Kortadress hit: www.su.se/gdpr

Personuppgifter är information som innebär att en fysisk person kan identifieras. Avgörande är att informationen, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person för att informationen också ska bedömas som en personuppgift. Vid Stockholms universitet hanteras personuppgifter inom all verksamhet. Verksamheten är skyldig att skydda de personuppgifter som verksamheten hanterar i enlighet med den lagstiftning som gäller för personuppgifter. Skydd för personuppgifter kallas vanligtvis för dataskydd och lagstiftningen som gäller inom detta område kan därför sammanfattas som Dataskyddslagstiftningen. Den allmänna dataskyddsförordningen eller GDPR  är det övergripande regelverket. Dataskyddslagen  är en kompletterande nationell lagstiftning och även Etikprövningslagen  innehåller bestämmelser kopplat till personuppgifter. Dataskydd förhåller sig i övrigt alltid till de lagar och regler som gäller verksamheten i övrigt. Därmed innebär dataskydd ett relativt komplext regelverk som ställer krav på alla verksamheter i förhållande till hur verksamheten får hantera personuppgifter. Kraven kan sammanfattas i tre övergripande krav: Dokumentation, Transparens och Säkerhet. Nedan följer information och rekommendationer avseende hanteringen av personuppgifter inom Stockholms universitets verksamhet. Informationen och rekommendationerna har utformats av dataskyddsombudet vid Stockholms universitet, läs mer om rollen som dataskyddsombud under Roller och ansvar

Begrepp

Personuppgift

Personuppgifter är all information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Personuppgifter är inte bara namn, adress och personnummer utan inkluderar även till exempel bilder (foton) och ljudinspelningar av personer som behandlas/lagras i dator, även om inga namn nämns. Uppgifter som indirekt och/eller aggregerat kan innebära identifikation av en fysisk person räknas som personuppgifter. Krypterade, kodade eller pseudonymiserade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Du kan läsa mer om begreppet personuppgift på Integritetsskyddsmyndighetens (IMY) hemsida.

Känsliga personuppgifter och extra skyddsvärda uppgifter

Vilka personuppgifter som räknas som känsliga framgår av dataskyddslagstiftningen.  Känsliga personuppgifter är uppgifter om
•    etniskt ursprung
•    politiska åsikter
•    religiös eller filosofisk övertygelse
•    medlemskap i en fackförening
•    hälsa
•    en persons sexualliv eller sexuella läggning
•    genetiska uppgifter
•    biometriska uppgifter som används för att entydigt identifiera en person

Personnummer och samordningsnummer är inte känsliga personuppgifter. I den svenska dataskyddslagen har dock personnummer och samordningsnummer fått ett särskilt skydd och betraktas därför som extra skyddsvärda. Personnummer och samordningsnummer får enligt lag endast behandlas när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl eller om särskild lag medger det.
För känsliga och särskilt skyddsvärda personuppgifter gäller särskilda krav, framförallt när det gäller säkerhet för uppgifterna. Läs mer om vad som gäller vid behandling av känsliga och särskilt skyddsvärda uppgifter hos Integritetsskyddsmyndigheten (IMY).

Behandling

Behandling innebär varje åtgärd som någon i verksamheten vidtar med personuppgifter. I GDPR definieras behandling som; en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Pseudonymiserade personuppgifter

Pseudonymiserade personuppgifter innebär att personnummer och namn har ersatts med en kod eller liknande. Koden kan kopplas ihop med namn och personnummer på nytt via en kodnyckel. Kodnyckeln och kodade data ska inte förvaras tillsammans. Så länge det finns en kodnyckel som kan användas för att identifiera individerna betraktas de pseudonymiserade uppgifterna fortfarande som personuppgifter och omfattas av dataskyddslagstiftningen, även om du inte har tillgång till kodnyckeln.

Anonyiserade personuppgifter

Pseudonymiserade uppgifter anonymiseras när kodnyckeln förstörs och det inte längre är möjligt att koppla en person till uppgifterna. Anonymiserade uppgifter betraktas inte som personuppgifter och omfattas inte av dataskyddslagstiftningen. Pseudonymiserade data som är aggregerade skulle kunna anses vara anonymiserade om man säkerställer att det inte går att spåra individerna.

