Grundläggande principer och ansvar vid behandling av personuppgifter
Denna sida beskriver de grundläggande principerna och kraven enligt dataskyddsförordningen (GDPR) vid behandling av personuppgifter om anställda vid Mittuniversitetet, inklusive tidigare anställda och arbetssökande, samt universitetets ansvar för dokumentation och riskbedömningar.
För att en personuppgiftsbehandling ska vara laglig måste det först och främst finnas en rättslig grund för behandlingen.
Rättslig grund för behandling av anställdas personuppgifter
För att behandling av personuppgifter ska vara laglig krävs att den har stöd i någon av de rättsliga grunder som anges i dataskyddsförordningen.
Vid Mittuniversitetet är det framför allt följande rättsliga grunder som är aktuella vid behandling av personuppgifter om anställda, tidigare anställda och arbetssökande:
Uppgift av allmänt intresse eller myndighetsutövning (artikel 6.1 e)
Eftersom Mittuniversitetet är en statlig myndighet grundar sig en stor del av personaladministrationen på att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Det kan exempelvis gälla anställningsadministration, diarieföring, handläggning av ärenden och uppfyllande av krav enligt högskolelagstiftningen.
Rättslig förpliktelse (artikel 6.1 c)
Behandling kan vara nödvändig för att uppfylla skyldigheter enligt lag, exempelvis arbetsmiljölagstiftning, skatteregler, bokföringskrav eller regler om allmänna handlingar.
Avtal (artikel 6.1 b)
Viss behandling är nödvändig för att fullgöra ett anställningsavtal eller för att vidta åtgärder inför att ett avtal ingås, exempelvis i samband med rekrytering eller löneutbetalning.
Samtycke (artikel 6.1 a)
Samtycke ska användas restriktivt i anställningsförhållanden eftersom det finns en beroendeställning mellan arbetsgivare och arbetstagare. Det kan vara aktuellt i undantagsfall, exempelvis vid publicering av fotografier eller annan frivillig medverkan som inte är nödvändig för anställningen.
Vid behandling av känsliga personuppgifter, exempelvis uppgifter om hälsa, krävs dessutom särskilt stöd enligt artikel 9 i dataskyddsförordningen.
Den rättsliga grunden ska alltid fastställas innan behandlingen påbörjas och dokumenteras i universitetets förteckning över personuppgiftsbehandlingar.
Alla personuppgiftsbehandlingar måste även uppfylla de grundläggande principer som anges i dataskyddsförordningen, dessa principer kan ses som kärnan i dataskyddsförordningen. Principerna gäller för all personuppgiftsbehandling, och det är viktigt att alla verksamma vid MIUN förstår och tillämpar dem. Vidare måste också övriga principer och bestämmelser i dataskyddsförordningen och i annan kompletterande lagstiftning uppfyllas och följas.
Laglighet, korrekthet och öppenhet
Personuppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.
Ändamålsbegränsning
Personuppgifterna ska samlas in för specifika ändamål och inte senare behandlas på ett sätt som inte är förenligt med dessa ändamål. Det vill säga att ni måste ange varför behandlingen är nödvändig för det ändamål som den rättsliga grunden stödjer. Att ange ”administration”, ”forskning” eller ”ekonomisystem” är inte tillräckligt detaljerat, då den registrerade inte kan göra bedömningen av vad behandlingen innebär.
Grundtanken är att den registrerade ska kunna förutse vad som kommer hända med dennes information när du behandlar den. Uppgifterna får sedan bara behandlas för ändamål som är förenliga med det ändamål för vilket de samlades in.
Arkivering, behandling för statistiska ändamål och vetenskapliga forskningsändamål anses inte vara oförenliga med det ursprungliga ändamålet. Därför kan exempelvis uppgifter från befolkningsregister och hälso- och sjukvården användas i forskningen.
Uppgiftsminimering
Personuppgifterna ska inte vara för omfattande i förhållande till de ändamål som de behandlas för. Det innebär att du endast får samla in uppgifter som du vet att du kommer att använda och som krävs för att uppfylla ändamålet, när ändamålet är uppfyllt ska uppgifterna antingen raderas eller gallras.
Korrekthet
Personuppgifterna ska vara korrekta och om nödvändigt, uppdaterade. Du förväntas vidta rimliga åtgärder för att personuppgifter som är felaktiga raderas eller rättas utan dröjsmål.
Lagringsminimering
Personuppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de bestämda ändamålen. Här finns ett undantag som säger att personuppgifter får lagras under längre perioder om det är nödvändigt för arkivändamål, statistik eller vetenskapliga forskningsändamål.
Integritet och konfidentialitet
Personuppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet. Detta innefattar skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Detta kan uppnås genom både tekniska åtgärder (exempelvis användningen av brandväggar, kryptering, pseudonymisering, säkerhetskopiering, anti-virus-skydd, säker auktorisering m.m.) och organisatoriska åtgärder (exempelvis interna rutiner, instruktioner, riktlinjer, separat hantering m.m.).
Ansvarsskyldighet
Den personuppgiftsansvarige ska kunna ansvara och kunna visa att dessa principer efterlevs och på vilket sätt detta görs.
Dokumentation och förteckning över personuppgiftsbehandlingar
Den personuppgiftsansvarige ska kunna visa att de grundläggande principerna för behandling av personuppgifter efterlevs. Detta innebär bland annat ett krav på att dokumentera personuppgiftsbehandlingar.
Mittuniversitetet för därför en förteckning över sina personuppgiftsbehandlingar i enlighet med artikel 30 i dataskyddsförordningen. Förteckningen ska ge en översikt över hur personuppgifter behandlas inom verksamheten och innehåller bland annat uppgifter om ändamål, kategorier av personuppgifter, mottagare, lagringstider samt tillämpade säkerhetsåtgärder.
Förteckningen är ett viktigt verktyg för att säkerställa struktur, transparens och regelefterlevnad i hanteringen av personuppgifter.
Konsekvensbedömning avseende dataskydd
Om en personuppgiftsbehandling sannolikt kan medföra en hög risk för fysiska personers rättigheter och friheter ska en konsekvensbedömning avseende dataskydd genomföras innan behandlingen påbörjas, i enlighet med artikel 35 i dataskyddsförordningen.
En konsekvensbedömning innebär att den planerade behandlingen analyseras ur ett dataskyddsperspektiv, att risker identifieras och bedöms samt att lämpliga tekniska och organisatoriska åtgärder fastställs för att minska eller hantera riskerna. Konsekvensbedömningar är ett centralt verktyg för att säkerställa att personuppgifter behandlas på ett lagligt och säkert sätt, särskilt vid nya eller förändrade behandlingar.
Mer information och mallar för behovsbedömning och konsekvensbedömningar