Registrera behandling av personuppgifter
SLU måste som personuppgiftsansvarig kunna redovisa att vi behandlar personuppgifter på ett sätt som överensstämmer med dataskyddsförordningen (GDPR). Därför behöver vi föra register över alla våra personuppgiftsbehandlingar där det redogörs för hur behandlingarna går till.
Ansvar och typer av behandling
Fyra olika typer av behandling kan registreras. Nedan beskrivs hur ansvaret för de olika typerna är fördelat. Att ansvara för att nya behandlingar av personuppgifter registreras innebär inte att det är den personen som måste göra anmälan. Den som är ansvarig ska dock säkerställa att all personal inom institutionen/avdelningen/enheten vet att en sådan att anmälan ska göras. Det är även den ansvariga som har ansvar för att den årliga revisionen genomförs.
System
Systemets förvaltningsledare ansvarar för att det registreras. Med system avses IT-system som lagrar eller på annat sätt behandlar personuppgifter. Ett system kan ha flera ändamål och vid registreringen ska samtliga ändamål anges.
Annan behandling
Under "Annan behandling" ska behandlingar som inte sker enbart i ett IT-system registreras. Till exempel kan det vara behandlingar som sker genom att personuppgifter lagras i mappar med behörighetsstyrning. Avdelningschefer, enhetschefer eller administrativa chefer vid institutionerna ansvarar för att denna typ av behandlingar registreras.
Forskningsprojekt
Prefekterna ansvarar för att forskningsprojekt anmäls till registret. Om ett forskningsprojekt i något stadium inkluderar personuppgifter om forskningspersoner ska det registreras i registret även om slutresultatet inte innehåller personuppgifter. Till exempel ska arbeten som innehåller kontaktuppgifter till forskningspersoner för att genomföra intervjuer registreras. Projekt som enbart innehåller uppgifter om kontaktpersoner hos olika forskningsparter/organisationer ska däremot inte registreras.
Självständigt arbete
Handledarna för självständiga arbeten (examensarbeten) ansvarar för att dessa arbeten anmäls till registret om de i något stadium inkluderar personuppgifter. Det gäller även om slutresultatet inte innehåller personuppgifter. Till exempel ska arbeten som innehåller kontaktuppgifter för att genomföra intervjuer registreras.
Registrera och visa behandlingar
Fält i registreringsformuläret markerade med * är obligatoriska.
Behandling som inte behöver anmälas
Det finns en hel del typer av behandling som omfattas av en större behandling som redan är anmäld. Det rör sig framför allt om behandling rörande
- personal
- ekonomisk administration
- nyhetsbrev
- studentadministration, betyg och liknande
- underlag för konferenser och olika träffar
- kompetensförsörjning
- stipendieutdelning
- kontaktuppgifter till anställda
- kontaktuppgifter till professionella nätverk
Om du är osäker på om du ska anmäla en behandling eller inte så är det alltid bättre att göra det än att låta bli. Du kan hitta mer information på sidan med vanliga frågor.
Vad är känsliga personuppgifter?
Känsliga personuppgifter: personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydligt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.