Du besöker just nu Medarbetarwebben utan att vara inloggad. Logga in för att ta del av innehåll för medarbetare.

Dataskydd och personuppgifter

På denna sida kan du läsa mer om bland annat fotografering, filmning och dataskyddsförordningen.

Dataskyddsförordningen

Den europeiska dataskyddsförordningen, GDPR (General Data Protection Regulation) i kombination med kompletterande svenska lagar, ställer krav på att allt arbete med personuppgifter utförs på ett öppet, korrekt och säkert sätt.

Texten nedan ger en kortfattad genomgång av vad som är nödvändigt att beakta för att hanteringen av personuppgifter ska vara tillåten på Södertörns högskola. I slutet finns en kort förklaring över skillnaden i lagstiftningen mellan GDPR och den tidigare, gällande personuppgiftslagen (PuL).

Dataskyddsförordningens grunder

All behandling av personuppgifter måste uppfylla de grundläggande principer som anges i dataskyddsförordningen. Principerna innebär förenklat att personuppgifter bara får samlas in för vissa berättigade ändamål, att inte fler uppgifter än nödvändigt får behandlas, och att uppgifterna inte får sparas längre tid än nödvändigt. Personuppgifterna måste alltid hanteras på ett säkert sätt.

Något som är viktigt att komma ihåg är att dataskyddsarbete är ett kontinuerligt arbete som kräver att alla medarbetare tillsammans gör sitt för att Södertörns högskola ska kunna efterleva dataskyddsförordningens bestämmelser. Det är ett gemensamt arbete att föra dataskyddsarbetet framåt på högskolan.

Några grundläggande begrepp

Personuppgifter

Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan kopplas till en levande, fysisk person. Exempel på personuppgifter är namn, adress och IP-nummer, men även flera uppgifter som gemensamt kan kopplas till en fysisk person räknas som personuppgifter.

Observera att det räcker med att någon kan koppla uppgifterna till en fysisk person för att det ska räknas som personuppgifter.

Även om du som behandlar uppgifterna inte vet eller ens har möjlighet att ta reda på vilken person det gäller kan det vara behandling av personuppgifter. För att avgöra om en fysisk person är identifierbar ska man beakta alla hjälpmedel som – antingen av den personuppgiftsansvarige eller av en annan juridisk eller fysisk person – rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen.

Behandling av personuppgifter

Behandling av personuppgifter är ett begrepp som har en vidsträckt tolkning. Alla former av åtgärder med personuppgifter räknas som behandling av personuppgifter, från det att uppgifterna samlas in tills det att uppgifterna slutligt har raderats eller förstörts.

Exempel på behandling av personuppgifter är enligt definitionen i dataskyddsförordningen insamling, registrering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning, spridning och slutligen även själva raderingen eller förstörelsen av personuppgifterna.

Tänk på att till exempel utskrift av personuppgifter på skrivare och skickande av e-post alltid innebär behandling av personuppgifter.

Personuppgiftsansvarig

Personuppgiftsansvarig, det vill säga Södertörns högskola, är den som bestämmer ändamål och riktlinjer för behandlingen av personuppgifter.

Vem ansvarar för all behandling av personuppgifter som sker i högskolans verksamhet?

Södertörns högskola är personuppgiftsansvarig för den behandling av personuppgifter som sker inom lärosätets verksamhet. Detta gäller inte bara den behandling som görs av lärare och administrativ personal, utan universitetet ansvarar som huvudregel även för den behandling av personuppgifter som studenterna utför inom ramen för utbildningen. Om en student till exempel behandlar personuppgifter i sitt uppsatsarbete omfattas behandlingen därför av reglerna i dataskyddsförordningen, och det är Södertörns högskolas ansvar att se till att reglerna efterlevs.

Det finns dock vissa undantagssituationer. Om en student till exempel genomför verksamhetsförlagd utbildning (VFU) är det som huvudregel istället praktikplatsen som är personuppgiftsansvarig när studenten utför olika arbetsuppgifter inom exempelvis skola eller hos Polismyndigheten (på samma sätt som praktikplatsen är personuppgiftsansvarig när dess anställda behandlar personuppgifter).

Grundläggande principer för behandling av personuppgifter

Varje behandling av personuppgifter, oavsett i vilken del av verksamheten, som utförs måste uppfylla de sex grundläggande principer som anges i artikel 5 dataskyddsförordningen. Södertörns högskola måste därför säkerställa och visa på att behandlingen uppfyller nedanstående krav.

  • Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den vars personuppgifter vi behandlar, det vill säga den registrerade (laglighet, korrekthet och öppenhet).
  • Uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning).
  • Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
  • Uppgifterna ska vara korrekta och om nödvändigt uppdaterade (korrekthet).
  • Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (lagringsminimering).
  • Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna (integritet och konfidentialitet).

Detta är grundprinciperna för all behandling av personuppgifter och alla verksamhetsområden på Södertörns högskola ska behandla personuppgifter i enlighet med ovanstående punkter.

Vad är skillnaden mellan GDPR och den tidigare, svenska personuppgiftslagen?

EU:s dataskyddsförordning blev tillämplig den 25 maj 2018 och dess syfte är att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter. Mycket i den nya lagstiftningen liknar de tidigare regler som fanns i personuppgiftslagen. Det som skiljer är införandet av sanktionsavgift samt högre grad av transparens som bland annat innebär följande:

  • Datainspektionen är tillsynsmyndighet och kan vid överträdelser utdöma sanktionsavgift på upp till 10 mkr.
  • Skyldighet att kunna visa på dokumentation som styrker att EU:s dataskyddsförordning efterlevs (ansvarsskyldighet).
  • Skyldighet för personuppgiftsansvarig att föra register över alla behandlingar av personuppgifter.
  • Tydligare krav för personuppgiftsansvarig att dokumentera rättslig grund för behandlingen av personuppgifter.

Vad kan jag göra om jag vill lära mig att tillämpa GDPR i praktiken?

Fundera över ditt dagliga arbetssätt utifrån principerna ovan och ställ dig själv frågan om du uppfyller de grundläggande kraven som finns i dataskyddsförordningen. Tala gärna med dina kollegor om hur ni kan förbättra era rutiner för att arbeta i enlighet med gällande lagstiftning.

För mer information kontakta dataskydd@sh.se

Nedan följer ett antal övningar att titta igenom och öva på om du behöver friska upp GDPR-minnet (med tillhörande facit).

Rutin för begäran från den enskilde

  • Registraturen är första ingången vid förfrågningar som ska diarieföra begäran. Om begäran kommer in på annat sätt ska den skickas vidare till registrator för diarieföring. Det är viktigt att inkomna förfrågningar diarieförs för att möjliggöra att högskolan kan hålla reda på lagstadgade tidsfrister, att ärendet tilldelas rätt handläggare och att handlingarna i ärendet finns på rätt plats.
  • Registrator måste utröna vilka IT-system som berörs, och ser till att ärendet skickas till berörda systemägare för handläggning.

