Personuppgiftsbehandling vid Stockholms universitet
Här får du samlad information avseende Stockholms universitets behandling av personuppgifter.
Om du utöver denna information har frågor om hur dina personuppgifter behandlas vid universitetet är du välkommen att kontakta universitetet. Kontakta i första hand den förvaltningsavdelning, institution, (centrum, institut eller motsvarande) där dina personuppgifter behandlas vid frågor. Om du inte vet var du ska vända dig med din fråga kan du kontakta universitets registratur: registrator@su.se
Stockholms universitets dataskyddsombud nås på: dso@su.se
Till vilket ändamål behandlas personuppgifter?
Stockholms universitet behandlar personuppgifter för att uppfylla sitt lagstadgade uppdrag som statlig myndighet och universitet, främst som utbildningsanordnare och forskningsinstitution. Universitetet samlar in och behandlar personuppgifter för olika ändamål. Generellt samlar universitetet in och behandlar personuppgifter inom följande områden:
Anställda
Universitetet behandlar personuppgifter i samband med rekryteringsprocessen, under anställningen och i viss utsträckning även efter att anställningen har avslutats. Denna behandling av personuppgifter sker utifrån universitetets behov av kompetensförsörjning, för att fullgöra anställningsavtalet eller för att uppfylla vissa lagkrav, till exempel för att administrera löneutbetalningar och i övrigt hantera personalärenden.
Studerande
Universitetet behandlar personuppgifter avseende studenter, till exempel för kurs- och utbildningsadministration, för examination och för att utfärda examensbevis efter avslutad utbildning. Efter utbildningen kan studenters personuppgifter komma att behandlas exempelvis i universitetets alumnverksamhet eller i eventuella publiceringar som studenten godkänt. Vid ansökan om att bli antagen till en utbildning registreras personuppgifter i högskolornas nationella antagningssystem. Vid antagning överförs personuppgifterna till Ladok, som är universitetets system för studiedokumentation. Förutom att studieresultat dokumenteras i Ladok så sammanställs uppgifterna både för intern statistik och för rapportering till Statistiska centralbyrån i enlighet med förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor.
Forskning
Stockholms universitet är ett forskningsintensivt lärosäte och universitetet är engagerat i en stor mängd internationella och nationella samarbeten. Universitetet samlar in och behandlar personuppgifter inom olika forskningsprojekt. Vilka kategorier av personuppgifter som behandlas beror på vad de olika forskningsprojekten ska undersöka. Vid deltagande i en forskningsstudie får forskningspersonen information från ansvarig forskare om studien och hur personuppgifterna behandlas.
Evenemang
Stockholms universitet samlar in och behandlar personuppgifter inför och vid olika evenemang, till exempel vid konferenser och andra evenemang som anordnas av universitetet där både personal och externa deltagare deltar. I allmänhet använder universitet dessa personuppgifter för att kunna ge deltagarna praktisk information, såsom tid och plats för en konferens. Dessutom kan informationen användas för att kunna kommunicera med deltagare efter konferensen.
Nyhetsbrev, kvalitetsutvärderingar och undersökningar
Universitetet informerar om sin verksamhet och genomför regelbundet kvalitetsutvärderingar och undersökningar som en del i sitt uppdrag i enlighet med lag och förordning (jfr t.ex. Högskolelagen (1992:1434) 1 kap. 2 § och 4 §). Personuppgifter behandlas därmed i samband med nyhetsutskick för att informera om universitetets verksamhet och vid genomförande av undersökningar med syfte att stärka kvaliteten inom universitetets utbildning och forskning.
Rättslig grund för universitetets personuppgiftsbehandling
Stockholms universitet behandlar bara personuppgifter om det finns stöd i lag för det, utifrån någon av de rättsliga grunderna i art. 6 i den allmänna dataskyddsförordningen. Vid universitetet är uppgift av allmänt intresse i enlighet med art. 6.1 (e) den vanligaste rättsliga grunden för universitetets personuppgiftsbehandling, utifrån universitetets lagstadgade uppdrag att bedriva utbildning och forskning samt att samverka med det omgivande samhället (jfr Högskolelagen (1992:1434) 1 kap. 2 §). Andra rättsliga grunder som tillämpas för personuppgiftsbehandling vid Stockholms universitet är framförallt myndighetsutövning (art. 6.1 (e)), rättslig förpliktelse (art. 6.1 (c)) och avtal (art. 6.1 (b)).
