Du besöker just nu Medarbetarwebben utan att vara inloggad. Logga in för att ta del av innehåll för medarbetare.

Rättslig vägledning

Här hittar du rättslig vägledning i frågor som har med ditt dagliga arbete på högskolan att göra. Det finns flera olika rättsområden uppdelade under rubriker för att det ska vara enkelt för dig att hitta rätt.

Information om studenträttsliga frågor (Rättigheter och skyldigheter) finns på sidan Arbetsrutiner.

Allmänna handlingar och offentlighetsprincipen

I korthet innebär den så kallade offentlighetsprincipen att allmänhet och massmedia ska ha rätt till insyn i myndigheternas verksamhet. I plusboxen nedan finns det mer information om vad är en allmän handling är och vad behöver jag veta om den?

Offentlighetsprincipen

Offentlighetsprincipen kommer till uttryck på olika sätt:

  • Vem som helst får närvara vid förhandlingar i domstol och vid sammanträden med beslutande statliga och kommunala församlingar (förhandlingsoffentligheten).
  • Vem som helst får läsa myndigheternas allmänna handlingar (handlingsoffentligheten).
  • Tjänstemän och andra som arbetar i staten eller kommunerna har rätt att berätta vad de vet för utomstående (yttrandefrihet för tjänstemän).
  • Tjänstemän har också speciella möjligheter att lämna uppgifter till massmedia (meddelarfrihet för tjänstemän med flera).

Enligt handlingsoffentligheten har i princip alla, svenska såväl som utländska medborgare, rätt att läsa de handlingar som finns hos myndigheten. Denna rättighet har i princip funnits i Sverige sedan 1766 och är ett av de viktigaste inslagen i vårt demokratiska samhälle.

För att uppfylla kravet på handlingsoffentlighet och möjliggöra insynen i myndighetens verksamhet, måste allmänna handlingar bevaras, hållas ordnade och vårdas på ett sådant sätt att det snabbt kan fastställas att handlingarna existerar och att de enkelt kan tillhandahållas för att tillgodose behovet av information för rättskipning, förvaltning och forskning. Det här gäller både inkomna och upprättade handlingar, oavsett vilket medium en handling har. Detta är grunden för en god offentlighetsstruktur.

Allmän handling

Reglerna om handlingars offentlighet hos myndigheter finns i Tryckfrihetsförordningen och Offentlighets- och sekretesslagen och har två begränsningar:

  • Allmänheten har bara rätt att läsa sådana handlingar som betecknas som allmänna handlingar och offentliga handlingar, och
  • en del allmänna handlingar är sekretessbelagda (belagda med sekretess enligt offentlighets- och sekretesslagen och måste sekretessprövas i dessa fall vid en eventuell begäran).

En handling kan vara allmän eller inte allmän

En handling är något som innehåller lagrad information. Det kan vara ett papper, fax, e-post, en hårddisk, ett videoband eller upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniska hjälpmedel. Föremål räknas i vissa fall som handling om de "bär information", till exempel anteckningar på ett A4-papper, USB-sticka med mera.

För att en handling ska kunna betecknas som allmän handling måste den vara inkommen eller upprättad samt förvarad vid högskolan.

E-post liksom annan post blir allmän då den skickas ut eller kommer in till högskolan. Information som läggs på "webben" av högskolan blir också allmän handling. Detta gäller även information som läggs ut i olika sociala medier, så som Facebook, Twitter, etc. Vidare är alla dataregister som högskolan upprättar allmänna handlingar, även diariet. Man kan förenklat säga att allt som publiceras, sänds ut, mottas eller läggs upp i elektronisk form, pappersform eller annan form är allmän handling, under förutsättning att anställda på högskolan har tillgång till informationen i tjänsten och att högskolan fått dessa handlingar eller upprättat dessa på grund av den verksamhet som bedrivs på högskolan.

De allmänna handlingar som skapas, oavsett medium, i Södertörns högskolas verksamhet bildar högskolans arkiv.

Allmänna handlingar kan vara offentliga eller sekretessbelagda

Alla allmänna handlingar som inte är sekretessbelagda är offentliga. Endast uppgifter i handlingar som anges i offentlighets- och sekretesslagen kan beläggas med sekretess och därmed inte lämnas ut. I sådana fall ska en sekretessprövning göras vid en eventuell begäran.

För frågor om allmänna handlingar kan du kontakta arkivarie@sh.se.

Utlämnande av allmän handling

En handling ska lämnas ut på begäran även om den ännu inte är diarieförd. Handlingar lämnas ut av den som har handlingen i sin vård. Det kan till exempel vara en anställd som handlägger ett ärende till vilket den begärda handlingen tillhör, e-post i en inkorg eller registrator om handlingen är diarieförd.

Enligt Tryckfrihetsförordningen ska en begäran att få ta del av en kopia av allmän handling hanteras skyndsamt. Det innebär att en sådan begäran har företräde framför andra arbetsuppgifter och ska hanteras så snabbt som möjligt.

Originalhandlingar ska i regel inte lämna centralarkivet eller registraturen efter att de har blivit levererade dit. I vissa fall beviljas lån av handlingar för tjänsteändamål. Lånen noteras då i centralarkivets utlåningsregister och ska återlämnas snarast.

Arkivhandlingar får aldrig lämna högskolan eller lånas hem av medarbetare.

Gör alltid en sekretessprövning innan utlämnande

Den som begär ut allmänna handlingar har rätt att vara anonym och behöver inte heller uppge vad uppgifterna ska användas till. Men om handlingen kan tänkas vara sekretessbelagd kan man behöva veta vem som begär ut handlingarna och syftet med detta för att kunna göra en korrekt sekretessbedömning.

Prövning ska i första hand avse om handlingen är allmän och offentlig. Är den offentlig ska den lämnas ut genast eller så snart det är möjligt. Om den begärda handlingen är allmän och sekretessbelagd, har myndigheten skyldighet att pröva om handlingen ändå kan lämnas ut.

Om den som förvarar handlingen är tveksam till om handlingen ska lämnas ut eller inte, ska samråd skyndsamt ske med närmaste chef. Om anställd är av uppfattningen att handlingen inte ska lämnas ut ska den enskilde upplysas om att hen har rätt att hänskjuta frågan till myndigheten och därmed få ett överklagbart skriftligt beslut. Myndighetsbeslut att vägra lämna ut en handling kan överklagas hos kammarrätten.

Lämna ut allmän handling

Allmänheten har rätt att kostnadsfritt få ta del av högskolans allmänna handlingar i original, för läsning på plats i högskolans lokaler, eller i form av en kopia som personen har rätt att ta med sig eller få hemskickad.

Avgift för kopior

Enligt Avgiftsförordningen 15–16 §§ ska en myndighet ta ut en avgift vid utlämnande av kopia eller avskrift av allmän handling enligt följande:

  • Avgiften för en beställning på upp till nio sidor är kostnadsfri.
  • Avgiften för en beställning på tio sidor är 50 kronor och för varje sida därutöver är avgiften 2 kronor.

Myndigheten ska även ta ut en avgift för kostnaden för att skicka kopian av den begärda handlingen till mottagaren. Myndigheten kan besluta om undantag att ta ut avgift om det finns särskilda skäl till detta.

Beslut och styrdokument

För att en handling ska betecknas som allmän handling krävs att den är inkommen eller upprättad samt att den är förvarad hos myndigheten.Hur bedöms det här?

Inkommen handling

En handling är inkommen när den har anlänt till myndigheten eller tagits emot av någon behörig person, till exempel den tjänsteman som är föredragande i det ärende som handlingen avser eller lärare som har kontakt med studenter via e-post. Handlingen behöver inte vara diarieförd för att vara en allmän handling. En handling som kommer in i elektronisk form anses inkommen i och med att den blivit tillgänglig i till exempel e-postprogrammet.

Vid upphandling räknas dock anbuden som allmänna handlingar först vid den fastställda tidpunkten för anbudsöppningen även om anbudet inkommit till högskolan tidigare.

En handling som enbart rör den anställdes personliga förhållanden eller om handlingen är avsedd endast för mottagaren som innehavare av annan ställning, till exempel facklig förtroendeman, anses inte som en allmän handling. Handlingen betraktas i dessa fall inte som inkommen till myndigheten.

Upprättad handling

En handling anses upprättad när den fått sin slutgiltiga utformning. Tanken är att myndigheten ska få tid på sig för att bilda sig en uppfattning i frågan eller fatta beslut innan handlingarna blir tillgängliga för allmänheten. Innan handlingarna anses som färdigställda eller upprättade, utgör de myndighetsinternt arbetsmaterial.

När en handling är expedierad, det vill säga avsänd från myndigheten eller finns tillgänglig för avhämtning, är den upprättad och därmed en allmän handling. När handlingen har expedierats spelar det inte någon roll om handlingen var färdigställd först eller inte. Det avgörande är då att den sänts eller överlämnats till en mottagare utanför myndigheten.

I ett ärende kan också förekomma handlingar som inte expedierats. Dessa anses upprättade när ärendet, till vilket handlingarna hör, slutbehandlats. En handling som varken expedierats eller hör till ett ärende anses upprättad när den är justerad (riktigheten intygad) eller på annat sätt färdigställd till exempel publicerad på Medarbetarwebben.

Förvarad handling

En handling betraktas som förvarad när den fysiskt finns tillgänglig hos myndigheten så att den kan läsas, avlyssnas eller på annat sätt uppfattas. Även om man som anställd får ett personligt adresserat brev till sin hemadress, men innehållet berör ett ärende eller annan fråga som det ankommer på högskolan att besvara, är det en allmän handling som tillhör högskolan.

Ibland är dock begreppet "förvaring" inte självklart. Det förekommer att handlingar finns någon annanstans än hos myndigheten men ändå anses förvarade hos myndigheten. Handlingar kan till exempel vara utlånade eller tillfälligt finnas hemma hos en anställd. Det kan också förekomma exempelvis att en konsult utför uppdrag för en statlig myndighets räkning och därigenom har hand om viss dokumentation som rör uppdraget.

I tveksamma fall bör högskolans arkivarie eller jurist kontaktas för medbedömning.

Potentiell handling

Vissa handlingar kallas "potentiella handlingar" eftersom de kan, med hjälp av rutinbetonade åtgärder, sammanställas och därmed bli en allmän handling. Det är exempelvis om en begäran kommer in om att få ta del av uppgifter ur Ladok.

En "potentiell handling" kan bara bli en allmän handling med hjälp av rutinbetonade åtgärder, oftast tekniska hjälpmedel. Den rutinbetonade åtgärden får enligt praxis ta mellan 4–6 timmar, annars är det inte att betrakta som en potentiell handling som kan sammanställas med hjälp av rutinbetonade åtgärder.

Kom ihåg att allmänna handlingar som redan har upprättats (det vill säga finns bevarade i arkivet eller liknande) finns det ingen tidsbegränsning för.

Handlingar som inte är allmänna

Utkast, koncept och andra förstadier till färdigställda handlingar som beslut, skrivelser, rapporter och liknande är inte allmänna handlingar. Detsamma gäller uppteckningar eller upptagningar som har tillkommit endast för ärendes föredragning eller beredning och som inte tillför ärendet sakuppgift.

Dokument som skickas internt inom myndigheten, till exempel e-postmeddelanden, är generellt att betrakta som arbetshandlingar. Ofta kallar man dessa handlingar för ”minnesanteckningar” och de är inte allmänna handlingar. Men om minnesanteckningarna expedierats med ärendet och/eller tagits om hand för arkivering är de däremot allmänna handlingar. Minnesanteckningar och e-postmeddelanden som tillför ärendet sakuppgift är alltid allmänna handlingar och ska registreras och arkiveras med övriga handlingar i ärendet.

Begreppet "minnesanteckning" ska inte blandas samman med begreppet "tjänsteanteckning". En tjänsteanteckning är den skriftliga information som den ansvariga för ett visst ärende själv aktivt tillför ärendet. En tjänsteanteckning är allmän handling och ska diarieföras i det aktuella ärendet.

Anteckningar som i praktiken är att jämställa med protokoll är aldrig minnesanteckningar, de är alltid allmänna handlingar.

Delning, samråd, underhandsremiss

När en myndighet önskar få synpunkter på ett utkast till ett beslut kan detta överlämnas till en annan myndighet för delning. Andra ord som används för detta är "samråd" eller "underhandsremiss".

En handling som lämnas för delning blir inte allmän handling, varken hos den myndigheten som skickar utkastet eller hos den som tar emot det.

Synpunkter som lämnas skriftligt betraktas däremot som en allmän handling, både hos avsändaren och hos mottagaren. Lämnas synpunkterna muntligt ska en tjänsteanteckning göras av mottagaren, och även denna betraktas som en allmän handling, och bör registreras.

För mer information kontakta registrator@sh.se

Offentlighet- och sekretesslagen

Utgångspunkten i svensk rätt är att handlingar som är upprättade eller inkomna till en myndighet och förvaras hos myndigheten, är allmänna handlingar. I vissa fall kan allmänna handlingar även bli offentliga handlingar som kan lämnas ut till en enskild som begär det. Innan utlämnande sker ska en så kallad sekretessprövning göras av handlingen.

Vad omfattas av sekretess?

Notera att listan inte är fullständig, och inte gör anspråk på att vara det, utan ska ge exempel på vad för slags innehåll som är sekretessbelagt i högskolans verksamhet.

  • upphandling
  • rådgivning i rättsliga tvister
  • uppgifter om hälsa och sexualliv (OSL 21:1) – Förekommer inom forskning och inom personalområdet. Kan även förekomma inom studentområdet, t.ex. i disciplinärenden, studenthälsa, stödåtgärder för studenter etc.
  • andra känsliga uppgifter om anställda eller studenter kan omfattas av sekretess inom personalvårdande och studentvårdande funktioner
  • forskning – Uppgifter som omfattas hälsa och sexualliv, psykologisk undersökning eller register omfattas av sekretess. Även annan data i forskning kan omfattas av särskilda sekretessbestämmelser
  • forskningssamarbeten (OSL 24:5) – I forskningsavtal med enskilda juridiska (eller fysiska) personer där det finns sekretessklausuler
  • uppgifter om personer som är utsatta för hot och om personer med skyddade personuppgifter. För mer information kontakta dataskydd@sh.se

Uppgift hos psykolog, kurator eller studie och yrkesvägledningen

Sekretess gäller för uppgift som finns hos kurator eller hos företagshälsovården. Uppgiften får endast lämnas ut om det står klart att studenten eller någon närstående till denne inte lider men (23 kap. 5 § första stycket OSL).

Uppgift om enskilds personliga förhållanden vid personförföljelse med mera.

Sekretess gäller för uppgift om en students identitet, adress och andra liknande uppgifter om den enskildes personliga förhållanden om det av särskild anledning kan antas att studenten eller någon närstående till denne lider men (23 kap. 5 § andra stycket OSL). Bestämmelsen kan användas vid befarad personförföljelse eller andra trakasserier. Sekretessen gäller enbart om det av särskild anledning kan antas att den enskilde lider men.

En myndighet är inte skyldig att på eget initiativ, utan någon särskild indikation, kontrollera om en person exempelvis har en sekretessmarkering i folkbokföringen eller har medgetts skyddat adress. Den enskilde måste på något sätt ha gjort myndigheten uppmärksam på detta.

Underlag för kunskapsprov/tentamina

Rättade tentor är som utgångspunkt allmänna och offentliga handlingar som ska lämnas ut på begäran. Undantagsvis kan dock frågorna i en tenta omfattas av sekretess, som exempelvis för vissa standardiserade/elektroniska tentor som skrivs i datasal och där tentan exempelvis består av en databas med en begränsad mängd återkommande frågor. Frågeunderlaget kan sekretessbeläggas med stöd av 17 kap. 3 c § OSL om det kan antas att syftet med provet motverkas om uppgiften röjs.

För mer information kontakta dataskydd@sh.se

Forskningssamverkan är forskning som efter överenskommelse bedrivs i samverkan mellan högskolan och en eller flera enskilda (fysiska eller juridiska personer).

Sekretess i forskningssamverkan

Sekretess gäller hos högskolan för uppgifter om en enskilds affärs- eller driftsförhållanden, uppfinningar eller forskningsresultat som har lämnats eller kommit fram i en sådan forskning, om det måste antas att den enskilde, det vill säga det samarbetande företaget, har deltagit i samverkan under förutsättning att sekretess råder (24 kap. 5 § OSL).

Uppgifterna ska ha en direkt koppling till samverkan och kan exempelvis handla om affärsmetoder, produktionsmetoder, kostnadskalkyler och prissättning. Även om företaget inte uttryckligen har begärt det, ska du följaktligen göra en bedömning av om de uppgifter som har begärts ut är av en sådan art att bristen på sekretesskydd för uppgiften måste anses framstå som så väsentlig för företaget att det utan sekretesskyddet skulle ha avstått från att samverka med högskolan. Sekretessen gäller även hos andra myndigheter som tillsammans med högskolan deltar i samverkan. Uppgifterna kan dock utväxlas mellan parterna i samverkan utan hinder av sekretess (24 kap. 6 § OSL).

Om forskaren har valt att ansöka om patent på sin uppfinning, gäller sekretess i ärende om ansökan av patent för uppgift om uppfinning eller företagshemlighet enligt 31 kap. 20–21 §§ OSL. Skulle forskningssamverkan fortfarande pågå gäller fortfarande sekretess enligt 24 kap. 5 § OSL för de uppgifter som inte har lämnats i patentärendet.

Sekretess i uppdragsverksamhet

Sekretess gäller för uppgift i uppdragsverksamhet som högskolan utför för en enskilds räkning, om det måste antas att uppdraget har lämnats under förutsättning att uppgiften inte röjs (31 kap. 12 § OSL).

De uppgifter som avses är provning, bestämning av egenskaper eller mängd, värdering, vetenskaplig, teknisk, ekonomisk eller statistisk undersökning eller annat sådant uppdrag som myndigheten utför för en enskilds räkning. Paragrafen skyddar uppdragsgivarens ekonomiska förhållanden. Även tredje mans (det vill säga en extern part) personliga eller ekonomiska förhållanden kan skyddas, exempelvis då uppdraget avser undersökning för en arbetsgivares räkning av prover som har tagits av anställda i företagshälsovården.

Du kan normalt utgå från att uppdragsgivaren har förutsatt att sekretess råder för denna typ av uppgifter. Även om uppdragsgivaren inte uttryckligen har begärt det, ska du följaktligen göra en bedömning av om de uppgifter som har begärts ut är av en sådan art att bristen på sekretesskydd för uppgiften måste anses framstå som så väsentlig för företaget att det utan sekretesskyddet skulle ha avstått från att samverka med högskolan. (Se samma kommentar ovan)

Statistiksekretess

Enligt 24 kap. 8 § OSL gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde.

För att tillgodose forskningens behov av uppgifter har det i 24 kap. 8 § införts en möjlighet för statistikansvariga myndigheter att lämna ut uppgifter som behövs för forskningsändamål, om det står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående lider skada eller men. Om statistiska uppgifter lämnas från en myndighet, exempelvis SCB, till Södertörns högskola för forskningsändamål, överförs sekretessen också (om det inte redan finns en annan sekretessbestämmelse som skyddar samma intresse hos högskolan).

För mer information kontakta dataskydd@sh.se

Vad kan allmänheten ta del av från den personaladministrativa verksamheten på Södertörns högskola?

Personalsocial verksamhet

Sekretess gäller i personalsocial verksamhet för uppgift om enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den anställde eller någon närstående till denne lider men. Det vill säga, utgångspunkten är att uppgiften är sekretessbelagd. Exempelvis uppgifter som förekommer inom företagshälsovården.

Personalsocial verksamhet kan även i viss utsträckning bedrivas av chefer. Vissa uppgifter som kan komma fram vid planerings- och utvecklingssamtal kan sägas vara av personalsocial karaktär. Även dessa uppgifter kan sekretessbeläggas. Sekretess gäller endast om det kan antas att den anställde eller eller honom/henne närstående lider men om uppgiften röjs (39 kap. 1 § OSL).

Personaladministrativ verksamhet i övrigt

Uppgifter om en anställds hälsotillstånd, exempelvis uppgift om sjukskrivning liksom uppgifter om hälsotillstånd hos anhöriga till den anställde, kan sekretessbeläggas med stöd av 39 kap. 2 § OSL. Likaså kan uppgifter om den enskildes personliga förhållanden i ärende om omplacering eller pensionering av anställd sekretessbeläggas. Sekretess gäller endast om det kan antas att den anställde eller honom/henne närstående lider men om uppgiften röjs.

Sekretess gäller inte i ärende om anställning (se dock nedan om urvalstester) eller ärende om disciplinansvar och inte heller i beslut om omplacering eller pensionering (39 kap. 2 § OSL).

I undantagsfall kan en myndighet även i övrigt sekretessbelägga uppgift om den anställdes personliga förhållanden om det kan antas att den anställde eller honom/henne närstående utsätts för våld eller annat allvarligt men om uppgiften röjs. Paragrafen är avsedd att tillämpa i undantagssituationer när det verkligen finns fog att anta att den anställde exempelvis på grund av ett fattat beslut riskerar hot eller andra trakasserier. Uppgifter om till exempel hemadress och hemtelefon och andra kontaktuppgifter kan sekretessbeläggas (39 kap. 3 § OSL).

Urvalstester

Om det i ärende om anställning (som i övrigt är offentligt) finns uppgift som avser urvalstester, gäller sekretess för urvalstesterna; om det inte står klart att uppgiften kan röjas utan att den anställde eller någon närstående till denne lider men. Med urvalstest avses prestationstest, begåvningstest samt personlighetstest som kan användas i en rekrytering. Sekretessen gäller såväl uppgifterna i testet som eventuella sammanställningar av resultatet (39 kap. 5a § OSL).

Medarbetarenkäter

I 24 kap. 8 § OSL regleras sekretess för statistik i myndighetens verksamhet, dock är lagrummet formulerat något otydligt. I 7 § Offentlighets och-sekretessförordningen (2009:641), OSF, förtydligas lagrummet och det stadgas att sekretess för ”de undersökningar som anges nedan för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde”.

I prop. 2013/14:162, s. 10 räknas sådan undersökning eller ”annan jämförbar undersökning ”statistik för” trivseln i arbetet och inställningen till överordnade”. Med andra ord kan sekretess bedömas föreligga enligt 24 kap. 8 § OSL om begäran kommer in att få ta del av en medarbetarenkät. Däremot är det upp till myndigheten att avgöra när och om en medarbetarenkät ”avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde”, det vill säga kan hänföras till enskild chef, och därmed inte bör lämnas ut.

För varje begäran som kommer in att få ta del av en medarbetarenkät bör sekretessbedömning även göras för till skydd för den enskilde (chefens främst, om vi tittar på uttalandet i prop. 2013/14:162, men kan även omfatta medarbetares) personliga förhållanden.

För mer information kontakta dataskydd@sh.se

Personuppgifter

Här kan du läsa om vad Integritetsskyddsmyndigheten (IMY) skrivit om vad som gäller användandet av personuppgifter i arbetslivet.

Vad gäller för visselblåsare och rapporterade personer i uppföljningsärenden?

Sekretess i uppföljningsärenden enligt den nya visselblåsarlagen

Den 17 december 2021 trädde lagen (2021:890) om skydd för personer som rapporterar om missförhållanden (visselblåsarlagen) i kraft. Visselblåsarlagen innebär ett utökat skydd för personer som rapporterar om missförhållanden samt en skyldighet för Södertörns högskola att tillhandahålla en intern rapporteringskanal (visselblåsarfunktion). Med anledning av den nya lagen har det tillkommit nya sekretessbestämmelser i offentlighets- och sekretesslagen (2009:400), OSL. Syftet med dessa sekretessbestämmelser är bland annat att skydda intresset av att utreda uppföljningsärenden (för definition av uppföljningsärende se 1 kap. 8 § 4 i visselblåsarlagen) enligt visselblåsarlagen samt skydda uppgifter om enskildas identitet som förekommer i uppföljningsärenden, bland annat den som rapporterar missförhållande. Nedan finns mer information om sekretessbestämmelserna.

Sekretess i ett uppföljningsärende

Av 17 kap. 3 b § OSL framgår att sekretess gäller i ett ärende om uppföljning enligt visselblåsarlagen för uppgift som kan avslöja identiteten på en annan enskild än den rapporterande personen, om det kan antas att syftet med uppföljningen motverkas om uppgiften röjs.

Syftet med sekretessbestämmelsen är att skydda uppföljningen av de rapporter som högskolan tar emot. Uppföljning består i att vidta åtgärder för att bedöma riktigheten i de påståenden som framgår i rapporterna, till exempel att kontakta den rapporterande personen och ställa följdfrågor eller genomföra intervjuer med vittnen (se prop. 2020/21:193 s. 222). Sekretessen gäller bland annat i förhållande till den som är föremål för uppföljningen, personer som åberopas som vittnen under uppföljningen eller personer som har bistått den rapporterande personen. Syftet med sekretessen är att dessa personer inte ska få kännedom om uppgifterna eftersom sådan kännedom kan medföra risk för att de vidtar åtgärder för att försvåra eller omöjliggöra uppföljningen, till exempel genom att undanröja bevis (se prop. 2020/21:193 s. 308).

Sekretessen enligt bestämmelsen gäller med ett rakt skaderekvisit, det vill säga svag sekretess. Presumtionen är att uppgifter i ett uppföljningsärende är offentliga och de omfattas bara av sekretess enligt aktuell bestämmelse om det kan antas att syftet med uppföljningen motverkas om uppgifterna röjs. I en sekretessprövning ska man alltså besvara frågan om uppföljningen som sådan kan skadas om uppgifterna lämnas ut. Svaret på denna fråga kan bli olika beroende på i vilket stadium uppföljningen befinner sig.

Sekretess för bland annat den rapporterande personens identitet i ett uppföljningsärende

Av 32 kap. 3 b § OSL framgår att sekretess gäller:

  1. i ett ärende om uppföljning enligt lagen (2021:890) om skydd för personer som rapporterar om missförhållanden,
  2. hos en myndighet i ett personalärende om avskedande, uppsägning, meddelande av disciplinpåföljd eller en liknande åtgärd, som har sin grund i ett sådant ärende om uppföljning som avses i 1 avseende myndigheten, och
  3. hos en myndighet i ett ärende om en annan åtgärd än enligt 2, som har sin grund i ett sådant ärende om uppföljning som avses i 1 avseende myndigheten.

Sekretessen enligt första stycket gäller:

  1. för uppgift som kan avslöja den rapporterande personens identitet, och
  2. för uppgift som kan avslöja identiteten på en annan enskild, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men.

För att sekretessbestämmelsen ska anses vara tillämplig måste det vara fråga om ett uppföljningsärende enligt visselblåsarlagen. Det kan också vara fråga om ett personalärende som rör avskedande, uppsägning, meddelande av disciplinpåföljd eller en liknande åtgärd. Personalärendet ska ha sin grund i ett uppföljningsärende enligt visselblåsarlagen. Sekretessbestämmelsen är också tillämplig i ärenden om annan åtgärd som har sin grund i en uppföljning enligt visselblåsarlagen.

När det gäller vilka uppgifter som omfattas av sekretessbestämmelsen är det den rapporterande personens identitet samt uppgift som kan avslöja identiteten på en annan enskild. Med annan enskild avses både fysisk och juridisk person. Exempel på annan enskild är den som i rapporten anges som en person som har gjort sig skyldig till överträdelse. En rapport kan även innehålla uppgifter som avslöjar personer som biträder den rapporterande personen eller som annars har koppling till den rapporterande personen, till exempel en kollega eller en anhörig. Uppgifter om sådana personer kan omfattas av sekretessbestämmelsen (se prop. 2020/21:193 s. 214-215).

Absolut sekretess gäller för uppgifter som kan avslöja den rapporterande personens identitet. Det innebär att sådana uppgifter inte får lämnas ut och att en prövning av eventuell skaderisk inte behöver göras.

För uppgift som kan avslöja identiteten på en annan enskild gäller omvänt skaderekvisit, det vill säga stark sekretess. Huvudregeln är alltså att en sådan uppgift omfattas av sekretess. Skyddet för andra personer syftar till att dessa personers anseende ska värnas. Det ska dock alltid göras en sekretessprövning. Om det vid en sekretessprövning står klart att uppgiften kan röjas utan att personen lider skada eller men, bör uppgiften kunna lämnas ut.

Vilka regler gäller för upphandling?

Upphandlingssekretess

I upphandlingsärenden och i andra affärsrelationer kan det gälla sekretess till skydd för Södertörns högskolas eller leverantörens affärs- eller driftsförhållanden.

Uppgifter om enskilds (det vill säga en leverantör/anbudsgivare) affärs- eller driftsförhållanden skyddas av absolut sekretess fram till dess att ett tilldelningsbeslut har meddelats (19 kap. 3 § andra stycket OSL).

Efter tilldelningsbeslutet skyddas enskilds affärs- eller driftsförhållanden av svag sekretess.

Exempel på uppgifter som har sekretessbelagts med stöd av denna bestämmelse är priser och prisstrategier (detaljpriser, inte totalpriser), verksamhets- och strategibeskrivningar, metoder, arbetssätt, affärs- och driftförhållanden, referensuppdrag, samarbetspartners och kundförteckningar, namn/cv på nyckelpersoner. Omständigheter som kan vägas in i bedömningen är sökandes syfte, branschförhållanden och om leverantören har för avsikt att återanvända uppgifterna i en ny upphandling. För handling som anger villkoren i avtal kan sekretess bara gälla i två år från det att avtalets slöts (31 kap. 16 § OSL).

Enskilds affärsförbindelse med myndighet

Uppgift om en enskilds affärs- och driftsförhållanden som har trätt i affärsförbindelse med en myndighet kan sekretessbeläggas om det av särskild anledning kan antas att den enskilde lider skada om uppgiften röjs (31 kap. 16 § OSL). Det är med andra ord en mycket svag form av sekretess. Av prop.1979/80:2 "Med förslag till sekretesslag m.m" Del A s. 241 framgår att det måste föreligga någon särskild omständighet eller något särskilt förhållande som åberopas av en anbudsgivare för att kunna sekretessbelägga delar av ett anbud. Det kan röra sig om uppgifter om affärshemligheter eller andra för företaget unika uppgifter som kan skada företaget om de lämnas ut. Företaget kan redan i anbudet ha begärt att delar av anbudet sekretessbeläggs.

För mer information kontakta dataskydd@sh.se

När får vi inte lämna ut uppgifter om enskilda individer?

Uppgift om hälsotillstånd och sexualliv

I 21 kap. 2 § OSL står det att ”Känsliga uppgifter om hälsotillstånd och sexualliv, uppgifter om sjukdomar, missbruk, sexuell läggning, könsbyte, sexualbrott eller liknande kan sekretessbeläggas om det kan antas att den enskilde eller någon närstående till denne skulle lida betydande men om uppgiften röjs. Uppgifter om hälsa kan skyddas även av andra bestämmelser i OSL.

Denna paragraf utgör dock ett minimiskydd för känsliga uppgifter om enskilds hälsa och sexualliv och kan tillämpas av alla myndigheter som omfattas av OSL. Sekretess gäller bara om det kan antas att det finns en risk för betydande men. Sekretessen gäller inte för uppgifter som tas in i ett beslut.

Uppgift om förföljda/hotade personer

Uppgift om adress eller annan jämförbar uppgift som kan lämna upplysning om var en enskild bor stadigvarande eller tillfälligt (fritidshus, hotell), telefonnummer, e-postadress eller annan jämförbar kontaktuppgift (telefonnummer till arbetsplatsen) samt motsvarande uppgifter om den enskildes anhöriga, kan sekretessbeläggas av myndigheten, om det av särskild anledning kan antas att den enskilde eller någon närstående till denna kan komma att utsättas för hot, våld eller annat allvarligt men (21 kap. 3 § OSL).

Paragrafen tillämpas av alla myndigheter som omfattas av OSL. Sekretess gäller bara om det av särskild anledning kan antas att den enskilde lider men. Den enskilde måste ha gjort myndigheten uppmärksam på detta, eller att det i övrigt föreligger en akut hotsituation, för att myndigheten ska sekretesspröva ärendet.

Observera att det inte är möjligt att sekretessbelägga en persons namn och personnummer med stöd av denna paragraf.

Avseende studenter vid Södertörns högskola finns dock möjligt att sekretessbelägga denna typ av uppgifter med stöd av 23 kap. 5 § andra stycket OSL, se rubriken Sekretess inom utbildningsverksamhet.

Behandling i strid med dataskyddsförordningen

Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med dataskyddsförordningen (679/2016) enligt 21 kap. 7 § OSL. Det är alltså inte fråga om en bedömning av om de enskilda uppgifterna i sig skulle omfattas av sekretess (vilket de kan göra enligt andra paragrafer i OSL såsom uppgift om hälsa).

Den bedömning den utlämnande myndigheten ska göra med stöd av denna paragraf är istället om det kan antas att uppgifterna efter utlämnandet kommer att behandlas i strid med dataskyddsförordningen.

Dataskyddsförordningen gäller inte för ren privat behandling av personuppgifter, eller om behandlingen sker för journalistiska ändamål, eller konstnärligt och litterärt skapande. Om media begär ut uppgifter kan de alltså inte sekretessbeläggas med stöd av denna (21:7 OSL) bestämmelse.

Frågan som ska ställas är vad kommer att hända med personuppgifterna efter det att de har lämnats ut och vad ska de användas till?
Bestämmelsen blir i praktiken oftast tillämplig vid massuttag. Den första fråga man bör ställa sig är om dataskyddsförordningen är tillämplig på den behandling som mottagaren av uppgifterna ska utföra. Enligt tidigare rättsfall har det konstaterats att bestämmelsen enbart tar sikte på mottagarens (den som begär ut uppgifterna) behandling av personuppgifter. Det är normalt en fråga om en insamling och en helt eller delvis automatiserad behandling av uppgifterna, vilket innebär att dataskyddsförordningen oftast blir tillämplig.

Därefter bör man göra en bedömning av om mottagarens behandling verkar överensstämma med de grundläggande krav som finns i dataskyddsförordningen.

Det är inte ovanligt att enskilda vänder sig till myndigheter för att få namn- och adresslistor (vilka i sig innehåller helt offentliga uppgifter) i marknadsföringssyfte. En intresseavvägning ska i dessa fall göras mellan företagets kommersiella intresse och den enskildes integritetsintresse.

Det är sällan som 21 kap. 7 § OSL kan åberopas om det inte på något sätt är uppenbart att personuppgifterna kommer att behandlas i strid med dataskyddsförordningen. I rättsfallet HFD 2014 ref. 66 ville personen ta del av domstolsbeslut och därefter sammanställa personuppgifterna i en privat databas där intressanta rättsfall kunde sökas fram. Syftet ansågs vara i strid med dataskyddsförordningen. Handlingarna lämnades därför inte ut.

För mer information kontakta dataskydd@sh.se

Korruption, mutor och jäv

Anställda vid Södertörns högskola har som andra statsanställda, ett särskilt ansvara att upprätthålla kraven på saklighet och opartiskhet i sin tjänsteutövning. Det gäller både lärare och administrativ/teknisk personal. Korruption är ett hot mot detta förtroende för samhället. Både olämpligt beteende och brottsliga handlingar kan vara korruption.
För att undvika gränsdragningsproblem bör du alltid välja att helt avstå från att ta emot gåvor och förmåner.

Vänskapskorruption

Vänskapskorruption är korrupta handlingar som utförs utan något direkt krav på ersättning eller motprestation. Det kan exempelvis vara mellan statsanställd och leverantörer, bjudmiddagar och gåvor som syftar till att stärka relationen och ge förmåner i fortsatta kontakter.

Mutor

Mutbrott är när en arbetstagare, eller uppdragstagare, tar emot en muta för sin egen eller för någon annans räkning för att utöva sitt arbete. Lagen gäller även om en arbetstagare begär en muta eller låter sig bli utlovad en muta.

Exempel på otillbörliga förmåner

Du som arbetar på högskolan ska tänka dig noga för inför erbjudanden om gåvor, testamentsförordnande, rabatter, provisioner, måltider, resor, rabatter och bonus som tillfaller den anställde och inte arbetsgivaren, konferenser, event, fritidserbjudanden, tjänster eller krediter, men också dolda erbjudanden som exempelvis inköp till självkostnadspris.

Särskilt utsatta kategorier av anställda

Det finns kategorier som har särskilt höga krav på oberoende. Även symboliska gåvor kan för dessa utgöra mutor.

  • anställda som har arbetsuppgifter som innefattar myndighetsutövning (antagning och examination),
  • forskare som kan hamna i beroendeställning i förhållande till en finansiär,
  • studenter (som kan tänkas ge bort eget resultat till sin examinator),
  • anställda som arbetar med inköp eller upphandling, samt
  • anställda som har kontakt med leverantörer.

Frågor att ställa sig när något erbjuds av en utomstående part

  • Varför erbjuds förmånen mig?
  • Finns det en koppling mellan förmånen och min tjänsteutövning?
  • Vad är förmånens värde och hur är den beskaffad?
  • Vilket inflytande har jag och hur är min tjänsteställning?

Gåvor från studenter

Att ta emot gåvor från studenter såväl före som efter examination medför en risk. Det kan därför vara lämpligt att läraren redan vid kursens början tar upp problematiken kring att ta emot gåvor från studenter. Det kan uppfattas som oartigt att avböja en gåva från en student. Om värdet av gåvan är mycket lågt kan det vara tillåtet att ta emot den, men det måste då vara helt klart att den inte kan uppfattas som muta. Även vid avtackningsgåvor från en hel studentgrupp måste risken för mutbrott beaktas.

Om du känner dig utsatt

Om du blir utsatt för försök till otillåtlig påverkan (mutor) i ditt arbete ska du genast meddela detta till din chef. Du bör iaktta försiktighetsprincipen och aldrig motta gåvor som har ett högt värde eller inte följer allmän sedvänja över vad som är godtagbart att få som offentligt anställd. Din chef ansvarar för att vidta nödvändiga åtgärder, som exempelvis meddela rektor för att få ett beslut om hur handläggningen ska tas vidare.

Jäv

Jävsreglerna talar om när en anställd kan tänkas ha ett sådant intresse i ett ärende att dennes opartiskhet kan i frågasättas. Jävsreglerna gäller all ärendehantering och riktar sig till alla som på något sätt kan påverka ärendets utgång. För att bestämmelserna ska gälla krävs inte någon personlig nytta eller ekonomisk vinning för den inblandade tjänstemannen. Jävsreglerna gäller i alla slags ärenden och i hela processen vid högskolan, bland annat; antagning, betygsbeslut, beslut avseende särskilt stöd, rekrytering, utbetalningar av ersättning och upphandling.

När är man jävig?

  • Om du eller någon närstående sökande i ärendet eller om ärendets utgång kan väntas medföra synnerlig nytta eller skada för dig eller en närstående.
  • När ett ärende överklagats eller av annat skäl ska avgöras i en högre instans och du tidigare deltagit i den slutliga handläggningen i den lägre instansen.
  • Ekonomiskt beroende av en part eller intressent.
  • Engagemang på ett sådant sätt att misstanke lätt kan uppkomma att de brister i förutsättningar för en opartisk bedömning.

Om du är jävig

Om du är jävig får du inte delta i handläggningen - varken i beredningen eller beslutsfattandet. Det är ditt ansvar att självmant meddela detta till din närmaste chef. Du bör omgående lämna ärendet när du får kännedom om att du kan vara jävig. Ansvarig chef ska göra en bedömning kring jävsfrågan utifrån reglerna i Förvaltningslagen. Denna bedömning ska dokumenteras och läggas till ärendet i diariet.

Skulle du - uppsåtligt eller av oaktsamhet - delta i handläggningen av ett ärende fast du är att anses som jävig kan du riskera disciplinära åtgärder för tjänsteförseelse - varning eller löneavdrag. I vissa fall allmänt åtal för tjänstefel (22 § lagen om offentlig anställning).

Lagregler mot mutor finns i brottsbalken och jäv regleras i Förvaltningslagen och Lagen om offentlig anställning.

Mer information finns nedan: Institutet mot mutor, Näringslivskoden

Övriga frågor kontakta dataskydd@sh.se

På Statskontoret finns olika skrifter och dilemman; Den statliga värdegrunden,En kultur mot korruption, Jäv i offentlig tjänst, Dilemman att fundera över. Lär mer nedan.

Upphovsrätt

Den tekniska utvecklingen, som bland annat underlättar skapande av undervisningsmaterial, har medfört att undervisning och lärande via nätet blivit vanligt förekommande inslag inom högre utbildning. Därför finns behov av att tydliggöra tillämpningen av det upphovsrättsliga regelverket gällande undervisningsmaterial vid Södertörns högskola.

Vad är immateriella rättigheter?

Huvudsakligen brukar rättsområdet delas in i "upphovsrätt", "idéer" och "patent". På Södertörns högskola är det främst upphovsrätt som är mest vanligt förekommande och det som generar flest frågor.

Som "ägare" till ett verk kallas du i juridiska termer "upphovsmannen". Upphovsmannen har rätt att ensam bestämma över sitt verk – exempelvis hur det ska användas och spridas. Ägande till ditt verk, det vill säga att bli upphovsman, uppkommer, utan formaliteter, helt automatiskt i samma ögonblick som verket skapas. Dock under förutsättning att verket är ett konstnärligt eller litterärt verk som uppfyller kraven på originalitet, individualitet och självständighet (så kallad verkshöjd).

I Södertörns högskolas verksamhet är exempel på litterära verk bland annat vetenskaplig och populärvetenskaplig text och exempel på konstnärliga verk är olika typer av design.

Vad gäller för mina idéer som framgår av verket?

De fakta eller idéer som verket innehåller kan inte innefattas av en upphovsrätt, utan endast upphovspersonens personliga sätt att uttrycka idéerna genom verkets innehåll. Som exempel kan nämnas idé till ett potentiellt forskningsområde – själva idén till forskningen har inget upphovsrättsligt skydd, men den handling varpå upphovsmannen beskrivit idén och exempelvis har ritat grafer eller liknande är ett upphovsrättsligt skyddat verk.

Vad gäller för spridning av upphovsrättskyddat material?

Vissa handlingar som upprättas av en myndighet (exempelvis myndighetsbeslut) saknar helt upphovsrättsligt skydd och får spridas fritt. Andra typer av handlingar som upprättas av myndigheten (exempelvis arbetsmaterial, handböcker) har i viss mån ett begränsat upphovsrättsligt skydd, vilket medför att de får spridas men under följande förutsättningar. För även om det finns rättsligt stöd att sprida materialet, kvarstår rätten för upphovsmannen att kunna begära ekonomisk ersättning för spridningen samt att bli omnämnd som upphovsman till verket (den så kallade ideella rätten).

Vad gäller för upphovsrätt och allmän handling?

En handling som förvaras hos Södertörns högskola är en allmän handling och, i vissa fall, en offentlig handling. En sådan handling kan lämnas ut på begäran, dock föreligger enbart rätten att ta del av handlingen (materialet) för privat bruk och inte en rätt att sprida materialet vidare. Allmänna handlingar ska oavsett upphovsrätten tillhandahållas på begäran enligt reglerna i tryckfrihetsförordningen.

Andras material

Hur hittar jag och hur får jag använda material för att illustrera min föreläsning?

Att bilder och annat upphovsrättsligt material är tillgängligt på internet, exempelvis via Instagram, Youtube och Google innebär inte att du får använda dig av detta i din undervisning hur som helst. En del upphovsmaterial som ligger på nätet är Creative Common-licensierat. Detta innebär att upphovsmannen i olika omfattning har medgett en kostnadsfri användning av materialet. Lärarna har vidare möjlighet att genom det så kallade Bonus-avtalet under vissa förutsättningar använda sig av andras upphovsrättsligt skyddade material. Det finns också via andra källor på internet möjligheter att hitta exempelvis bilder som få användas under vissa förutsättningar.

Upphovsrättsligt material som inte omfattas av detta får användas i undervisningen endast efter medgivande av den/de som har upphovsrätt till det.

Hur får jag använda studenters material?

Studenterna äger sitt material upphovsrättsligt vilket innebär att du som lärare inte får använda materialet i din undervisning utan studentens medgivande. Du får således inte lägga in det på kurssidan som kursmaterial, använda det i klassrummet eller publicera materialet på internet utan medgivande från studenten.

Vad gäller för kopiering av material?

Rätten att kopiera upphovsrättsligt skyddade verk är starkt begränsad i upphovsrättslagen. För att underlätta lärarnas yrkesutövning och studenternas undervisning finns ett högskoleavtal som ger lärare och studenter rätt att, i viss omfattning, kopiera och dela upphovsrättsligt skyddat material ur offentliggjorda svenska och utländska verk, analogt och digitalt. Syftet med kopieringen får dock inte vara att ersätta obligatorisk förlagsutgiven kurslitteratur, utan skall ses som ett komplement.

Kortfattat är det tillåtet att använda sig av den så kallade 15/15-regeln, som innebär att du får kopiera och dela 15 %, men inte mer än 15 sidor, från en och samma analoga förlaga, t.ex. från en bok, per student och kalenderhalvår. Du får kopiera motsvarande 15 A4-sidor från en och samma digitala publikation per student och kalenderhalvår.
För mer information: https://www.bonuscopyright.se/ Länk till annan webbplats, öppnas i nytt fönster.

Vad finns det för upphovsrätt för mig som lärare?

När du skapar ett verk innebär upphovsrätten en ekonomisk (rätt till ersättning) och en ideell rätt (rätt att bli omnämnd som upphovsrättsman).

Den ideella rätten innebär att du alltid har rätt att bli erkänd som upphovsrättsman till verket. De ideella rättigheterna kan inte överlåtas eller licensieras, men upphovspersonen (det vill säga läraren) kan i vissa avseenden ingå avtal om att avstå från dem. De ekonomiska rättigheterna däremot kan överlåtas eller licensieras till annan. Upphovsrätten innebär också att andra inte får ändra ett verk eller använda det i ett sammanhang som anses kränkande för upphovsmannen.

Vad gäller för mitt undervisningsmaterial som jag har tagit fram?

Vad gäller undervisningsmaterial som en lärare tar fram i sin anställning, så är denne upphovsman till sådant material. Södertörns högskola har dock en nyttjanderätt till det undervisningsmaterial som tagits fram inom ramen för anställningen.

Som lärare bör du märka ditt undervisningsmaterial med ditt namn för att säkerställa den ideella rätten. Läraren ska dock ha rätt att, inom lojalitetspliktens ram (att agera lojalt gentemot Södertörns högskola) och i den mån andras rättigheter inte påverkas, själv nyttja undervisningsmaterialet i egenskap av upphovsrättsman, exempelvis hos andra lärosäten.

Vilken rätt har Södertörns högskola till mitt framtagna material?

En så kallad tumregel har utvecklats i praxis, som innebär att arbetsgivaren inom verksamhetsområdet (det vill säga Södertörns högskola) och inom den normala verksamheten får använda arbetstagarens (lärarens) verk som har kommit till inom arbetsuppgifterna eller särskilda åtaganden mot arbetsgivaren (exempelvis undervisningsmaterial). Arbetsgivaren får bara använda verket på det sätt som kan förutses när verket gjordes (exempelvis behålla materialet upplagt på Studiewebben).

Nyttjanderätten innebär en rätt för Södertörns högskola att använda undervisningsmaterialet i högskolas normala verksamhet och för de undervisningsändamål som kunnat förutses vid undervisningsmaterialets tillkomst. Om verket framtogs för att användas i undervisningsändamål äger högskolan rätt att fortsätta använda sig av materialet därefter. Nyttjanderätten innefattar även en rätt att tillgängliggöra och framställa exemplar, såväl i tryckt som i elektronisk form, samt att lagra undervisningsmaterialet (exempelvis i Studiewebben).

Södertörns högskolas nyttjanderätt inskränker inte lärarens upphovsrätt till undervisningsmaterialet. Som lärare behåller alltså du din ideella rätt att fortsatt bli omnämnd som upphovsman.

Hur får jag ersättning för mitt arbete?

Det arbete du lägger ner på att spela in utbildningsmaterial räknas som planeringsarbete och ersätts normalt som annat för- och efterarbete med tid i din tjänst.

Har jag rätt att spela in mina lektioner där studenterna är med?

Om du funderar på att spela in studenter i undervisningssituationer måste du tänka på att det inte bara är upphovsrättsliga regler att ta hänsyn till, utan även dataskyddslagstiftningen. Det kan också förekomma att du har en student med skyddade personuppgifter (sekretessbelagda uppgifter) i din klass som du naturligtvis inte får sprida på något sätt.

Läs mer om inspelning av undervisningssituationer här Öppnas i nytt fönster.

Vad gäller om jag byter arbetsplats, kan jag ta med min kurs?

Eftersom du i normalfallet har upphovsrätten till din föreläsning får du ta med den till din nya arbetsplats. Ibland finns det andra personer inblandade i inspelningen av din föreläsning (exempelvis en fotograf), som också har upphovsrätt till inspelningen.

Enligt högskolans rutin har dock högskolan en nyttjanderätt till materialet, varför du inte kan hindra högskolan från att använda sig av detta i undervisningen.

För mer information kontakta Gina Sharro.

Vad får studenten göra med den inspelade föreläsningen?

Dina föreläsningar är upphovsrättsligt skyddade. Studenten får därför inte dela med sig av inspelningen till sina studiekamrater eller sprida den på webben utan ditt medgivande. Inspelning får enbart ske för privat bruk.

Vad händer om en student sprider sin inspelning av din föreläsning på internet?

Studenten har genom att sprida föreläsningen på internet gjort sig skyldig till en otillåten användning av din upphovsrättsligt skyddade föreläsning. Du kan då vända sig till den som administrerar sidan där föreläsningen har lagts upp och be dem att ta bort materialet.

Vad får studenter spela in?

Riktlinjer för studenters bild och/eller ljudupptagning i undervisningssituationer, dnr 1889-1.1.2-2020, se nedan, reglerar rätten till studenters inspelning och vidarespridning av undervisningsmaterial.

Ljud- och bildupptagning (inspelning) av undervisning eller andra presentationer i högskolans lokaler är inte tillåten om så inte uttryckligen angetts. Läraren har möjlighet att vid undervisningstillfället uttryckligen ge tillstånd till inspelning samt att ange villkoren för detta. Läraren ska i sitt ställningstagande beakta om övriga deltagande studenter motsätter sig sådan inspelning.

Inspelning får endast avse undervisningen eller presentationen (det vill säga läraren och tavlan). Fotografering och eller filminspelning av studenterna vid undervisningen är aldrig tillåten om inte dessa medgivit att inspelning sker. En student som genomför en inspelning måste själv var närvarande när inspelningen görs. Och får endast nyttja inspelningen för personligt bruk. Studenten har inte rätt att sprida inspelningen, varken till annan student eller genom att till exempel publicera den.

Får studenter sprida inspelning vidare?

Inspelat material får enbart användas för privat bruk. Studenten får inte lägga upp inspelningen på en webbplats eller skicka det vidare till en annan kursare. En person som sprider inspelat material kan bli skadeståndsskyldig (URL 7 kap.).

Vad gäller för upphovsrätt och allmän handling?

En handling som förvaras hos Södertörns högskola är en allmän handling och, i vissa fall, en offentlig handling. Det kan exempelvis gälla inspelningar av undervisningstillfällen som laddas upp via digitala tjänster. En sådan handling kan lämnas ut på begäran, dock föreligger enbart rätten att ta del av handlingen (materialet) för privat bruk och inte en rätt att sprida materialet vidare. Allmänna handlingar ska oavsett upphovsrätten tillhandahållas på begäran enligt reglerna i tryckfrihetsförordningen.

För mer information kontakta Gina Sharro.

Förvaltningslagen

Förvaltningslagen är högskolans grundläggande lagstiftning som styr hur och på vilket sätt vi arbetar. Lagen ställer bland annat krav på att vi hanterar ärenden skyndsamt, effektivt och inom en viss tidsram. Hur vi arbetar på högskolan har också en central del i lagstiftningen. Exempelvis har vi som anställda på högskolan en serviceskyldighet i vårt bemötande och krav på att uttrycka oss korrekt och rätt i vår kommunikation med allmänheten.

Rätta eller ändra beslut

Högskolan kan alltid korrigera ett beslut innan det har meddelats, det vill säga innan enskild har meddelats om beslutet.

När ett beslut har meddelats till enskild är däremot huvudregeln i svensk rätt att gynnande beslut är orubbliga och inte får ändras (dras tillbaka).

Undantag till huvudregeln om att gynnande, meddelade beslut inte får rättas och/eller ändras finns i förvaltningslagen.

För mer information kontakta dataskydd@sh.se

Här kan du läsa hela dokumentet om när och om du får rätta eller ändra ett beslut som redan har meddelats den enskilde:

Dataskyddsförordningen

Den europeiska dataskyddsförordningen, GDPR (General Data Protection Regulation) i kombination med kompletterande svenska lagar, ställer krav på att allt arbete med personuppgifter utförs på ett öppet, korrekt och säkert sätt.

Texten nedan ger en kortfattad genomgång av vad som är nödvändigt att beakta för att hanteringen av personuppgifter ska vara tillåten på Södertörns högskola. I slutet finns en kort förklaring över skillnaden i lagstiftningen mellan GDPR och den tidigare, gällande personuppgiftslagen (PuL).

Dataskyddsförordningens grunder

All behandling av personuppgifter måste uppfylla de grundläggande principer som anges i dataskyddsförordningen. Principerna innebär förenklat att personuppgifter bara får samlas in för vissa berättigade ändamål, att inte fler uppgifter än nödvändigt får behandlas, och att uppgifterna inte får sparas längre tid än nödvändigt. Personuppgifterna måste alltid hanteras på ett säkert sätt.

Något som är viktigt att komma ihåg är att dataskyddsarbete är ett kontinuerligt arbete som kräver att alla medarbetare tillsammans gör sitt för att Södertörns högskola ska kunna efterleva dataskyddsförordningens bestämmelser. Det är ett gemensamt arbete att föra dataskyddsarbetet framåt på högskolan.

Några grundläggande begrepp

Personuppgifter

Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan kopplas till en levande, fysisk person. Exempel på personuppgifter är namn, adress och IP-nummer, men även flera uppgifter som gemensamt kan kopplas till en fysisk person räknas som personuppgifter.

Observera att det räcker med att någon kan koppla uppgifterna till en fysisk person för att det ska räknas som personuppgifter.

Även om du som behandlar uppgifterna inte vet eller ens har möjlighet att ta reda på vilken person det gäller kan det vara behandling av personuppgifter. För att avgöra om en fysisk person är identifierbar ska man beakta alla hjälpmedel som – antingen av den personuppgiftsansvarige eller av en annan juridisk eller fysisk person – rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen.

Behandling av personuppgifter

Behandling av personuppgifter är ett begrepp som har en vidsträckt tolkning. Alla former av åtgärder med personuppgifter räknas som behandling av personuppgifter, från det att uppgifterna samlas in tills det att uppgifterna slutligt har raderats eller förstörts.

Exempel på behandling av personuppgifter är enligt definitionen i dataskyddsförordningen insamling, registrering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning, spridning och slutligen även själva raderingen eller förstörelsen av personuppgifterna.

Tänk på att till exempel utskrift av personuppgifter på skrivare och skickande av e-post alltid innebär behandling av personuppgifter. För riktlinjer om hur du bör använda e-post i tjänsten kan du läsa om under rubriken Molntjänster och särskilt om e-post.

Personuppgiftsansvarig

Personuppgiftsansvarig, det vill säga Södertörns högskola, är den som bestämmer ändamål och riktlinjer för behandlingen av personuppgifter.

Vem ansvarar för all behandling av personuppgifter som sker i högskolans verksamhet?

Södertörns högskola är personuppgiftsansvarig för den behandling av personuppgifter som sker inom lärosätets verksamhet. Detta gäller inte bara den behandling som görs av lärare och administrativ personal, utan universitetet ansvarar som huvudregel även för den behandling av personuppgifter som studenterna utför inom ramen för utbildningen. Om en student till exempel behandlar personuppgifter i sitt uppsatsarbete omfattas behandlingen därför av reglerna i dataskyddsförordningen, och det är Södertörns högskolas ansvar att se till att reglerna efterlevs.

Det finns dock vissa undantagssituationer. Om en student till exempel genomför verksamhetsförlagd utbildning (VFU) är det som huvudregel istället praktikplatsen som är personuppgiftsansvarig när studenten utför olika arbetsuppgifter inom exempelvis skola eller hos Polismyndigheten (på samma sätt som praktikplatsen är personuppgiftsansvarig när dess anställda behandlar personuppgifter).

Grundläggande principer för behandling av personuppgifter

Varje behandling av personuppgifter, oavsett i vilken del av verksamheten, som utförs måste uppfylla de sex grundläggande principer som anges i artikel 5 dataskyddsförordningen. Södertörns högskola måste därför säkerställa och visa på att behandlingen uppfyller nedanstående krav.

  • Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den vars personuppgifter vi behandlar, det vill säga den registrerade (laglighet, korrekthet och öppenhet).
  • Uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning).
  • Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
  • Uppgifterna ska vara korrekta och om nödvändigt uppdaterade (korrekthet).
  • Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (lagringsminimering).
  • Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna (integritet och konfidentialitet).

Detta är grundprinciperna för all behandling av personuppgifter och alla verksamhetsområden på Södertörns högskola ska behandla personuppgifter i enlighet med ovanstående punkter.

Vad är skillnaden mellan GDPR och den tidigare, svenska personuppgiftslagen?

EU:s dataskyddsförordning blev tillämplig den 25 maj 2018 och dess syfte är att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter. Mycket i den nya lagstiftningen liknar de tidigare regler som fanns i personuppgiftslagen. Det som skiljer är införandet av sanktionsavgift samt högre grad av transparens som bland annat innebär följande:

  • Datainspektionen är tillsynsmyndighet och kan vid överträdelser utdöma sanktionsavgift på upp till 10 mkr.
  • Skyldighet att kunna visa på dokumentation som styrker att EU:s dataskyddsförordning efterlevs (ansvarsskyldighet).
  • Skyldighet för personuppgiftsansvarig att föra register över alla behandlingar av personuppgifter.
  • Tydligare krav för personuppgiftsansvarig att dokumentera rättslig grund för behandlingen av personuppgifter.

Vad kan jag göra om jag vill lära mig att tillämpa GDPR i praktiken?

Fundera över ditt dagliga arbetssätt utifrån principerna ovan och ställ dig själv frågan om du uppfyller de grundläggande kraven som finns i dataskyddsförordningen. Tala gärna med dina kollegor om hur ni kan förbättra era rutiner för att arbeta i enlighet med gällande lagstiftning.

För mer information kontakta dataskydd@sh.se

Nedan följer ett antal övningar att titta igenom och öva på om du behöver friska upp GDPR-minnet (med tillhörande facit).

Rutin för begäran från den enskilde

  • Registraturen är första ingången vid förfrågningar som ska diarieföra begäran. Om begäran kommer in på annat sätt ska den skickas vidare till registrator för diarieföring. Det är viktigt att inkomna förfrågningar diarieförs för att möjliggöra att högskolan kan hålla reda på lagstadgade tidsfrister, att ärendet tilldelas rätt handläggare och att handlingarna i ärendet finns på rätt plats.
  • Registrator måste utröna vilka IT-system som berörs, och ser till att ärendet skickas till berörda systemägare för handläggning.

Om det är många system som berörs bör GDPR-samordnaren för respektive avdelning tilldelas som handläggare för ärendet.

Om det inte blir en träff, ska en fråga skickas tillbaka till den enskilde vilket verksamhetsområde inom högskolan som förfrågan gäller.


  • Svar kommer inte tillbaka med en ifylld blankett - GDPR-samordnaren för respektive avdelning tilldelas som handläggare för ärendet att utreda om och var personen förekommer i systemen där.
    - Svar från den enskilde kommer tillbaka med ifylld blankett - GDPR-samordnaren för den aktuella avdelningen bekräftar till den enskilde att begäran har kommit in, Du ska även lämna besked till den enskilde om när vi beräknar kunna ta ställning till den inkomna frågan, enligt lag har vi 1 månad på oss att besvara den enskilde. Om det beräknas ta längre tid än en (1) månad bör samråd ske med dataskyddsombudet på dataskydd@sh.se.
  • GDPR-samordnaren utreder begäran genom att ta behövlig kontakt med relevanta parter, bland annat leverantören av systemet och medarbetare.
  • GDPR-samordnaren skickar ett förslag till beslut till den enskilde. För att säkerställa identiteten (att det är rätt och samma personen i fråga som faktiskt utövar sina rättigheter) ska du skicka ett beslutsbrev innan själva raderingen/rättningen/ändringen/etc. sker (förslag till beslut).
    - Kompletteringstiden bör vara satt till 2 veckor som ger den enskilde rimlig tid att invända mot förslaget. Brevet skickas hem till den enskildes folkbokföringsadress för att säkerställa den enskildes identitet.
    - Besvärshänvisning (för överklagan) ska också finnas med.
  • En kopia av förslag till beslut skickas till registrator för diarieföring.
  • GDPR-samordnaren ansvarar för att sammanställa svaren från systemägarna i en Word-fil.
  • Ärendet skickas till rektor eller den som fått delegation att fatta beslut i dessa frågor.
  • Ärendet föredras av GDPR-samordnaren för rektor eller annan behörig person.
  • Rektor eller annan behörig person fattar beslut i frågan.

- Om radering eller rättelse inte sker ska detta meddelas den enskilde till dennes folkbokföringsadress.

  • Ett gynnande (det vill säga rättelse/radering har skett) beslut kommuniceras till den enskilde. På grund av säkerhetsskäl kan Södertörns högskola inte tillhandahålla elektronisk utlämning. Utlämnandet sker på något av följande sätt:

- Utlämnande sker på papper via rekommenderat brev och skickas till den enskildes folkbokföringsadress.
- Utlämnandet sker personligen genom att personen besöker oss och legitimerar sig.

Ett utlämnande ska aldrig ske elektroniskt via e-post.

  • Beslutet verkställs av systemägaren. Detta kan ske tidigast ske efter att tidsfristen som den enskilde har fått informerat om i steg 5 löpt ut.

Om din avdelning inte har en GDPR-samordnare ska en sådan roll utses. Tills dess att en medarbetare har blivit tilldelad rollen är det systemägaren (oftast avdelningschef) som gör samtliga steg ovan där det står "GDPR-samordnare".

Vilka beslut som kan överklagas

Den enskilde har rätt att överklaga högskolans beslut i frågor som rör den enskildes utövande av sina rättigheter, se vidare 7 kap. 2 § dataskyddslagen:

  • Beslut om att inte tillmötesgå en begäran eller att ta ut en avgift för att administrera en begäran från den enskilde om den är ogrundad, orimlig eller av repetitiv karaktär (artikel 12.5)
  • Rätten till tillgång, även kallat registerutdrag (artikel 15)
  • Rätten till rättelse (artikel 16)
  • Rätten till radering (artikel 17)
  • Rätten till begränsning (artikel 18)
  • Anmälningsskyldighet (artikel 19)
  • Dataportabilitet (artikel 20)
  • Rätten att göra invändningar (artikel 21)

Ovanstående beslut, det vill säga förvaltningsbeslut, måste fattas av behörig person som har delegation.

Besvärshänvisning ska alltid bifogas beslutet.

För mer information kontakta dataskydd@sh.se

Vad är ett registerutdrag?

Enligt dataskyddsförordningen har enskilda personer rätt att på begäran få veta om Södertörns högskola behandlar personuppgifter om dem och i sådana fall få tillgång till personuppgifterna, ett s.k. registerutdrag.

En begäran om registerutdrag ska som utgångspunkt besvaras utan onödigt dröjsmål men senast inom en månad från det att högskolan tog emot begäran. Tidsfristen kan i undantagsfall förlängas med två månader. Ett registerutdrag ska i regel tillhandahållas kostnadsfritt.

Ett registerutdrag ska innehålla kopia på personuppgifterna och information om bland annat:

  • vilka typer av personuppgifter som behandlas
  • vad syftet med personuppgiftsbehandlingen är, dvs. varför vi behandlar personuppgifterna
  • hur länge personuppgifterna kommer att behandlas
  • vilka personuppgifterna har delats med
  • varifrån personuppgifterna kommer

Hantering av begäran om registerutdrag

För att underlätta hanteringen av begäranden om registerutdrag har högskolan upprättat en handläggningsordning som beskriver hur sådana begäranden ska hanteras samt vem som ska göra vad. Eftersom ett registerutdrag ska tillhandahållas inom en månad från det att högskolan mottog begäran är det viktigt att handläggningsordningen följs.

Kartlägg personuppgiftsbehandlingar

För att kunna besvara en begäran om registerutdrag krävs det att högskolan gör en genomsökning av de personuppgiftsbehandlingar som förekommer inom högskolans verksamhet. Varje avdelning, institution och annan verksamhet inom högskolan bör därför kartlägga och sammanställa vilka personuppgiftsbehandlingar som förekommer på respektive avdelning, institution och annan verksamhet. Detta kommer att underlätta de genomsökningar som behöver göras när högskolan hanterar begäran om registerutdrag.

Beslut om registerutdrag kan överklagas

Enligt 7 kap. 2 § dataskyddslagen har den enskilde rätt att överklaga beslut om registerutdrag. Beslut om registerutdrag ska fattas av behörig beslutsfattare enligt högskolans besluts- och delegationsordning. Sådana beslut kan överklagas till förvaltningsrätten. Observera dock att om högskolan fattar beslut om att inte lämna ut vissa uppgifter i ett registerutdrag med hänvisning till sekretess, ska beslutet överklagas till kammarrätten.

Vad är ett personuppgiftsbiträde?

Ett personuppgiftsbiträde är en extern organisation som behandlar personuppgifter för en personuppgiftsansvarigs räkning, det vill säga på uppdrag av en personuppgiftsansvarig. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, myndighet eller annat organ. Personuppgiftsbiträdet får endast behandla personuppgifter enligt instruktion från den som är personuppgiftsansvarig. I de flesta fall är Södertörns högskola personuppgiftsansvarig. Det innebär att det är högskolan som bestämmer för vilka ändamål personuppgifterna ska behandlas och hur behandlingen ska gå till. Det kan dock förekomma situationer där högskolan anses vara ett personuppgiftsbiträde.

När ska högskolan ingå ett personuppgiftsbiträdesavtal?

När Södertörns högskola anlitar ett personuppgiftsbiträde ska ett personuppgiftsbiträdesavtal upprättas. Syftet med avtalet är att personuppgiftsbiträdet ska lämna tillräckliga garantier om att uppfylla kraven i GDPR genom att till exempel genomföra lämpliga tekniska och organisatoriska åtgärder enligt GDPR samt säkerställa att de registrerades fri- och rättigheter skyddas. Personuppgiftsbiträden som inte lämnar sådana garantier får inte användas. Exempel på personuppgiftsbiträden är leverantörer av it-tjänster, personaladministrativa system, lärplattformar, ärendehanteringssystem, arkiv- och dokumentdatabaser och liknande. En biträdessituation kan även uppkomma i forskningssammanhang.

När ska högskolan inte ingå ett personuppgiftsbiträdesavtal?

Södertörns högskola ska inte ingå ett personuppgiftsbiträdesavtal med de organisationer som behöver personuppgifterna för att utföra sina uppdrag. Ett exempel på en sådan situation är när högskolan skickar uppgifter om anställdas löner till Skatteverket. Högskolan har en rättslig förpliktelse att överföra vissa uppgifter om de anställda till Skatteverket. Skatteverket kommer sedan att behandla uppgifterna för eget syfte, vilket är att kontrollera och följa upp att rätt inkomst för de anställda har rapporterats så att de anställda betalar rätt inkomstskatt.

Hur upprättas ett personuppgiftsbiträdesavtal?

Ett personuppgiftsbiträdesavtal är oftast ett separat avtal som är skilt från det avtal som reglerar innehållet i själva tjänsten (huvudavtalet/ramavtalet). Under rubriken Avtalsmallar nedan finns en avtalsmall som kan användas när ett personuppgiftsbiträde anlitas. Det viktigt att ange bland annat vilka personuppgifter som personuppgiftsbiträdet ska behandla inom ramen för sitt uppdrag samt ändamålet med behandlingen. Högskolans dataskyddsombud kan kontaktas för att granska ifyllt avtal. Om personuppgiftsbiträdet istället vill använda ett personuppgiftsbiträdesavtal som biträdet själv har upprättat är det viktigt att högskolans dataskyddsombud kontaktas för att granska avtalet.

Av högskolans besluts- och delegationsordning framgår vem som får teckna personuppgiftsbiträdesavtal.

Gemensamt personuppgiftsansvar

Enligt GDPR kan personuppgiftsansvaret vara gemensamt för flera organisationer. När Södertörns högskola samarbetar med till exempel andra lärosäten eller myndigheter kan det uppstå situationer där personuppgiftsansvaret anses vara gemensamt. För att det ska vara fråga om gemensamt personuppgiftsansvar krävs det att två eller flera personuppgiftsansvariga tillsammans bestämmer ändamålen och medlen för personuppgiftsbehandlingen. Om det föreligger gemensamt personuppgiftsansvar måste parterna ingå ett avtal där deras respektive ansvar för att följa reglerna i GDPR fastställs. Nedan finns en avtalsmall som kan användas när det är fråga om gemensamt personuppgiftsansvar.

Avtalsmallar

Överföring av personuppgifter utanför EU/EES (s.k. tredjelandsöverföringar)

Ett av syftena med införandet av dataskyddsförordningen var att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU/EES så att det fria flödet av uppgifter inom unionen inte hindras. Utanför EU/EES finns det inga generella regler som motsvarar den nivå på skyddet som garanteras i dataskyddsförordningen. Skyddet för personuppgifter får inte försämras när de överförs till ett land utanför EU/EES (s.k. tredjelandsöverföring). Det finns därför särskilda regler i dataskyddsförordningen som reglerar när det är tillåtet att genomföra en tredjelandsöverföring.

Vad gäller överföring av personuppgifter till USA har rättsläget ändrats under det senaste året. Detta beror på EU-domstolens avgörande i det s.k. Schrems II-målet. Informationen nedan inleds därför med en kort redogörelse för EU-domstolens avgörande i Schrems II-målet samt information om hur högskolan bör förhålla sig till överföringar av personuppgifter till USA. Därefter ges information om vad en tredjelandsöverföring är och vilka krav som måste vara uppfyllda för att det ska vara tillåtet att överföra personuppgifter till en mottagare utanför EU/EES.

Överföring av personuppgifter till USA och Schrems II-målet

Det var tidigare tillåtet att överföra personuppgifter till mottagare i USA som anslutit sig till det s.k. Privacy Shield-avtalet (en överenskommelse om skydd för personuppgifter mellan EU och USA). Den 16 juli 2020 meddelade EU-domstolen dom i det s.k. Schrems II-målet där domstolen ogiltigförklarade Privacy Shield-avtalet. Avtalet ogiltigförklarades eftersom det inte gav ett tillräckligt skydd för personuppgifter när dessa överförs till USA.

Domen berör alla inom högskolan som köper in eller ansvarar för programvaror där personuppgiftsbiträdet eller underbiträdet är baserat i USA. Domen berör också forskare och anställda som har pågående projekt som innefattar överföring av personuppgifter till USA. Sammantaget aktualiseras domen så fort en åtgärd innebär att personuppgifter överförs till en mottagare i USA.

Med anledning av EU-domstolens dom råder just nu osäkerhet kring i vilken utsträckning personuppgifter istället kan överföras lagligt till USA baserat på att parterna tillämpar standardavtalsklausuler som godkänts av EU-kommissionen. Mot bakgrund av detta gäller följande rekommendationer.

  • Till dess att Södertörns högskola har tagit ställning till hur domen ska hanteras bör samtliga verksamheter avvakta med att ta in nya licenser/verktyg/system med kopplingar till USA.
  • Om en systemleverantör hör av sig och vill att systemägare ska skriva på ett tilläggsavtal till befintligt avtal (t.ex. personuppgiftsbiträdesavtal) eller ett avtal som innehåller standardavtalsklausuler för att på så sätt kunna hantera personuppgifter i USA, ska dessa inte skrivas på. Systemägare ska i en sådan situation ta kontakt med dataskyddsombudet och skicka begäran till dataskydd@sh.se.
  • Forskare och anställda bör undvika projekt som innefattar överföringar av personuppgifter till mottagare i USA. Istället bör andra arbetssätt tillämpas där personuppgifter inte överförs till mottagare i USA.

För frågor om överföring av personuppgifter till USA kontakta dataskydd@sh.se

Vad är en tredjelandsöverföring?

En tredjelandsöverföring innebär att personuppgifter överförs till länder utanför EU/EES eller internationella organisationer. Exempel på tredjelandsöverföring av personuppgifter är

  • när personuppgifter skickas via e-post till en mottagare i ett land utanför EU/EES
  • när man anlitar ett personuppgiftsbiträde i ett land utanför EU/EES
  • när någon utanför EU/EES ges tillgång, t.ex. läsbehörighet, till personuppgifter som finns lagrade inom EU/EES (t.ex. vid en supporttjänst)
  • när personuppgifter lagras i en molntjänst som är baserad utanför EU/EES
  • när personuppgifter lagras, t.ex. på en server, i ett land utanför EU/EES

Att publicera något på internet är inte en tredjelandsöverföring förutsatt att webbplatsen finns hos en internetleverantör som är etablerad i EU/EES.

När är det tillåtet att genomföra tredjelandsöverföring?

Överföring av personuppgifter till andra länder än EU/EES-länder får endast ske under särskilda förutsättningar. Nedan följer de förutsättningar som främst är aktuella för Södertörns högskola. Någon av dessa förutsättningar måste alltså vara uppfylld för att få genomföra en tredjelandsöverföring.

  • Det kan vara tillåtet att överföra personuppgifter till ett tredje land om det finns ett beslut fattat av EU-kommissionen som innebär att landet där mottagaren av personuppgifterna är belägen anses ha en adekvat nivå vad gäller skyddet av personuppgifter (s.k. adekvat skyddsnivå). En lista över länder som har adekvat skyddsnivå finns att hitta här Länk till annan webbplats, öppnas i nytt fönster.. Med anledning av Brexit betraktas Storbritannien numera som ett tredje land. Den 28 juni 2021 fattade EU-kommission beslut om adekvat skyddsnivå för överföring av personuppgifter till Storbritannien. Det innebär att Storbritannien har tillräckligt hög skyddsnivå och personuppgifter kan därför överföras dit.
  • Det kan vara tillåtet att överföra personuppgifter till ett tredje land om den som är personuppgiftsansvarig vidtar lämpliga säkerhetsåtgärder genom att exempelvis använda standardavtalsklausuler som EU-kommissionen beslutat om. Det innebär att högskolan och mottagaren ingår ett avtal som innehåller ett antal standardiserade klausuler som EU-kommissionen har godkänt och som anger rättigheter och skyldigheter för parternas hantering av personuppgifter. Den 4 juni 2021 fattade EU-kommissionen beslut om att anta nya standardavtalsklausuler. De nya standardavtalsklausulerna finns att hitta här Länk till annan webbplats, öppnas i nytt fönster..

För frågor om tredjelandsöverföring av personuppgifter kontakta dataskydd@sh.se.

Vad är en konsekvensbedömning?

Om en personuppgiftsbehandling sannolikt leder till en hög risk för enskilda personers fri- och rättigheter ska högskolan enligt GDPR göra en konsekvensbedömning. Syftet med en konsekvensbedömning är att identifiera och minimera risker för personers fri- och rättigheter innan en personuppgiftsbehandling påbörjas. Risker ska i första hand bedömas utifrån dataskydds- och integritetsaspekter, men även utifrån andra grundläggande mänskliga rättigheter såsom yttrande- och tankefrihet, fri rörlighet eller förbud mot diskriminering.

En konsekvensbedömning ska genomföras innan en personuppgiftsbehandling påbörjas. På så sätt minimeras risken för att högskolan påbörjar en behandling som senare måste förändras på grund av att den inte uppfyller kraven i GDPR. En konsekvensbedömning kan vara till hjälp vid bedömningen av vilka säkerhetsåtgärder som behövs eller vilka tekniska lösningar som bör väljas.

När ska en konsekvensbedömning göras?

En konsekvensbedömning ska särskilt göras i följande fall:

  • När en personuppgiftsbehandling består av ett automatiserat individuellt beslutsfattande (t.ex. rekrytering utan personlig kontakt, helt automatiserad antagning) och profilering (användning av personuppgifter för att skapa särskilda profiler baserat på personliga aspekter och i de fall där dessa profiler används för att fatta automatiserade beslut)
  • När en personuppgiftsbehandling består av känsliga personuppgifter i stor omfattning eller av personuppgifter som rör brott eller misstanke om brott.
  • När en personuppgiftsbehandling innebär en systematisk övervakning av en allmän plats i stor omfattning

Med begreppet ”stor omfattning” avses till exempel hur många personer som omfattas av personuppgiftsbehandlingen, hur många uppgifter som registreras om varje person, hur länge behandlingen ska pågå eller inom hur stort geografiskt område personerna finns.

En konsekvensbedömning ska också göras om personuppgiftsbehandlingen sannolikt leder till en hög risk för personers fri- och rättigheter och uppfyller minst två av följande kriterier:

  • Utvärderar eller poängsätter människor.
  • Behandlar personuppgifter i syfte att fatta automatiserade beslut som har rättsliga följder eller liknande betydande följder för den enskilde.
  • Systematiskt övervakar människor, till exempel genom kameraövervakning av en allmän plats eller genom att samla in personuppgifter från internetanvändning i offentliga miljöer.
  • Behandlar känsliga personuppgifter eller uppgifter som är av mycket personlig karaktär.
  • Behandlar personuppgifter i stor omfattning.
  • Kombinerar personuppgifter från två eller flera behandlingar på ett sätt som avviker från vad personerna rimligen kunnat förvänta sig, till exempel när man samkör register.
  • Behandlar personuppgifter om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara, till exempel barn, anställda, asylsökande, äldre och patienter.
  • Använder ny teknik eller nya organisatoriska lösningar, till exempel en sakernas internet-applikation (internet of things, iot).
  • Behandlar personuppgifter i syfte att hindra personer från att få tillgång till en tjänst eller ingå ett avtal, till exempel när en bank granskar sina kunder mot en databas för kreditupplysning för att besluta om de ska erbjudas lån.

Det är viktigt att påbörja en konsekvensbedömning så tidigt så möjligt, även om vissa delar av behandlingen fortfarande är okända. Samma konsekvensbedömning kan användas för att bedöma flera personuppgiftsbehandlingar som liknar varandra avseende art, omfattning, innehåll, ändamål och risker.

När behöver en konsekvensbedömning inte göras?

En konsekvensbedömning behöver inte genomföras om personuppgiftsbehandlingen

  • sannolikt inte leder till en hög risk för personers rättigheter och friheter.
  • är mycket lik en annan behandling där det redan finns en konsekvensbedömning.

Denna bedömning ska dokumenteras inom det projekt eller det ärende den tillhör.

Vem ansvarar för att genomföra en konsekvensbedömning?

Det är Södertörns högskola som personuppgiftsansvarig som ansvarar för att genomföra en konsekvensbedömning. Chefer och prefekter ansvarar enligt gällande besluts- och delegationsordning för att tillämpa och behandla personuppgifter i enlighet med GDPR, vilket bland annat innefattar konsekvensbedömning.

Hur ska en konsekvensbedömning genomföras?

Högskolan har tagit fram mallen ”Mall för konsekvensbedömning avseende dataskydd” som ska användas när man genomför en konsekvensbedömning. Mallen innehåller ett antal frågor som ska besvaras. Som tidigare nämnt är ett av syftena med att genomföra en konsekvensbedömning att identifiera och minimera risker. För att identifiera risker behöver man göra en s.k. riskbedömning. Riskbedömningen kommer sedan att ligga till grund för konsekvensbedömningen. För att göra själva riskbedömningen ska excel-mallen ”Riskbedömning som mall för konsekvensbedömning” användas. Konsekvensbedömningen och riskbedömningen ska diarieföras. Mallarna för konsekvensbedömning och riskbedömning finns nedan.

Vid genomförandet av en konsekvensbedömning bör personer som representerar olika synvinklar och kompetenser samverka för att göra en korrekt bedömning, till exempel:

  • projektledare
  • forskningsledare eller av forskningsledaren utsedd forskare (gäller i forskningsprojekt)
  • systemägare
  • informationsägare
  • IT-kompetens
  • jurist
  • arkivarie
  • dataskyddsombud

I vissa fall kan det vara lämpligt att inhämta synpunkter från de personer vars personuppgifter kommer att behandlas. Om det inte är lämpligt på grund av att det är oproportionerligt, opraktiskt, det kan innebära sekretessbrott eller att syftet med behandlingen inte kan uppnås, ska det antecknas i konsekvensbedömningen.

Om det krävs att flera personer ska delta i genomförandet av en konsekvensbedömning är det viktigt att kontakta personerna i god tid.

Rådfråga alltid högskolans dataskyddsombud

Högskolans dataskyddsombud ska alltid kontaktas och få möjlighet att ge synpunkter och råd avseende konsekvensbedömningen. Dataskyddsombudet kan även rådfrågas om man är osäker på om en viss personuppgiftsbehandling omfattas av kravet på att genomföra en konsekvensbedömning.

Begär förhandssamråd om risken fortfarande bedöms vara hög efter genomförd konsekvensbedömning

Om det efter en genomförd konsekvensbedömning fortfarande bedöms finnas en hög risk med personuppgiftsbehandlingen ska högskolan begära ett förhandssamråd med Integritetsskyddsmyndigheten. Ett förhandssamråd ska begäras innan personuppgiftsbehandlingen påbörjas. En begäran om förhandssamråd ska göras i samarbete med högskolans dataskyddsombud.

För frågor om förhandssamråd, kontakta dataskydd@sh.se.

Om du som medarbetare upptäcker eller misstänker en personuppgiftsincident ska du omedelbart rapportera detta till registrator@sh.se i enlighet med högskolans handläggningsordning för hantering av personuppgiftsincidenter.

I vissa fall ska incidenten anmälas till Integritetsskyddsmyndigheten (IMY). En anmälan till IMY ska göras skyndsamt, senast inom 72 timmar från det att högskolan fick kännedom om incidenten. Om anmälan inte sker inom tidsfristen riskerar högskolan att få sanktionsavgift. Dessutom kan incidenten leda till allvarliga konsekvenser för enskilda personer. En incident ska därför rapporteras så fort den upptäcks.

Handläggningsordning för hantering av personuppgiftsincidenter

För att underlätta hanteringen av personuppgiftsincidenter har högskolan upprättat en handläggningsordning som beskriver hur personuppgiftsincidenter ska hanteras samt hur en eventuell anmälan till Integritetsskyddsmyndigheten (IMY) ska göras. Av handläggningsordningen framgår även vem som ska göra vad. Det är därför viktigt att handläggningsordningen följs vid hantering av personuppgiftsincidenter. Handläggningsordningen finns här:

Utöver handläggningsordningen har högskolan tagit fram ett stöddokument i form av en vägledning som kan användas vid bedömning om en incident ska anmälas till IMY. Vägledningen finns här:

Enligt dataskyddsförordningen är högskolan skyldig att dokumentera samtliga personuppgiftsincidenter. Detta gäller även sådana incidenter som inte ska anmälas till IMY. Enligt handläggningsordningen för hantering av personuppgiftsincidenter ska dokumenteringen ske i högskolans beslutsmall. Mallen finns här:

Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsincident som omfattar personuppgifter. Det kan exempelvis vara att personuppgifter har blivit förstörda eller ändrade, gått förlorade eller kommit i orätta händer.

En personuppgiftsincident kan alltså vara en hackerattack där exempelvis alla uppgifter från ett system blir stulna. Det kan också vara något så enkelt som att någon tappar bort en dator eller mobiltelefon, att intern personal som inte har behörighet att se personuppgifter av misstag får tillgång till sådana uppgifter eller att en e-post eller ett brev innehållande personuppgifter skickas till fel person.

En personuppgiftsincident kan leda till negativa effekter för de personer som drabbats av incidenten. Det kan till exempel handla om förlust av kontrollen över de egna personuppgifterna, identitetsstöld, bedrägeri, ekonomisk förlust, diskriminering och skadlig ryktesspridning. För att minimera eventuella risker är det viktigt att högskolan utreder upptäckta eller misstänkta personuppgiftsincidenter för att på så sätt kunna vidta tekniska och organisatoriska åtgärder.

För frågor om personuppgiftsincidenter, kontakta högskolans dataskyddsombud via dataskydd@sh.se.

Personuppgifter i form av bild och film med eller utan namn behandlas och lagras av Södertörns högskola för att dokumentera vår verksamhet, informera allmänheten och för att öka intresset för högskolans verksamheter och utbildningar. Det kan innebära att vi i vissa fall kan fotografera/filma i samband med olika evenemang som äger rum vid Södertörns högskola.

Vid Södertörns högskola kan fotografering/filmning samt tillhörande lagring göras med en eller flera av följande rättsliga grunder:

  1. Allmänt intresse (till exempel nyhetsrapportering)
  2. Avtal (ersättning ges)
  3. Samtycke (ersättning ges inte).

I de fall allmänt intresse inte går att åberopa som rättslig grund kan högskolan inhämta ett skriftligt samtycke från personen det berör att högskolan använder bilder/filmer på personen med eller utan namn på det sätt som anges nedan.

Vid ett avtalsförhållande där ersättning utgår innebär avtalet att personen inte har möjlighet att återkalla användandet av bilder/filmer, om inte särskilda skäl finns.

Hur bilderna/filmerna får användas

När en person ger sitt samtycke eller ingår ett avtal rörande användningen av bilder/filmer från aktuellt foto- eller filmtillfälle har Södertörns högskola rätt att använda dessa i såväl redaktionella som marknadsföringssammanhang i alla medier.

Bilderna/filmerna kan till exempel komma att användas på webben, i annonser, broschyrer, som pressbilder eller av samarbetspartners (det vill säga tredje part), inom utbildning och forskning.

Bilderna/filmerna kommer att tas bort när de inte längre bedöms vara relevanta, senast 15 år från foto/filmtillfället (enligt upphovsrättsliga regler). Det betyder att bilderna/filmerna därefter inte kommer att användas. Ett urval av bilderna/filmerna kommer däremot att arkiveras löpande.

Södertörns högskola har rätt att redigera och beskära de aktuella bilderna/filmerna för att möjliggöra ändamålsenlig användning.

Spridning i sociala medier

Södertörns högskola marknadsför sig i sociala medier, samt på andra mötesplattformar och medier med bas i tredje land, det vill säga utanför EU/EES. Eftersom Södertörns högskola inte har möjlighet att hindra annan användning av bilderna/filmerna som läggs ut på dessa medier än vad som anges ovan behöver vi alltid personen det berörs uttryckliga samtycke till överföring av dessa personuppgifter (bild/namn).

Behandling av personuppgifter

När en person ger sitt samtycke eller ingår ett avtal rörande användningen av bilder/filmer där personen ger sitt godkännande till att högskolan behandlar personuppgifterna i den omfattning som krävs för hantering av projektet. Som personuppgift räknas aktuella bilder/filmer liksom övrig information om personen, till exempel namn och kontaktuppgifter.

Nedan information ska alltid ges till den person som samtycker till vår personuppgiftsbehandling:

Återkallelse/frågor/klagomål

Om du vill att vi slutar använda bilderna/filmerna i nya publiceringar har du i vissa fall rätt till det. Kontakta i så fall ansvarig institution/avdelning vid Södertörns högskola som nås via växeln 08-40 00 00. Om du vill veta hur dina personuppgifter används eller anser att vi har använt dina personuppgifter på ett felaktigt sätt, vänligen kontakta Södertörns högskolas dataskyddsombud på dataskydd@sh.se.

Har du klagomål på Södertörns högskola hantering av dina personuppgifter har du alltid möjlighet att vända dig till tillsynsmyndighet, i detta fall till Integritetsskyddsmyndigheten (IMY) på imy@imy.se

Följande två blanketter ska användas när ni ska inhämta samtycke från en person att medverka vid fotografering/filmning

Den här blanketten ska användas för att informera deltagare vid större sammankomster att fotografering/filmning sker

Riktlinjerna i korthet vad gäller live-streaming och inspelning av undervisningstillfällen:

  • Om det är nödvändigt får högskolan i samband med undervisning live‑streama studenter och lärare, om syftet är att bedriva undervisning.
  • Om det är nödvändigt får högskolan spela in undervisning om inspelningen utgör en del i undervisningsunderlaget (dock inte i syfte att stävja fusk).
  • Om det är nödvändigt får högskolan live-streama en examination eller ett obligatoriskt moment.
  • Om det är nödvändigt får högskolan spela in examinationen eller det obligatoriska momentet om syftet är att inspelningen ska utgöra grund för examinationen. Högskolan får dock inte spela in studenterna om syftet är att inspelningen ska utgöra underlag för bedömning om otillåtna hjälpmedel eller annat vilseledande förekommit i samband med examination (kartläggning).

Nedan finns beslut om vilken rätt studenter har att spela in undervisning.

Vad är "nödvändigt"?

För att avgöra om en behandling är nödvändig kan du utgå från följande frågor:

  • Är behandlingen ett effektivt sätt att genomföra utbildningen?
  • Finns det andra alternativ till hur utbildningen kan genomföras som är lika effektiva men mindre ingripande för studenterna?

Om svaret på den första frågan är "ja" och den andra frågan "nej" så är behandlingen förmodligen nödvändig och alltså tillåten enligt GDPR.

Nedan finns mer specificerade rekommendationer kring ett antal behandlingar som är särskilt förekommande under coronapandemin (med anledning av distansläget). Mer information om vad GDPR generellt ställer för krav vid digital undervisning går att läsa om hos Datainspektionen.

