Instruktion till mallen för den informationstext som SLU ska lämna när vi samlar in personuppgifter

Relevanta dokument
Checklistor för innehåll i den information som enligt dataskyddsförordningen ska ges när personuppgifter samlas in

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Information till den registrerade i samband med insamlande av personuppgifter

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

Riktlinjer för att tillvarata enskildas rättigheter

För att tillvarata medlemmarnas enskildas rättigheter

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Instruktion för att tillvarata enskildas rättigheter

Så här behandlar V-Dala överförmyndarsamverkan dina personuppgifter

Integritetsbeskrivning

Integritetspolicy leverantör

Informationsskyldighet enligt dataskyddsförordningen Joachim Angermund, Charlotta Sandström, Ingela Alverfors februari 2017

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

Skydd och behandling av personuppgifter, Förvaltnings AB Framtiden

Anticimex integritetspolicy för försäkringsförmedlare

Så här behandlar Hedemora Näringsliv AB dina personuppgifter

Upprätthållandet av korrekta och uppdaterade uppgifter. Skicka relevant information och erbjudanden

Hyresgästföreningens integritetspolicy

Vi vill därför genom denna integritetspolicy informera dig om hur Svenska Detra hanterar dina personuppgifter och vilka rättigheter du har.

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Personuppgiftshantering - GDPR

BESKRIVNING AV DOKUMENTET

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Integritetsmeddelande

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

Hantering av personuppgifter

Behandling av personuppgifter hos S:t Erik Livförsäkring AB. Information till registrerade

Broccs Integritetspolicy

Hantering av personuppgifter

INTEGRITETSPOLICY för Webcap i Sverige AB

Version Integritetspolicy

Tegehalls revisionsbyrå och dataskyddsförordningen

PERSONUPPGIFTSPOLICY FÖR DIG SOM SÖKER JOBB ELLER EXAMENSARBETE HOS TB-GRUPPEN

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

Integritetspolicy. Vad är personuppgifter och vad är en behandling av personuppgifter? Hur använder vi personuppgifter?

Dataskyddsförordningen

Dataskyddsförordningen

Personuppgiftspolicy för Hallmans Skomakeri & Skor AB. Vilken information samlar vi in?

Integritetspolicy SYFTE & BAKGRUND PERSONUPPGIFTER VI BEHANDLAR. Örebro BEHANDLING AV PERSONUPPGIFTER

Integritetsmeddelande

Version INTEGRITETSPOLICY. gällande rekrytering av personal, volontärer och praktikanter Enligt Dataskyddsförordningen

GDPR- Vad har hänt och hur ser tillämpningen ut?

Dataskyddspolicy för Rotsunda Utbildning AB

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER VID REKRYTERING

Integritetspolicy leverantör

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

Dataskyddspolicy för Svensk Hypotekspension AB i enlighet med dataskyddsförordningen (EU (2016/679)

Mertzig Asset Management AB

Så behandlar vi dina personuppgifter

PERSONUPPGIFTSPOLICY

Information om behandling av personuppgifter på Tellus bostadsrättsförening

Scouternas riktlinjer för personuppgiftsbehandling i insamlingsarbetet

Integritetspolicy Vilka personuppgifter behandlar vi? När behandlar vi personuppgifter? Vad använder vi personuppgifter till?

Behandling av personuppgifter vid Göteborgs universitet

Om du har några frågor eller funderingar är du varmt välkommen att kontakta oss på

Information om behandling av personuppgifter

Integritetspolicy Din integritet är av yttersta vikt för oss. I följande integritetspolicy förklaras på ett lättförståeligt sätt hur Cyklos AB, org.

PERSONUPPGIFTSPOLICY FÖR DIG SOM LÄMNAR INTRESSEANMÄLAN PÅ TB-GRUPPENS HEMSIDA

INTEGRITETSPOLICY Source Executive AB

Integritetspolicy, Valvet Förvaltning AB

Behandling av personuppgifter vid Göteborgs universitet

Hantering av personuppgifter i Borås Stad

Så behandlar vi dina personuppgifter

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Personuppgiftspolicy

Integritetspolicy - För dig som nyttjar tjänsten Sjukanmälan

PERSONUPPGIFTSANSVARIG OCH DATASKYDDSOMBUD

LRF Konsult AB, , är personuppgiftsansvarig för företagets behandling av personuppgifter.

Integritetspolicy 1.0

Integritetspolicy för givare

INTEGRITETSPOLICY 2. VILKA PERSONER BEHANDLAR VI PERSONUPPGIFTER OM? Vi behandlar personuppgifter om följande kategorier av personer:

Integritetspolicy kunder

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

Hur SIP Nordic hanterar personuppgifter

Brocc Låns Integritetspolicy

KURS I JURIDIKS PERSONUPPGIFTSPOLICY

Personuppgiftspolicy Signera Rekrytering AB

Dataskyddsförordningen

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

Integritetsmeddelande. Fjärde AP-fonden

1. INLEDNING 2. PERSONUPPGIFTSANSVARIG 3. INSAMLING OCH ÄNDAMÅL

PERSONUPPGIFTSPOLICY. Vi behandlar personuppgifter om följande kategorier av personer: Besökare, dvs. den privatperson som besöker vår webbplats.

Integritetspolicy Ålsta folkhögskola. Senast reviderad

Personuppgiftspolicy för Gustafsborgs Säteri AB med dotterbolag

RYDS GLAS INTEGRITETSPOLICY VI VÄRNAR OM DIN PERSONLIGA INTEGRITET

2. VILKA PERSONUPPGIFTER HANTERAR VI OM DIG OCH VARFÖR?

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

3. VILKA PERSONUPPGIFTER HANTERAR VI OM DIG OCH VARFÖR? 3.5 När du deltar i medlemsträffar, aktiviteter och/eller medlemsundersökningar

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

INFORMATION OM BEHANDLING AV PERSONUPPGIFTER

Temporents Integritetspolicy. Komprimerad information

Generell information Personuppgiftsansvarig Vilka personuppgifter samlar vi in? Varifrån har vi fått tillgång till uppgifterna?

Mari Rajamaa är den personuppgiftsansvariges kontaktperson, kontaktuppgifter:

Denna policy har upprättats för Alfred Nobel Science Park AB (fortsättningsvis kallat ANSP).

INTEGRITETSPOLICY SAMORDNINGSFÖRBUNDET CENTRALA ÖSTERGÖTLAND

Regler för behandling av personuppgifter vid Högskolan Dalarna

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Integritetspolicy. (Fastställt av Albins styrelse )

Instruktion för behandling av ostrukturerat material

Transkript:

Enheten för juridik och dokumentation Erik Stavegren, universitetsjurist SLU ID: SLU.ua 2018.2.1.1-1199 2018-03-22 Instruktion till mallen för den informationstext som SLU ska lämna när vi samlar in personuppgifter Vem ska använda instruktionen? Den här instruktionen är framtagen för dig som är medarbetare eller student vid SLU. Den är tänkt att underlätta när du ska sammanställa den information som du enligt dataskyddsförordningen måste ge när du använder personuppgifter. Det är aldrig tillräckligt att enbart hänvisa till att SLU följer gällande lagstiftning avseende personuppgifter eller liknande. Du måste lämna fullständig information vid insamlingen. Mottagare av informationen är den eller de vars personuppgifter du kommer att använda dig av, i texten och i instruktionerna kallad den registrerade. Tänk på att du måste skriva koncist, klart och tydligt och anpassa informationen till den registrerade. Den registrerade har även rätt att få informationen muntligen om hen hellre vill det. Dokumentets indelning Detta dokument består av två delar. A. Information du ska ge om personuppgifterna samlas in direkt från den registrerade (se sid 4 6) B. Information du ska ge om personuppgifterna samlas in på annat sätt än direkt från den registrerade (se sid 7 10) Vilken information du måste ge beror på om du får informationen direkt från en registrerad (exempelvis vid en intervju eller enkätundersökning, när någon registrerar ett konto, vid ett fotograferingstillfälle m.m.) eller om du får den på annat sätt (hämtar betyg via databaser, kontrollerar adresser mot folkbokföringen m.m.). Postadress: Postadress Besöksadress: Besöksadress Org nr: 202100-2817 www.slu.se Tel: 018-67 10 00 (vx) Mobilnr: XXX-XXX fornamn.efternamn@slu.se

Läsanvisning Punkternas ordning i instruktionerna följer lagtexten. Vill du ändra den eller skriva ihop det går det bra, men se till att inte glömma någon punkt som måste vara med. Under några av rubrikerna står följande: Denna text ska ALLTID vara med: Detta är för att du inte ska glömma någon viktig upplysning, till exempel att personuppgifterna kommer att hanteras enligt reglerna för allmänna handlingar. Vill du uttrycka det på annat sätt kan du göra det, men se till att informationen finns med. Frågor? Om du har frågor eller funderingar om instruktionerna, kontakta integritets- och dataskyddsfunktionen på dataskydd@slu.se eller 018-67 20 90. 2/11

