Meny

Javascript verkar inte påslaget? - Vissa delar av Lunds universitets webbplats fungerar inte optimalt utan javascript, kontrollera din webbläsares inställningar.

Vanliga frågor

Frågor och svar om personuppgiftshantering
Här hittar du en sammanställning av vanligt förekommande frågor om personuppgiftshantering.

Frågor om personuppgifter

Frågor om rättslig grund och samtycke

Frågor om registrerade

Frågor om IT-system

Allmänna frågor


Vad är en personuppgift?

Enligt dataskyddsförordningen är en personuppgift ”varje upplysning som avser en identifierad eller identifierbar fysisk person”. Exempel på personuppgifter är:

  • namn
  • foto
  • adress
  • e-post
  • betyg
  • ålder
  • personnummer
  • hårfärg
  • skonummer
  • kompetens
  • genom

Vem ansvarar för personuppgiftshanteringen vid Lunds universitet?

Lunds universitet ansvarar för all personuppgiftshantering inom verksamheten och är därmed personuppgiftsansvarig i de allra flesta fall.

Vid vissa tillfällen hanteras personuppgiftsbehandlingen av en tredje part och denne agerar då som personuppgiftsbiträde. Förhållandet mellan biträde och ansvarig skall regleras genom ett skriftligt avtal ett så kallat personuppgiftsbiträdesavtal.

Vid fel och brister i hanteringen kan både personuppgiftsansvarig och personuppgiftsbiträdet drabbas av sanktionsavgifter som för svensk del bestäms av tillsynsmyndigheten Datainspektionen och utdöms av domstol. Sanktionsavgifterna kan bli mycket höga (maximalt €20 miljoner för ett svenskt lärosäte). Datainspektionen har ansvar för att granska hantering av personuppgifter och hantera klagomål från registrerade. 

Dataskyddsombudet på Lunds universitet har som uppgift att granska hantering av personuppgifter vid universitetet men också ge stöd till medarbetare. Som enskild medarbetare förväntas du hantera personuppgifter på ett korrekt sätt och ha kunskap om de regler som gäller för just dina arbetsuppgifter (ta bort?)


    När och hur ska du behandla personuppgifter?

    Du får hantera de personuppgifter som är nödvändiga för att du ska kunna utföra universitetets uppdrag: att utbilda, forska och samverka. Du får även hantera personuppgifter som är nödvändiga för att du ska kunna:

    • följa lagar, förordningar och kollektivavtal
    • utföra myndighetsutövning
    • uppfylla avtal, till exempel inköpsavtal eller samarbetsavtal

    Behandlingen av personuppgifter ska följa nedanstående riktlinjer:

    • behandlingen skall ske på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade
    • uppgifterna skall vara korrekta och uppdaterade
    • uppgifterna skall behandlas på ett säkert sätt
    • uppgifterna skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål
    • uppgifterna får inte vara för omfattande i förhållande till ändamålet
    • uppgifterna får inte förvaras i form av personuppgifter längre än vad som krävs för behandlingen. 

    Kom ihåg: Du får bara använda nödvändiga personuppgifter och du får bara göra det så länge som det behövs!


    Vad är ”känsliga” personuppgifter?

    Dataskyddsförordningen listar särskilda kategorier av personuppgifter som extra känsliga och skyddsvärda. Detta är känsliga personuppgifter:

    • ras eller etniskt ursprung
    • politiska åsikter
    • religiös eller filosofisk övertygelse
    • medlemskap i en fackförening
    • hälsa
    • en persons sexualliv eller sexuella läggning
    • genetiska uppgifter och
    • biometriska uppgifter som entydigt identifierar en person*

    *Personuppgifter som erhållits genom digital behandling av t.ex. foto, röst eller fingeravtryck som möjliggör eller bekräftar identifieringen av en fysisk person.

    I princip ska du aldrig samla in uppgifter om personers religion, sexualitet, åsikter eller dylikt om det inte är motiverat av personal- och studenthälsa eller etikprövad forskning.

