Personuppgiftsansvarig och personuppgiftsbiträde
Universitetet behandlar oftast personuppgifter i egenskap av personuppgiftsansvarig. Men det förekommer också att universitetet behandlar personuppgifter med ett personuppgiftsansvar som är gemensamt med någon annan samt, i begränsad utsträckning, att universitetet har ett uppdrag som personuppgiftsbiträde åt någon annan.
Universitetets skyldigheter enligt dataskyddslagstiftningen ser olika ut beroende på vilket ansvar som myndigheten har för en viss behandling. Därför är det viktigt att kunna bedöma om universitetet är personuppgiftsansvarigt, gemensamt personuppgiftsansvarigt eller personuppgiftsbiträde för en viss personuppgiftsbehandling.
Personuppgiftsansvarig
Universitetet är personuppgiftsansvarigt om myndigheten självständigt bestämmer varför och hur en viss behandling av personuppgifter ska gå till.
Gemensamt personuppgiftsansvarig
Universitetet är gemensamt personuppgiftsansvarigt om myndigheten bestämmer varför och hur behandlingen ska gå till tillsammans med en eller flera andra, t.ex. ett annat universitet.
Personuppgiftsbiträde
Universitetet är personuppgiftsbiträde när myndigheten behandlar personuppgifter på någon annans uppdrag, d.v.s. universitetet behandlar personuppgifterna enligt den andre partens instruktioner. Med hänsyn till universitetets uppdrag att bedriva utbildning, forskning och samverkan bör det vara ovanligt att myndigheten agerar personuppgiftsbiträde åt någon annan.
Det är upp till universitetet, och andra organisationer som är involverade i behandlingen, att avgöra vem som har vilken roll. Det finns en checklista som kan användas som stöd för bedömningen (öppnas i nytt fönster).
Kontakt
Lunds universitet har ett externt dataskyddsombud; Secure State Cyber AB och kontaktperson hos Secure State Cyber AB är Sanja Hebib.
Har du frågor om dataskydd - kontakta:
dataskyddsombud [at] lu [dot] se