Vilka personuppgifter behandlar universitetet?
Stockholms universitet behandlar bara de personuppgifter som är nödvändiga för ändamålet med behandlingen. När universitetet behandlar personuppgifter samlas de flesta personuppgifterna in direkt från den registrerade (den individ vars personuppgifter universitetet behandlar). I vissa fall samlar universitetet även in personuppgifter från andra parter, exempelvis kan uppgifter hämtas från Universitets- och högskolerådet (UHR) eller från Skatteverket.
I allmänhet behandlar universitetet följande personuppgifter:
- Namn, adress, telefonnummer, e-post och för säker identifiering: personnummer. Dessa personuppgifter hanteras till exempel vid jobbansökningar till universitetet, för ansökan och antagning till något av universitetets utbildningsprogram, deltagande i konferens och evenemang, eller vid bokning av universitetets lokaler.
- Bankuppgifter och annan ekonomisk information för ekonomiska transaktioner.
- Information om studieresultat och annan information om studenter hanteras för utbildningsadministration.
- Digitala data, såsom trafikdata, data för anslutning till universitetets nätverk, lokaliseringsdata och andra former av kommunikationsdata, inklusive IP-adresser och data relaterad till enheter (datorer, telefoner och surfplattor samt teknisk data om enhetstyp och operativsystem) behandlas för att säkerställa tillgänglighet till plattformar och digitala applikationer samt för att se till att universitetets nätverkstjänster uppfyller rätt prestanda och säkerhetskrav utifrån universitetets systematiska informationssäkerhetsarbete, lag och förordning.
Känsliga personuppgifter
En del personuppgifter är till sin natur särskilt känsliga och har genom den allmänna dataskyddsförordningen ett starkare skydd. Sådana personuppgifter är uppgifter om:
- etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i en fackförening
- hälsa
- en persons sexualliv eller sexuella läggning
- genetiska uppgifter
- biometriska uppgifter som används för att entydigt identifiera en person.
Inom universitetets verksamhet är det ibland nödvändigt att behandla känsliga personuppgifter som ett led i universitetets uppdrag, till exempel vid ärenden avseende rehabilitering eller särskilda stödåtgärder till studenter med funktionshinder eller inom forskningsprojekt.
När känsliga personuppgifter behandlas vidtar universitetet särskilda skyddsåtgärder. Sådana skyddsåtgärder kan till exempel vara kryptering, tvåfaktorsautentisering, strikt behörighetshantering, pseudonymisering och etikprövning för forskningsprojekt där sådana uppgifter behandlas.
Hur skyddar universitetet dina personuppgifter?
Universitetet arbetar löpande med säkerhetsåtgärder för att skydda sin verksamhetsinformation, inklusive de personuppgifter som behandlas. Universitetet arbetar systematiskt och kontinuerligt med informationssäkerhet samt följer givna standarder på området. Universitetet vidtar säkerhetsåtgärder för skyddet av personuppgifter exempelvis genom policys och tekniska åtgärder såsom krypteringsmetoder, brandväggar och lösenordsskydd.
Vem kan komma att ta del av dina personuppgifter?
Som utgångspunkt får bara de medarbetare vid Stockholms universitet som behöver personuppgifterna i sitt arbete ta del av uppgifterna. Utöver detta har central administrativ personal vid universitetet tillgång till personuppgifter och får ta del av dem vid behov, exempelvis vid felsökning och support.
Personuppgifter kan också komma att lämnas ut till myndigheter som Centrala studiestödsnämnden (CSN), Migrationsverket, Statistiska centralbyrån, Universitetskanslersämbetet, Skatteverket och Försäkringskassan samt till andra myndigheter och organisationer såsom andra högskolor och universitet som universitetet samverkar med. Personuppgifter kan också komma att delas med leverantörer av digitala tjänster och system som universitetet använder sig av för att bedriva sin verksamhet. När universitetet anlitar en extern leverantör för sin informationshantering och personuppgiftsbehandling regleras leverantörens åtagande genom personuppgiftsbiträdesavtal.