1. Instruktion A Information som du ska ge om du samlar in personuppgifter direkt från den registrerade SLU är skyldigt att informera om bland annat på vilket sätt vi kommer att använda de personuppgifter vi samlar in. Mottagare av informationen är den vars personuppgifter du kommer att använda dig av, här kallad den registrerade. Denna skyldighet gäller om personen inte redan känner till detta, exempelvis för att hen fått informationen tidigare (vilket i så fall måste utredas och dokumenteras om detta undantag ska användas). Du måste informera den registrerade senast i samband med att personuppgifterna samlas in, inte efteråt. Du får alltså inte samla in uppgifterna först och sedan informera. Du måste ge informationen till den registrerade innan exempelvis en fotografering eller intervju börjar. 2. Grundläggande information 1. Personuppgiftsansvarig Du ska informera om vem som är personuppgiftsansvarig kontaktuppgifter till personuppgiftsansvarig den fysiska person som kan företräda den personuppgiftsansvariga (om möjligt). Vanligtvis är SLU personuppgiftsansvarig, men kontrollera detta särskilt. Ibland kan det vara ett samarbete där flera är personuppgiftsansvariga och ibland kan det vara någon annan som är ansvarig och vi gör insamlingen som del av ett uppdrag. Om en fysisk person företräder den personuppgiftsansvariga bör det vara någon som är ansvarig för exempelvis ett system eller ett forskningsprojekt. 2. Dataskyddsombud Du ska informera om dataskyddsombudets namn, mejladress och telefonnummer. Kontrollera på SLU:s webb vem som är dataskyddsombud. 3. Syfte med behandlingen och rättslig grund Du ska också informera den registrerade om anledningen till att personuppgifterna kommer att användas på ett visst sätt och den rättsliga grunden för användningen. 3/11

Hos oss kan det till exempel vara fråga om en uppgift av allmänt intresse som forskning eller myndighetsutövning. Beskriv kortfattat användningen så att den registrerade kan förstå hur personuppgifterna kommer att hanteras. Om du är osäker på vilken den rättsliga grunden är, kontakta integritets- och dataskyddsfunktionen eller dataskyddsombudet. Följande text måste ALLTID vara med: SLU är en statlig myndighet och har en skyldighet att bl.a. följa reglerna för allmänna handlingar, myndigheters arkiv och offentlig statistik. Universitetet kommer därför även att behandla personuppgifterna på de sätt som krävs för att kunna följa gällande lagstiftning. 4. Vem som får tillgång till personuppgifterna Du ska informera om vem som kan komma att ta del av uppgifterna eller vilka funktioner som kommer att använda sig av dem. Det kan exempelvis vara enbart forskare inom projektet, alla på personalavdelningen och ekonomiavdelningen, deltagare i eventuella samarbeten med andra myndigheter eller privata aktörer. Följande text måste ALLTID vara med: I enlighet med reglerna om allmänna handlingar kan SLU komma att lämna ut dina personuppgifter om de finns i en allmän handling som någon begär ut. Det gäller förutsatt att uppgifterna inte beläggs med sekretess. 5. Överföring av personuppgifter till ett land utanför EU/EES Om personuppgifterna kommer att överföras till ett land utanför EU/EES, eller till en internationell organisation, ska du informera den registrerade om det. Se dessutom till att kontakta integritets- och dataskyddsfunktionen för att se till att du har lagstöd för att föra över personuppgifterna. Obs! Att publicera något på webben innebär inte per automatik att det överförs till ett land utanför EU/EES. Om det läggs upp på sociala medier är det däremot ofta fråga om sådan överföring som du måste informera den registrerade om. Kontakta integritets- och dataskyddsfunktionen för rådgivning om vad som gäller för överföring till länder utanför EU/EES och till internationella organisationer. 4/11

