Riktlinjer för anställdas behandling av personuppgifter vid Högskolan i Borås

Relevanta dokument
Regler för studenters behandling av personuppgifter vid Högskolan i Borås

Regler för anställdas behandling av personuppgifter vid Högskolan i Borås

Den nya Dataskyddsförordningen

Personuppgiftsbehandling för forskningsändamål

Riktlinje för hantering av personuppgifter i e-post och kalender

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Personuppgiftsbehandling i forskning

Rutin för webbpublicering av personuppgifter

BEHANDLING AV PERSONUPPGIFTER VID UPPSATSARBETEN. En handledning för lärare och studenter

Personuppgiftslagen (PuL) - En kort introduktion

Regler för lagring av Högskolan Dalarnas digitala information

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Lotta Kavtaradze. Jur. kand. och PUL-konsult PUL-Akademin

Dataskyddsförordningen 2018

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Policy för personuppgiftsbehandling

Riktlinjer för webbpublicering av protokoll i Gislaveds kommun

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Behandling av personuppgifter vid Göteborgs universitet

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen 2018

Personuppgiftsinformation för Svedala kommun

Kommunstyrelsen. Godkänt av kommunstyrelsen , 77 Kompletterad av kommunstyrelsen , 162

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Så behandlar vi dina personuppgifter

Mertzig Asset Management AB

Personuppgiftsbehandling vid examinerande moment och examensarbete vägledning för studenter med kommentarer för handledare och examinatorer

Policy för sociala medier i Stockholms stad

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Etikprövningslagen. Reglering efter 2:a världskriget. Lagar som reglerar forskning i Sverige.

GDPR- Seminarium 2017

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Dataskyddsförordningen

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Personuppgiftspolicy

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Riktlinjer för publicering av personuppgifter på webbplatser 16 KS

Kerstin Wardman, 25 april 2018

Etikprövningslagen. Reglering efter 2:a världskriget. Lagar som reglerar forskning i Sverige. Nürnbergskoden 1947

Dataskyddsförordningen - GDPR

Koncernkontoret Enheten för juridik

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Datainspektionen informerar

Dataskyddsförordningen för prefekter och administrativa chefer

Personuppgiftsbehandling Dataskydd

GDPR. Ulrika Harnesk 17 oktober 2018

Anmälan om att en utbildningsanordnare brister i arbetet med aktiva åtgärder

DATASKYDDSFÖRORDNINGEN. Webbinar den 26 april 2018

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Dataskyddsförordningen för kommunikatörer

Personuppgiftsbiträdesavtal

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Dataskyddsförordningen

Försvarets radioanstalts (FRA) behandling av personuppgifter

GDPR Utbildning Varför görs denna förändring? När börjar den nya lagen gälla? Individens rätt Likformighet Uppdatering Kostnadsbesparingar

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

(5) Integritetspolicy - Kumla Bostäder AB

Remiss SOU 2014:23: Rätt information på rätt plats och i rätt tid

Riktlinjer om e-post Dnr 1-202/2019. Gäller fr.o.m

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

Rätt information på rätt plats i rätt tid, SOU 2014:23

Samtycke och dataskyddsförordningen (GDPR)

Pass 6 Forskningsjuridik

Riktlinjer för behandling av personuppgifter i Årjängs kommun

GDPR General data protection regulation Dataskyddsförordningen

GDPR. Anders Ahlström

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

GDPR-guide FÖR LÖNEADMINISTRATÖREN

REKRYTERINGSHUSET. RekryteringsHuset i Sverige AB Integritetspolicy

Papperskopia av dokumentet endast giltigt med röd stämpel: Registrerad kopia.

Punkt 21 Riktlinje för fritextfält

PUL OCH DATASKYDDSFÖRORDNINGEN

Personuppgifter i forskningen vilka regler gäller?

Riktlinjer för webbpublicering enligt PuL

INTEGRITETSPOLICY FÖR BOSTADSRÄTTSFÖRENINGEN BOKLOK Eriksbergsbergsterrassen

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

Riktlinjer för behandling av personuppgifter vid webbpublicering

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Policy för behandling av personuppgifter

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Anmälan om att en arbetsgivare brister i arbetet med aktiva åtgärder

Anpassning till DSF

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

INTEGRITETSPOLICY Max Mitteregger Kapitalförvaltning AB. INTEGRITETSPOLICY Den 25 maj 2018

Kvalitetsregisterdag

Personuppgifter i forskning riktlinje för SLSO

VERSION

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Instruktion till mall för registerförteckning

Göran Rydeberg, Stockholms universitet

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Policy: Säker hantering av personuppgifter

Transkript:

Riktlinjer för anställdas behandling av personuppgifter vid Högskolan i Borås INLEDNING Dessa riktlinjer innehåller en sammanfattning av de viktigaste reglerna som anställda har att följa vid behandling av personuppgifter i arbetet. Riktlinjerna är inte kompletta. Samtliga regler med kommentarer finns på högskolans webbplats, http://www.hb.se/anstalld/dataskydd. Där finns också mallar och annan praktisk information. Det kan vara svårt att bedöma hur personuppgifter får behandlas. Vid högskolan finns det därför en dataskyddsfunktion bestående av jurist, arkivarie och informationssäkerhetssamordnare som kan hjälpa dig med frågor kring behandlingen av personuppgifter. Du är välkommen att kontakta oss via mejl, dataskydd@hb.se. LAGLIG GRUND När får personuppgifter behandlas? 1 Personuppgifter får behandlas om det är nödvändigt 2 för att utföra en uppgift a) som innebär myndighetsutövning, b) vars ändamål är av allmänt intresse 3, c) som följer av lag eller d) avtal med den vars uppgifter behandlas. - 3 Personuppgifter får behandlas med stöd av samtycke från den vars personuppgifter behandlas. - 4 1 Se Regler för anställdas behandling av personuppgifter vid Högskolan i Borås (dnr 361-18), tillgänglig på högskolans webbplats, http://www.hb.se/anstalld/dataskydd. 2 Med nödvändigt menas att det inte ska finnas något annat, rimligt, och mindre ingripande, sätt att uppnå samma resultat på. Läs mer om nödvändighetskravet på högskolans webbplats, http://www.hb.se/anstalld/dataskydd. 3 Med allmänt intresse menas att uppgiften har ett klart och tydligt samband med högskolans uppdrag att utbilda, forska, samverka med omgivande samhälle, informera om högskolans verksamhet och verka för att forskningsresultat kommer till nytta.

När krävs samtycke? All publicering av bild- och/eller ljudmaterial som innehåller personuppgifter på webben, sociala medier och Internet i övrigt kräver samtycke. Publicering kan få ske utan samtycke efter bedömning och godkännande av högskolans dataskyddsfunktion i det enskilda fallet. 5 (a) All behandling av personnummer (8 eller 10 siffror) kräver samtycke. All behandling av känsliga personuppgifter 4 kräver samtycke. Personnummer får bl.a. behandlas utan samtycke om det är klart motiverat för att säkert kunna identifiera en person, dvs. inte förväxlas med någon annan. Känsliga personuppgifter får bl.a. behandlas utan samtycke om det är nödvändigt vid handläggningen av ett ärende 5, eller vid forskning med godkänd ansökan om etikprövning. 5 (b) 5 (c) Hur ska samtycke samlas in och hanteras? Samtycke ska lämnas skriftligt och hämtas in innan behandlingen påbörjas. Använd högskolans mallar 6. - 6 Rutin för hur inhämtade samtycken ska bevaras och hållas ordnade ska upprättas och dokumenteras i samråd med högskolans arkivarie innan samtycke hämtas in. Rutin som säkerställer att insamlade personuppgifter tas bort i det fall att samtycke återkallas ska upprättas och dokumenteras innan samtycke hämtas in. - 7-9 4 Med känsliga personuppgifter menas alla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, genetiska uppgifter, biometriska uppgifter, medlemskap i fackförening samt uppgifter om hälsa, sexualliv och sexuell läggning. Till exempel: sjukfrånvaro, beskrivningar av sjukdomar eller annan fysisk eller psykisk ohälsa, uppgifter om funktionsvariationer, särskilda behov, allergier och hemland. Uppgifter som indirekt avslöjar känsliga uppgifter, är känsliga personuppgifter. Exempelvis kan matpreferenser avslöja religiös övertygelse. 5 Med ett ärende menas alla mellanhavanden inom högskolan, eller mellan högskolan och enskilda, som mynnar ut i något slags beslut från högskolans sida, dvs. ett uttalande eller ställningstagande som har någon form av återverkan eller vägledning för en student, anställd eller annan individ. 6 Kontakta högskolans dataskyddsfunktion vid behov av en ny mall.

Hur får personuppgifter behandlas med stöd av samtycke? Personuppgifter ska lagras, bearbetas, spridas/överföras och i övrigt behandlas i enlighet med vad som stadgas i samtycket. - 8 I det fall ett samtycke återkallas ska de personuppgifter som har samlats in tas bort och behandlingen i övrigt upphöra. Resultat av den behandling som redan har skett, t.ex. beräkningar, sammanställningar eller samkörningar, behöver inte tas bort. 9 LAGRING Vart får personuppgifter lagras? Personuppgift Tillåten lagring Åtkomst Aktuella bestämmelser Godkända och anvisade 14 (b) IT-system. EJ i PING PONG. 15 (a) Integritetskänsliga personuppgifter 7 Övriga personuppgifter (andra än integritetskänsliga personuppgifter) Högskolans egna lagringsytor F: och G: Krypterat flyttbart lagringsmedia 8 Godkända och anvisade IT-system Högskolans egna lagringsytor F: och G: Åtkomsten ska vara personlig och begränsad till medarbete som behöver uppgifterna i arbetet. Chef med verksamhetsansvar ansvarar för att upprätta och dokumentera rutin för tilldelning och borttagning av åtkomst till integritetskänsliga personuppgifter inom sitt ansvarsområde. Åtkomsten ska vara personlig och begränsad till medarbete som behöver uppgifterna i arbetet. 15 (b) 16 (b) 27 14 (a) Box och Vibe Mobila enheter 7 Med integritetskänsliga personuppgifter menas dels känsliga uppgifter som ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, genetiska uppgifter, biometriska uppgifter, medlemskap i fackförening samt uppgifter om hälsa, sexualliv och sexuell läggning, dels extra skyddsvärda uppgifter så som uppgifter som omfattas av sekretess eller tystnadsplikt, skyddade personuppgifter, uppgifter om lagöverträdelser, känsliga uppgifter om ekonomiska förhållanden, samt beskrivningar och värderingar av personliga egenskaper eller förhållanden som ligger nära den privata sfären samt uppgifter som i övrigt kan betraktas som integritetskänsliga. 8 Beställs av IT-avdelningen

Hur länge får personuppgifter sparas? Av högskolans informationshanteringsplan 9 framgår vid vilken tidpunkt information som innehåller personuppgifter får raderas/gallras. När en information får raderas, bör informationen, eller personuppgifterna i informationen, också raderas 10. Personuppgifter får endast sparas ytterligare om det är nödvändigt med hänsyn till ändamålet med behandlingen av personuppgifter. Detsamma gäller om det inte finns en bestämd tidpunkt för när informationen får raderas, t.ex. när det i informationshanteringsplanen stadgas att informationen får raderas vid inaktualitet (17-18 ). Detta gäller oavsett vart informationen lagras, t.ex. mejl, hemkatalog, webbformulär, eller IT-system. Raderingstider för vanligt förekommande information: Skrivelser och korrespondens som är av ringa eller tillfällig betydelse för högskolans verksamhet får gallras vid inaktualitet (t.ex. enklare frågor, reklam, massutskick, kursinbjudningar). Korrespondens som bedöms leda till ett ärende/vara en del av ett ärende ska registreras och hanteras enligt högskolans rutiner i anvisat system (t.ex. högskolans diarium). Kopior och dubbletter där ett arkivexemplar har bevarats ska gallras. Intern korrespondens får gallras vid inaktualitet. Undantaget om handlingen tillför ett ärende sakuppgift. Arbetsmaterial/utkast får gallras när den slutgiltiga förslaget är upprättat. Administrativa listor av tillfällig betydelse, som inte är del av ett ärende, får raderas vid inaktualitet. Vem ansvarar för att personuppgifter raderas? Vem Vad Aktuell bestämmelse Enskilda medarbetare Mejl, webbformulär, och alla egna lagringsutrymmen t.ex. hemkatalog. 18 (a) Systemägare Chef IT-system inom sitt ansvarsområde. Gemensamma lagringsytor inom sitt ansvarsområde t.ex. G: och Box. 18 (b) 18 (c) Utöver ansvaret för att faktiskt se till att radering sker, ansvarar systemägare respektive chef med verksamhetsansvar för att upprätta och dokumentera rutin för när information som innehåller integritetskänsliga personuppgifter ska raderas (18 b och c ). 9 Högskolans informationshanteringsplan: http://www.hb.se/anstalld/att-arbeta-pa-enhogskola/myndigheten-hogskolan/informationshantering/regler-och-riktlinjer/ 10 Radering kan ske genom att informationen som innehåller personuppgifter helt tas bort eller att informationen avidentifieras, dvs. att uppgifter som går att knyta till en individ tas bort medan andra uppgifter behålls.

ÖVERFÖRING Hur får personuppgifter spridas/överföras/lämnas ut? Personuppgifter får delas med andra som har ett behov av uppgifterna för att kunna utföra sitt arbete 19 I det fall behandlingen av personuppgifter sker med stöd av samtycke får uppgifterna delas med andra enligt vad som framgår av samtycket. Det kan finnas särskilda regler för hur personuppgifter får lämnas ut till tredje man, dvs. någon utanför högskolan, i andra författningar. Exempelvis finns sådana regler i förordning (1993:1153) om redovisning av studier m.m. vid universitet och högskolor. Det finns förbud mot att i vissa fall lämna ut känsliga personuppgifter till tredje man på arbetsrättens område i 3 kap. 2 dataskyddslagen. Personuppgifter ska i första hand delas med andra via länkar eller hänvisningar till uppgifterna i/på godkända IT-system och lagringsytor. Integritetskänsliga personuppgifter ska krypteras vid överföring, t.ex. genom mejl. Personuppgifter får inte föras över till ett land utanför EU/EES utan godkännande av högskolans dataskyddsfunktion. Varje konto, sida, kanal eller motsvarande på sociala medier med anknytning till arbetet vid högskolan ska godkännas av kommunikationschef. För varje konto, sida, kanel eller motsvarande på sociala medier ska det finnas en dokumenterad rutin för radering av personuppgifter. Det mesta av informationen vid högskolan är s.k. allmänna handlingar. Tryckfrihetsförordningen och offentlighets- och sekretesslagens regler har därför också betydelse för vilka uppgifter som får lämnas ut. - 20-21 - 14 (d) - 23 (a) - 23 (b)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss