Personaladministratör
Personaladministratörers arbetsuppgifter utgör till mycket stor del av personuppgiftsbehandling. Det är därför viktigt att man läser in sig på de krav och de principer som omgärdar personuppgiftsbehandling.
Personuppgifter
Personuppgifter är alla upplysningar som direkt eller indirekt kan identifiera en person, exempelvis namn, personnummer och e-postadress. Det gör att nästan allt som rör människor kan bli personuppgifter, om inte annat när flera uppgifter behandlas tillsammans. Det gäller även så kallade känsliga personuppgifter såsom genetiska uppgifter eller uppgifter om hälsa. Se mer om känsliga personuppgifter nedan.
Enkelt uttryckt blir sedan allt du gör med personuppgifterna en behandling, till exempel insamlar, bearbetar och lagrar.
Känsliga personuppgifter
Så kallade känsliga personuppgifter är uppgifter som rör:
- Ras eller etniskt ursprung
- Politiska åsikter
- Religiös eller filosofisk övertygelse
- Medlemskap i en fackförening
- Hälsa
- En persons sexualliv eller sexuella läggning
- Genetiska uppgifter
- Biometriska uppgifter som entydigt identifierar en person.
Som huvudregel får man inte behandla känsliga personuppgifter, men dataskyddsförordningen ger en del undantag bland annat samtycke.
Allmänna principer
En personuppgiftsbehandling måste följa dataskyddsförordningens principer. Dessa ska alltså alltid tas hänsyn till när man behandlar personuppgifter. De grundläggande principerna är:
- Principen för laglighet, korrekthet och öppenhet
- Principen om ändamålsbegränsning
- Principen för uppgiftsminimering
- Principen om riktighet
- Principen om lagringsminimering, och
- Principen för integritet och konfidentialitet.
För att läsa mer om vad de allmänna principerna innebär, se dokumentet här.
Laglig grund
För att utföra en laglig behandling av personuppgifter krävs det att behandlingen stödjer sig på åtminstone en av sex möjliga lagliga grunder. Dessa är:
- Samtycke
- Avtal
- Rättslig förpliktelse
- Skydd av intressen av grundläggande betydelse
- Nödvändig för utövande av uppgift av allmänt intresse eller myndighetsutövning
- Intresseavvägning (Berättigat intresse). Får dock inte användas av offentliga myndigheter när de fullgör sina uppgifter.
Notera att det är mycket sällan som grunden samtycke kommer att användas vid Uppsala universitet, så innan du bestämmer dig för att din behandling har den lagliga grunden samtycke bör du läsa igenom alla grunder för att se om du kan finna någon som passar bättre. För att läsa mer om de lagliga grunderna och när vilken kan vara lämplig, läs mer här. I personaladministrativa frågor kan en stor del av personuppgiftsbehandlingen stödjas på en avtalsrättslig grund i och med det anställningsavtal som personalen har.
Personuppgiftsansvar och personuppgiftsbiträden
Många gånger är det fler än en aktör inblandad i en personuppgiftsbehandling och det är då viktigt att veta vilken av aktörerna som bär ansvaret för behandlingen.
Personuppgiftsansvar – Den juridiska eller fysiska person som bestämmer ändamålen och medel för behandlingen av personuppgifter ansvar för personuppgiftsbehandlingen. Det innebär att man behandlar uppgifterna så att säga ”för sin egen skull” - man bestämmer vad som ska göras med uppgifterna, ex. insamling och lagring och vad ändamålet med insamlingen och lagringen är samt hur det ska göras. Det är viktigt att komma ihåg att det är Uppsala universitet i sin egenskap av juridisk person, och inte enskilda personer i verksamheten som är ansvarig för de behandlingar där universitetet bestämmer mål och medel för behandlingen.
Personuppgiftsbiträde – Den personuppgiftsansvarige kan ge en annan juridisk eller fysisk person i uppdrag att göra en personuppgiftsbehandling. Biträdet utför då behandlingen ”för annans räkning”. Hur biträdet ska behandla uppgifterna ska regleras i ett personuppgiftsbiträdesavtal. Juridiska avdelningen har tagit fram en mall till ett sådant avtal. Är du i behov av en sådan mall? Hör av dig till juravd@uadm.uu.se.
Gemensamt personuppgiftsansvar – Om flera tillsammans bestämmer ändamålet med och medlen för en behandling kan man vara gemensamt personuppgiftsansvarig. Om så är fallet ska man upprätta ett avtal som tydligt redogör vem som har ansvar för vad. Vill du ha hjälp med detta? Kontakta juridiska avdelningen: juravd@uadm.uu.se.
Det är viktigt att varje avdelning inventerar de behandlingar och eventuella biträdesförhållanden som kan föreligga mellan universitetet och annan part.
De registrerades rätt till information och registerutdrag
Det är viktigt att universitetet vet vilka personuppgifter vi behandlar och var dessa finns för att kunna informera de vars personuppgifter vi behandlar på ett korrekt sätt. Det första steget för att möjliggöra detta är att anmäla alla behandlingar till registerförteckningen som finns centralt vid universitetet. Det gör du här om Uppsala universitet är personuppgiftsansvarig och här om Uppsala universitet är biträde.
Registrerades rättigheter
De registrerade har rätt att veta att vi behandlar deras personuppgifter. För mer information om vilka rättigheter de registrerade kan utöva mot universitetet, läs vidare här.
Dataskyddspolicy
Uppsala universitet har tagit fram en dataskyddspolicy för hanteringen av personuppgifter vid universitetet. Den hittar du här.