Om det är många system som berörs bör GDPR-samordnaren för respektive avdelning tilldelas som handläggare för ärendet.

Om det inte blir en träff, ska en fråga skickas tillbaka till den enskilde vilket verksamhetsområde inom högskolan som förfrågan gäller.


  • Svar kommer inte tillbaka med en ifylld blankett - GDPR-samordnaren för respektive avdelning tilldelas som handläggare för ärendet att utreda om och var personen förekommer i systemen där.
    - Svar från den enskilde kommer tillbaka med ifylld blankett - GDPR-samordnaren för den aktuella avdelningen bekräftar till den enskilde att begäran har kommit in, Du ska även lämna besked till den enskilde om när vi beräknar kunna ta ställning till den inkomna frågan, enligt lag har vi 1 månad på oss att besvara den enskilde. Om det beräknas ta längre tid än en (1) månad bör samråd ske med dataskyddsombudet på dataskydd@sh.se.
  • GDPR-samordnaren utreder begäran genom att ta behövlig kontakt med relevanta parter, bland annat leverantören av systemet och medarbetare.
  • GDPR-samordnaren skickar ett förslag till beslut till den enskilde. För att säkerställa identiteten (att det är rätt och samma personen i fråga som faktiskt utövar sina rättigheter) ska du skicka ett beslutsbrev innan själva raderingen/rättningen/ändringen/etc. sker (förslag till beslut).
    - Kompletteringstiden bör vara satt till 2 veckor som ger den enskilde rimlig tid att invända mot förslaget. Brevet skickas hem till den enskildes folkbokföringsadress för att säkerställa den enskildes identitet.
    - Besvärshänvisning (för överklagan) ska också finnas med.
  • En kopia av förslag till beslut skickas till registrator för diarieföring.
  • GDPR-samordnaren ansvarar för att sammanställa svaren från systemägarna i en Word-fil.
  • Ärendet skickas till rektor eller den som fått delegation att fatta beslut i dessa frågor.
  • Ärendet föredras av GDPR-samordnaren för rektor eller annan behörig person.
  • Rektor eller annan behörig person fattar beslut i frågan.

- Om radering eller rättelse inte sker ska detta meddelas den enskilde till dennes folkbokföringsadress.

  • Ett gynnande (det vill säga rättelse/radering har skett) beslut kommuniceras till den enskilde. På grund av säkerhetsskäl kan Södertörns högskola inte tillhandahålla elektronisk utlämning. Utlämnandet sker på något av följande sätt:

- Utlämnande sker på papper via rekommenderat brev och skickas till den enskildes folkbokföringsadress.
- Utlämnandet sker personligen genom att personen besöker oss och legitimerar sig.

Ett utlämnande ska aldrig ske elektroniskt via e-post.

  • Beslutet verkställs av systemägaren. Detta kan ske tidigast ske efter att tidsfristen som den enskilde har fått informerat om i steg 5 löpt ut.

Om din avdelning inte har en GDPR-samordnare ska en sådan roll utses. Tills dess att en medarbetare har blivit tilldelad rollen är det systemägaren (oftast avdelningschef) som gör samtliga steg ovan där det står "GDPR-samordnare".

Vilka beslut som kan överklagas

Den enskilde har rätt att överklaga högskolans beslut i frågor som rör den enskildes utövande av sina rättigheter, se vidare 7 kap. 2 § dataskyddslagen:

  • Beslut om att inte tillmötesgå en begäran eller att ta ut en avgift för att administrera en begäran från den enskilde om den är ogrundad, orimlig eller av repetitiv karaktär (artikel 12.5)
  • Rätten till tillgång, även kallat registerutdrag (artikel 15)
  • Rätten till rättelse (artikel 16)
  • Rätten till radering (artikel 17)
  • Rätten till begränsning (artikel 18)
  • Anmälningsskyldighet (artikel 19)
  • Dataportabilitet (artikel 20)
  • Rätten att göra invändningar (artikel 21)

Ovanstående beslut, det vill säga förvaltningsbeslut, måste fattas av behörig person som har delegation.

Besvärshänvisning ska alltid bifogas beslutet.

För mer information kontakta dataskydd@sh.se

Vad är ett registerutdrag?

Enligt dataskyddsförordningen har enskilda personer rätt att på begäran få veta om Södertörns högskola behandlar personuppgifter om dem och i sådana fall få tillgång till personuppgifterna, ett s.k. registerutdrag.

En begäran om registerutdrag ska som utgångspunkt besvaras utan onödigt dröjsmål men senast inom en månad från det att högskolan tog emot begäran. Tidsfristen kan i undantagsfall förlängas med två månader. Ett registerutdrag ska i regel tillhandahållas kostnadsfritt.

Ett registerutdrag ska innehålla kopia på personuppgifterna och information om bland annat:

  • vilka typer av personuppgifter som behandlas
  • vad syftet med personuppgiftsbehandlingen är, dvs. varför vi behandlar personuppgifterna
  • hur länge personuppgifterna kommer att behandlas
  • vilka personuppgifterna har delats med
  • varifrån personuppgifterna kommer

Hantering av begäran om registerutdrag

För att underlätta hanteringen av begäranden om registerutdrag har högskolan upprättat en handläggningsordning som beskriver hur sådana begäranden ska hanteras samt vem som ska göra vad. Eftersom ett registerutdrag ska tillhandahållas inom en månad från det att högskolan mottog begäran är det viktigt att handläggningsordningen följs.

Kartlägg personuppgiftsbehandlingar

För att kunna besvara en begäran om registerutdrag krävs det att högskolan gör en genomsökning av de personuppgiftsbehandlingar som förekommer inom högskolans verksamhet. Varje avdelning, institution och annan verksamhet inom högskolan bör därför kartlägga och sammanställa vilka personuppgiftsbehandlingar som förekommer på respektive avdelning, institution och annan verksamhet. Detta kommer att underlätta de genomsökningar som behöver göras när högskolan hanterar begäran om registerutdrag.

Beslut om registerutdrag kan överklagas

Enligt 7 kap. 2 § dataskyddslagen har den enskilde rätt att överklaga beslut om registerutdrag. Beslut om registerutdrag ska fattas av behörig beslutsfattare enligt högskolans besluts- och delegationsordning. Sådana beslut kan överklagas till förvaltningsrätten. Observera dock att om högskolan fattar beslut om att inte lämna ut vissa uppgifter i ett registerutdrag med hänvisning till sekretess, ska beslutet överklagas till kammarrätten.

Vad är ett personuppgiftsbiträde?

Ett personuppgiftsbiträde är en extern organisation som behandlar personuppgifter för en personuppgiftsansvarigs räkning, det vill säga på uppdrag av en personuppgiftsansvarig. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, myndighet eller annat organ. Personuppgiftsbiträdet får endast behandla personuppgifter enligt instruktion från den som är personuppgiftsansvarig. I de flesta fall är Södertörns högskola personuppgiftsansvarig. Det innebär att det är högskolan som bestämmer för vilka ändamål personuppgifterna ska behandlas och hur behandlingen ska gå till. Det kan dock förekomma situationer där högskolan anses vara ett personuppgiftsbiträde.