    Andra typer av uppgifter som också ska betraktas som integritetskänsliga och särskilt skyddsvärda (men som inte framgår av dataskyddsförordningen) är:

    • löneuppgifter
    • uppgifter om lagöverträdelser
    • värderande uppgifter, till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler
    • information som rör någons privata sfär
    • uppgifter om sociala förhållanden

    Är personnummer en känslig uppgift?
    Enligt artikel 9 i dataskyddsförordningen är personnummer inte en känslig uppgift. I Sverige har lagstiftarna däremot i den nationella kompletteringen (dataskyddslagen) till EU:s dataskyddsförordning, gjort bedömningen att personnummer och samordningsnummer är extra skyddsvärda uppgifter. Personnummer ska därför exponeras i så lite omfattning som möjligt och bara då:

    • den registrerade gett sitt samtycke till behandlingen eller;
    • behovet är klart motiverat med hänsyn till ändamålet med behandlingen eller;
    • vikten av säker identifiering eller annat beaktansvärt skäl föreligger eller;
    • behandlingen inte kan uppfyllas på annat sätt, exempelvis genom att använda födelsedata eller del av födelsedata.

    Datainspektionen har utförlig information om hanteringen av känsliga personuppgifter:

    Gå till Datainspektionens webbsida


    Påverkar dataskyddsförordningen hur du behandlar personuppgifter insamlade innan den 25 maj 2018?

    Ja, dataskyddsförordningen påverkar personuppgifter insamlade innan den 25 maj 2018. Personuppgifter i ostrukturerad information på papper, i mail, textfiler och på webben räknas från och med 25 maj 2018 som personuppgiftshantering. Det innebär att du behöver ta ställning till att radera eller arkivera överskottsinformation från intervjuer, utvärderingar och liknande. Mer information om vad som behöver arkiveras hittar du på sidan Dokumenthantering. Om du tycker det är svårt att tolka dokumenthanteringsplanen så rådgör med registratorn vid din verksamhet.

    Gå till sidan Dokumenthantering


    Vad är rättslig grund?

    För all hantering av personuppgifter behöver du ha rättslig grund.

    Läs mer på sidan Rättslig grund


    När behöver du använda samtycke som rättslig grund för hantering av personuppgifter?

    Läs mer på sidan Samtycke


    Hur ska du hantera samtycke för behandling av personuppgifter?

    Läs mer på sidan Samtycke


    Vad gäller för barn och samtycken?

    Läs mer på sidan Samtycke


    Vad gäller för gamla samtycken?

    Läs mer på sidan Samtycke


    Hur ska vi behandla personuppgifter i vardagen?

    • Använd sunt förnuft och utgå ifrån hur du själv önskar att dina personuppgifter hanteras.
    • Uppgiftsminimering: Använd endast de personuppgifter som behövs.
    • Lagringsminimering: Hantera personuppgifter enbart så länge det behövs. Gallra, radera eller arkivera personuppgifter som du inte längre behöver.
    • Var försiktig med personuppgifter du skickar i e-post.
      Läs mer om hantering av personuppgifter på sidan E-post
    • När du mailar många mottagare använd BCC (hemlig kopia) istället för CC. Du kan med fördel skapa sändlistor i Epic eller listserver.lu.se. Tänk på att samtycke för utskick behövs för personer som inte är medarbetare eller studenter.
    • Undvik att samla in eller lagra personuppgifter i gratistjänster som universitetet inte har avtal med. Exempel på ej avtalade tjänster är:
      • Dropbox och Google docs. Använd istället LU Box för icke-känsliga personuppgifter
      • Google forms. Använd istället Sunet Survey för icke känsliga personuppgifter eller skapa webbformulär i Drupal och Typo3
      • Doodle. Använd istället kalenderfunktionen i universitets e-postsystem

    Hur ska kontaktuppgifter till anhöriga hanteras?

    Lunds universitet samlar regelbundet in kontaktuppgifter till medarbetares och studenters anhöriga. Läs mer nedan om vad som gäller för medarbetare respektive studenter.

    Medarbetares anhöriga
    Du kan hantera kontaktuppgifter till anställdas anhöriga med hänvisning till att det är en del av universitetets personalvård. Det innebär att det är frivilligt för medarbetare att uppge anhöriguppgifter. För de medarbetare som vill lämna anhöriguppgifter behöver du inte ha dokumenterat samtycke från anhöriga.

    Studenters anhöriga
    För studenter finns inte samma möjlighet att hänvisa till ett ändamål som ger rätt att hantera kontaktuppgifter till anhöriga. Det innebär att om du vill samla dessa uppgifter behöver du be anhöriga om deras samtycke. Tänk på att samtycke måste vara frivilligt, informerat och dokumenterat.