Roller och ansvar

Det är viktigt att förstå de olika rollerna som dataskyddslagstiftningen pekar ut. Medarbetare på Stockholms universitet som hanterar personuppgifter behöver förstå och dokumentera universitetets och övriga inblandade parters roll i hanteringen för att uppfylla kraven i lagstiftningen. Lagstiftningen ställer också krav på avtal mellan olika roller för att ansvaret för personuppgiftsbehandlingar ska vara tydligt.

De registrerade

De registrerade är begreppet som används avseende de individer vars personuppgifter verksamheten behandlar, dvs de individer som berörs av personuppgiftsbehandlingen och vars information universitetet hanterar i någon form. Det kan t.ex. röra anställda och studenter, forskningspersoner eller uppdragstagare i någon form etc. De registrerade skulle enkelt uttryckt kunna sägas vara huvudpersonerna i dataskyddslagstiftningen, eftersom det är de registrerades uppgifter som ska skyddas och tas omhand på ett adekvat sätt. I dataskyddslagstiftningen tillerkänns de registrerade ett antal rättigheter, såsom den allmänt kända rättigheten ”att bli bortglömd” (mer om de registrerades rättigheter nedan).

Dataskyddsombud

Dataskyddsombudet är ett ombud för de registrerade och har därmed en oberoende roll. De flesta organisationer och verksamheter som behandlar personuppgifter måste enligt lagstiftningen utse ett dataskyddsombud. Dataskyddsombudets uppgift är att övervaka att organisationen följer dataskyddslagstiftningen. Detta kan ske dels genom kontroller, men också genom information och rådgivning till organisationen. Dataskyddsombudet kan t.ex. utfärda rekommendationer till den personuppgiftsansvarige. Dataskyddsombudet kan inte ta över den personuppgiftsansvariges uppgifter i förhållande till lagstiftningen och utöva ett ansvar. Det innebär i praktiken att verksamheten behöver förstå med vilken rätt de utför personuppgiftsbehandlingar och se till att lagstiftningen efterlevs genom att uppfylla de krav på dokumentation, transparens och riskanalyser som lagstiftningen ställer.

Integritetsmyndigheten

I varje medlemsstat ska det finnas en tillsynsmyndighet för övervakningen av tillämpningen av dataskyddslagstiftningen. I Sverige utövar Integritetsskyddsmyndigheten (IMY) tillsyn över verksamheter som har att följa dataskyddslagstiftningen. Privatpersoner som är missnöjda med hur en verksamhet behandlar deras personuppgifter kan vända sig till IMY med klagomål och IMY kan fatta beslut och utfärda sanktionsavgifter om de bedömer att en verksamhet inte följer lagstiftningen.

Personuppgiftsansvarig

Den verksamhet som bestämmer varför personuppgifter ska behandlas och hur det ska gå till är personuppgiftsansvarig. En verksamhet kan vara ensamt personuppgiftsansvarig eller gemensamt personuppgiftsansvarig tillsammans med annan verksamhet. Ansvaret för  personuppgiftsbehandlingar inom Stockholms universitet följer de besluts- och delegationsordningar som gäller på universitetet. Detta innebär att rektor har ett övergripande ansvar som är delegerat till de olika verksamhetsgrenarna inom universitetet, som i sin tur har att se till att uppfylla regelverket.

Gemensamt ansvarig

Om universitetet bestämmer varför och hur personuppgifter ska behandlas tillsammans med annan part, t.ex. vid samverkan och forskning, så innebär det ett gemensamt personuppgiftsansvar. Vid gemensamt personuppgiftsansvar ställer lagstiftningen krav på avtal mellan parterna. Kravet på avtal i lagstiftningen finns där för att ansvarsuppfyllande och utförande, såsom till vem de registrerade ska vända sig för att utöva sina rättigheter, ska vara tydligt. Rättssekretariatet tillhandahåller exempelmall för avtal gällande gemensamt personuppgiftsansvar.

Ensam ansvarig

Ibland förekommer flöden av personuppgifter mellan två organisationer utan att situationen innebär ett gemensamt ansvar eller att någon agerar på uppdrag av annan som personuppgiftsbiträde. I dessa fall är organisationerna ensamt ansvariga för sina behandlingar. Det är viktigt att komma ihåg att ändamålen för de olika behandlingarna måste vara förenliga med varandra för att det ska vara tillåtet med en överföring av uppgifter från en part till en annan.