3. Information för att säkra rättvis och transparent behandling 1. Lagringstid Du ska informera om hur länge personuppgifterna kommer att finnas hos den personuppgiftsansvariga eller, om det inte är möjligt att ange, vad som styr längden på lagringen. Det kan exempelvis vara forskningsprojektets längd, arkivlagstiftning, lagstiftning eller kollektivavtal. Kontrollera mot dokumenthanteringsplanen vad som gäller. Om du är osäker, kontakta i första hand SLU:s dokumentationsenhet för rådgivning. Följande text ska ALLTID vara med: Dina personuppgifter lagras också så länge det krävs enligt lagstiftningen om allmänna handlingar och myndigheters arkiv. 2. Den registrerades rättigheter Du ska informera den registrerade om att hen har rätt att få tillgång till sina personuppgifter och, när så är möjligt, få dem rättade eller raderade, få behandlingen av dem begränsad eller invända mot behandlingen. Du ska också upplysa den registrerade om rätten till dataportabilitet, det vill säga att den insamlade informationen enkelt ska kunna överföras till ett annat system. Även här styrs mycket av annan lagstiftning. Utrymmet för att exempelvis begära rättelse i ett forskningsprojekt är väldigt litet, och i behandlingar som har arkiverats är det inte möjligt att rätta uppgifter, vare sig juridiskt eller praktiskt. Just dataportabilitet är sällan tillämpligt inom vår verksamhet men är till för att göra det lättare för individer att till exempel byta bank eller försäkringsbolag. Återkalla samtycke Om användningen av personuppgifterna grundar sig på samtycke ska du informera den registrerade om att hen har rätt att när som helst återkalla sitt samtycke och hur det går till. Dessutom ska du informera om att en återkallelse av samtycket inte påverkar den användning av personuppgifter som redan skett den behandlingen är fortfarande laglig. Du kan alltså fortsätta att använda information som har samlats in med stöd av samtycke innan samtycket återkallades. Däremot får du inte samla in ny information. 5/11

Lämna klagomål Du ska också informera den registrerade om rätten att lämna klagomål på hur personuppgifterna används. Ett sådant klagomål kan antingen lämnas till SLU:s dataskyddsombud eller direkt till Datainspektionen, som är tillsynsmyndighet. Förslagsvis använder du texten nedan. Synpunkter Om du har synpunkter på SLU:s personuppgiftsbehandling kan du vända dig till dataskydd@slu.se, 018-67 20 90. Om du inte är nöjd med SLU:s svar, kan du vända dig till Datainspektionen med klagomål på SLU:s behandling av dina personuppgifter, datainspektionen@datainspektionen.se eller 08-657 61 00. Du kan läsa mer om Datainspektionens tillsyn på http://www.datainspektionen.se/ Lagkrav att lämna personuppgifter Om personuppgifterna måste lämnas på grund av att det är ett lag- eller avtalskrav, eller är nödvändigt för att kunna ingå ett avtal, ska du upplysa särskilt om det. Detsamma gäller om individen är skyldig att lämna uppgifterna och om det får konsekvenser att inte lämna dem. Detta är vanligast inom universitetets administration. Automatiserat beslutsfattande Om det sker automatiserat beslutsfattande som baserar sig på de personuppgifter som lämnats måste du upplysa om det. Det kan till exempel vara automatiserad viktning av meriter för antagning till ett utbildningsprogram, Du måste också ge åtminstone viss information om logiken bakom, vad det innebär att beslut fattas på det sättet och vilka förutsägbara följder sådan behandling har. Detta är vanligast inom universitetets administration. 3. Annat ändamål Om SLU tänker använda personuppgifterna för ett annat ändamål än det de ursprungligen samlades in för ska du informera den registrerade om det. Det måste du göra innan du använder uppgifterna för det andra ändamålet. Du ska även ge annan information som är relevant enligt avsnittet om att säkra rättvis och transparent behandling. 6/11