    Tänk på att:

    • inte samla in fler uppgifter än nödvändigt. Som regel räcker det med namn och telefonnummer. Att notera vilken relation medarbetaren har till den anhöriga kan till exempel avslöja sexuell läggning och det är en uppgift som inte ska hanteras.
    • förvara "anhöriglistor" säkert. Det bör enbart vara chef, ställföreträdande chef och motsvarande som har tillgång till dem.
    • det är inte ditt ansvar att meddela anhöriga om det har hänt en medarbetare eller en student något, det är polisen och sjukvården som har det ansvaret.

    Hur ska du informera de registrerade?

    Dataskyddsförordningens artikel 13 och 14 kräver omfattande information till alla vars personuppgifter behandlas oaktat syfte eller rättslig grund för behandlingen.

    Medarbetare och studenter kommer att få standardiserad information från universitetet om hanteringen av deras personuppgifter inom ramen för arbete och studier. Denna information ska omfatta all behandling av personuppgifterna för dessa två kategorier som sker inom universitetets verksamhet.

    Forskningsprojekt där hantering av personuppgifter förekommer ombesörjer som tidigare själva information och eventuella samtycken till registrerade.

    Läs mer om hantering av personuppgifter inom forskning här.

    Vad gäller till exempel samverkan, rekrytering av studenter och anställda har du som samlar in personuppgifter ansvar för att de registrerade informeras och lämnar samtycke vid behov.

    Läs mer om hantering av personuppgifter inom dessa områden på följande sidor:

    Grundläggande information om hur universitetet hanterar personuppgifter hittar du på lu.se/integritet

    En komplett lista över de punkter du måste informera om hittar du på sidan Information till registrerade


    Vilka rättigheter har den registrerade?

    Den registrerade har rätt att:

    • Återkalla sitt samtycke när som helst. Som medarbetare måste du ge information om hur den registrerade ska gå tillväga för att återkalla sitt samtycke. (Återkallande av samtycke gäller framtida behandling, inte den behandling som skett innan återkallandet).
    • Få tillgång, begära rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade.
    • Lämna klagomål på hur personuppgifterna används. Som medarbetare måste du ge den registrerade information om hur man går tillväga för att lämna klagomål.

    Grundläggande information om hur universitetet hanterar personuppgifter hittar du på lu.se/integritet

    En komplett lista över de punkter du måste informera om hittar du på sidan Information till registrerade


    Vad behöver jag göra som driver IT-system med personuppgifter?

    Du behöver säkerställa att systemet förvaltas och rapporteras enligt universitetets systemförvaltningsmodell, baserad på processmodellen PM3.

    Läs mer på sidan IT-system


    Vart vänder jag mig om jag behöver information och stöd?

    Du kan vända dig till universitetets dataskyddsombud för stöd och rådgivning genom att kontakta Lunds universitets Dataskyddsombud via epost dataskyddsombud [at] lu [dot] se 

    Frågor om personuppgiftsbiträdesavtal ställs till avdelningen Juridik:

    Gå till sidan Juridik

    Sidansvarig:

    Kontakt

    Dataskyddsombud

    dataskyddsombud [at] lu [dot] se

    Ordlista

    • Personuppgiftsansvarig – den organisation som är ansvarig för hanteringen av personuppgifter. Med få undantag är Lunds universitet alltid personuppgiftsansvarig.
    • Registrerad – den person vars personuppgifter du samlar in och/eller hanterar
    • Dataskyddsombud – den roll och funktion som ansvarar för att Lunds universitet efterlever Dataskyddsförordningen
    • EU:s Dataskyddsförordning (ofta kallad Dataskyddsförordningen) – den svenska översättningen av General Data Protection Regulation (GDPR).
    • Dataskyddslagen – den svenska nationella kompletteringen till EU:s dataskyddsförordning.

    Telefon: 046-222 00 00 (växel)
    Postadress: Box 117, 221 00 LUND
    Organisationsnummer: 202100-3211
    Fakturaadress: Box 188, 221 00 LUND

    Webbplatsansvarig: medarbetarwebben [at] lu [dot] se
    Om den här webbplatsen