Exempel: När en arbetsgivare skickar personuppgifter till företagshälsovården för ändamålet förbättrad arbetsmiljö för medarbetaren och hälsvårdsföretaget därefter behandlar uppgifterna för ändamålet att erbjuda individen vård, så innebär det att de två olika organisationerna har ensamt ansvar, där ändamålen med de olika behandlingarna ändå är förenliga med varandra.
Ibland kan det finnas önskemål och anledning att reglera flödet av data mellan två ensamt ansvariga i ett datadelningsavtal. För rådgivning, kontakta Rättssekretariatet via Fråga Juristen.

Personuppgiftsbiträde

En verksamhet eller organisation som behandlar personuppgifter på uppdrag och instruktioner av någon annan agerar som personuppgiftsbiträde. Ett personuppgiftsbiträde har inget eget ändamål med behandlingen, utan behandlar uppgifter enbart på uppdrag av annan (dvs den personuppgiftsansvarige). Ett personuppgiftsbiträde kan inte kontrollera personuppgiftsbehandlingen eller ändra på syftet med behandlingen, utan agerar alltid på uppdrag av den personuppgiftsansvarige. Stockholms universitet agerar endast undantagsvis som personuppgiftsbiträde. Ett typiskt personuppgiftsbiträde är en leverantör av IT-system och leverantör av s.k. molntjänster som lagrar och hanterar personuppgifter åt den ansvarige. Om du har behov av ett personuppgiftsbiträdesavtal så finns standardavtalsklausuler för personuppgiftsbiträdesavtal (godkända av IMY). Obs att standardavtalsklausuler inte får ändras. Denna exempelmall, som tillhandahålls av Rättssekretariatet, kan också användas vid behov av personuppgiftsbiträdesavtal, och den mallen kan anpassas.

Registerförteckning

Stockholms universitet är skyldig att föra ett register över sina personuppgiftsbehandlingar. Registret ska inte innehålla de registrerades personuppgifter i sig, utan ska innehålla information om de olika personuppgiftsbehandlingarna som förekommer vid universitetet. Ett register ska enligt lagstiftningen innehålla:

  • Kontaktuppgifter till den personuppgiftsansvarige (dvs kontaktuppgifter till den som delegerats ansvar för den aktuella personuppgiftsbehandlingen enligt besluts- och delegationsordning)
  • Kontaktuppgifter till dataskyddsombudet
  • Ändamålen med behandlingen och rättslig grund för det (varför behandling sker och stödet i lagstiftningen för det)
  • Beskrivning av kategorier av registrerade (t.ex. ”studenter”, ”anställda”)
  • Beskrivning av kategorier av personuppgifter (t.ex. ”namn och e-postadress”)
  • Kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut (t.ex. IT-leverantör), om möjligt specificerat (t.ex. ”Sunet, Vetenskapsrådet”)
  • Överföring av uppgifter till tredjeland (vilket land och vilket rättsligt stöd som finns för överföringen)
  • Tidsperioden för bevarande och gallring av uppgifterna
  • Beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna som tillämpas för behandlingen i fråga

Stockholms universitets registerförteckning

Vid universitetet finns en central registerförteckning som beskriver de personuppgiftsbehandlingar som sker inom universitetets övergripande verksamhetsförmågor. Personuppgiftsbehandlingar inom forskning och samverkan samt studenters behandling av personuppgifter (vid t.ex. examensarbeten) behöver registreras särskilt, eftersom ändamål med behandlingarna och kategorier av personuppgifter kan skilja sig åt beroende på vilka studier som genomförs och hur uppgifterna hanteras inom det specifika projektet/studien. Varje institution ansvarar för att ha ett eget uppdaterat register över forskning och samverkan samt för personuppgiftsbehandlingar inom studentarbeten. Institutioner kan använda excel-mallen Registerförteckning institution som tillhandahålls av Rättssekretariatet för detta syfte. Registret ska vara tillgängligt i elektroniskt format och hållas uppdaterat. På begäran ska det göras tillgängligt för dataskyddsombudet och IMY. Register över behandlingar av personuppgifter (artikel 30 GDPR) (68 Kb)

Detta gäller vid personuppgiftsbehandling

Dataskyddslagstiftningen ställer upp ett antal krav och huvudprinciper som universitetet behöver följa vid hantering av personuppgifter.

