Allmänna principer för personuppgiftshantering
I EU:s dataskyddsförordning och i den svenska dataskyddslagen finns det ett antal övergripande principer för hur personuppgifter ska hanteras. Dessa principer fungerar som vägledning för hur du ska hantera personuppgifter.
Laglighet, korrekthet och öppenhet
Personuppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.
Baserat på denna princip har registrerade bland annat rätt att begära information om vilka personuppgifter som behandlas hos en personuppgiftsansvarig, så kallat registerutdrag.
Ändamålsbegränsning
Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål.
Detta innebär att ändamålen för en behandling av personuppgifter måste bestämmas redan när personuppgifterna samlas in. Du får inte använda personuppgifter som du har tillgång till för ett nytt ändamål utan att ta ställning till om det finns en rättslig grund för den tilltänkta behandlingen och eventuella informationskrav i relation till den registrerade. Om du är osäker så vänd dig dataskyddsombud [at] lu [dot] se
Uppgiftsminimering
Personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.
Detta innebär att du endast får använda de personuppgifter som behövs för den aktuella arbetsuppgiften.
Personuppgifter ska hållas aktuella
Personuppgifter ska vara korrekta och om nödvändigt uppdaterade.
Detta innebär att om du samlar in och lagrar personuppgifter så måste du, om det är nödvändigt, se till att de hålls uppdaterade.
Lagringsminimering
Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas
Detta innebär att du inte får förvara personuppgifterna längre än nödvändigt. När du inte längre behöver dessa ska de arkiveras (dock ej sparas lokalt) eller raderas (alternativ till lagring är oåterkallelig avidentifiering). Lagar och regler om allmän handling, bevarande och sekretess gäller dock även för personuppgifter. Det innebär bland annat att personuppgifter ska bevaras och arkiveras på samma sätt och efter samma regler som all annan information. Principen om lagringsminimering innebär alltså inget undantag från dessa krav.
Dokumenthanteringsplanen ska användas för vägledning om hur länge något ska sparas och när det ska arkiveras eller gallras - denna återfinns på sidorna om arkivering:
Integritet och konfidentialitet
Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska säkerhetsåtgärder.
Av denna princip följer att universitetet som personuppgiftsansvarig ska ha ett ramverk för informationssäkerhet. Av principen följer även att personuppgifter, i syfte att säkerställa integritet och konfidentialitet, ska hanteras i enlighet med detta ramverk.
Läs mer om informationssäkerhet
Ansvarsskyldighet
Den personuppgiftsansvarige ska ansvara för och kunna visa att man följer ovanstående principer.
Detta innebär att du inte bara behöver följa GDPR, du behöver också visa att och hur du följer förordningen. Ett sätt att göra detta är ha tydlig information till de registrerade:
Behandling av personuppgifter vid LU
Vidare att dokumentera ställningstagande och beslut rörande vilka personuppgifter du sparar och varför. Ett exempel är vårt register PULU för personuppgiftsbehandlingar inom forskning:
Kontakt
Lunds universitet har ett externt dataskyddsombud; Secure State Cyber AB. Kontaktperson är Sanja Hebib. Har du frågor om dataskydd - kontakta:
dataskyddsombud [at] lu [dot] se (dataskyddsombud[at]lu[dot]se)