Ekonomiadministratör (Personal inom ekonomiområdet)
Som ekonomiadministratör hanterar man dagligen personuppgifter, det är därför viktigt att man funderar över hur man handskas med dessa och har lämpliga rutiner på plats.
Personuppgifter
Personuppgifter är alla upplysningar som direkt eller indirekt kan identifiera en person, exempelvis namn, personnummer och e-postadress. Det gör att nästan allt som rör människor kan bli personuppgifter, om inte annat när flera uppgifter behandlas tillsammans. Det gäller även så kallade känsliga personuppgifter såsom genetiska uppgifter eller uppgifter om hälsa. Se mer om känsliga personuppgifter nedan.Enkelt uttryckt blir sedan allt du gör med personuppgifterna, till exempel insamlar, bearbetar och lagrar, en behandling.
Känsliga personuppgifter
Så kallade känsliga personuppgifter är uppgifter som rör:
- Ras eller etniskt ursprung
- Politiska åsikter
- Religiös eller filosofisk övertygelse
- Medlemskap i en fackförening
- Hälsa
- En persons sexualliv eller sexuella läggning
- Genetiska uppgifter
- Biometriska uppgifter som entydigt identifierar en person.
Som huvudregel får man inte behandla känsliga personuppgifter, men dataskyddsförordningen ger en del undantag. Ett sådant är samtycke. Det gör att om du ska behandla känsliga personuppgifter inom t.ex. forskning, så behöver de som personuppgifterna hämtas från samtycka till detta. Samtycket har vissa krav, läs mer här. Uppgifter om sjukfrånvaro i lönebeskedet är ett exempel på känslig personuppgift.
Allmänna principer
En personuppgiftsbehandling måste följa dataskyddsförordningens principer. Dessa ska alltid tas hänsyn till när man behandlar personuppgifter. De grundläggande principerna är:
- Principen för laglighet, korrekthet och öppenhet
- Principen om ändamålsbegränsning
- Principen för uppgiftsminimering
- Principen om riktighet
- Principen om lagringsminimering, och
- Principen för integritet och konfidentialitet.
Vill du läsa mer om vad principerna innebär, se dokumentet här.
Laglig grund
För att utföra en laglig behandling av personuppgifter krävs det att behandlingen stödjer sig på åtminstone en av sex möjliga lagliga grunder. Dessa är:
- Samtycke
- Avtal
- Rättslig förpliktelse
- Skydd av intressen av grundläggande betydelse
- Nödvändig för utövande av uppgift av allmänt intresse eller myndighetsutövning
- Intresseavvägning (Berättigat intresse). Får dock inte användas av offentliga myndigheter när de fullgör sina uppgifter.)
För att läsa mer om de lagliga grunderna och när vilken kan vara lämplig, läs mer här.
Personuppgiftsansvar och personuppgiftsbiträden
Personuppgiftsansvar – Den juridiska eller fysiska person som bestämmer ändamålen och medel för behandlingen av personuppgifter ansvar för personuppgiftsbehandlingen. Det innebär att man behandlar uppgifterna så att säga ”för sin egen skull” - man bestämmer vad som ska göras med uppgifterna, ex. insamling och lagring och vad ändamålet med insamlingen och lagringen är samt hur det ska göras. Det är viktigt att komma ihåg att det är Uppsala universitet i sin egenskap av juridisk person, och inte enskilda personer i verksamheten som är ansvarig för de behandlingar där universitetet bestämmer mål och medel för behandlingen.Personuppgiftsbiträde – Den personuppgiftsansvarige kan ge en annan juridisk eller fysisk person i uppdrag att göra en personuppgiftsbehandling. Biträdet utför då behandlingen ”för annans räkning”. Hur biträdet ska behandla uppgifterna ska regleras i ett personuppgiftsbiträdesavtal. Juridiska avdelningen har tagit fram en mall till ett sådant avtal. Är du i behov av en sådan mall? Hör av dig till juravd@uadm.uu.se.
Gemensamt personuppgiftsansvar – Om flera tillsammans bestämmer ändamålet med och medlen för en behandling kan man vara gemensamt personuppgiftsansvarig. Om så är fallet ska man upprätta ett avtal som tydligt redogör vem som har ansvar för vad. Vill du ha hjälp med detta? Kontakta juridiska avdelningen: juravd@uadm.uu.se.
Dataskyddspolicy och de registrerades rättigheter
Uppsala universitet har tagit fram en dataskyddspolicy för hanteringen av personuppgifter vid universitetet. Den hittar du här.
Registrerades rättigheter
De registrerade har rätt att veta att vi behandlar deras personuppgifter. För mer information om vilka rättigheter de registrerade kan utöva mot universitetet, läs vidare här.E-post
Se rollbeskrivningen för e-postanvändare.