4. Instruktion B Information som du ska ge om du samlar in personuppgifter direkt från den registrerade SLU är skyldigt att informera om bland annat på vilket sätt vi kommer att använda de personuppgifter vi samlar in. Mottagare av informationen är den vars personuppgifter du kommer att använda dig av, här kallad den registrerade. Denna skyldighet gäller om personen inte redan känner till detta, exempelvis för att hen fått informationen tidigare (vilket i så fall måste utredas och dokumenteras om detta undantag ska användas). Det finns även några andra undantag från informationsskyldigheten, se nedan. Undantag från informationsskyldigheten Om något av undantagen används, se till att dokumentera det tillsammans med en kort motivering om varför information inte behöver lämnas. 1. Om det är omöjligt att ge den information som denna instruktion innehåller, eller om det skulle medföra en oproportionell ansträngning. Framförallt aktuellt när personuppgifter används för arkivering, forskning och statistisk. Vad som är en oproportionell ansträngning avgörs primärt av den personuppgiftsansvariga, men det kommer att växa fram en praxis på området när tillsynsmyndighetens granskningar kommer igång. 2. Om det sannolikt skulle göra det omöjligt eller avsevärt försvåra uppfyllandet av målen med själva användningen av personuppgifterna att ge den grundläggande informationen. Om det till exempel skulle innebära att det inte går att genomföra ett forskningsprojekt. I ovanstående fall ska SLU istället vidta lämpliga åtgärder för att skydda den registrerades rättigheter, friheter och berättigade intressen. Diskutera gärna detta med integritets- och dataskyddsfunktionen. 3. Om vi enligt lag måste registrera eller lämna ut uppgifter och denna behandling har lämpliga åtgärder för att skydda den registrerades berättigade intressen. Ett typexempel är Ladok den registrering vi gör där är på grund av lagkrav. 4. Om personuppgifterna måste förbli konfidentiella till följd av lagstadgad tystnadsplikt i exempelvis sekretesslagstiftningen. 7/11

Det kan exempelvis röra frågor om rikets säkerhet. När ska den registrerade få denna information? Om inget undantag är tillämpligt är SLU skyldigt att ge den registrerade informationen i instruktionen. Detta ska ske vid olika tidpunkter, beroende på situationen: Inom en rimlig period efter det att vi har fått personuppgifterna, dock senast inom en månad. Vid bedömningen av vad som är rimligt får hänsyn tas till eventuella särskilda omständigheter angående hur personuppgifterna används. Om personuppgifterna ska användas för att kontakta den registrerade ska informationen ges senast vid tidpunkten för den första kontakten. Om det är troligt att uppgifterna kommer att lämnas ut till en annan mottagare ska informationen lämnas senast när personuppgifterna lämnas ut för första gången. 5. Grundläggande information 1. Personuppgiftsansvarig Du ska informera om vem som är personuppgiftsansvarig kontaktuppgifter till personuppgiftsansvarig den fysiska person som kan företräda den personuppgiftsansvariga (om möjligt). Vanligtvis är SLU personuppgiftsansvarig, men kontrollera detta särskilt. Ibland kan det vara ett samarbete där flera är personuppgiftsansvariga och ibland kan det vara någon annan som är ansvarig och vi gör insamlingen som del av ett uppdrag. Om en fysisk person företräder den personuppgiftsansvariga bör det vara någon som är ansvarig för exempelvis ett system eller ett forskningsprojekt. 2. Dataskyddsombud Du ska informera om dataskyddsombudets namn, mejladress och telefonnummer. Kontrollera på SLU:s webb vem som är dataskyddsombud. 3. Syfte med behandlingen och rättslig grund Du ska också informera den registrerade om anledningen till att personuppgifterna kommer att användas på ett visst sätt och den rättsliga grunden för användningen. 8/11

Hos oss kan det till exempel vara fråga om en uppgift av allmänt intresse som forskning eller myndighetsutövning. Beskriv kortfattat användningen så att den registrerade kan förstå hur personuppgifterna kommer att hanteras. Om du är osäker på vilken den rättsliga grunden är, kontakta integritets- och dataskyddsfunktionen eller dataskyddsombudet. Följande text måste ALLTID vara med: SLU är en statlig myndighet och har en skyldighet att bl.a. följa reglerna för allmänna handlingar, myndigheters arkiv och offentlig statistik. Universitetet kommer därför även att behandla personuppgifterna på de sätt som krävs för att kunna följa gällande lagstiftning. 4. Vilka personuppgifter som kommer att samlas in Ange vilka uppgifter som ska samlas in, till exempel personnummer, namn eller mejladress. 5. Vem som får tillgång till personuppgifterna Du ska informera om vem som kan komma att ta del av uppgifterna eller vilka funktioner som kommer att använda sig av dem. Det kan exempelvis vara enbart forskare inom projektet, alla på personalavdelningen och ekonomiavdelningen, deltagare i eventuella samarbeten med andra myndigheter eller privata aktörer. Följande text måste ALLTID vara med: I enlighet med reglerna om allmänna handlingar kan SLU komma att lämna ut dina personuppgifter om de finns i en allmän handling som någon begär ut. Det gäller förutsatt att uppgifterna inte beläggs med sekretess. 6. Överföring av personuppgifter till ett land utanför EU/EES Om personuppgifterna kommer att överföras till ett land utanför EU/EES, eller till en internationell organisation, ska du informera den registrerade om det. Se dessutom till att kontakta integritets- och dataskyddsfunktionen för att se till att du har lagstöd för att föra över personuppgifterna. Obs! Att publicera något på webben innebär inte per automatik att det överförs till ett land utanför EU/EES. Om det läggs upp på sociala medier är det däremot ofta fråga om sådan överföring som du måste informera den registrerade om. Kontakta integritets- och dataskyddsfunktionen för rådgivning om vad som gäller för överföring till länder utanför EU/EES och till internationella organisationer. 9/11