Examination är en viktig central myndighetsuppgift som måste ske rättssäkert.

Tre villkor kan ställas upp för att rättssäkerhet ska anses råda:

  1. Aktuella regler ska vara klara och adekvata.
  2. Aktuella regler ska vara publicerade .
  3. Aktuella regler ska tillämpas lojalt och korrekt av de rättstillämpande organen (i det här fallet högskolan som examinerar studenten).

Live-streaming

Vid föreläsning/seminarium

Det går inte att ”tvinga” studenter att ha kameran påslagen, såvida det inte bedöms vara nödvändigt för att kunna bedriva undervisningen. I ett tillfälle där studenten ska delta digitalt och där det är nödvändigt att delta med bild, kan du som lärare göra bedömning, i det enskilda fallet, att deltagande med aktiverad kamera är nödvändigt för genomförandet av undervisningen. Studenten ska i god tid innan tillfället ha fått information om att detta är ett krav (se blankett nedan). I de fall det inte bedöms vara nödvändigt för att bedriva undervisningen har läraren möjlighet att framföra sin önskan att samtliga deltagare har kameran påslagen, men har ingen rätt att vidta ytterligare åtgärder om så inte sker.

Den personuppgiftsbehandling som sker genom att studenterna deltar med ljud och bild i ett sådant live-streamat undervisningsmoment är därmed tillåten. Detta med den rättsliga grunden "allmänt intresse" tillsammans med högskolelagens krav på att lärosäten ska bedriva undervisning. Med det sagt kan vi inte kräva att studenterna har kameran påslagen (såvida det inte är nödvändigt).

Studenterna ska vara informerade om personuppgiftsbehandlingen (varför den är nödvändig, hur den sker, hur länge uppgifterna sparas, vem studenten kan kontakta vid frågor). Streaming i Zoom innebär inte att ljud, film och chatt sparas, den informationen hanteras endast under tiden streaming pågår. Information om webbmötet (till exempel användarnamn, tidpunkt för möte, andra som deltagit) kan komma att sparas.

För att minska intrånget i privatlivet kan studenterna uppmanas att placera sig i en så neutral miljö i hemmet som möjligt.

Blanketten nedan ska tillgängliggöras för studenterna om du använder dig av tekniska hjälpmedel för din undervisning.

Vid examination

Vid examination har högskolan ett krav att kunna säkerställa en rättssäker examination. Detta får vägas mot det intrång i den personliga integriteten som olika tekniska lösningar (exempelvis användandet av Zoom) vid examination kan innebära för studenterna?

Om övervakning av examinationen kommer att ske med hjälp av tekniskt hjälpmedel, använd blanketten nedan.

Baserat på de faktorer som anges nedan får läraren ta ställning till om en teknisk lösning är lämplig att använda eller inte. Som lärare bör du överväga följande:

  • Övervakning av tentaskrivande student online, med exempelvis Zoom, får endast ske om det bedöms nödvändigt för att säkerställa en rättssäker examination. De digitala verktygen måste användas på sådant sätt att det inte innebär ett intrång i integriteten. Det är därför viktigt att ni tänker igenom vilket tekniskt hjälpmedel som ni kommer att använda (exempelvis Zoom, Microsoft Teams) och på vilket sätt dessa kommer användas (när studenterna ska sätta på kameran, vad händer om studenten under examinationen stänger av kameran, etc.).
  • Det är inte tillåtet att begära att studenten filmar runtom i sitt hem i syfte att förhindra fusk. Det är inte heller tillåtet att begära att studenterna visar upp sitt ID i helgrupp, utan det ska ske i så kallade break-out rooms.
  • För att minska intrånget i privatlivet kan studenterna uppmanas att placera sig i en så neutral miljö i hemmet som möjligt.
  • Beslut om övervakning av studenter via tekniskt hjälpmedel bör dokumenteras inför varje examinationstillfälle i en diarieförd tjänsteanteckning. Externa övervakningsverktyg som använder sig av ansiktsigenkänning får inte köpas in och användas.

Inspelning av föreläsningar

Vad är bra att komma ihåg om jag vill spela in en föreläsning?

Innan du trycker på ”Record” bör du ge följande instruktioner:

  • Var noga med att informera studenterna att undervisningstillfället kommer att spelas in och samtligas ljud och bild stängs av under presentationen (inspelningen).
  • Informera om att eventuella frågor hänvisas till efter att presentationen är klar, eller privat i chatten till läraren under presentationens gång. Det är enbart lärarens röst och presentationen som redovisas som ska spelas in för att minimera mängden personuppgifter.

Inspelade föreläsningar är allmänna handlingar och ska hanteras (bevaras eller gallras) enligt gällande regelverk, se informationshanteringsplan nedan. Kontakta arkivarie på arkivarie@sh.se för mer information om bevarande/gallring av just dina inspelningar.

Får min chef kräva att jag spelar in min föreläsning?

Om en chef beordrar inspelning av föreläsning måste en bedömning ske om det är nödvändigt för att fullgöra ett avtal parterna emellan (det vill säga fullgörande av ett anställningsavtal) och att det föreligger allmän intresse (som innebär att inspelning är nödvändigt för att vi ska kunna leva upp till kraven i högskolelagen).

Om alla studenter samtycker till att inspelning sker och allas bild- och ljud är påslagna under en föreläsning, då borde det väl vara ok?
Inspelning av seminarier/föreläsning där studenterna aktivt delar kan inte vila enbart på den så kallade samtyckesgrunden (det vill säga att studenterna ger sitt samtycke att spelas in). Bedömningen måste göras utifrån om inspelningen är nödvändig för en uppgift av allmän intresse (som innebär att inspelningen får ske om det är nödvändigt för att vi ska kunna leva upp till kraven i högskolelagen).

I fall där inspelning sker på seminarium där studenterna aktivt deltar är det tveksamt om det kan bedömas vara nödvändigt att inspelning sker för att kunna bedriva undervisning jämte det intrång i den personliga integriteten som det innebär.

Inspelning av examinationer och obligatoriska moment

Inspelning av studenter i deras hemmiljö anses vara ett sådant intrång i den personliga integriteten att uttryckligt lagstöd krävs för att universitetet som myndighet ska anses ha den rätten. Eftersom uttryckligt lagstöd saknas för att spela in studenter i examinationssituationer i syfte att motverka eller utgöra underlag för bedömning av fusk (eller annat vilseledande beteende) är det dataskyddsombudets uppfattning att en sådan inspelning även på distans strider mot dataskyddsförordningen.

Muntliga examinationer och obligatoriska moment förutsätter att de är av individuellt prövande karaktär. Detta förhållande kan kräva att de dokumenteras på lämpligt vis. Sker en inspelning i dessa fall för att erhålla nödvändig dokumentation av underlaget inför examination, eller bedömning av det obligatoriska momentet, är inspelningen tillåten. Det kan också handla om att inspelningen utgör underlag för studentens egen reflektion eller för diskussion, vilket också är tillåtet.

I motsvarande fall är inspelning av studenter vid muntlig examination eller vid annat obligatoriskt moment på distans tillåtet. Det man bör tänka på i dessa fall är att uppmana studenterna att inför inspelningen placera sig i en så neutral miljö i hemmet som möjligt för att minska intrånget i privatlivet.

Dessa inspelningar ska bevaras/gallras i enlighet med informationshanteringsplanen (se ovan) och informationshanteringslagen (se ovan). Vid frågor kan du kontakta arkivarie@sh.se.

För mer information kontakta dataskydd@sh.se

Södertörns högskola är ansvarig för den personuppgiftsbehandling som studenter gör inom ramen för studentarbeten (till exempel uppsats, examensarbete, inlämningsuppgift och PM). Det innebär att studenterna behöver följa GDPR. Högskolan har därför tagit fram dokumenten "Riktlinjer för studenters behandling av personuppgifter i studentarbeten på Södertörns högskola" och "Riktlinjer för studenters behandling av personuppgifter i studentarbeten på Södertörns högskola – med kommentarer för handledare" (dnr 3610-1.9.3-2022), som studenter och handledare behöver följa när personuppgifter behandlas i studentarbeten.

Riktlinjer för behandling av personuppgifter i studentarbeten

Dokumentet Riktlinjer för studenters behandling av personuppgifter i studentarbeten på Södertörns högskola, innehåller en rutin som består av sju steg som studenterna ska följa. Riktlinjerna och information som riktar sig till studenter finns att hitta på sh.se Länk till annan webbplats, öppnas i nytt fönster.

För att stötta den som handleder studenters studentarbeten har högskolan tagit fram dokumentet Riktlinjer för studenters behandling av personuppgifter i studentarbeten på Södertörns högskola – med kommentarer för handledare. Dessa riktlinjer riktar sig till handledare och innehåller bland annat kommentarer till den rutin som studenterna ska följa. "Riktlinjerna med kommentarer för handledare" finns att ta del av nedan:

Mallar för samtyckes- och informationsblankett

Om en student ska samla in personuppgifter behöver studenten inhämta ett informerat samtycke från varje enskild person som ska delta i studentens studie. Högskolan har tagit fram en mall för informations- och samtyckesblankett som studenter kan använda när de inhämtar samtycke. Mallen finns nedan på både svenska och engelska:

Om handledaren har godkänt att studenten får samla in känsliga personuppgifter ska studenten använda mallen ”Informations- och samtyckesblankett – känsliga personuppgifter”. Mallen finns nedan på både svenska och engelska:

Samtycke kan även inhämtas muntligen. Vid muntligt samtycke är det viktigt att samtycket dokumenteras, till exempel genom inspelning. Innan ett muntligt samtycke kan ges måste personen ha fått information om personuppgiftsbehandlingen. Högskolan har därför tagit fram en mall för informationstext som studenter kan använda när de samlar in muntligt samtycke. Mallen finns nedan på både svenska och engelska:

Mall för registerförteckning

När en student har samlat in personuppgifter ska studenten upprätta en så kallad registerförteckning. Förteckningen ska innehålla en beskrivning av personuppgiftsbehandlingen. Förteckningen ska inte innehålla några faktiska personuppgifter, till exempel namn på personer som har intervjuats. Högskolan har tagit fram en mall för registerförteckning som studenterna ska använda. Mallen finns nedan:

Säkerhetsåtgärder vid behandling av personuppgifter

Utöver de säkerhetsåtgärder som framgår av riktlinjerna gäller följande.

Studenter ska inte hantera personuppgiftsmaterialet på externa lagringstjänster som till exempel Dropbox, Google Docs, iCloud och liknande. De får endast använda de verktyg som högskolan erbjuder, till exempel Office 365 (till exempel för lagring), Zoom (till exempel för intervjuer) och Sunet Survey (för digitala enkätundersökningar).

Känsliga personuppgifter ska inte lagras på någon av Microsofts tjänster, såsom Onedrive eller Teams. Känsliga personuppgifter får endast hanteras i sådana IT-miljöer som högskolan godkänt. Känsliga personuppgifter får för närvarande endast lagras på högskolans gemensamma lagringsyta G: eller H:. Eftersom studenter inte har tillgång till G: eller H: saknas det tekniska lösningar för att studenter ska kunna få behandla denna typ av personuppgifter. Som handledare är det viktigt att ta hänsyn till detta i den lämplighetsbedömning som ska göras enligt riktlinjerna.

För frågor om hantering av känsliga personuppgifter, kontakta dataskydd@sh.se.

Gallring av personuppgiftsmaterialet

När studentarbetet har fått ett godkänt betyg ska personuppgiftsmaterialet gallras. Det är studenten som ansvarar för att informera handledaren när studenten har gallrat personuppgiftsmaterialet. När materialet har gallrats ska handledaren lämna en försäkran om att gallring har skett genom att fylla i och skriva under ett gallringsprotokoll. Protokollet ska sedan skickas till arkivarie. Gallringsprotokoll finns nedan:

För frågor om gallringsförfarande, kontakta arkivarie@sh.se.

Varje verksamhet (till exempel avdelning och institution) inom Södertörns högskola ska utse en GDPR-samordnare. Personen som får uppdraget har en viktig och betydelsefull roll vad gäller att arbeta för högskolans efterlevnad av dataskyddsförordningen.

GDPR-samordnarens uppdrag

Rollen som GDPR-samordnare är huvudsakligen en handläggande roll, men även en representativ roll inom samordnarens verksamhet. Nedan framgår vad uppdraget som GDPR-samordnare innebär.

  • Verksamhetens kontaktperson till dataskyddsombudet.
  • Samordnande funktion inom verksamheten vad gäller frågor kopplade till personuppgiftshantering. Här ingår att hantera frågor från kollegor, hantera enskildas begäranden att utöva olika rättigheter enligt dataskyddsförordningen såsom registerutdrag, radering och rättelse av personuppgifter.
  • Samordna och ansvara för att dokumentera och eventuellt anmäla personuppgiftsincidenter som förekommer inom samordnarens verksamhet.

Utsedda GDPR-samordnare vid Södertörns högskola

Nedan framgår vilka som är utsedda GDPR-samordnare och vilken verksamhet inom högskolan de tillhör.

  • Henrik Blomberg, Institutionen för historia och samtidsstudier
  • Elin Olson Wincent, Institutionen för kultur och lärande
  • Jonatan Spejare, Institutionen för naturvetenskap, miljö och teknik
  • Camilla Cederquist, Institutionen för polisiärt arbete
  • Martina Lindberg, Institutionen för samhällsvetenskaper
  • Sofia Tiberg, Lärarutbildningen
  • Joakim Ekman, Centre for Baltic and East European Studies (CBEES)
  • Sarah Karis, Avdelningen för verksamhetsutveckling och myndighetsstöd
  • Veronica Waldemarson, Campus- och IT-avdelningen
  • Johanna Bergman, Ekonomiavdelningen
  • Ingela Wahlin, HR-avdelningen
  • Kenneth Wall, Kommunikationsavdelningen
  • Ann Broberg, Studentavdelningen
  • Erik Wallenberg, Enheten för verksamhetsplanering och projektledning
  • Stefan Norinder, Biblioteket

I de fall där en GDPR-samordnare inte är utsedd inom en verksamhet har chef för verksamheten angetts som samordnare. Det är chefens ansvar att delegera uppdraget vidare.

För mer information kontakta högskolans dataskyddsombud via dataskydd@sh.se.

Från och med den 25 maj 2018 är alla myndigheter skyldiga att ha ett dataskyddsombud. Dataskyddsombudets uppgift är att ha en övervakande och rådgivande roll gällande högskolans behandling av personuppgifter. Dataskyddsombudet har enligt EU:s dataskyddsförordning en tvådelad lojalitet. Dataskyddsombudet har dels ett ansvar för att främja en god dataskyddskultur inom Södertörns högskola, dels ett ansvar att samarbeta med Datainspektionen när det behövs.

Du kan alltid kontakta dataskyddsombudet

Du kan alltid höra av dig till dataskyddsombudet för råd och stöd. Det är dock viktigt att påpeka att din hemmahörande avdelning/institution, som ansvarar för ett IT-system som hanterar personuppgifter, har det formella ansvaret att dataskyddsförordningens bestämmelser och grundläggande principer iakttas för personuppgiftsbehandlingen. Dataskyddsombudet har inget juridiskt ansvar för högskolans personuppgiftshantering. Dataskyddsombudet får inte ha ett operativt ansvar som leder till att det uppstår en intressekonflikt som försvårar rollen att självständigt och med integritet kunna granska brister i högskolans dataskyddsarbete.