I egenskap av myndighet är universitetet skyldig att lämna ut allmänna handlingar som inte omfattas av sekretess till den som begär det. En allmän handling kan innehålla personuppgifter. Innan en allmän handling lämnas ut görs en sekretessprövning enligt offentlighets- och sekretesslagen (2009:400). Om sekretess föreligger lämnas uppgifterna inte ut. Stockholms universitetet delar endast personuppgifter med andra om det är nödvändigt och det finns stöd i lag för det. Universitetet kommer inte att överlämna personuppgifter till andra parter utan rättsligt stöd.
Hur länge lagras personuppgifter?
Stockholms universitet lagrar personuppgifter så länge som det finns ett rättsligt stöd för det och ett ändamål med personuppgiftsbehandlingen. Eftersom universitet har att följa regler om allmänna handlingar i enlighet med tryckfrihetsförordningen (1949:105), arkivlagen (1990:782) samt Riksarkivets föreskrifter kan personuppgifter komma att sparas under längre eller kortare tid och i vissa fall för all framtid i universitetets arkiv. När det inte finns ett ändamål eller rättsligt stöd för behandling eller bevarande av personuppgifterna kommer de att raderas.
Tredjelandsöverföring
Huvudsakligen behandlar universitetet personuppgifter inom EU/EES. Universitetet kan dock vid vissa tillfällen komma att överföra information till ett land utanför EU/EES, till exempel om universitetet anlitar ett personuppgiftsbiträde för behandlingen som, antingen själv eller genom en underleverantör, är etablerat eller lagrar information i ett land utanför EU/EES. Biträdet får i dessa fall endast ta del av den information som är relevant för ändamålet. Biträdets åtaganden gentemot Stockholms universitet regleras via personuppgiftsbiträdesavtal.
Stockholms universitet kan också komma att föra över personuppgifter till tredje land utanför EU/EES i andra fall, framför allt när det gäller internationella forskningssamarbeten och studentutbyten.
Universitetet vidtar alla rimliga juridiska, organisatoriska och tekniska åtgärder som krävs för att uppnå en adekvat skyddsnivå för de personuppgifter som universitetet behandlar vid överföring av personuppgifter utanför EU/EES.
Dina rättigheter
Den allmänna dataskyddsförordningen ger den registrerade ett antal rättigheter.
En begäran om att utnyttja en rättighet är kostnadsfri. Om begäran är uppenbart ogrundad eller orimlig får universitetet antingen ta ut en rimlig avgift eller välja att inte tillmötesgå begäran under förutsättning att universitetet kan visa att begäran är ogrundad eller orimlig.
Universitetet har som utgångspunkt att återkoppla avseende en begäran senast inom en månad. Handläggning av en begäran kan dock dröja upp till tre månader om ärendets volym eller komplexitet kräver det. I så fall kommer universitetet att meddela den som framställt begäran om förseningen.
För att få hjälp med någon av nedanstående rättigheter, kontakta i första hand den förvaltningsavdelning, institution (centrum, institut eller motsvarande) där dina personuppgifter behandlas. Om du inte vet var du ska vända dig kan du kontakta universitetet via universitets huvudregistrator: registrator@su.se
Rätt till tillgång
Rätten till tillgång ger dig rätt att få bekräftelse om Stockholms universitet behandlar dina personuppgifter. Om universitetet behandlar dina personuppgifter har du rätt att begära tillgång till dessa uppgifter och även få ytterligare information om behandlingen, som ändamålet med behandlingen, kategorier av personuppgifter som behandlas, förutsedd lagringstid m.m.
Rätt till rättelse
Du har rätt att begära att få dina personuppgifter hos Stockholms universitet rättade om de är felaktiga. Universitetet har i sådana fall en skyldighet att rätta dina personuppgifter utan onödigt dröjsmål. Du har även rätt att få ofullständiga personuppgifter kompletterade, om de saknade uppgifterna är relevanta för ändamålet med behandlingen.