  • Principen om laglighet, korrekthet och öppenhet - Personuppgiftsbehandlingen ska följa dataskyddslagstiftningen och ske på ett transparent vis i förhållande till den registrerade.
  • Principen om ändamålsbegränsning - Personuppgifter får bara behandlas för särskilda, tydligt angivna och berättigade ändamål.
  • Principen om uppgiftsminimering – Endast de personuppgifter som är nödvändiga för att uppnå ändamålet får behandlas.
  • Principen om riktighet - Personuppgifterna ska vara riktiga och uppdaterade.
  • Principen om lagringsminimering - Personuppgifterna får inte sparas längre än nödvändigt.
  • Principen om integritet och konfidentialitet - Personuppgifterna ska hanteras säkert och ges tillräckligt skydd.
  • Principen om ansvarsskyldighet – Det ska alltid finnas en ansvarig för personuppgiftsbehandlingen som kan visa att principerna efterlevs

Laglighet

För att en personuppgiftsbehandling ska vara laglig måste det först och främst finnas en rättslig grund för behandlingen.

Rättslig grund

För behandling av personuppgifter ställer dataskyddslagstiftningen krav på att det finns stöd i en av GDPR:s definierade rättsliga grunder. Den som ansvarar för en personuppgiftsbehandling måste känna till och dokumentera den rättsliga grunden för sin behandling. Vid universitetet tillämpas framförallt fem rättsliga grunder, där uppgift av allmänt intresse (art. 6.1 e GDPR) är den vanligaste grunden för universitetets behandling av personuppgifter.

Uppgift av allmänt intresse - art. 6.1 e) GDPR

I GDPR stadgas att personuppgiftsbehandling är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse som ska vara fastställd antingen genom unionsrätten eller en medlemsstats nationella rätt. Därför måste uppgiften av allmänt intresse alltid utgå från lag, förordning eller annat uppdrag som universitetet fått av riksdag eller regering, såsom exempelvis regleringsbrev.

Av 1 kap. 2 § Högskolelagen (1992:1434), HL framgår att universitetets uppdrag är att bedriva utbildning och forskning och att det i universitetets uppgift ska ingå att samverka med det omgivande samhället för ömsesidigt utbyte och verka för att den kunskap och kompetens som finns vid universitetet kommer samhället till nytta. Mycket av verksamheten vid ett lärosäte utgår från detta uppdrag, som därmed utgör grunden för att hantera de personuppgifter som är nödvändiga för att kunna utföra uppgiften.

Exempel på uppdrag av allmänt intresse:

  • Forskning och samverkan
  • Nödvändiga stödverksamheter som styrning och ledning, ekonomi, lokalförsörjning, IT-stöd med flera
  • Uppdragsutbildning
  • Publika evenemang
  • Nyhetsbrev

Rättslig förpliktelse - art. 6.1 c) GDPR

Om det finns en lag, författning eller ett kollektivavtal som säger att universitetet måste behandla vissa uppgifter så får du lov att hantera de personuppgifter som är nödvändiga för att kunna utföra dessa med stöd i den rättsliga grunden rättslig förpliktelse.
Exempel på rättsliga förpliktelser finns i förordning [1993:1153] om redovisning av studier m.m. vid universitet och högskolor (Ladokförordningen). Där anges bland annat att:

  • Universitetet ska dokumentera vissa uppgifter om varje student (2 kap. 3 §),
  • för vilka ändamål uppgifter i studieregistret får användas (2 kap. 2 §), och
  • till vilka universitetet får lämna ut uppgifter ur studieregistret med stöd av förordningen (2 kap. 6 §).

Myndighetsutövning - art. 6.1 e) GDPR

Du får lov att hantera personuppgifter när det är nödvändigt som ett led i myndighetsutövningen. Myndighetsutövning motsvarar vid universitetet bland annat antagning av studenter, examination eller utfärdande av examensbevis.

Avtal - art. 6.1 b) GDPR

Det är tillåtet att hantera personuppgifter när det behövs för att fullfölja avtal som universitetet har ingått eller kommer att ingå med en enskild person.

Samtycke - art. 6.1 a) GDPR

Vid vissa tillfällen kan en person ge sitt samtycke till att universitetet hanterar hens personuppgifter. Tänk på att samtycket ska vara frivilligt, informerat och dokumenterat. Du ska inte be personer som står i beroendeställning till universitetet om samtycke. Detta innebär att du som regel inte kan använda samtycke som rättslig grund för anställda och studenter. En vanlig missuppfattning är att det alltid krävs samtycke för att få behandla personuppgifter, men i många fall är det inte lämpligt eller ens möjligt att stödja sig på samtycke. Om behandlingen av personuppgifter kan ske med stöd av någon annan rättslig får dessutom inte samtycke användas. Överväg därför någon av de andra rättsliga grunderna i första hand.

