Här-är-du Här-är-du

PageHeaderPortlet PageHeaderPortlet

TextPortlet TextPortlet

Dataskyddsförordningen - så här fungerar den

Dataskyddsförordningen (trädde i kraft 25 maj 2018) ställer stora krav på hur vi hanterar personuppgifter i vår verksamhet. Vi ska tydliggöra ansvar och struktur för all behandling av personuppgifter, t.ex. lagring, kommunicering och beräkningar.

Vi får även fortsatt behandla personuppgifter men det måste finnas ett klart angivet ändamål, behandlingen måste var nödvändig för ändamålet och det ska finnas en laglig grund för behandlingen. Alla personuppgifter ska skyddas med bl.a. tekniska åtgärder.

Personuppgiftsbehandling ska anmälas och registreras centralt, länkarna till detta finner du under punkt 5 nedan.

Dataskyddspolicy - här kan du läsa om hur Uppsala universitet behandlar personuppgifter.

Mer information om:

  1. Personuppgifter och känsliga personuppgifter.
  2. Behandling av personuppgifter.
  3. Lagliga grunder.
  4. Personuppgiftsbehandling i olika verksamheter. Information inom kort.
  5. Anmälan av personuppgiftsbehandling.
  6. Tekniska skyddsåtgärder.
  7. Personers rättigheter.
  8. Kontaktuppgifter

1a. Personuppgifter

  • Varje upplysning som avser en identifierad eller identifierbar person, t.ex.:
    • namn
    • ett identifikationsnummer
    • en lokaliseringsuppgift eller onlineidentifikator
    • en eller flera faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

1b. Känsliga personuppgifter

  • Ras eller etniskt ursprung.
  • Politiska åsikter.
  • Religiös eller filosofisk övertygelse.
  • Medlemskap i en fackförening.
  • Hälsa.
  • Sexualliv eller sexuell läggning.
  • Genetiska uppgifter.
  • Biometriska uppgifter som entydigt identifierar en person.

2. Behandling av personuppgifter

Med behandling menas allt man gör med personuppgifter t.ex. insamling, registrering, lagring, bearbetning, spridning.


3. Laglig grund

All behandling av personuppgifter måste ha en laglig grund (rättslig grund). Det finns sex lagliga grunder:

  1. Samtycke: ska vara informerat, frivilligt och givet genom en aktiv handling.
  2. Avtal: att fullgöra ett avtal eller på begäran av den registrerade innan ett sådant ingås.
  3. Rättslig förpliktelse: om en annan lag kräver behandling av personuppgifter.
  4. Skydd för grundläggande intresse: om någons grundläggande intresse kräver behandlingen (t.ex. inom sjukvården).
  5. Uppgift av allmänt intresse och myndighetsutövning: om syftet med behandlingen bedömts vara av allmänt intresse (ex. forskning, studier) eller om myndighetens arbete kräver behandlingen.
  6. Berättigat intresse: (Intresseavvägning) om berättigade intressen för behandling väger tyngre än skyddet av den enskildes rättigheter. (Denna grund får inte användas av myndigheter när de utför sina uppgifter.)

4. Personuppgiftsbehandling i olika verksamheter

Dataskyddsförordningens införande gör att alla som behandlar personuppgifter måste se över sina rutiner och fundera över hur de på bästa sätt kan tillgodose rättigheterna för de vars personuppgifter man behandlar. Det betyder inte att man inte längre får behandla personuppgifter utan att man får behandla personuppgifter, så länge det sker på rätt sätt.

Du får behandla personuppgifter om behandlingen uppfyller allt nedan:

  • Behandlingen är nödvändig. (Kan ej genomföras utan personuppgifterna.)
  • Behandlingen har en laglig grund.
  • Behandlingen beaktar de allmänna principerna.
  • Behandlingen skyddas av organisatoriska och tekniska skyddsåtgärder.

Vill du veta mer om detta finns det information i rollkategorierna nedan. Ta gärna del i den information som finns i fler rollbeskrivningar än din, ju mer kunskap vi kan sprida om dataskyddsförordningen, ju bättre kan vi skydda enskildas rättigheter.

5. Så här anmäler du personuppgiftsbehandling

Det finns två typer av behandlingar. Fyll i rätt blankett, som sedan registreras centralt i universitetets huvuddiarium (W3D3). Anmälningarna sammanställs sedan i rapporter för att möjliggöra statistik och annan uppföljning.

  1. Universitetet är personuppgiftsansvarig: anmäl din personuppgiftsbehandling här.
  2. Universitetet behandlar personuppgifter åt någon annan som personuppgiftsbiträde: anmäl dig som personuppgiftsbiträde här.
  3. If you would prefer to register your processing of personal data in English: please use this link. 

6. Informationssäkerhet

Personuppgiftsbehandling måste skyddas med tekniska och andra åtgärder beroende på vilken konsekvens t.ex. en förlust av informationen skulle få.

En metod att bedöma vilken skyddsnivå som både är nödvändig men också tillräcklig får man genom en så kallad informationsklassificering. Mer om informationssäkerhet.

7. Registrerade personers rättigheter

Registrerade personer har, enligt dataskyddsförordningen, ett antal rättigheter. I korthet innebär det att de registrerade personerna ska ha kontroll över sina egna uppgifter genom att få information om, när och hur deras personuppgifter behandlas. Rättigheterna har i och med dataskyddsförordningen stärkts jämfört med PUL (personuppgiftslagen). Registrerade personer har, i vissa fall, rätt att få sina uppgifter rättade, raderade eller blockerade. De kan också få ut eller flytta sina uppgifter. Den som vill utöva sina rättigheter: se kontaktuppgifter nedan.

8. Kontakta oss

Behöver du hjälp är du välkommen att kontakta dataskyddsombudet. Använd i första hand frågeformuläret.

Kontakt med dataskyddsombudet vid Uppsala universitet genom e-post dataskyddsombud@uu.se