Sök

Checklista – grundläggande principer och ansvar vid personuppgiftsbehandling

Checklistan avser behandling av personuppgifter om anställda vid Mittuniversitetet.

Fastställ ändamålet

  • Är ändamålet specifikt, tydligt och dokumenterat?
  • Är behandlingen nödvändig för att uppnå ändamålet?

Dokumentera ändamålet skriftligt.

 Fastställ rättslig grund

  • Vilken rättslig grund enligt artikel 6 GDPR stödjer behandlingen?
  • Om känsliga personuppgifter behandlas – vilket stöd enligt artikel 9 finns?
  • Har den rättsliga grunden fastställts innan behandlingen påbörjas?

 Dokumentera rättslig grund i förteckningen enligt artikel 30.

 Säkerställ korrekt och tydlig information

  • Har de registrerade informerats om behandlingen?
  • Är informationen lättillgänglig och begriplig?
  • Framgår ändamål, rättslig grund, lagringstid och rättigheter?

Finns rutin för att hantera begäran om registerutdrag eller rättelse?

 Uppgiftsminimering och korrekthet

  • Behandlas endast de uppgifter som är nödvändiga?
  • Finns risk att ”bra att ha”-uppgifter samlas in?
  • Är uppgifterna aktuella och uppdaterade?
  • Finns rutiner för rättelse och uppdatering?
     

Säkerhet och riskhantering

  • Har riskerna för de registrerades rättigheter och friheter identifierats och bedömts?
  • Är behörigheter korrekt begränsade?
  • Är tekniska skyddsåtgärder tillräckliga?
  • Finns organisatoriska skyddsåtgärder (rutiner, instruktioner, utbildning)?
  • Är personuppgiftsbiträdesavtal på plats om extern part behandlar uppgifter?
  • Sker överföring av personuppgifter till land utanför EU/EES?
  • Om ja – finns giltigt överföringsstöd enligt kapitel V GDPR?

Lagring och gallring

  • Finns fastställd lagringstid?
  • Är lagringstiden dokumenterad?
  • Finns praktiskt fungerande gallringsrutiner?
  • Har hänsyn tagits till arkivlag och regler om allmänna handlingar?

Dokumentation (ansvarsskyldighet)

  • Är behandlingen införd i universitetets förteckning enligt artikel 30?
  • Är ändamål, kategorier, mottagare och säkerhetsåtgärder dokumenterade?
  • Har viktiga bedömningar och överväganden dokumenterats?
  • Kan verksamheten visa hur GDPR-principerna uppfylls?

Bedöm behov av konsekvensbedömning (DPIA)

  • Innebär behandlingen systematisk övervakning?
  • Behandlas känsliga uppgifter i större omfattning?
  • Används ny teknik?
  • Kan behandlingen innebära hög risk för den registrerades rättigheter?

Har DPIA genomförts och dokumenterats innan behandlingen startade?

Sidan uppdaterades 2026-02-20

Sidansvarig:

Digitalisering och service (DOS)