Konsekvensbedömningar och förhandssamråd

Innan man inleder en behandling av personuppgifter som kan leda till en hög risk för integritetsintrång till exempel ett omfattande register med känsliga personuppgifter, måste man bedöma konsekvenserna för de registrerade (konsekvensbedömning). Om man bedömer att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken måste man samråda med tillsynsmyndigheten (förhandssamråd).

Kontakta universitetets dataskyddsombud, dso@su.se, när en konsekvensbedömning ska genomföras.

De registrerades rättigheter 

De personer vars personuppgifter behandlas, de registrerade, har ett antal rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär i korthet att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har de bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta sina uppgifter. De registrerades rättigheter har utökats, förstärkts och specificerats i dataskyddsförordningen.  

Rättigheterna är:

  • Rätt till information
    • Den registrerade har rätt att få information när hans eller hennes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige både när uppgifterna samlas in och när den registrerade annars begär det. Därutöver finns det vissa tillfällen när särskild information ska ges till den registrerade, till exempel om det inträffar ett dataintrång eller liknande (en personuppgiftsincident) hos den personuppgiftsansvarige och det finns risk för till exempel identitetsstöld eller bedrägeri.
    • Informationen ska tillhandahållas den registrerade kostnadsfritt i en lättillgänglig, skriftlig form (vilket kan vara i elektronisk form) och med ett tydligt och enkelt språk. I dataskyddsförordningen anges utförligt vilken information som ska ges. Bland annat ska information lämnas om kontaktuppgifter till den personuppgiftsansvarige, den rättsliga grunden för behandlingen och ändamålet med behandlingen.
  • Rätt till rättelse
    • Varje person har rätt att vända sig till universitetet och be att få felaktiga uppgifter rättade. Det innebär också att den enskilde har rätt att komplettera med sådana personuppgifter som saknas och som är relevanta med hänsyn till ändamålet med personuppgiftsbehandlingen. Att den som behandlar personuppgifter också själv måste se till att uppgifterna är korrekta och uppdaterade framgår redan av de grundläggande principerna i dataskyddsförordningen.
    • Om uppgifter rättas på den enskildes begäran måste universitetet också informera dem som de har lämnat ut uppgifter till om att uppgifter rättats. Det gäller dock inte om det skulle visa sig omöjligt eller innebär en alltför betungande insats. Den enskilde har också rätt att begära att få information om till vem uppgifter har lämnats ut.
  • Rätt till radering ("rätten att bli bortglömd")
    • Varje person har rätt att vända sig till universitetet som behandlar personuppgifter och be att uppgifterna som avser honom eller henne raderas. Uppgifterna måste raderas i följande fall:
    • Om uppgifterna inte längre behövs för de ändamål som de samlades in för
    • Om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
    • Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att uppgifterna behandlas
    • Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den enskildes intresse
    • Om personuppgifterna har behandlats olagligt
    • Om radering krävs för att uppfylla en rättslig skyldighet
    • Om personuppgifterna avser barn och har samlats in i samband med att barnet skapar en profil i ett socialt nätverk
    • Om uppgifter raderas på den enskildes begäran måste universitetet också informera dem som de har lämnat ut uppgifter till om raderingen. Det gäller dock inte om det skulle visa sig omöjligt eller innebär en alltför betungande insats. Den enskilde har också rätt att begära att få information om till vem uppgifter har lämnats ut.
    • När personuppgifterna har publicerats eller på annat sätt gjorts offentliga (i ett socialt nätverk, ett internetforum eller på en webbsida) räcker det inte alltid att de raderas där. I dessa situationer ska den som offentliggjort uppgifterna också vidta rimliga åtgärder för att informera andra som behandlar uppgifterna om den enskildes begäran så att även kopior av eller länkar till uppgifterna tas bort.
    • Det finns undantag från rätten till radering och skyldigheten att informera andra om det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet, för att uppfylla en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.
  • Rätt till begränsning av behandling
    • Enskilda har i vissa fall rätt att kräva att behandlingen av personuppgifter begränsas. Med begränsning menas att uppgifterna markeras så att dessa i framtiden endast får behandlas för vissa avgränsade syften.
    • Rätten till begränsning gäller bland annat när den registrerade anser att uppgifterna är felaktiga och begärt rättelse. I sådana fall kan den registrerade även begära att behandlingen av uppgifterna begränsas under tiden uppgifternas korrekthet utreds.
