Vanliga frågor
Klicka på respektive länk nedan för att få svar på den ställda frågan.
- Vad är en personuppgift?
- Vem ansvarar för personuppgiftshanteringen vid LU?
- När och hur ska du behandla personuppgifter?
- Vad är "känsliga" personuppgifter?
- Påverkar dataskyddsförordningen hur du behandlar personuppgifter insamlade innan den 25 maj 2018?
- Hur ska du behandla personuppgifter i vardagen?
- Hur ska kontaktuppgifter till anhöriga hanteras?
- Hur ska du informera de registrerade?
- Vilka rättigheter har den registrerade?
- Vad behöver du göra som driver IT-system med personuppgifter?
- Behöver LU tillämpa dataskyddsförordningen utanför Sverige?
- Inspelning av möten och samtal
Vad är en personuppgift?
En personuppgift är varje upplysning som avser en identifierad eller identifierbar fysisk person (ofta kallad registrerad) som är i livet. Enklare uttryckt handlar det om upplysningar genom vilka personen direkt eller indirekt kan identifieras.
Exempel på upplysningar som i regel fungerar som identifierare är: ett personnamn, ett foto, en adress, en e-postadress, ett person- eller samordningsnummer eller en lokaliseringsuppgift. Andra exempel är faktorer som är specifika för till exempel personens fysiska, psykiska, ekonomiska, kulturella eller sociala identitet.
När det gäller registreringsnummer på fordon, IP-nummer, fastighetsbeteckningar och liknande kan dessa i vissa fall hänföras till en individ. Eftersom det oftast är omöjligt att veta vilka nummer som kan hänföras till en individ och vilka som inte kan det bör vi betrakta alla sådana upplysningar som personuppgifter.
Vem ansvarar för personuppgiftshanteringen vid LU?
Lunds universitet ansvarar för all personuppgiftshantering inom verksamheten och är därmed personuppgiftsansvarig i de allra flesta fall. Ansvaret internt följer delegationsordningen. Vid vissa tillfällen hanteras personuppgiftsbehandlingen av en tredje part och denne agerar då som personuppgiftsbiträde.
När och hur ska du behandla personuppgifter?
Du får hantera de personuppgifter som är nödvändiga för att du ska kunna utföra universitetets uppdrag, forska, utbilda och samverka. Dessutom för för att kunna:
- följa lagar, förordningar och kollektivavtal
- utföra myndighetsutövning
- uppfylla avtal, till exempel inköpsavtal eller samarbetsavtal
Personuppgifterna ska:
- behandlas på ett lagligt, öppet, korrekt och säkert sätt
- vara korrekta
- samlas in för särskilda, uttryckligt angivna och berättigade ändamål
- inte vara för omfattande i förhållande till ändamålet
- inte förvaras längre än vad som krävs för behandlingen
Vad är ”känsliga” personuppgifter?
Dataskyddsförordningen listar särskilda kategorier av personuppgifter som extra känsliga och skyddsvärda. Detta är känsliga personuppgifter:
Personuppgifter som avslöjar
- etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i en fackförening
Behandling av
- genetiska uppgifter och
- biometriska uppgifter som entydigt identifierar en fysisk person (det vill säga personuppgifter som erhålls genom digital behandling av till exempel foto, röst eller fingeravtryck som möjliggör eller bekräftar identifieringen av en fysisk person.)
Uppgifter om en fysisk persons
- hälsa eller
- sexualliv eller sexuella läggning
I princip ska du aldrig samla in uppgifter om personers religion, sexualitet, åsikter eller dylikt om det inte finns stöd i särskild lagstiftning, till exempel arbetsrätten, eller om det finns ett etiktillstånd för forskning på uppgifterna.
Andra typer av uppgifter som också ska betraktas som integritetskänsliga och särskilt skyddsvärda är:
- löneuppgifter
- uppgifter om lagöverträdelser
- värderande uppgifter, till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler
- information som rör någons privata sfär
- uppgifter om sociala förhållanden
Är personnummer en känslig uppgift?
Nej, men vi ska ändå vara extra försiktiga med dem. Personnummer ska endast exponeras då:
- behovet är klart motiverat med hänsyn till ändamålet med behandlingen eller;
- vikten av säker identifiering eller annat beaktansvärt skäl föreligger eller;
- den registrerade gett sitt samtycke till behandlingen eller;
- behandlingen inte kan uppfyllas på annat sätt
Vi påminner här om att utrymmet för universitetet att basera en behandling på samtycke är starkt begränsad.
Läs mer om samtycke till personuppgiftsbehandling genom att klicka här (öppnas i samma fönster)
Påverkar dataskyddsförordningen hur du behandlar personuppgifter insamlade före den 25 maj 2018?
Ja. Alla personuppgifter som fortfarande hanteras ska uppfylla kraven i den nuvarande lagstiftningen även om de är insamlade tidigare.
Hur ska vi behandla personuppgifter i vardagen?
- Använd sunt förnuft
- Använd endast de personuppgifter som behövs.
- Hantera personuppgifter enbart så länge det behövs.
- Var försiktig med personuppgifter du skickar i e-post.