Rätt att göra invändningar
När Stockholms universitet behandlar personuppgifter med stöd i ett allmänt intresse eller som ett led i myndighetsutövning, har du rätt att invända mot behandlingen. Universitetet får då bara fortsatt behandla uppgifterna om det finns tvingande berättigade skäl till att uppgifterna måste behandlas, eller om behandlingen krävs för att ta tillvara universitets intressen.
Särskilt om att invända mot personuppgiftsbehandling vid nyhetsutskick och undersökningar
Tidigare studenter kan avregistrera sig från nyhetsbrev och förfrågningar om att delta i undersökningar, genom att logga in i LADOK och ta bort sin mejladress därifrån. Övriga som anser att kommunikation och förfrågningar från universitetet inte är relevant för dem kan kontakta den del av Stockholms universitet som kommunikationen kommit från och invända mot behandlingen. Universitetet kommer då att pröva om invändningen kan tillmötesgås eller om universitetet behöver fortsätta behandlingen p.g.a. tvingande berättigade skäl eller för att tillvarata sina intressen (jfr ovan under rubriken Rätt att göra invändningar).
Rätt till begränsning
Du har i vissa fall rätt att kräva att behandlingen av personuppgifter begränsas. Med begränsning menas att uppgifterna markeras så att de i framtiden endast får behandlas för vissa avgränsade syften. Stockholms universitet kan begränsa behandlingen i följande fall:
- Om du hävdar att personuppgifterna inte är korrekta och universitetet behöver tid att kontrollera uppgifternas riktighet.
- Om behandlingen är olaglig och du motsätter dig att personuppgifterna raderas och i stället begär en begränsning av deras användning.
- Om universitetet inte längre behöver personuppgifterna för ändamålen med behandlingen, men du behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
- Om du har invänt mot behandling som hänför sig till din specifika situation och i väntan på kontroll av om universitetets berättigade skäl väger tyngre än dina berättigade skäl.
Rätt till radering
Enligt den allmänna dataskyddsförordningen är Stockholms universitet skyldig att radera personuppgifter utan onödigt dröjsmål om någon av följande grunder föreligger:
- Personuppgifterna inte längre är nödvändiga i förhållande till de ändamål för vilka de samlades in eller på annat sätt behandlades.
- Universitet behandlar dina uppgifter baserat på ditt samtycke, du återkallar ditt samtycke, och universitet inte har någon annan rättslig grund för behandlingen.
- Du invänder mot behandlingen av hur dina personuppgifter hanteras.
- Stockholms universitet har behandlat dina personuppgifter på ett olagligt sätt (dvs. utan rättslig grund).
- Dina personuppgifter måste raderas för att Stockholms universitet ska kunna uppfylla en rättslig skyldighet.
Om dina personuppgifter har lämnats ut till annan part och Stockholms universitet är skyldig att radera uppgifterna, ska universitetet vidta rimliga åtgärder för att informera de andra personuppgiftsansvariga som behandlar dina personuppgifter om att du har begärt radering av dina uppgifter.
Stockholms universitet bevarar personuppgifter i enlighet med tryckfrihetsförordningen (1949:105), arkivlagen (1990:782) samt Riksarkivets föreskrifter. Detta innebär att universitetet inte kan tillmötesgå en begäran om radering av uppgifter som arkiveras i universitetets arkiv.
Rätten till dataportabilitet
När Stockholms universitet behandlar dina personuppgifter med stöd av samtycke eller avtal har du rätt att själv få ut de personuppgifter som du lämnat till universitet för att kunna använda personuppgifterna på annat håll.
Lämna klagomål till Integritetsskyddsmyndigheten
Anser du att Stockholms universitetet behandlar dina personuppgifter i strid med den allmänna dataskyddsförordningen har du rätt att lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY): www.imy.se
Kontakt
Kontakta i första hand den förvaltningsavdelning, institution, (centrum, institut eller motsvarande) där dina personuppgifter behandlas vid frågor. Om du inte vet var du ska vända dig med din fråga kan du kontakta universitets registratur: registrator@su.se
Du kan kontakta dataskyddsombudet vid Stockholms universitet om du har frågor om eller synpunkter på universitetets behandling av personuppgifter genom att skicka en e-post till dso@su.se
Telefonväxel: 08-16 20 00
Senast uppdaterad: 3 december 2024
Sidansvarig: Rättssekretariatet