Universitetet

Dataskydd & personuppgifter

Uppsala universitets arbete med införande av dataskyddsförordningen

Mycket av interaktionen mellan Uppsala universitet och den enskilde medborgaren innebär i viss mån personuppgiftsbehandling. Personuppgifter är till exempel ett namn, personnummer, e-mailadress, telefonnummer. Att behandla dessa kan till exempel vara att spara dem eller skriva upp dem i ett ärende eller en ansökan. 2018 kommer ny lagstiftning på personuppgiftsområdet att börja gälla. Den nya lagen heter dataskyddsförordningen.

Nationella anpassningar av dataskyddsförordningen

Dataskyddsförordningen och kompletterande nationell lagstiftning kommer att ge den enskilda medborgaren större kontroll över hur deras personuppgifter, såsom namn och personnummer, behandlas. För Uppsala universitet är det viktigt att dina personuppgifter behandlas korrekt vid universitetet så att du kan känna dig trygg i vetskapen om att dina rättigheter tas tillvara.

På denna sida finner du information om hur Uppsala universitet förbereder sig för den nya lagstiftningen och vilka rättigheter du som är så kallad registrerad, det vill säga du som på ett eller annat sätt får dina personuppgifter behandlade vid Uppsala universitet, har. Denna sidas innehåll kommer att uppdateras löpande med information om bland annat hur du går tillväga för att utnyttja dina rättigheter och var du kan vända dig med frågor.

Dataskyddsombud vid Uppsala universitet

Uppsala universitet har tillsatt ett dataskyddsombud för att säkerställa en professionell hantering av dataskyddsförordningens krav. Dataskyddsombudet kan man kontakta via vårt formulär eller per e-post till dataskyddsombud@uu.se.

Projektarbete för införande av dataskyddsförordningens bestämmelser

Inför dataskyddsförordningens genomförande har Uppsala universitet tillsatt en projektgrupp för det interna arbetet. Projektgruppens syfte är att vägleda anställda vid universitetet, utforma rutiner, ta fram mallar, sprida information och arbeta tillsammans för de som får sina personuppgifter behandlade. Oavsett var på universitetet och i vilket sammanhang behandlingen sker, ska de tillförsäkras sina rättigheter.

Projektet följer en projektplan med målet att ha alla viktiga funktioner på plats till den 25 maj 2018 då dataskyddsförordningen börjar gälla i Sverige. Denna inkluderar bland annat att universitetet ska:

  • Inventera, uppdatera och beskriva policys, processer och annan dokumentation som är av intresse i behandlingen av personuppgifter.
  • Upprätta och uppdatera biträdesavtal.
  • Fortsätta arbetet med att medvetandegöra efterlevnaden av dataskyddsförordningen.
  • Utreda och skapa rutiner för registrerades rättighet att få tillgång till sina personuppgifter samt information till de registrerade.
  • Upprätta registerförteckning avseende Uppsala universitets system och register som innehåller personuppgifter.
  • Utreda rättsligt stöd, laglig grund, för behandlingarna som sker vid Uppsala universitet.
  • Tillsätta ett Dataskyddsombud.
  • Ta fram rutin för hantering av personuppgiftsincident och tydliggöra ansvar och roller.
  • Utreda säkerhet avseende insamling och hantering av personuppgifter.
  • Undersöka inbyggt dataskydd (så kallat privacy by design).
  • Identifiera system och andra ytor där personuppgifter behandlas.
  • Definiera ”best practice”-skyddsåtgärder för de system som behandlar personuppgifter. Inventera och åtgärda brister i dessa.

Nationellt arbete för reglering av personuppgiftsbehandling i forskning och utbildning

Parallellt med olika myndigheters arbete med att anpassa sig till de nya kraven pågår fortfarande olika utredningar, SOU:er (Statens offentliga utredningar) som kommer leda till lagar som ska komplettera dataskyddsförordningen. Bland annat sker detta inom forskningsområdet som utan tvekan kommer att påverka Uppsala universitets verksamhet i stor utsträckning. Universitetet håller sig löpande uppdaterad om dessa och hoppas kunna delge verksamma vid universitetet information så snart det är möjligt.