- När du mailar många mottagare använd BCC (hemlig kopia) istället för CC. Du kan med fördel skapa sändlistor i Epic eller listserver.lu.se.
- Undvik att samla in eller lagra personuppgifter i gratistjänster som universitetet inte har avtal med. Exempel på ej avtalade tjänster är:
- Dropbox och Google docs. Här är en översikt över lagringsytor vid LU.
- Google forms. Använd istället Sunet Survey för icke känsliga personuppgifter eller skapa webbformulär i Drupal och Typo3
Doodle. Använd istället kalenderfunktionen i universitets e-postsystem
Hur ska kontaktuppgifter till anhöriga hanteras?
Medarbetares anhöriga
Du kan hantera kontaktuppgifter till anställdas anhöriga med hänvisning till att det är en del av universitetets personalvård. Det innebär att det är frivilligt för medarbetare att uppge anhöriguppgifter, men du behöver inte ha dokumenterat samtycke från de anhöriga.
Studenters anhöriga
För studenter finns inte samma möjlighet att hänvisa till ett ändamål som ger rätt att hantera kontaktuppgifter till anhöriga. Därför behöver du be anhöriga om samtycke om du vill samla in dessa uppgifter.
Tänk på att:
- inte samla in fler uppgifter än nödvändigt. Som regel räcker det med namn och telefonnummer. Att notera vilken relation medarbetaren har till den anhöriga kan till exempel avslöja sexuell läggning och det är en uppgift som inte ska hanteras.
- förvara anhöriglistor säkert. Det bör enbart vara chef, ställföreträdande chef och motsvarande som har tillgång till dem.
Hur ska du informera de registrerade?
Medarbetare och studenter får standardiserad information från universitetet om hanteringen av deras personuppgifter inom ramen för arbete och studier.
Forskningsprojekt där personuppgifter hanteras ombesörjer själv information till registrerade och eventuella samtycken.
Vad gäller till exempel samverkan, rekrytering av studenter och anställda har du som samlar in personuppgifter ansvar för att de registrerade informeras och lämnar samtycke vid behov.
Vilka rättigheter har den registrerade?
Den registrerade har rätt att:
- få information om vilka personuppgifter universitetet hanterar och för vilka syften
- återkalla sitt samtycke ifall hanteringen grundas på samtycke. Som medarbetare måste du ge information om hur den registrerade ska gå tillväga för att återkalla sitt samtycke.
- begära rättelse av personuppgifter.
- lämna klagomål på hur personuppgifterna används. Som medarbetare måste du ge den registrerade information om hur man går tillväga för att lämna klagomål.
OBS! Eftersom universitetet är en statlig myndighet gäller både offentlighetsprincip och arkivlag även för personuppgifter.
Vad behöver du göra som driver IT-system med personuppgifter?
Du behöver säkerställa att systemet förvaltas och rapporteras enligt universitetets systemförvaltningsmodell, baserad på processmodellen PM3.
Behöver Lunds universitet tillämpa dataskyddsförordningen utanför Sveriges gränser?
Dataskyddsförordningen gäller för personuppgiftsbehandling som har anknytning till EU. Detta då antingen för att den som behandlar personuppgifterna är etablerad inom EU eller då någon utanför EU erbjuder tjänster och varor till personer inom unionen eller övervakar deras beteenden här. Det innebär att dataskyddsförordningen är tillämplig på personuppgiftsbehandling som sker inom ramen för Lunds universitets verksamhet. Detta eftersom universitetet är etablerat inom EU. Detta gäller oavsett om behandlingen sker i EU eller utanför unionen och oavsett vilket medborgarskap eller vilken hemvist de berörda personerna har.
Det förekommer ibland påståenden att "dataskyddsförordningen gäller endast för EU-medborgare" eller "dataskyddsförordningen gäller endast för personer som bor i EU". Detta är alltså inte korrekt när det gäller Lunds universitets personuppgiftsbehandling.
Du kan läsa mer om Dataskyddsförordningens syfte och tillämpningsområde genom att klicka på denna länk som tar dig till Integritetsskyddsmyndighetens webbsida imy.se (öppnas i samma fönster).
Inspelning av möten och samtal
Inspelning av arbetsmöten och arbetssamtal utgör i regel en personuppgiftsbehandling. Enligt dataskyddslagstiftningen är behandlingen tillåten endast om det är nödvändigt att spela in mötet eller samtalet för att universitetet ska kunna utföra sitt uppdrag att utbilda, forska och samverka. Möten och samtal på arbetsplatsen sker med anledning av pandemin ofta genom realtidsströmning via t ex Teams. Sådana möten och samtal bör som utgångspunkt spelas in endast om inspelning hade skett om mötet eller samtalet ägt rum på arbetsplatsen.
Samtycke bör inte efterfrågas eftersom arbetstagare anses vara i en beroendeställning till universitetet.
Kontakt
Lunds universitet har ett externt dataskyddsombud; Secure State Cyber AB. Kontaktperson är Sanja Hebib. Har du frågor om dataskydd - kontakta:
dataskyddsombud [at] lu [dot] se (dataskyddsombud[at]lu[dot]se)