När ska högskolan ingå ett personuppgiftsbiträdesavtal?

När Södertörns högskola anlitar ett personuppgiftsbiträde ska ett personuppgiftsbiträdesavtal upprättas. Syftet med avtalet är att personuppgiftsbiträdet ska lämna tillräckliga garantier om att uppfylla kraven i GDPR genom att till exempel genomföra lämpliga tekniska och organisatoriska åtgärder enligt GDPR samt säkerställa att de registrerades fri- och rättigheter skyddas. Personuppgiftsbiträden som inte lämnar sådana garantier får inte användas. Exempel på personuppgiftsbiträden är leverantörer av it-tjänster, personaladministrativa system, lärplattformar, ärendehanteringssystem, arkiv- och dokumentdatabaser och liknande. En biträdessituation kan även uppkomma i forskningssammanhang.

När ska högskolan inte ingå ett personuppgiftsbiträdesavtal?

Södertörns högskola ska inte ingå ett personuppgiftsbiträdesavtal med de organisationer som behöver personuppgifterna för att utföra sina uppdrag. Ett exempel på en sådan situation är när högskolan skickar uppgifter om anställdas löner till Skatteverket. Högskolan har en rättslig förpliktelse att överföra vissa uppgifter om de anställda till Skatteverket. Skatteverket kommer sedan att behandla uppgifterna för eget syfte, vilket är att kontrollera och följa upp att rätt inkomst för de anställda har rapporterats så att de anställda betalar rätt inkomstskatt.

Hur upprättas ett personuppgiftsbiträdesavtal?

Ett personuppgiftsbiträdesavtal är oftast ett separat avtal som är skilt från det avtal som reglerar innehållet i själva tjänsten (huvudavtalet/ramavtalet). Under rubriken Avtalsmallar nedan finns en avtalsmall som kan användas när ett personuppgiftsbiträde anlitas. Det viktigt att ange bland annat vilka personuppgifter som personuppgiftsbiträdet ska behandla inom ramen för sitt uppdrag samt ändamålet med behandlingen. Högskolans dataskyddsombud kan kontaktas för att granska ifyllt avtal. Om personuppgiftsbiträdet istället vill använda ett personuppgiftsbiträdesavtal som biträdet själv har upprättat är det viktigt att högskolans dataskyddsombud kontaktas för att granska avtalet.

Av högskolans besluts- och delegationsordning framgår vem som får teckna personuppgiftsbiträdesavtal.

Gemensamt personuppgiftsansvar

Enligt GDPR kan personuppgiftsansvaret vara gemensamt för flera organisationer. När Södertörns högskola samarbetar med till exempel andra lärosäten eller myndigheter kan det uppstå situationer där personuppgiftsansvaret anses vara gemensamt. För att det ska vara fråga om gemensamt personuppgiftsansvar krävs det att två eller flera personuppgiftsansvariga tillsammans bestämmer ändamålen och medlen för personuppgiftsbehandlingen. Om det föreligger gemensamt personuppgiftsansvar måste parterna ingå ett avtal där deras respektive ansvar för att följa reglerna i GDPR fastställs. Nedan finns en avtalsmall som kan användas när det är fråga om gemensamt personuppgiftsansvar.

Överföring av personuppgifter utanför EU/EES (s.k. tredjelandsöverföringar)

Ett av syftena med införandet av dataskyddsförordningen var att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU/EES så att det fria flödet av uppgifter inom unionen inte hindras. Utanför EU/EES finns det inga generella regler som motsvarar den nivå på skyddet som garanteras i dataskyddsförordningen. Skyddet för personuppgifter får inte försämras när de överförs till ett land utanför EU/EES (s.k. tredjelandsöverföring). Det finns därför särskilda regler i dataskyddsförordningen som reglerar när det är tillåtet att genomföra en tredjelandsöverföring.

Vad gäller överföring av personuppgifter till USA har rättsläget ändrats under det senaste året. Detta beror på EU-domstolens avgörande i det s.k. Schrems II-målet. Informationen nedan inleds därför med en kort redogörelse för EU-domstolens avgörande i Schrems II-målet samt information om hur högskolan bör förhålla sig till överföringar av personuppgifter till USA. Därefter ges information om vad en tredjelandsöverföring är och vilka krav som måste vara uppfyllda för att det ska vara tillåtet att överföra personuppgifter till en mottagare utanför EU/EES.

Överföring av personuppgifter till USA och Schrems II-målet

Det var tidigare tillåtet att överföra personuppgifter till mottagare i USA som anslutit sig till det s.k. Privacy Shield-avtalet (en överenskommelse om skydd för personuppgifter mellan EU och USA). Den 16 juli 2020 meddelade EU-domstolen dom i det s.k. Schrems II-målet där domstolen ogiltigförklarade Privacy Shield-avtalet. Avtalet ogiltigförklarades eftersom det inte gav ett tillräckligt skydd för personuppgifter när dessa överförs till USA.

Domen berör alla inom högskolan som köper in eller ansvarar för programvaror där personuppgiftsbiträdet eller underbiträdet är baserat i USA. Domen berör också forskare och anställda som har pågående projekt som innefattar överföring av personuppgifter till USA. Sammantaget aktualiseras domen så fort en åtgärd innebär att personuppgifter överförs till en mottagare i USA.

Med anledning av EU-domstolens dom råder just nu osäkerhet kring i vilken utsträckning personuppgifter istället kan överföras lagligt till USA baserat på att parterna tillämpar standardavtalsklausuler som godkänts av EU-kommissionen. Mot bakgrund av detta gäller följande rekommendationer.

  • Till dess att Södertörns högskola har tagit ställning till hur domen ska hanteras bör samtliga verksamheter avvakta med att ta in nya licenser/verktyg/system med kopplingar till USA.
  • Om en systemleverantör hör av sig och vill att systemägare ska skriva på ett tilläggsavtal till befintligt avtal (t.ex. personuppgiftsbiträdesavtal) eller ett avtal som innehåller standardavtalsklausuler för att på så sätt kunna hantera personuppgifter i USA, ska dessa inte skrivas på. Systemägare ska i en sådan situation ta kontakt med dataskyddsombudet och skicka begäran till dataskydd@sh.se.
  • Forskare och anställda bör undvika projekt som innefattar överföringar av personuppgifter till mottagare i USA. Istället bör andra arbetssätt tillämpas där personuppgifter inte överförs till mottagare i USA.

För frågor om överföring av personuppgifter till USA kontakta dataskydd@sh.se

Vad är en tredjelandsöverföring?

En tredjelandsöverföring innebär att personuppgifter överförs till länder utanför EU/EES eller internationella organisationer. Exempel på tredjelandsöverföring av personuppgifter är

  • när personuppgifter skickas via e-post till en mottagare i ett land utanför EU/EES
  • när man anlitar ett personuppgiftsbiträde i ett land utanför EU/EES
  • när någon utanför EU/EES ges tillgång, t.ex. läsbehörighet, till personuppgifter som finns lagrade inom EU/EES (t.ex. vid en supporttjänst)
  • när personuppgifter lagras i en molntjänst som är baserad utanför EU/EES
  • när personuppgifter lagras, t.ex. på en server, i ett land utanför EU/EES

Att publicera något på internet är inte en tredjelandsöverföring förutsatt att webbplatsen finns hos en internetleverantör som är etablerad i EU/EES.

När är det tillåtet att genomföra tredjelandsöverföring?

Överföring av personuppgifter till andra länder än EU/EES-länder får endast ske under särskilda förutsättningar. Nedan följer de förutsättningar som främst är aktuella för Södertörns högskola. Någon av dessa förutsättningar måste alltså vara uppfylld för att få genomföra en tredjelandsöverföring.

  • Det kan vara tillåtet att överföra personuppgifter till ett tredje land om det finns ett beslut fattat av EU-kommissionen som innebär att landet där mottagaren av personuppgifterna är belägen anses ha en adekvat nivå vad gäller skyddet av personuppgifter (s.k. adekvat skyddsnivå). En lista över länder som har adekvat skyddsnivå finns att hitta här Länk till annan webbplats, öppnas i nytt fönster.. Med anledning av Brexit betraktas Storbritannien numera som ett tredje land. Den 28 juni 2021 fattade EU-kommission beslut om adekvat skyddsnivå för överföring av personuppgifter till Storbritannien. Det innebär att Storbritannien har tillräckligt hög skyddsnivå och personuppgifter kan därför överföras dit.
  • Det kan vara tillåtet att överföra personuppgifter till ett tredje land om den som är personuppgiftsansvarig vidtar lämpliga säkerhetsåtgärder genom att exempelvis använda standardavtalsklausuler som EU-kommissionen beslutat om. Det innebär att högskolan och mottagaren ingår ett avtal som innehåller ett antal standardiserade klausuler som EU-kommissionen har godkänt och som anger rättigheter och skyldigheter för parternas hantering av personuppgifter. Den 4 juni 2021 fattade EU-kommissionen beslut om att anta nya standardavtalsklausuler. De nya standardavtalsklausulerna finns att hitta här Länk till annan webbplats, öppnas i nytt fönster..

För frågor om tredjelandsöverföring av personuppgifter kontakta dataskydd@sh.se.

Vad är en konsekvensbedömning?

Om en personuppgiftsbehandling sannolikt leder till en hög risk för enskilda personers fri- och rättigheter ska högskolan enligt GDPR göra en konsekvensbedömning. Syftet med en konsekvensbedömning är att identifiera och minimera risker för personers fri- och rättigheter innan en personuppgiftsbehandling påbörjas. Risker ska i första hand bedömas utifrån dataskydds- och integritetsaspekter, men även utifrån andra grundläggande mänskliga rättigheter såsom yttrande- och tankefrihet, fri rörlighet eller förbud mot diskriminering.

En konsekvensbedömning ska genomföras innan en personuppgiftsbehandling påbörjas. På så sätt minimeras risken för att högskolan påbörjar en behandling som senare måste förändras på grund av att den inte uppfyller kraven i GDPR. En konsekvensbedömning kan vara till hjälp vid bedömningen av vilka säkerhetsåtgärder som behövs eller vilka tekniska lösningar som bör väljas.

När ska en konsekvensbedömning göras?

En konsekvensbedömning ska särskilt göras i följande fall:

  • När en personuppgiftsbehandling består av ett automatiserat individuellt beslutsfattande (t.ex. rekrytering utan personlig kontakt, helt automatiserad antagning) och profilering (användning av personuppgifter för att skapa särskilda profiler baserat på personliga aspekter och i de fall där dessa profiler används för att fatta automatiserade beslut)
  • När en personuppgiftsbehandling består av känsliga personuppgifter i stor omfattning eller av personuppgifter som rör brott eller misstanke om brott.
  • När en personuppgiftsbehandling innebär en systematisk övervakning av en allmän plats i stor omfattning

Med begreppet ”stor omfattning” avses till exempel hur många personer som omfattas av personuppgiftsbehandlingen, hur många uppgifter som registreras om varje person, hur länge behandlingen ska pågå eller inom hur stort geografiskt område personerna finns.

En konsekvensbedömning ska också göras om personuppgiftsbehandlingen sannolikt leder till en hög risk för personers fri- och rättigheter och uppfyller minst två av följande kriterier:

  • Utvärderar eller poängsätter människor.
  • Behandlar personuppgifter i syfte att fatta automatiserade beslut som har rättsliga följder eller liknande betydande följder för den enskilde.
  • Systematiskt övervakar människor, till exempel genom kameraövervakning av en allmän plats eller genom att samla in personuppgifter från internetanvändning i offentliga miljöer.
  • Behandlar känsliga personuppgifter eller uppgifter som är av mycket personlig karaktär.
  • Behandlar personuppgifter i stor omfattning.
  • Kombinerar personuppgifter från två eller flera behandlingar på ett sätt som avviker från vad personerna rimligen kunnat förvänta sig, till exempel när man samkör register.
  • Behandlar personuppgifter om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara, till exempel barn, anställda, asylsökande, äldre och patienter.
  • Använder ny teknik eller nya organisatoriska lösningar, till exempel en sakernas internet-applikation (internet of things, iot).
  • Behandlar personuppgifter i syfte att hindra personer från att få tillgång till en tjänst eller ingå ett avtal, till exempel när en bank granskar sina kunder mot en databas för kreditupplysning för att besluta om de ska erbjudas lån.

Det är viktigt att påbörja en konsekvensbedömning så tidigt så möjligt, även om vissa delar av behandlingen fortfarande är okända. Samma konsekvensbedömning kan användas för att bedöma flera personuppgiftsbehandlingar som liknar varandra avseende art, omfattning, innehåll, ändamål och risker.

När behöver en konsekvensbedömning inte göras?

En konsekvensbedömning behöver inte genomföras om personuppgiftsbehandlingen

  • sannolikt inte leder till en hög risk för personers rättigheter och friheter.
  • är mycket lik en annan behandling där det redan finns en konsekvensbedömning.

Denna bedömning ska dokumenteras inom det projekt eller det ärende den tillhör.

Vem ansvarar för att genomföra en konsekvensbedömning?

Det är Södertörns högskola som personuppgiftsansvarig som ansvarar för att genomföra en konsekvensbedömning. Chefer och prefekter ansvarar enligt gällande besluts- och delegationsordning för att tillämpa och behandla personuppgifter i enlighet med GDPR, vilket bland annat innefattar konsekvensbedömning.

Hur ska en konsekvensbedömning genomföras?

Högskolan har tagit fram mallen ”Mall för konsekvensbedömning avseende dataskydd” som ska användas när man genomför en konsekvensbedömning. Mallen innehåller ett antal frågor som ska besvaras. Som tidigare nämnt är ett av syftena med att genomföra en konsekvensbedömning att identifiera och minimera risker. För att identifiera risker behöver man göra en s.k. riskbedömning. Riskbedömningen kommer sedan att ligga till grund för konsekvensbedömningen. För att göra själva riskbedömningen ska excel-mallen ”Riskbedömning som mall för konsekvensbedömning” användas. Konsekvensbedömningen och riskbedömningen ska diarieföras. Mallarna för konsekvensbedömning och riskbedömning finns nedan.

Vid genomförandet av en konsekvensbedömning bör personer som representerar olika synvinklar och kompetenser samverka för att göra en korrekt bedömning, till exempel:

  • projektledare
  • forskningsledare eller av forskningsledaren utsedd forskare (gäller i forskningsprojekt)
  • systemägare
  • informationsägare
  • IT-kompetens
  • jurist
  • arkivarie
  • dataskyddsombud

I vissa fall kan det vara lämpligt att inhämta synpunkter från de personer vars personuppgifter kommer att behandlas. Om det inte är lämpligt på grund av att det är oproportionerligt, opraktiskt, det kan innebära sekretessbrott eller att syftet med behandlingen inte kan uppnås, ska det antecknas i konsekvensbedömningen.

Om det krävs att flera personer ska delta i genomförandet av en konsekvensbedömning är det viktigt att kontakta personerna i god tid.

Rådfråga alltid högskolans dataskyddsombud

Högskolans dataskyddsombud ska alltid kontaktas och få möjlighet att ge synpunkter och råd avseende konsekvensbedömningen. Dataskyddsombudet kan även rådfrågas om man är osäker på om en viss personuppgiftsbehandling omfattas av kravet på att genomföra en konsekvensbedömning.

Begär förhandssamråd om risken fortfarande bedöms vara hög efter genomförd konsekvensbedömning

Om det efter en genomförd konsekvensbedömning fortfarande bedöms finnas en hög risk med personuppgiftsbehandlingen ska högskolan begära ett förhandssamråd med Integritetsskyddsmyndigheten. Ett förhandssamråd ska begäras innan personuppgiftsbehandlingen påbörjas. En begäran om förhandssamråd ska göras i samarbete med högskolans dataskyddsombud.

För frågor om förhandssamråd, kontakta dataskydd@sh.se.

Om du som medarbetare upptäcker eller misstänker en personuppgiftsincident ska du omedelbart rapportera detta till registrator@sh.se i enlighet med högskolans handläggningsordning för hantering av personuppgiftsincidenter.

I vissa fall ska incidenten anmälas till Integritetsskyddsmyndigheten (IMY). En anmälan till IMY ska göras skyndsamt, senast inom 72 timmar från det att högskolan fick kännedom om incidenten. Om anmälan inte sker inom tidsfristen riskerar högskolan att få sanktionsavgift. Dessutom kan incidenten leda till allvarliga konsekvenser för enskilda personer. En incident ska därför rapporteras så fort den upptäcks.

Handläggningsordning för hantering av personuppgiftsincidenter

För att underlätta hanteringen av personuppgiftsincidenter har högskolan upprättat en handläggningsordning som beskriver hur personuppgiftsincidenter ska hanteras samt hur en eventuell anmälan till Integritetsskyddsmyndigheten (IMY) ska göras. Av handläggningsordningen framgår även vem som ska göra vad. Det är därför viktigt att handläggningsordningen följs vid hantering av personuppgiftsincidenter. Handläggningsordningen finns här:

Utöver handläggningsordningen har högskolan tagit fram ett stöddokument i form av en vägledning som kan användas vid bedömning om en incident ska anmälas till IMY. Vägledningen finns här:

Enligt dataskyddsförordningen är högskolan skyldig att dokumentera samtliga personuppgiftsincidenter. Detta gäller även sådana incidenter som inte ska anmälas till IMY. Enligt handläggningsordningen för hantering av personuppgiftsincidenter ska dokumenteringen ske i högskolans beslutsmall. Mallen finns här:

Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsincident som omfattar personuppgifter. Det kan exempelvis vara att personuppgifter har blivit förstörda eller ändrade, gått förlorade eller kommit i orätta händer.

En personuppgiftsincident kan alltså vara en hackerattack där exempelvis alla uppgifter från ett system blir stulna. Det kan också vara något så enkelt som att någon tappar bort en dator eller mobiltelefon, att intern personal som inte har behörighet att se personuppgifter av misstag får tillgång till sådana uppgifter eller att en e-post eller ett brev innehållande personuppgifter skickas till fel person.

En personuppgiftsincident kan leda till negativa effekter för de personer som drabbats av incidenten. Det kan till exempel handla om förlust av kontrollen över de egna personuppgifterna, identitetsstöld, bedrägeri, ekonomisk förlust, diskriminering och skadlig ryktesspridning. För att minimera eventuella risker är det viktigt att högskolan utreder upptäckta eller misstänkta personuppgiftsincidenter för att på så sätt kunna vidta tekniska och organisatoriska åtgärder.

För frågor om personuppgiftsincidenter, kontakta högskolans dataskyddsombud via dataskydd@sh.se.

Personuppgifter i form av bild och film med eller utan namn behandlas och lagras av Södertörns högskola för att dokumentera vår verksamhet, informera allmänheten och för att öka intresset för högskolans verksamheter och utbildningar. Det kan innebära att vi i vissa fall kan fotografera/filma i samband med olika evenemang som äger rum vid Södertörns högskola.

Vid Södertörns högskola kan fotografering/filmning samt tillhörande lagring göras med en eller flera av följande rättsliga grunder:

  1. Allmänt intresse (till exempel nyhetsrapportering)
  2. Avtal (ersättning ges)
  3. Samtycke (ersättning ges inte).

I de fall allmänt intresse inte går att åberopa som rättslig grund kan högskolan inhämta ett skriftligt samtycke från personen det berör att högskolan använder bilder/filmer på personen med eller utan namn på det sätt som anges nedan.

Vid ett avtalsförhållande där ersättning utgår innebär avtalet att personen inte har möjlighet att återkalla användandet av bilder/filmer, om inte särskilda skäl finns.

Hur bilderna/filmerna får användas

När en person ger sitt samtycke eller ingår ett avtal rörande användningen av bilder/filmer från aktuellt foto- eller filmtillfälle har Södertörns högskola rätt att använda dessa i såväl redaktionella som marknadsföringssammanhang i alla medier.

Bilderna/filmerna kan till exempel komma att användas på webben, i annonser, broschyrer, som pressbilder eller av samarbetspartners (det vill säga tredje part), inom utbildning och forskning.

Bilderna/filmerna kommer att tas bort när de inte längre bedöms vara relevanta, senast 15 år från foto/filmtillfället (enligt upphovsrättsliga regler). Det betyder att bilderna/filmerna därefter inte kommer att användas. Ett urval av bilderna/filmerna kommer däremot att arkiveras löpande.

Södertörns högskola har rätt att redigera och beskära de aktuella bilderna/filmerna för att möjliggöra ändamålsenlig användning.

Spridning i sociala medier

Södertörns högskola marknadsför sig i sociala medier, samt på andra mötesplattformar och medier med bas i tredje land, det vill säga utanför EU/EES. Eftersom Södertörns högskola inte har möjlighet att hindra annan användning av bilderna/filmerna som läggs ut på dessa medier än vad som anges ovan behöver vi alltid personen det berörs uttryckliga samtycke till överföring av dessa personuppgifter (bild/namn).

Behandling av personuppgifter

När en person ger sitt samtycke eller ingår ett avtal rörande användningen av bilder/filmer där personen ger sitt godkännande till att högskolan behandlar personuppgifterna i den omfattning som krävs för hantering av projektet. Som personuppgift räknas aktuella bilder/filmer liksom övrig information om personen, till exempel namn och kontaktuppgifter.

Nedan information ska alltid ges till den person som samtycker till vår personuppgiftsbehandling:

Återkallelse/frågor/klagomål

Om du vill att vi slutar använda bilderna/filmerna i nya publiceringar har du i vissa fall rätt till det. Kontakta i så fall ansvarig institution/avdelning vid Södertörns högskola som nås via växeln 08-40 00 00. Om du vill veta hur dina personuppgifter används eller anser att vi har använt dina personuppgifter på ett felaktigt sätt, vänligen kontakta Södertörns högskolas dataskyddsombud på dataskydd@sh.se.

Har du klagomål på Södertörns högskola hantering av dina personuppgifter har du alltid möjlighet att vända dig till tillsynsmyndighet, i detta fall till Integritetsskyddsmyndigheten (IMY) på imy@imy.se

Följande två blanketter ska användas när ni ska inhämta samtycke från en person att medverka vid fotografering/filmning

Den här blanketten ska användas för att informera deltagare vid större sammankomster att fotografering/filmning sker

Riktlinjerna i korthet vad gäller live-streaming och inspelning av undervisningstillfällen:

  • Om det är nödvändigt får högskolan i samband med undervisning live‑streama studenter och lärare, om syftet är att bedriva undervisning.
  • Om det är nödvändigt får högskolan spela in undervisning om inspelningen utgör en del i undervisningsunderlaget (dock inte i syfte att stävja fusk).
  • Om det är nödvändigt får högskolan live-streama en examination eller ett obligatoriskt moment.
  • Om det är nödvändigt får högskolan spela in examinationen eller det obligatoriska momentet om syftet är att inspelningen ska utgöra grund för examinationen. Högskolan får dock inte spela in studenterna om syftet är att inspelningen ska utgöra underlag för bedömning om otillåtna hjälpmedel eller annat vilseledande förekommit i samband med examination (kartläggning).

Nedan finns beslut om vilken rätt studenter har att spela in undervisning.

Vad är "nödvändigt"?

För att avgöra om en behandling är nödvändig kan du utgå från följande frågor:

  • Är behandlingen ett effektivt sätt att genomföra utbildningen?
  • Finns det andra alternativ till hur utbildningen kan genomföras som är lika effektiva men mindre ingripande för studenterna?

Om svaret på den första frågan är "ja" och den andra frågan "nej" så är behandlingen förmodligen nödvändig och alltså tillåten enligt GDPR.

Nedan finns mer specificerade rekommendationer kring ett antal behandlingar som är särskilt förekommande under coronapandemin (med anledning av distansläget). Mer information om vad GDPR generellt ställer för krav vid digital undervisning går att läsa om hos Datainspektionen.

Examination är en viktig central myndighetsuppgift som måste ske rättssäkert.

Tre villkor kan ställas upp för att rättssäkerhet ska anses råda:

  1. Aktuella regler ska vara klara och adekvata.
  2. Aktuella regler ska vara publicerade .
  3. Aktuella regler ska tillämpas lojalt och korrekt av de rättstillämpande organen (i det här fallet högskolan som examinerar studenten).

Live-streaming

Vid föreläsning/seminarium

Det går inte att ”tvinga” studenter att ha kameran påslagen, såvida det inte bedöms vara nödvändigt för att kunna bedriva undervisningen. I ett tillfälle där studenten ska delta digitalt och där det är nödvändigt att delta med bild, kan du som lärare göra bedömning, i det enskilda fallet, att deltagande med aktiverad kamera är nödvändigt för genomförandet av undervisningen. Studenten ska i god tid innan tillfället ha fått information om att detta är ett krav (se blankett nedan). I de fall det inte bedöms vara nödvändigt för att bedriva undervisningen har läraren möjlighet att framföra sin önskan att samtliga deltagare har kameran påslagen, men har ingen rätt att vidta ytterligare åtgärder om så inte sker.

Den personuppgiftsbehandling som sker genom att studenterna deltar med ljud och bild i ett sådant live-streamat undervisningsmoment är därmed tillåten. Detta med den rättsliga grunden "allmänt intresse" tillsammans med högskolelagens krav på att lärosäten ska bedriva undervisning. Med det sagt kan vi inte kräva att studenterna har kameran påslagen (såvida det inte är nödvändigt).

Studenterna ska vara informerade om personuppgiftsbehandlingen (varför den är nödvändig, hur den sker, hur länge uppgifterna sparas, vem studenten kan kontakta vid frågor). Streaming i Zoom innebär inte att ljud, film och chatt sparas, den informationen hanteras endast under tiden streaming pågår. Information om webbmötet (till exempel användarnamn, tidpunkt för möte, andra som deltagit) kan komma att sparas.

För att minska intrånget i privatlivet kan studenterna uppmanas att placera sig i en så neutral miljö i hemmet som möjligt.

Blanketten nedan ska tillgängliggöras för studenterna om du använder dig av tekniska hjälpmedel för din undervisning.

Vid examination

Vid examination har högskolan ett krav att kunna säkerställa en rättssäker examination. Detta får vägas mot det intrång i den personliga integriteten som olika tekniska lösningar (exempelvis användandet av Zoom) vid examination kan innebära för studenterna?

Om övervakning av examinationen kommer att ske med hjälp av tekniskt hjälpmedel, använd blanketten nedan.

Baserat på de faktorer som anges nedan får läraren ta ställning till om en teknisk lösning är lämplig att använda eller inte. Som lärare bör du överväga följande:

  • Övervakning av tentaskrivande student online, med exempelvis Zoom, får endast ske om det bedöms nödvändigt för att säkerställa en rättssäker examination. De digitala verktygen måste användas på sådant sätt att det inte innebär ett intrång i integriteten. Det är därför viktigt att ni tänker igenom vilket tekniskt hjälpmedel som ni kommer att använda (exempelvis Zoom, Microsoft Teams) och på vilket sätt dessa kommer användas (när studenterna ska sätta på kameran, vad händer om studenten under examinationen stänger av kameran, etc.).
  • Det är inte tillåtet att begära att studenten filmar runtom i sitt hem i syfte att förhindra fusk. Det är inte heller tillåtet att begära att studenterna visar upp sitt ID i helgrupp, utan det ska ske i så kallade break-out rooms.
  • För att minska intrånget i privatlivet kan studenterna uppmanas att placera sig i en så neutral miljö i hemmet som möjligt.
  • Beslut om övervakning av studenter via tekniskt hjälpmedel bör dokumenteras inför varje examinationstillfälle i en diarieförd tjänsteanteckning. Externa övervakningsverktyg som använder sig av ansiktsigenkänning får inte köpas in och användas.

Inspelning av föreläsningar

Vad är bra att komma ihåg om jag vill spela in en föreläsning?

Innan du trycker på ”Record” bör du ge följande instruktioner:

  • Var noga med att informera studenterna att undervisningstillfället kommer att spelas in och samtligas ljud och bild stängs av under presentationen (inspelningen).
  • Informera om att eventuella frågor hänvisas till efter att presentationen är klar, eller privat i chatten till läraren under presentationens gång. Det är enbart lärarens röst och presentationen som redovisas som ska spelas in för att minimera mängden personuppgifter.

Inspelade föreläsningar är allmänna handlingar och ska hanteras (bevaras eller gallras) enligt gällande regelverk, se informationshanteringsplan nedan. Kontakta arkivarie på arkivarie@sh.se för mer information om bevarande/gallring av just dina inspelningar.

Får min chef kräva att jag spelar in min föreläsning?

Om en chef beordrar inspelning av föreläsning måste en bedömning ske om det är nödvändigt för att fullgöra ett avtal parterna emellan (det vill säga fullgörande av ett anställningsavtal) och att det föreligger allmän intresse (som innebär att inspelning är nödvändigt för att vi ska kunna leva upp till kraven i högskolelagen).

Om alla studenter samtycker till att inspelning sker och allas bild- och ljud är påslagna under en föreläsning, då borde det väl vara ok?
Inspelning av seminarier/föreläsning där studenterna aktivt delar kan inte vila enbart på den så kallade samtyckesgrunden (det vill säga att studenterna ger sitt samtycke att spelas in). Bedömningen måste göras utifrån om inspelningen är nödvändig för en uppgift av allmän intresse (som innebär att inspelningen får ske om det är nödvändigt för att vi ska kunna leva upp till kraven i högskolelagen).

I fall där inspelning sker på seminarium där studenterna aktivt deltar är det tveksamt om det kan bedömas vara nödvändigt att inspelning sker för att kunna bedriva undervisning jämte det intrång i den personliga integriteten som det innebär.

Inspelning av examinationer och obligatoriska moment

Inspelning av studenter i deras hemmiljö anses vara ett sådant intrång i den personliga integriteten att uttryckligt lagstöd krävs för att universitetet som myndighet ska anses ha den rätten. Eftersom uttryckligt lagstöd saknas för att spela in studenter i examinationssituationer i syfte att motverka eller utgöra underlag för bedömning av fusk (eller annat vilseledande beteende) är det dataskyddsombudets uppfattning att en sådan inspelning även på distans strider mot dataskyddsförordningen.

Muntliga examinationer och obligatoriska moment förutsätter att de är av individuellt prövande karaktär. Detta förhållande kan kräva att de dokumenteras på lämpligt vis. Sker en inspelning i dessa fall för att erhålla nödvändig dokumentation av underlaget inför examination, eller bedömning av det obligatoriska momentet, är inspelningen tillåten. Det kan också handla om att inspelningen utgör underlag för studentens egen reflektion eller för diskussion, vilket också är tillåtet.

I motsvarande fall är inspelning av studenter vid muntlig examination eller vid annat obligatoriskt moment på distans tillåtet. Det man bör tänka på i dessa fall är att uppmana studenterna att inför inspelningen placera sig i en så neutral miljö i hemmet som möjligt för att minska intrånget i privatlivet.

Dessa inspelningar ska bevaras/gallras i enlighet med informationshanteringsplanen (se ovan) och informationshanteringslagen (se ovan). Vid frågor kan du kontakta arkivarie@sh.se.

För mer information kontakta dataskydd@sh.se

Södertörns högskola är ansvarig för den personuppgiftsbehandling som studenter gör inom ramen för studentarbeten (till exempel uppsats, examensarbete, inlämningsuppgift och PM). Det innebär att studenterna behöver följa GDPR. Högskolan har därför tagit fram dokumenten "Riktlinjer för studenters behandling av personuppgifter i studentarbeten på Södertörns högskola" och "Riktlinjer för studenters behandling av personuppgifter i studentarbeten på Södertörns högskola – med kommentarer för handledare" (dnr 3610-1.9.3-2022), som studenter och handledare behöver följa när personuppgifter behandlas i studentarbeten.

Riktlinjer för behandling av personuppgifter i studentarbeten

Dokumentet Riktlinjer för studenters behandling av personuppgifter i studentarbeten på Södertörns högskola, innehåller en rutin som består av sju steg som studenterna ska följa. Riktlinjerna och information som riktar sig till studenter finns att hitta på sh.se Länk till annan webbplats, öppnas i nytt fönster.

För att stötta den som handleder studenters studentarbeten har högskolan tagit fram dokumentet Riktlinjer för studenters behandling av personuppgifter i studentarbeten på Södertörns högskola – med kommentarer för handledare. Dessa riktlinjer riktar sig till handledare och innehåller bland annat kommentarer till den rutin som studenterna ska följa. "Riktlinjerna med kommentarer för handledare" finns att ta del av nedan:

Mallar för samtyckes- och informationsblankett

Om en student ska samla in personuppgifter behöver studenten inhämta ett informerat samtycke från varje enskild person som ska delta i studentens studie. Högskolan har tagit fram en mall för informations- och samtyckesblankett som studenter kan använda när de inhämtar samtycke. Mallen finns nedan på både svenska och engelska:

Om handledaren har godkänt att studenten får samla in känsliga personuppgifter ska studenten använda mallen ”Informations- och samtyckesblankett – känsliga personuppgifter”. Mallen finns nedan på både svenska och engelska:

Samtycke kan även inhämtas muntligen. Vid muntligt samtycke är det viktigt att samtycket dokumenteras, till exempel genom inspelning. Innan ett muntligt samtycke kan ges måste personen ha fått information om personuppgiftsbehandlingen. Högskolan har därför tagit fram en mall för informationstext som studenter kan använda när de samlar in muntligt samtycke. Mallen finns nedan på både svenska och engelska:

Mall för registerförteckning

När en student har samlat in personuppgifter ska studenten upprätta en så kallad registerförteckning. Förteckningen ska innehålla en beskrivning av personuppgiftsbehandlingen. Förteckningen ska inte innehålla några faktiska personuppgifter, till exempel namn på personer som har intervjuats. Högskolan har tagit fram en mall för registerförteckning som studenterna ska använda. Mallen finns nedan:

Säkerhetsåtgärder vid behandling av personuppgifter

Utöver de säkerhetsåtgärder som framgår av riktlinjerna gäller följande.

