Vanliga frågor om dataskydd
Här hittar du svar på vanliga frågor om dataskydd och personuppgifter.
Vad är en personuppgift?
All slags information som direkt eller indirekt kan kopplas till en fysisk person som är i livet räknas som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter, även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer och användarkonto, räknas som personuppgifter om de kan kopplas till fysiska personer.
Information om företag är inte personuppgifter. Undantaget är om företaget är en så kallad enskild firma, vilket innebär att företagets organisationsnummer är ägarens personnummer. Då räknas även information om företaget som personuppgifter.
Vad är behandling av personuppgifter?
Med behandling menas allt man gör med personuppgifter. Exempel på behandling av personuppgifter är: insamling, registrering, lagring, bearbetning och spridning.
När måste jag följa reglerna?
Så fort du behandlar personuppgifter för SLU:s räkning på ett automatiserat eller delvis automatiserat vis.
Vad gäller för SLU:s studenter?
Dataskyddsförordningens regler gäller för behandling som SLU:s studenter utför, om SLU bestämmer ändamålet med behandlingen. Detta gör att det vanligtvis blir aktuellt framför allt vid enkätundersökningar.
Hur registrerar jag en behandling?
Använd formuläret som det länkas till från sidan om att registrera behandling av personuppgifter.
Jag har adresslistor till prenumeranter på nyhetsbrev, får jag det? Behöver jag ha deras samtycke?
Ja, det får du. Enligt 6 § myndighetsförordningen samt 1 kap. 2 § högskolelagen ska en myndighet/lärosäte informera om sin verksamhet. Nyhetsbrev är ett sätt att göra detta.
Eftersom det står i lag att vi ska informera om vår verksamhet så är nyhetsbreven något som vi gör för att uppfylla en uppgift av allmänt intresse, vilket gör att vi inte behöver den registrerades samtycke. Trots detta ska det alltid vara så att man på ett enkelt sätt kan avbryta sin prenumeration på nyhetsbrevet. Om en person inte vill ha information från SLU ska de heller inte få det.
När en person har skrivit upp sig för att få nyhetsbrev ska personen få information om hur vi behandlar personuppgifterna för detta ändamål. Det gör du enklast genom att länka till https://www.slu.se/om-slu/kontakta-slu/personuppgifter på en tydlig plats i nyhetsbrevet.
Om vi i nyhetsbrevet ägnar oss åt marknadsföring av produkter eller tjänster så blir marknadsföringslagen aktuell, och då måste en person acceptera att få marknadsföringen på förhand.
Jag har adresslistor till både interna och externa kontakter inom olika samarbeten. Får jag ha det?
Ja, det får du. Så länge det är nödvändigt för ditt arbete att du har kontakt med de människor vars personuppgifter som du har så är det tillåtet för dig att behandla de personuppgifterna.
Behöver jag anmäla alla mina listor och Excelblad?
Nej, det behöver du inte. Det som är det viktiga är inte själva dokumenten eller filen, utan vad du gör med personuppgifterna. I väldigt många fall så omfattas det du gör med personuppgifter av en behandling som gäller för hela din avdelning. Det är framför allt när du planerar en verksamhet eller gör någonting unikt som det är viktigt att anmäla sin behandling.
Får vi kräva att studenterna har kamera på under icke-obligatoriska moment?
Nej, vi kan inte kräva det. Det är inte nödvändig behandling av personuppgifter.
Får vi kräva att studenterna har kamera på under obligatoriska moment?
Ja, men bara om det är nödvändigt för att kunna bedöma deltagandet i momentet.
Påverkas detta av huruvida momentet spelas in eller inte och om studenterna i så fall hörs/syns (vilket de normalt inte gör när vi spelar in)?
Inspelning är en separat fråga från kamera på eller inte. Utgångspunkten är att inspelning av studenterna inte ska förekomma. Om det bara går att spela in alla mötesdeltagare, det vill säga det går inte att bara spela in den som är mötesvärd, är utgångspunkten att inspelning inte är tillåtet.
Ska jag hämta in samtycke från alla jag har kontakt med?
Nej. Eftersom SLU är en myndighet så är det ganska sällan vi kommer att använda oss av samtycke för att behandla personuppgifter. Detta beror på att det i många fall är så att vi behandlar personuppgifter på grund av en lag. Då ska man inte använda samtycke som grund för personuppgiftsbehandling. Du kan läsa mer om rättsliga grunder i dataskyddshandboken.
Länkar
- Ord och begrepp inom dataskydd