Praktisk vägledning – behandling av anställdas personuppgifter
Så hanterar du anställdas personuppgifter
Denna sida ger praktisk vägledning till dig som arbetar vid Mittuniversitetet och behandlar personuppgifter om anställda, tidigare anställda eller arbetssökande. Syftet är att ge stöd i det dagliga arbetet och bidra till att personuppgifter hanteras lagligt, säkert och ansvarsfullt.
All behandling av personuppgifter ska ske i enlighet med dataskyddsförordningen (GDPR), kompletterande lagstiftning samt universitetets interna styrdokument. Mittuniversitetet ska också kunna visa att reglerna följs.
Innan du behandlar personuppgifter
Innan du samlar in, registrerar eller på annat sätt använder personuppgifter bör du säkerställa att behandlingen är nödvändig för ditt arbete. Du behöver veta varför uppgifterna ska behandlas och vilket ändamål de fyller. Behandlingen ska ha en fastställd rättslig grund, exempelvis uppgift av allmänt intresse, rättslig förpliktelse eller avtal.
Om du är osäker på om en behandling är tillåten eller nödvändig bör du kontakta din chef eller dataskyddsombudet innan du går vidare.
Begränsa åtkomsten till uppgifterna
Personuppgifter får endast delas med personer som behöver dem för att utföra sina arbetsuppgifter. Det är viktigt att inte sprida uppgifter bredare än nödvändigt. När du skickar e-post ska du alltid kontrollera mottagaren noggrant, särskilt om meddelandet innehåller känsliga eller integritetskänsliga uppgifter.
Undvik att lagra dokument med personuppgifter i öppna mappar med bred behörighet. Använd i stället de system och lagringsytor som är avsedda för ändamålet och som har korrekt behörighetsstyrning.
Hantera känsliga personuppgifter med särskild försiktighet
Uppgifter om exempelvis hälsa, facklig tillhörighet eller andra känsliga förhållanden omfattas av ett särskilt skydd enligt dataskyddsförordningen. Sådana uppgifter får endast behandlas om det finns uttryckligt lagstöd.
Känsliga personuppgifter ska hanteras extra restriktivt. De ska inte skickas via okrypterad e-post och ska endast lagras i system som är godkända för denna typ av information.
Använd rätt system och undvik privata lösningar
Personuppgifter ska behandlas och lagras i universitetets verksamhetssystem eller i andra anvisade lagringsytor. Privata molntjänster eller externa lagringslösningar får inte användas för arbetsrelaterade personuppgifter.
Spara inte uppgifter längre än nödvändigt
Personuppgifter får inte sparas längre än vad som är nödvändigt för det ändamål de samlades in för. När uppgifterna inte längre behövs ska de raderas eller gallras enligt gällande rutiner och dokumenthanteringsplan.
Det är viktigt att inte behålla personuppgifter ”för säkerhets skull”. Regelbunden genomgång och rensning av e-post och arbetsmappar är en del av ett ansvarsfullt dataskyddsarbete.
Om något går fel
En personuppgiftsincident kan till exempel innebära att uppgifter skickats till fel mottagare, att en dator eller mobiltelefon kommit bort, eller att obehörig fått tillgång till personuppgifter.
Om du misstänker att en incident har inträffat ska du omedelbart rapportera detta enligt universitetets rutin för personuppgiftsincidenter. Snabb rapportering är avgörande för att kunna begränsa eventuella konsekvenser och uppfylla lagens krav.
Ditt ansvar som medarbetare
Alla som behandlar personuppgifter inom Mittuniversitetets verksamhet har ett ansvar att göra det på ett korrekt och säkert sätt. Det innebär att du ska följa gällande riktlinjer, skydda uppgifterna mot obehörig åtkomst och agera med omsorg om den personliga integriteten.
Dataskydd är en del av universitetets ansvar som myndighet och en viktig del av förtroendet mellan arbetsgivare och medarbetare.