Studenter ska inte hantera personuppgiftsmaterialet på externa lagringstjänster som till exempel Dropbox, Google Docs, iCloud och liknande. De får endast använda de verktyg som högskolan erbjuder, till exempel Office 365 (till exempel för lagring), Zoom (till exempel för intervjuer) och Sunet Survey (för digitala enkätundersökningar).

Känsliga personuppgifter ska inte lagras på någon av Microsofts tjänster, såsom Onedrive eller Teams. Känsliga personuppgifter får endast hanteras i sådana IT-miljöer som högskolan godkänt. Känsliga personuppgifter får för närvarande endast lagras på högskolans gemensamma lagringsyta G: eller H:. Eftersom studenter inte har tillgång till G: eller H: saknas det tekniska lösningar för att studenter ska kunna få behandla denna typ av personuppgifter. Som handledare är det viktigt att ta hänsyn till detta i den lämplighetsbedömning som ska göras enligt riktlinjerna.

För frågor om hantering av känsliga personuppgifter, kontakta dataskydd@sh.se.

Gallring av personuppgiftsmaterialet

När studentarbetet har fått ett godkänt betyg ska personuppgiftsmaterialet gallras. Det är studenten som ansvarar för att informera handledaren när studenten har gallrat personuppgiftsmaterialet. När materialet har gallrats ska handledaren lämna en försäkran om att gallring har skett genom att fylla i och skriva under ett gallringsprotokoll. Protokollet ska sedan skickas till arkivarie. Gallringsprotokoll finns nedan:

För frågor om gallringsförfarande, kontakta arkivarie@sh.se.

Varje verksamhet (till exempel avdelning och institution) inom Södertörns högskola ska utse en GDPR-samordnare. Personen som får uppdraget har en viktig och betydelsefull roll vad gäller att arbeta för högskolans efterlevnad av dataskyddsförordningen.

GDPR-samordnarens uppdrag

Rollen som GDPR-samordnare är huvudsakligen en handläggande roll, men även en representativ roll inom samordnarens verksamhet. Nedan framgår vad uppdraget som GDPR-samordnare innebär.

  • Verksamhetens kontaktperson till dataskyddsombudet.
  • Samordnande funktion inom verksamheten vad gäller frågor kopplade till personuppgiftshantering. Här ingår att hantera frågor från kollegor, hantera enskildas begäranden att utöva olika rättigheter enligt dataskyddsförordningen såsom registerutdrag, radering och rättelse av personuppgifter.
  • Samordna och ansvara för att dokumentera och eventuellt anmäla personuppgiftsincidenter som förekommer inom samordnarens verksamhet.

Utsedda GDPR-samordnare vid Södertörns högskola

Nedan framgår vilka som är utsedda GDPR-samordnare och vilken verksamhet inom högskolan de tillhör.

  • Henrik Blomberg, Institutionen för historia och samtidsstudier
  • Elin Olson Wincent, Institutionen för kultur och lärande
  • Jonatan Spejare, Institutionen för naturvetenskap, miljö och teknik
  • Camilla Cederquist, Institutionen för polisiärt arbete
  • Martina Lindberg, Institutionen för samhällsvetenskaper
  • Sofia Tiberg, Lärarutbildningen
  • Joakim Ekman, Centre for Baltic and East European Studies (CBEES)
  • Sarah Karis, Avdelningen för verksamhetsutveckling och myndighetsstöd
  • Veronica Waldemarson, Campus- och IT-avdelningen
  • Johanna Bergman, Ekonomiavdelningen
  • Ingela Wahlin, HR-avdelningen
  • Kenneth Wall, Kommunikationsavdelningen
  • Ann Broberg, Studentavdelningen
  • Erik Wallenberg, Enheten för verksamhetsplanering och projektledning
  • Stefan Norinder, Biblioteket

I de fall där en GDPR-samordnare inte är utsedd inom en verksamhet har chef för verksamheten angetts som samordnare. Det är chefens ansvar att delegera uppdraget vidare.

För mer information kontakta högskolans dataskyddsombud via dataskydd@sh.se.

Från och med den 25 maj 2018 är alla myndigheter skyldiga att ha ett dataskyddsombud. Dataskyddsombudets uppgift är att ha en övervakande och rådgivande roll gällande högskolans behandling av personuppgifter. Dataskyddsombudet har enligt EU:s dataskyddsförordning en tvådelad lojalitet. Dataskyddsombudet har dels ett ansvar för att främja en god dataskyddskultur inom Södertörns högskola, dels ett ansvar att samarbeta med Datainspektionen när det behövs.

Du kan alltid kontakta dataskyddsombudet

Du kan alltid höra av dig till dataskyddsombudet för råd och stöd. Det är dock viktigt att påpeka att din hemmahörande avdelning/institution, som ansvarar för ett IT-system som hanterar personuppgifter, har det formella ansvaret att dataskyddsförordningens bestämmelser och grundläggande principer iakttas för personuppgiftsbehandlingen. Dataskyddsombudet har inget juridiskt ansvar för högskolans personuppgiftshantering. Dataskyddsombudet får inte ha ett operativt ansvar som leder till att det uppstår en intressekonflikt som försvårar rollen att självständigt och med integritet kunna granska brister i högskolans dataskyddsarbete.

Du har alltid rätt att kontakta dataskyddsombudet. Det är dock rekommenderat du först försökt att ta upp frågan med den som är ansvarig för den verksamhet eller det IT-system som din fråga gäller. Dataskyddsombudet har mandat att granska Södertörns högskolas personuppgiftsbehandlingar. Om dataskyddsombudet tar del av sekretessbelagd information vid utförandet av sitt uppdrag omfattas även dataskyddsombudet av sekretessen.

Det här gör dataskyddsombudet

  • Samlar in information om hur Södertörns högskola behandlar personuppgifter,
  • Kontrollerar att Södertörns högskola följer bestämmelser och interna styrdokument som framtagits,
  • Informerar och ger råd om relevant lagstiftning inom dataskyddsfrågor,
  • Ger råd om konsekvensbedömningar och övervakar deras genomförande,
  • Samarbetar med Datainspektionen i relevanta frågor,
  • Är kontaktperson för alla som får sina personuppgifter behandlade av högskolan, exempelvis studenter, anställda och deltagare i forskningsprojekt,
  • Tar emot och hanterar frågor och klagomål från personer som får sina personuppgifter behandlade av Södertörns högskola.

Södertörns högskolas dataskyddsombud

För mer information kontakta högskolans dataskyddsombud Anna Gulle, högskolejurist.

Information

Har du frågor om innehållet? Se kontakt i respektive plusbox

Önskemål om uppdateringar på sidan? - Fyll i detta formulär

Övriga frågor, vänligen vänd dig till info@sh.se

2024-08-28 av Izabella Appelgren