Dataskyddsförordningens viktigaste delar

En personuppgift är en sådan uppgift som kan härledas till en nu levande fysisk person.
Datasskyddsförordningen är tillämpbar på personuppgifter som finns på medium för automatiserad behandling (lagringsmedia som kan läsas av en dator) samt på fysiska handling i den utsträckning sådana handlingar ingår i ett register.

1. Dokumentation

Innan insamlandet av personuppgifter påbörjas ska personuppgiftsansvarig (SU) fastställa för vilket ändamål som personuppgifterna inhämtas (varför behöver du uppgifterna?), vilken personuppgiftsbehandling som ska ske, hur länge personuppgiftsansvarige kommer behålla uppgifterna (lagringstid) samt med vilket rätt personuppgiftsansvarig samlar in och kommer behandla uppgifterna (rättslig grund).

Dessa ställningstaganden ska dokumenteras och föras in i registerförteckningen. Det är du som avser att behandla personuppgifter som i samråd med universitetsförvaltningen ska ta fram denna dokumentation.

2. Information

I samband med insamlandet ska den personuppgiftsansvarige lämna information till den registrerade (den vars personuppgifter samlas in) som syftar till att upplysa om dennes rättigheter. Endast i vissa undantagsfall kan dessa uppgifter lämnas efter det att uppgifterna samlats in.

3. Säkerhet

Från den tidpunkt då den personuppgiftsansvarige får del av den registrerades personuppgifter ska dessa uppgifter behandlas säkert. Beroende på hur känsliga uppgifterna är och mängden uppgifter som behandlas åligger den SU att vidta olika omfattande säkerhetsåtgärder. Denna bedömning utgår ifrån hur stor skadan skulle bli för den registrerade om uppgifter kom någon obehörig till del. 

Kontaktuppgifter till Dataskyddsombudet (DSO)

Benita Falenius
E-post: dso@su.se

Dataskyddsombudet
Stockholms universitet
106 91 Stockholm

Viktiga frågor som verksamhetsansvarig bör kunna besvara

  • Vilka personuppgifter hanteras och för vilka syften?
  • Vems personuppgifter behandlas?
  • Vilken rättslig grund tillämpas för de olika behandlingarna?
  • Hur säkerställs att grundläggande principer för personuppgiftsbehandling följs?
  • Hanteras personuppgifter av någon utanför SU för institutionens/avdelningens räkning?
  • Vilken information lämnas till de registrerade och hur?
  • Hur hanteras de registrerades rättigheter?
  • Hur hanteras begäran om utlämning?