Ansvar för personuppgiftsbehandling vid Uppsala universitet

Var och en som är anställd på universitetet är skyldig att behandla personuppgifter i enlighet med dataskyddsförordningen. Det innebär bland annat att man måste veta när man får genomföra en behandling och hur man ska hantera personuppgifter. Inom projektarbetet för genomförandet av dataskyddsförordningen pågår ett omfattande informationsarbete för att underlätta de anställdas anpassning till reglerna och för att mer effektivt ta tillvara de vars personuppgifter behandlas på universitetets rättigheter (”de registrerades rättigheter”).

Om du får dina personuppgifter behandlade av Uppsala universitet, är registrerad, har du en rad rättigheter. Dessa rättigheter innebär:

Rätt till tillgång av personuppgifter

Du som registrerad har rätt att veta om den personuppgiftsansvarige, universitetet, behandlar personuppgifter som rör dig. Om så är fallet har du rätt att få tillgång till personuppgifterna och ytterligare information som bland annat inkluderar att du har de rättigheter som framkommer här. För att få veta om Uppsala universitet behandlar dina personuppgifter, och i så fall vilken grund man har för detta kan man som registrerad begära ett registerutdrag.

Rätt till rättelse

Du som registrerad har rätt att utan onödigt dröjsmål få felaktiga personuppgifter som rör dig rättade. Med beaktande av ändamålet med behandlingen har du också rätt att komplettera ofullständiga personuppgifter.

Rätt till begränsning

Du som registrerad har under vissa omständigheter rätt att kräva att behandlingen begränsas, vilket bland annat kan vara att du anser att personuppgifterna är felaktiga och vill ha dessa rättade. Du kan då begära att behandlingen begränsas under den tid som personuppgifternas korrekthet utreds.

Universitetet har som personuppgiftsansvarig skyldighet att informera dem till vilka personuppgifterna lämnats ut (om så skett) om att den registrerade har begärt begränsning av behandlingen av sina uppgifter. 

Rätt till radering

Du som registrerad har rätt att utan onödigt dröjsmål få dina personuppgifter raderade i vissa situationer. Till exempel: om den lagliga grunden för behandling av dina personuppgifter är samtycke har du rätt till radering av dina personuppgifter om:

  • Personuppgifterna inte längre är nödvändiga för ändamålet för vilket personuppgifterna samlades.
  • Om du återkallar ditt samtycke till behandlingen.
  • Om personuppgifterna behandlas för direkt marknadsföring och du motsätter dig detta.
  • Om dina personuppgifter har behandlats på ett olagligt sätt.
  • Om personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse.

Universitetet har som personuppgiftsansvarig skyldighet att informera dem till vilka personuppgifterna lämnats ut (om så skett) om att den registrerade har begärt radering av sina uppgifter.

Men, det finns undantag från rätten till radering och skyldigheten för den personuppgiftsansvarige att informera andra. Detta gäller om det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet, för att uppfylla en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.

Rätt till dataportabilitet

Du som registrerad har rätt att få ut de personuppgifter som rör dig och som du har tillhandahållit Uppsala universitet i ett strukturerat, allmänt användbart och maskinläsbart format och har rätt att överföra detta till en annan personuppgiftsansvarig i vissa fall.

Rätt att inge klagomål till Datainspektionen

Datainspektionen är den svenska tillsynsmyndigheten som har ansvar för att följa upp efterlevnaden av EU:s dataskyddsförordning. Om du anser att dina personuppgifter blir behandlade på ett sätt som strider mot dataskyddförordningen kan du klaga hos Datainspektionen. Datainspektionen beaktar alla klagomål och avgör sedan om de bör inleda en tillsyn. Se Datainspektionens hemsida för mer information.

Rätt till återkallande

När samtycke lämnas har du också rätt att när som helst återkalla samtycket om du så vill. Detta gör du genom att meddela den som behandlar dina uppgifter att du vill återkalla ditt samtycke.

För behandling som utförs på annan laglig grund än samtycke (t.ex. myndighetsutövning eller allmänt intresse) gäller inte ett återkallande.

Vetskap om automatiserat beslutsfattande, inkl. profilering

Om dina personuppgifter kommer att ligga till grund för automatiserat individuellt beslutsfattande, det vill säga att ett beslut fattas på teknisk väg utan mänsklig inblandning baserat på inhämtade uppgifter, har du rätt att få veta detta. Likaså om detta kommer att inkludera profilering. Profilering innebär allt som oftast att man samlar in information om en person eller flera personer som sedan används för att placera den/dem i en särskild kategori och/eller fastställa kännetecken och beteendemönster hos personen/personerna ifråga för att få ett underlag som man kan göra bedömningar eller fatta beslut utifrån.