Verksamhetssystem, process och övrigt

Anmälan om personuppgiftsbehandling i system, process eller annat arbete vid lärosätet.

Behandling av personuppgifter omfattar dataskydd som i sin tur är en kombination av juridik, informationssäkerhet, IT-säkerhet och organisationsarbete. Syftet är att skydda den vars personuppgifter behandlas.

Registerförteckning

Vid upprättande av ett register för lärosätets verksamhetssystem innehållande personuppgifter så ska detta anmälas till högskolans dataskyddsombud via avsedd digital blankett. Genom denna anmälan sker då också en diareföring. 

Ändring eller avanmälan ska också göras via avsedd digital blankett.

Anledningen till anmälnings-/avanmälningskravet är att högskolan enligt dataskyddsförordningen är skyldig att föra ett register över alla pågående behandlingar på högskolan. För att kunna leva upp till detta behöver ombudet få in anmälan/avanmälan.

Ny anmälan för behandling av personuppgifter i verksamhetssystem

Ändring eller avanmälan gällande behandligen

Checklista och arbetsordning

Genom att gå igenom punkterna i den här checklistan kan du kontrollera om IT-tjänsten lever upp till de krav som ställs vid behandling av personuppgifter. Har du därefter frågor kan du kontakta högskolans dataskyddsombud. Innan du använder checklistan bör du ta del av högskolans information på webben om behandling av personuppgifter. 

  1. Personuppgifter: Kommer personuppgifter (uppgifter som på något sätt går att koppla till en person som är i livet) att behandlas i tjänsten?
    Personuppgifter ska bara behandlas om det är nödvändigt. Går det istället att använda anonyma uppgifter? Om uppgifterna är anonyma och inte på något sätt kan kopplas till person omfattas de inte av dataskyddsförordningen och du behöver inte använda dig av checklistan. Observera att kodade personuppgifter omfattas av dataskyddsförordningen så länge det finns en kodnyckel.

    Känsliga personuppgifter eller extra skyddsvärda personuppgifter: Kommer känsliga personuppgifter behandlas? Det vill säga uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa, sexualliv eller sexuella läggning, genetiska uppgifter eller biometriska uppgifter. Kommer extra skyddsvärda personuppgifter att behandlas? Så som till exempel personnummer, vissa uppgifter om lön, skyddade personuppgifter, sekretessbelagda uppgifter, uppgifter om lagöverträdelser, uppgifter om sociala förhållanden, uppgifter som ligger nära den privata sfären, beskrivningar och värderingar av personliga egenskaper.
    Ställer större krav på hanteringen. Går det istället att uppnå samma ändamål med anonyma uppgifter? Se ovan.

  2. Rättslig grund: Vilken rättslig grund kommer behandlingen baseras på?  
    Till exempel avtal, rättslig förpliktelse, myndighetsutövning, allmänt intresse eller samtycke.

  3. Information: Är de registrerade informerade i enlighet med kraven i dataskyddsförordningen? 
    Följande ska framgå: Ändamål med behandlingen (till exempel utbildning, forskning eller samverkan), rättslig grund för behandlingen (till exempel avtal, myndighetsutövning, allmänt intresse), vilka som kommer kunna ta del av uppgifterna (till exempel medarbetare, studenter, allmänheten, andra myndigheter), hur länge uppgifterna sparas (till exempel så länge de behövs för ändamålet och så länge som krävs enligt lagar och andra föreskrifter), rätten för deltagare att få tillgång till uppgifterna och få fel rättade, rätten för deltagare att återkalla samtycke, att Högskolan Dalarna är personuppgiftsansvarig, kontaktuppgifter till dataskyddsombudet på högskolan (dataskydd@du.se), deltagarnas rätt att framföra klagomål till Integritetsskyddsmyndigheten, IMY.

  4. Ändamålsbegränsning: Behandlas uppgifterna för särskilda, uttryckligt angivna och berättigade ändamål?

  5. Uppgiftsminimering: Är uppgifterna adekvata, relevanta och inte för omfattande i förhållande till ändamålet?

  6. Lagringsminimering: Hur länge ska uppgifterna lagras för ändamålet?
    Personuppgifter får lagras så länge de behövs för ändamålet och så länge som krävs enligt lagar och andra föreskrifter. Kontakta arkivfunktionen vid frågor om bevarande/gallring (arkiv@du.se).

  7. Överföring till tredje land: Kommer uppgifter överföras utanför EU/EES?
    Det är bara tillåtet i vissa fall. Kontakta dataskyddsombudet innan eventuell överföring påbörjas (dataskydd@du.se).

  8. Personuppgiftsbiträde: Kommer tredje part att behandla personuppgifterna? Till exempel en leverantör av en IT-tjänst?
    Kontakta dataskyddsombudet innan eventuellt avtal undertecknas (dataskydd@du.se).

  9. Riskanalys: Har riskanalys gjorts och dokumenterats?
    Analysera riskerna med behandlingen och dokumentera dina slutsatser, till exempel som en del av systemdokumentationen.

  10. Säkerhetsåtgärder: Har nödvändiga säkerhetsåtgärder vidtagits baserat på riskanalysen, och har dessa åtgärder dokumenterats, till exempel i systemdokumentationen?

  11. Konsekvensbedömning och förhandssamråd: Visar genomförd riskanalys att det behövs en konsekvensbedömning eller förhandssamråd på grund av särskilt allvarliga risker för de registrerade? Dataskyddsombudet finns i så fall tillgängligt för råd och stöd.

  12. Anmälan: Är behandlingen anmäld till dataskyddsombudet via avsedd digital blankett ”Anmälan av behandling av personuppgifter i verksamhetssystem”? Den digitala blanketten återfinns på högskolan webb. 
    Anledningen till anmälningskravet är att högskolan enligt dataskyddsförordningen är skyldig att föra ett register över alla pågående behandlingar på högskolan. För att kunna leva upp till detta behöver ombudet få in anmälan. 
  1. Korrekthet: Säkerställ att behandlade uppgifter korrekta. Finns rutiner för detta?

  2. Registrerades rättigheter: Hantera eventuell begäran från deltagare om att tillvarata sina rättigheter, till exempel återtagande av samtycke. Kontakta dataskyddsombudet vid frågor eller om begäran gäller andra rättigheter, till exempel registerutdrag (dataskydd@du.se).

  3. Personuppgiftsincidenter: Rapportera snarast eventuella personuppgiftsincidenter, till exempel förlust av uppgifter eller risk för obehörig åtkomst till uppgifter till support@du.se
  1. Avsluta behandling: Avidentifiera, arkivera eller radera (gallra) uppgifterna i enlighet med gällande föreskrifter. Kontakta arkivfunktionen vid frågor, arkiv@du.se.

  2. Avanmälan: Meddela dataskyddsombudet när behandlingen upphör via avsedd digital blankett ”Ändring eller avanmälan gällande behandlingen”.  Den digitala blanketten återfinns på högskolans webb.  
Senast granskad: