Dataskyddsförordningen (GDPR) - undervisar och handleder

Principer för behandling av personuppgifter

Varje uppgift som direkt eller indirekt kan kopplas till en levande person är en personuppgift. Detta innebär att det inte bara är sådant som namn och personnummer som är personuppgifter utan även användarnamn, e-postadresser, biometriska data, fysiologiska uppgifter och även kombinationer av uppgifter så länge det genom uppgifterna är möjligt att koppla dessa till en fysisk person. För all behandling av personuppgifter gäller att den måste följa dataskyddsförordningens samtliga principer för behandling och då gäller att:

• behandlingen skall ske på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade,
• uppgifterna skall vara korrekta och uppdaterade,
• uppgifterna skall behandlas på ett säkert sätt,
• uppgifterna skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål,
• uppgifterna får inte vara för omfattande i förhållande till ändamålet,
• och att uppgifterna får inte förvaras i form av personuppgifter längre än vad som krävs för behandlingen.

De första tre punkterna, att behandlingen skall vara laglig och att uppgifterna skall vara korrekta och behandlas säkert kan närmast sägas vara självklara men de tre följande medför begränsningar i förhållande till hur vi tidigare har behandlat personuppgifter. Tidigare har vi gärna samlat in vad vi har kunnat med tanke på att vi kanske skulle komma att behöva uppgifterna någon gång i framtiden. Enligt förordningen måste vi redan när vi samlar in uppgifter veta vad vi ska ha dem till så att vi inte samlar in mer än nödvändigt, bara till berättigade ändamål och vi måste också veta hur länge vi ska använda uppgifterna (även om vi inte nödvändigtvis måste kunna ange ett exakt slutdatum).

Laglig grund för behandlingen

Förutom att behandlingen måste uppfylla de sex principerna måste det också finnas laglig grund för behandlingen och då finns det sex tillåtna grunder för behandling angivna och det räcker med att en av dem är uppfylld för att behandlingen ska vara tillåten.

• Samtycke – den registrerade har lämnat sitt informerade samtycke till behandlingen. Samtycke kan lämnas från 13 års ålder och måste registreras och kan när som helst återkallas.
• Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är delaktig i.
• Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse.
• Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade.
• Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
• Behandlingen är nödvändig för tredje parts berättigade intressen (om inte den registrerades intressen, fri- eller rättigheter väger tyngre). Observera att möjligheten att använda denna grund är kraftigt begränsad för myndigheter.

För Linnéuniversitetet faller mycket av vår verksamhet under myndighetsutövning (myndighetsutövning används i förordningen i en vidare tolkning än normalt för oss och omfattar det vi gör inom vårt uppdrag som myndighet) och här har vi normalt allt som exempelvis hör till utbildning och examination. Vidare anses vår forskning vara av ett allmänt intresse. De arbeten som våra studenter producerar, företrädesvis inom ramen för sina examensarbeten, når sannolikt inte upp till allmänt intresse och behöver företrädesvis baseras på samtycke (mer om studenternas behandling av personuppgifter nedan). Övriga grunder kan bli aktuella beroende på omständigheterna och vid osäkerhet bör du kontakta dataskyddsombudet (dataskyddsombud@lnu.se).