Webbläsaren som du använder stöds inte av denna webbplats. Alla versioner av Internet Explorer stöds inte längre, av oss eller Microsoft (läs mer här: * https://www.microsoft.com/en-us/microsoft-365/windows/end-of-ie-support).

Var god och använd en modern webbläsare för att ta del av denna webbplats, som t.ex. nyaste versioner av Edge, Chrome, Firefox eller Safari osv.

Allmänna principer för personuppgiftshantering

I EU:s dataskyddsförordning och i den svenska dataskyddslagen finns det ett antal övergripande principer för hur personuppgifter ska hanteras. Dessa principer fungerar som vägledning för hur du ska hantera personuppgifter.

Laglighet, korrekthet och öppenhet

Personuppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

Baserat på denna princip har registrerade bland annat rätt att begära information om vilka personuppgifter som behandlas hos en personuppgiftsansvarig, så kallat registerutdrag. 

Ändamålsbegränsning

Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål.

Detta innebär att ändamålen för en behandling av personuppgifter måste bestämmas redan när personuppgifterna samlas in. Du får inte använda personuppgifter som du har tillgång till för ett nytt ändamål utan att ta ställning till om det finns en rättslig grund för den tilltänkta behandlingen och eventuella informationskrav i relation till den registrerade. Om du är osäker så vänd dig dataskyddsombud [at] lu [dot] se

Uppgiftsminimering

Personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

Detta innebär att du endast får använda de personuppgifter som behövs för den aktuella arbetsuppgiften.

Personuppgifter ska hållas aktuella

Personuppgifter ska vara korrekta och om nödvändigt uppdaterade.

Detta innebär att om du samlar in och lagrar personuppgifter så måste du, om det är nödvändigt, se till att de hålls uppdaterade. 

Lagringsminimering

Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas

Detta innebär att du inte får förvara personuppgifterna längre än nödvändigt. När du inte längre behöver dessa ska de arkiveras (dock ej sparas lokalt) eller raderas (alternativ till lagring är oåterkallelig avidentifiering). Lagar och regler om allmän handling, bevarande och sekretess gäller dock även för personuppgifter. Det innebär bland annat att personuppgifter ska bevaras och arkiveras på samma sätt och efter samma regler som all annan information. Principen om lagringsminimering innebär alltså inget undantag från dessa krav.

Läs mer om arkivering

Integritet och konfidentialitet

Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska säkerhetsåtgärder.

Av denna princip följer att universitetet som personuppgiftsansvarig ska ha ett ramverk för informationssäkerhet. Av principen följer även att personuppgifter, i syfte att säkerställa integritet och konfidentialitet, ska hanteras i enlighet med detta ramverk.

Läs mer om informationssäkerhet

Ansvarsskyldighet

Den personuppgiftsansvarige ska ansvara för och kunna visa att man följer ovanstående principer. 

Detta innebär att du inte bara behöver följa GDPR, du behöver också visa att och hur du följer förordningen. Ett sätt att göra detta är ha tydlig information till de registrerade:

Behandling av personuppgifter vid LU

Vidare att dokumentera ställningstagande och beslut rörande vilka personuppgifter du sparar och varför. Ett exempel är vårt register PULU för personuppgiftsbehandlingar inom forskning: 

Läs mer om PULU på informationssidan om forskning

Kontakt

Lunds universitet har ett externt dataskyddsombud; Secure State Cyber AB. Kontaktperson är Sanja Hebib. Har du frågor om dataskydd - kontakta:

dataskyddsombud [at] lu [dot] se (dataskyddsombud[at]lu[dot]se)