravd@uadm.uu.se.
Det är viktigt att varje avdelning inventerar de behandlingar och eventuella biträdesförhållanden som kan föreligga mellan universitetet och annan part.
De registrerades rätt till information och registerutdrag
Det är viktigt att universitetet vet vilka personuppgifter vi behandlar och var dessa finns för att kunna informera de vars personuppgifter vi behandlar på ett korrekt sätt om detta. Det första steget för att möjliggöra detta är att anmäla alla behandlingar till registerförteckningen som finns centralt vid universitetet. Det gör du här om Uppsala universitet är personuppgiftsansvarig och här om Uppsala universitet är biträde.
Det är inte chefen/prefektens uppgift att personligen anmäla alla behandlingar, men det är dennes uppgift att se till att det sker. Till exempel genom att presentera informationen om att det finns en registerförteckning och internt utse vem som har ansvaret för detta.Registrerades rättigheter
De registrerade har rätt att veta att vi behandlar deras personuppgifter. För mer information om vilka rättigheter de registrerade kan utöva mot universitetet, läs vidare här.
Personuppgiftsincidenter
En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har förstörts, gått förlorade eller kommit till någon som inte har rätt att ha dessa. För att veta hur du går tillväga för att anmäla en personuppgift, se dokumentet här.DSO-funktionen
Den övergripande och viktigaste uppgiften för dataskyddsombudet (DsO) är att övervaka att Uppsala universitet följer dataskyddsförordningens regelverk för personuppgiftsbehandling. Det innebär bland annat att
- ta fram rutiner som underlättar anmälningar av hur organisationen behandlar personuppgifter i en s.k. registerförteckning.
- uppmuntra en god dataskyddskultur, kontrollera att organisationen följer bestämmelser och interna styrdokument samt att följa upp avvikelser.
- informera och ge råd om personuppgiftsbehandling till allmänheten och till verksamma vid universitetet.
Utöver det är DsO kontaktperson gentemot den högsta förvaltningsnivån och tillsynsmyndigheter i frågor som rör personuppgiftsbehandling vid myndigheten. Dataskyddsombudet är inte beslutande. Det är den personuppgiftsansvarige (Uppsala universitet) som är ansvarig för att personuppgiftsbehandlingen utförs legalt och säkert i enlighet med dataskyddsförordningens regelverk. DsO lämnar däremot rekommendationer om hantering i specifika fall som skall beaktas. Om den personuppgiftsansvarige väljer att avvisa DsO:s rekommendationer skall den avvikelsen motiveras skriftligt och dokumenteras.
DsO ger också råd om konsekvensbedömningar som kan behöva utföras vid viss typ av personuppgiftsbehandling som t.ex. innebär en hög risk för mänskliga fri- och rättigheter eller som är mycket omfattande.