Du har alltid rätt att kontakta dataskyddsombudet. Det är dock rekommenderat du först försökt att ta upp frågan med den som är ansvarig för den verksamhet eller det IT-system som din fråga gäller. Dataskyddsombudet har mandat att granska Södertörns högskolas personuppgiftsbehandlingar. Om dataskyddsombudet tar del av sekretessbelagd information vid utförandet av sitt uppdrag omfattas även dataskyddsombudet av sekretessen.

Det här gör dataskyddsombudet

  • Samlar in information om hur Södertörns högskola behandlar personuppgifter,
  • Kontrollerar att Södertörns högskola följer bestämmelser och interna styrdokument som framtagits,
  • Informerar och ger råd om relevant lagstiftning inom dataskyddsfrågor,
  • Ger råd om konsekvensbedömningar och övervakar deras genomförande,
  • Samarbetar med Datainspektionen i relevanta frågor,
  • Är kontaktperson för alla som får sina personuppgifter behandlade av högskolan, exempelvis studenter, anställda och deltagare i forskningsprojekt,
  • Tar emot och hanterar frågor och klagomål från personer som får sina personuppgifter behandlade av Södertörns högskola.

Södertörns högskolas dataskyddsombud

För mer information kontakta högskolans dataskyddsombud Anna Gulle, högskolejurist.

Molntjänster

Södertörns högskola använder M365 (före detta O365) från leverantören Microsoft. M365 är en så kallad molntjänst (tjänster som tillhandahålls över Internet) och omfattar bland annat e-post, kalender, adressbok, dokumentlagring via OneDrive och samarbetsplattformen Teams. I gula boxarna nedan följer tydliga rekommendationer för dig som anställd hur du bör hantera personuppgifter i bland annat e-post men även för alla tjänster som Microsoft 365 tillhandahåller för högskolan (Teams, OneDrive och Zoom).

M365 (inklusive Teams) efterlever GDPR-kraven genom att:

  • Södertörns högskola har som en del av licensvillkoren ingått ett så kallat personuppgiftsbiträdesavtal (PUBA) med Microsoft som omfattar molntjänsten M365.
  • Lagringen av data vad gäller M365 (inklusive Teams) sker på servrar inom EU.

Informationen i M365 är dessutom krypterad.

Vad får jag inte lagra i molntjänster som M365?

Syftet med lagringslösningen är att användare ska kunna skapa, hantera, dela ut, och komma åt arbetsmaterial, information och data – med så få restriktioner som möjligt. Data som lagrats i M365 är nåbar från samtliga platser där du har en internetanslutning.

Det finns dock ett antal begränsningar i det som får lagras, som behöver belysas utifrån ett offentlighetsperspektiv när du använder dig av molnlagring.

Information som inte får lagras i M365 är:

  • Information som omfattas av sekretess enligt offentlighets- och sekretesslagen.
  • Information om känsliga personuppgifter och lagöverträdelser enligt dataskyddslagstiftningen.

Som användare ansvarar du för att den information som lagras i M365 inte bryter mot gällande regelverk och lagstiftning. Om du är osäker kan du i första hand kontakta din chef och i andra hand högskolans jurist.

Sekretessärenden – några exempel

  • Sekretess för personal och studenter. Innefattar exempelvis hälsotillstånd, omplacering, skyddade adresser, avskiljandeärenden.
  • Sekretess till skydd för ekonomiska intressen. Innefattar exempelvis affärs- och driftsförhållanden, anbud/upphandling.
  • Sekretess inom forskning. Innefattar exempelvis uppdrag, patent, samverkan, statistik, överföring.

Känsliga personuppgifter – några exempel

Känsliga personuppgifter är sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.

Lagöverträdelser - några exempel

Personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Får jag verkligen lagra personuppgifter i M365?

I och med att Södertörns högskola har ingått personuppgiftsbiträdesavtal (PUBA) med Microsoft, som omfattar molntjänsten M365, får du lagra personuppgifter som inte bryter mot sekretess, lagöverträdelser eller känsliga personuppgifter enligt ovanstående punkt.

Observera att rätten att lagra personuppgifter i molnet gäller endast de tjänster, till exempel M365, där detta reglerats i PUBA med leverantören. Personuppgifter får aldrig lagras i molnlösningar utan PUBA, såsom exempelvis Dropbox eller Google Drive.

Hur säkert är M365?

M365 är minst lika säkert och sannolikt säkrare än lokala hemkataloger (G:). Baserat på Microsofts datorhallar, utrustning, rutiner och revisioner uppnås dessutom en säkrare drift och högre tillgänglighet till dessa system.

Som användare ansvarar du för ditt användarkonto och hur detta används i enlighet med högskolans ansvarsförbindelse för användarkonto.

Vad händer när jag slutar?

När du slutar tas ditt konto och din data bort från M365. Du ska därför innan du slutar:

  • Ta tillvara data du sparat i M365. Det material som behöver finnas kvar i organisationen förmedlar du vidare till din efterträdare alternativt till din chef.
  • Om du är ägare till en funktionsadress, se till att ägandeskapet flyttas till en ny ägare. För mer information kontakta dataskydd@sh.se

Vad innebär e-postanvändandet ur rättslig synvinkel?

E-postmeddelanden som inkommer till din e-postadress som du använder i tjänsten har främst två huvudsakliga innehåll, dels kan det i vissa fall röra sig om innehåll som initierar ett ärende, dels kan det tillföra sakuppgift till ett redan pågående ärende. För att kunna behandla personuppgifter i e-post krävs att det finns en rättslig grund. Nedan beskrivs tre rättsliga grunder som huvudsakligen tillämpas i högskolans verksamhet:

Allmänt intresse

Ett allmänt intresse fungerar som en rättslig grund för personuppgiftsbehandling. För att grunden "allmänt intresse" ska vara tillämplig ska detta vara utskrivet i svensk rätt; antingen genom lag, förordning, myndighetsföreskrifter eller kollektivavtal. Exempelvis stadgar högskolelagen att vi ska bedriva studier på högre nivå.

Vidare måste det vara nödvändigt att behandla personuppgifter för att uppnå det allmänna intresset och för att man ska kunna använda det som laglig grund för behandling.

Led i myndighetsutövning

Om en åtgärd inom ramen för myndighetsutövningen hos ett lärosäte kräver personuppgiftsbehandling kan detta läggas som grund för behandlingen.

Exempel på detta är verksamhet som en högskola utför enligt högskoleförordningen, exempelvis examination. Viktigt att tänka på är dock att personuppgiftsbehandlingen måste ha ett tydligt samband med myndighetsutövningen. Går uppgiften att utföra utan personuppgifter ska det ske.

Rättslig förpliktelse

För att en rättslig förpliktelse ska få läggas till grund för personuppgiftsbehandling krävs att förpliktelsen är fastställd i svensk rätt, inklusive i kollektivavtal, regerings- eller myndighetsbeslut. Skillnaden mellan de två grunderna som behandlas ovan är att den rättsliga förpliktelsen måste vara så pass tydlig att den enskilde kan förstå vilken typ av behandling som kommer att utföras med stöd av den rättsliga förpliktelsen.

Typexempel på sådan förpliktelse är förordningen om redovisning av studier med mera vid universitet och högskolor, även kallad Ladok-förordningen.

Endast de uppgifter som krävs för att uppfylla behandlingens syfte ska inhämtas och lagras. Endast de som behöver uppgifterna ska ha tillgång till dem. Personuppgifter ska undvikas helt om det är möjligt att uppnå syftet med behandlingen genom användning av anonyma uppgifter, utan att det avsevärt försvårar arbetet.

När får jag skicka personuppgifter i e-post internt?

När du skickar e-post internt är det viktigt att kontrollera att du skickar till rätt mottagare, med rätt innehåll och med rätt laglig grund. Du bör först ställa dig frågan om du måste skicka personuppgiften, eller om det går bra att skicka e‑posten utan personuppgiften.

Om personuppgiften krävs för att kunna utföra ditt arbete bör du ha som utgångspunkt att alltid utgå från ”3”, det vill säga enbart tre personuppgifter per e‑post. Detta för att minimera mängden personuppgifter som du skickar per e‑post om en enskild person. Exempel på sådana personuppgifter som du kan tänkas skicka via e‑post är exempelvis namn, telefonnummer och e‑post till en registrerad (exempelvis student, medarbetare med mera). Du bör därför med försiktighet använda dig av flertalet personuppgifter, om det inte är nödvändigt.

Notera dock att känsliga personuppgifter (exempelvis läkarintyg, lönespecifikationer innehållande uppgift om sjukfrånvaro eller facklig tillhörighet samt brottmålsdomar) och handlingar som innehåller sekretessbelagda uppgifter ska skickas med intern posten och aldrig via e-post.

Om du arbetar på distans ombeds du att lägga över den sekretessbelagda handlingen på :G och kontakta berörd kollega att handlingen finns där, exempelvis "Hej! Det finns ett ärende i :G under "ABC - Ärenden" som behöver åtgärdas".

Om du skickar e-post till flera mottagare samtidigt – kom ihåg att skriva in e‑postadresserna som "Hemlig kopia" för att inte sprida onödigt många personuppgifter.

När får jag skicka personuppgifter i e-post externt?

Vid korrespondens externt, exempelvis till andra myndigheter, bör du först fråga dig själv om personuppgifterna verkligen behövs i e-posten för att kunna utföra dina arbetsuppgifter på ett korrekt sätt. Utgångspunkten är densamma som ovan att även vid extern korrespondens ska tre (3) personuppgifter per e‑post vara utgångspunkten, för att minimera mängden personuppgifter som skickas om en enskild individ.

E-post som innehåller känsliga personuppgifter (exempelvis beslut med sekretessbelagt innehåll i disciplinärenden eller läkarintyg som ska skickas till Försäkringskassan) samt e-post innehållande sekretess ska aldrig skickas via e-post externt. Observera att korrespondens gällande känsliga personuppgifter eller sekretessbelagda uppgifter ska skickas med post.

När ska personuppgifter i e-post gallras respektive bevaras?

Huvudregeln är att personuppgifter enbart får sparas så länge det är ändamålsenligt, vilket innebär att när du inte längre behöver personuppgifterna i din e‑post ska dessa gallas eller bevaras. Gallring av handlingar av tillfällig eller ringa betydelse regleras i Södertörns högskolas informationshanteringsplan, se längst ner på sidan.

Enligt dataskyddsförordningen ska personuppgifter sluta behandlas när ändamålet med personuppgiftsbehandlingen är slut. Först när ändamålet med personuppgiftsbehandlingen är avslutad räknas e-posten som inaktuell och därmed är personuppgiften otillåten att behandlas.

Om innehållet i e-posten initierar ett ärende eller tillför sakuppgift till befintligt ärende ska den alltid diarieföras innan e-posten raderas. Om innehållet i e‑postmeddelandet är av privat karaktär eller bedöms som att det inte tillför eller initierar ett ärende ska e-posten gallras (raderas).

Du bör ha som rutin att rensa din e-postlåda med jämna mellanrum. Kom ihåg att även rensa ”Deleted items” för att säkerställa att hela e-postmeddelandet har gallrats korrekt.

Vad gäller för e-post som är sekretessbelagda eller innehåller känsliga personuppgifter?

Vad omfattas av sekretess i offentlighets- och sekretesslagen och inte av den enskilda avsändaren eller mottagaren? E-post som innehåller sekretessbelagt material får aldrig skickas med e-post. Detsamma gäller för e-post som innehåller känsliga personuppgifter. Sekretessbelagda handlingar ska alltid diarieföras.

E-postmeddelande som inkommit till Södertörns högskola, innehållande sekretessbelagd information, ska skrivas ut på papper – lämnas till registrator för diarieföring med internposten – därefter ska e-postmeddelandet raderas.

Om e-postmeddelandet inte ska bevaras, men sparas ombeds du att lägga handlingen i :G, eller :H (om den enbart berör dig).

Om du behöver kontakta en kollega i ärendet gör du följande: lägg över den sekretessbelagda handlingen på :G och informera berörd kollega om att handlingen finns där, exempelvis "Hej! Det finns ett ärende i :G under "ABC - Ärenden" som behöver åtgärdas".

Vad är en känslig personuppgift?

Uppgift om hälsa kan bland annat röra sig om feber, halsont, huvudvärk, magsjuka, brutet ben, psykisk ohälsa med mera. Då en person skickar in uppgift om sitt hälsotillstånd till högskolan via exempelvis e-post är det mottagarens (högskolans) ansvar att hantera den informationen på ett säkert sätt. Det innebär att du bör föra över informationen till rätt system (exempelvis läkarintyg till Primula) och därefter radera informationen i e-posten (inklusive i borttaget/deleted items).

Om den inkomna e-posten ska besvaras med Svara-knappen ska den känsliga informationen raderas från meddelandet. I svaret bör ingen information om sjukdomstillståndet beskrivas. Det vill säga att du raderar informationen där det framgår uppgift om hälsa. Exempelvis bör e-posten ”Hej! Jag är hemma idag och är magsjuk” ändras och svaras med – ”Hej! Jag är hemma idag xxxxxx” alternativt raderar du hela den tidigare e-posten från avsändaren.

För enkelhetens skull går det även att skriva en Skicka ny e-post där ingen uppgift framkommer från den tidigare e-posten. Exempelvis kan rubriken vara ”Din e-post tidigare idag” med exempelvis innehållet ”Tack, då vet jag!”.

Den enskilde har alltså rätt till att skicka in sin information till Södertörns högskola, men vi som myndighet får inte fortsätta sprida den. Med spridning räknas även om vi som @sh.se skickar e-post till en annan domän såsom exempelvis Gmail, Hotmail med mera.

Kom ihåg att även rensa ”Deleted items” för att säkerställa att hela e-postmeddelandet har gallrats korrekt.

Vad ska jag tänka på?

Utgå från följande tre punkter för att avgöra om personuppgifterna kan lagras i molntjänsten eller inte.

  1. Mängden personuppgifter (riktlinjen är tre personuppgifter per individ, exempelvis e-post, namn och telefonnummer).
  2. Kategori av personuppgifter (anställda och studenter anses vara extra skyddsvärda).
  3. Personuppgiftens art (om det rör så kallade harmlösa personuppgifter såsom namn, telefonnummer, eller om det kan anses som mer integritetskänsligt, exempelvis löneuppgifter). Har du frågor? Kontakta dataskydd@sh.se

Mer information

Läs mer på Integritetsskyddsmyndigheten (IMY) om e-post nedan.

Läs mer på Datainspektionens hemsida om lönespecifikationer som skickas i e‑post nedan.

Läs mer om informationssäkerhet i artikel 32 dataskyddsförordningen nedan.

Sidansvarig

Har du frågor om innehållet? Se kontakt i respektive plusbox

Önskemål om uppdateringar på sidan? - Fyll i detta formulär

Övriga frågor, vänligen vänd dig till info@sh.se

2024-02-06 av Karolina Olofsson