6. Information för att säkra rättvis och transparent behandling 1. Lagringstid Du ska informera om hur länge personuppgifterna kommer att finnas hos den personuppgiftsansvariga eller, om det inte är möjligt att ange, vad som styr längden på lagringen. Det kan exempelvis vara forskningsprojektets längd, arkivlagstiftning, lagstiftning eller kollektivavtal. Kontrollera mot dokumenthanteringsplanen vad som gäller. Om du är osäker, kontakta i första hand SLU:s dokumentationsenhet för rådgivning. Följande text ska ALLTID vara med: Dina personuppgifter lagras också så länge det krävs enligt lagstiftningen om allmänna handlingar och myndigheters arkiv. 2. Den registrerades rättigheter Du ska informera den registrerade om att hen har rätt att få tillgång till sina personuppgifter och, när så är möjligt, få dem rättade eller raderade, få behandlingen av dem begränsad eller invända mot behandlingen. Du ska också upplysa den registrerade om rätten till dataportabilitet, det vill säga att den insamlade informationen enkelt ska kunna överföras till ett annat system. Även här styrs mycket av annan lagstiftning. Utrymmet för att exempelvis begära rättelse i ett forskningsprojekt är väldigt litet, och i behandlingar som har arkiverats är det inte möjligt att rätta uppgifter, vare sig juridiskt eller praktiskt. Just dataportabilitet är sällan tillämpligt inom vår verksamhet men är till för att göra det lättare för individer att till exempel byta bank eller försäkringsbolag Återkalla samtycke Om användningen av personuppgifterna grundar sig på samtycke ska du informera den registrerade om att hen har rätt att när som helst återkalla sitt samtycke och hur det går till. Dessutom ska du informera om att en återkallelse av samtycket inte påverkar den användning av personuppgifter som redan skett den behandlingen är fortfarande laglig. Du kan alltså fortsätta att använda information som har samlats in med stöd av samtycke innan samtycket återkallades. Däremot får du inte samla in ny information. 10/11

Lämna klagomål Du ska också informera den registrerade om rätten att lämna klagomål på hur personuppgifterna används. Ett sådant klagomål kan antingen lämnas till SLU:s dataskyddsombud eller direkt till Datainspektionen, som är tillsynsmyndighet. Förslagsvis använder du texten nedan. Synpunkter Om du har synpunkter på SLU:s personuppgiftsbehandling kan du vända dig till dataskydd@slu.se, 018-67 20 90. Om du inte är nöjd med SLU:s svar, kan du vända dig till Datainspektionen med klagomål på SLU:s behandling av dina personuppgifter, datainspektionen@datainspektionen.se eller 08-657 61 00. Du kan läsa mer om Datainspektionens tillsyn på http://www.datainspektionen.se/ Källa Du ska informera den registrerade om varifrån personuppgifterna kommer och, i tillämpliga fall, om de kommer från allmänt tillgängliga källor. Exempel på allmänt tillgängliga källor är statistik från Statistiska centralbyrån, uppgifter från Skatteverket/folkbokföringen etc. Automatiserat beslutsfattande Om det sker automatiserat beslutsfattande som baserar sig på de personuppgifter som lämnats måste du upplysa om det. Det kan till exempel vara automatiserad viktning av meriter för antagning till ett utbildningsprogram,du måste också ge åtminstone viss information om logiken bakom, vad det innebär att beslut fattas på det sättet och vilka förutsägbara följder sådan behandling har. Detta är vanligast inom universitetets administration. 3. Annat ändamål Om SLU tänker använda personuppgifterna för ett annat ändamål än det de ursprungligen samlades in för ska du informera den registrerade om det. Det måste du göra innan du använder uppgifterna för det andra ändamålet. Du ska även ge annan information som är relevant enligt avsnittet om att säkra rättvis och transparent behandling. 11/11