Dataskyddsförordningen (GDPR) - undervisar men handleder inte

För att kunna bedriva utbildning måste vi också hantera personuppgifter. Det är nödvändigt för oss att veta vilka vi undervisar och att kunna registrera och redovisa de framsteg som våra studenter gör inom sina respektive utbildningar. Samtidigt omfattas även dessa behandlingar av kraven i Dataskyddsförordningen och det är nödvändigt för oss att uppfylla förordningens regler och principer samt att ha en tillåten grund för behandlingen.

Personuppgifterna måste samlas in och behandlas för att uppfylla ett uttryckligt angivet ändamål. Det här ändamålet måste vara specifikt, det vill säga att vi måste ange varför behandlingen är nödvändig för att utföra behandlingen. Grundtanken är att den registrerade ska kunna förutse vad som kommer hända med informationen som behandlas. Uppgifterna vi samlar in ska vara adekvata och relevanta i förhållande till det ändamål för vilket de samlas in och de får heller inte vara mer omfattande än vad som krävs. Det är även viktigt att uppgifterna är korrekta och om nödvändigt, uppdaterade. Får vi kännedom om ett fel skall informationen rättas eller raderas.

Vi får heller inte lagra eller på annat sätt behandla personuppgifter under längre tid än vad som krävs och måste sedan radera eller anonymisera (göra det omöjligt att på något sätt kunna koppla informationen till en enskild individ) uppgifterna om det inte finns ett krav på oss att behålla dem. Sådana krav kan förekomma exempelvis genom Arkivlagen, Offentlighets- och sekretesslagen, ”Ladokförordningen” med flera. Dataskyddsförordningen introducerar en rad nya regler, men generellt kan sägas att de krav vi haft på oss sedan tidigare att bevara information gäller även framöver. 

De insamlade uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder. Detta innebär att vi måste se till att endast behöriga personer har tillgång till uppgifterna, och att eventuella databaser eller system omfattas av säkerhetsåtgärder som är tillräckligt säkra. Att besluta om, införa och övervaka lämpliga säkerhetsåtgärder, både tekniska och administrativa, är ett krav i Dataskyddsförordningen och detta skall dokumenteras.

Slutligen ska uppgifterna behandlas på ett korrekt och öppet sätt i förhållande till den registrerade. Om den registrerade har frågor eller vill tillgodogöra sig av sina rättigheter i förhållande till behandlingen som vi utför, så är det vår skyldighet som del av Linnéuniversitetet att hjälpa till, såvida inte det föreligger hinder för detta på grund av exempelvis sekretess eller arkiveringsregler.