    • När begränsningen upphör ska den enskilde informeras om detta.
  • Dataportabilitet
    • Den som har lämnat sina personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll till exempel i en annan social medietjänst (rätten till dataportabilitet). Den som har tagit emot personuppgifterna är skyldig att underlätta en sådan överflyttning av personuppgifter. En förutsättning är att denna behandlar personuppgifterna med stöd av ett samtycke från den registrerade eller för att uppfylla ett avtal med den registrerade och det gäller bara sådana personuppgifter som den registrerade själv har lämnat. Rätten till dataportabilitet är en nyhet i dataskyddsförordningen.
  • Rätt att göra invändningar
    • En enskild har i vissa fall rätt att invända mot universitetets behandling av hans eller hennes personuppgifter.
    • Rätten att invända gäller när personuppgifter behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning.
    • Om den enskilde invänder mot behandlingen i sådana fall får universitetet endast fortsätta att behandla uppgifterna om det går att visa att det finns tvingande berättigade skäl till att uppgifterna måste behandlas som väger tyngre än den enskildes intressen, rättigheter och friheter eller om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk.
    • Den enskilde har alltid rätt att invända mot att hans eller hennes personuppgifter används för direkt marknadsföring. En sådan invändning kan göras när som helst. Görs en invändning mot direkt marknadsföring, får personuppgifterna inte längre behandlas för sådana ändamål.
    • Särskilda regler gäller för personuppgifter som behandlas för vetenskapliga och historiska forskningsändamål eller statistiska ändamål.
    • Universitetet måste informera de registrerade om rätten att göra invändningar.
  • Automatiserat beslutsfattande, inbegripet profilering
    • Den enskilde har rätt att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande, inbegripet profilering, om beslutet kan ha rättsliga följder för den enskilde eller på liknande sätt i betydande grad påverkar honom eller henne.
    • Automatiserat beslutsfattande kan till exempel vara ett automatiserat avslag på en kreditansökan på internet eller vid ett nekande besked från e-rekrytering via internet utan personlig kontakt.
    • Automatiserat beslutsfattande kan vara tillåtet om det är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige eller om den enskilde har gett sitt uttryckliga samtycke. Det kan även vara tillåtet enligt särskild lagstiftning.
    • Den personuppgiftsansvarige måste informera de registrerade om att automatiserat beslutsfattande används enligt den generella informationsskyldigheten i förordningen.
    • Automatiserade beslut kan fattas med eller utan profilering. Omvänt kan profilering användas utan att det leder till ett automatiserat beslut. Profilering innebär varje form av automatisk behandling av personuppgifter då uppgifterna används för att bedöma vissa personliga egenskaper, i synnerhet för att analysera eller förutsäga personens arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.
    • Profilering utgör en behandling av personuppgifter som måste utföras i enlighet med samtliga bestämmelser i dataskyddsförordningen.
  • Klagomål
    • Den som anser att någon behandlar uppgifter om honom eller henne i strid med dataskyddsförordningen kan lämna in ett klagomål till Datainspektionen. Datainspektionen tar del av alla klagomål och bedömer om tillsyn ska inledas och lämnar därefter besked till den som fört fram klagomålet. Datainspektionen måste meddela om tillsyn ska inledas eller inte inom tre månader efter att ha tagit emot klagomålet. Om den klagande inte får besked inom den tiden, kan han eller hon vända sig till domstol för att begära besked.
  • Skadestånd
    • En person som har lidit skada på grund av att hans eller hennes personuppgifter har behandlats i strid med dataskyddsförordningen kan ha rätt till skadestånd av den eller de personuppgiftsansvariga som medverkat vid behandlingen.
    • Ett personuppgiftsbiträde kan också bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den ansvariges instruktioner.
    • Den enskilde kan begära skadestånd från den personuppgiftsansvarige eller personuppgiftsbiträdet eller väcka skadeståndstalan i domstol.
    • Den som lidit skada har i princip rätt att få ersättning för hela skadan av antingen den personuppgiftsansvarige eller personuppgiftsbiträdet. De får sedan i sin tur reglera detta sinsemellan. En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.

Dataskyddsombud

Vid universitetet finns det ett dataskyddsombud. Kontakta alltid dataskyddsombudet, dso@su.se, vid incidenter, samt vid behov av råd och stöd i frågor som rör personuppgiftsbehandling.