Kort om vad som krävs

Vi får inte samla in fler personuppgifter än nödvändigt

  • Enbart för ett visst i förväg bestämt ändamål
  • Den enskilde ska informeras om att vi samlar in personuppgifter

–      vilka uppgifter det handlar om

–      varför vi gör det

–      om uppgifterna ska lämnas vidare.

Inte spara personuppgifter längre än nödvändigt (Vad som ska gallras och bevaras framgår av Mittuniversitetets dokumenthanteringsplan)

  • sparad info måste ha ett syfte och förvaras säkert
  • syftet får inte ändras
  • endast de som behöver informationen ska ha tillgång.

Ha stöd i lagen för att samla in uppgifterna, dvs. det ska finnas en rättslig grund:

  • Rättslig förpliktelse (exv. bokföringsskyldighet, myndighetsutövning)
  • Samtycke (att person efter att ha fått info om hur uppgifterna ska användas godkänner)
  • Avtal (t. ex. anställningsavtal, leverantörsavtal)
  • Intresseavvägning kan också vara rättslig grund, dock ej för oss som myndighet.

Dokumentera hur vi behandlar människors personuppgifter – det finns ett register, Draft-IT, där all behandling av personuppgifter inom universitetet på sikt ska vara registrerade. Detta rör såväl olika system och verktyg som olika studieadministrativa förteckningar etc. Erika Tegström är kontaktperson för detta. Lista över vilka som är systemansvariga inom KOM finns på gemensamma servern under Avdelningen/Personuppgiftshantering. 

Det ska finnas personuppgiftsbiträdesavtal med andra som hanterar ”våra” personuppgifter (exv. Know-IT). 

Ett projekt pågår under 2018 om att ta fram ett ledningssystem för informationssäkerhet där GDPR är en viktig del.