Du besöker just nu Medarbetarwebben utan att vara inloggad. Logga in för att ta del av innehåll för medarbetare.

Rättslig vägledning

Här hittar du rättslig vägledning i frågor som har med ditt dagliga arbete på högskolan att göra. Det finns flera olika rättsområden uppdelade under rubriker för att det ska vara enkelt för dig att hitta rätt

Allmänna handlingar och offentlighetsprincipen

I korthet innebär den så kallade offentlighetsprincipen att allmänhet och massmedia ska ha rätt till insyn i myndigheternas verksamhet. I plusboxen nedan finns det mer information om vad är en allmän handling är och vad behöver jag veta om den?

Offentlighetsprincipen

Offentlighetsprincipen kommer till uttryck på olika sätt:

  • Vem som helst får närvara vid förhandlingar i domstol och vid sammanträden med beslutande statliga och kommunala församlingar (förhandlingsoffentligheten).
  • Vem som helst får läsa myndigheternas allmänna handlingar (handlingsoffentligheten).
  • Tjänstemän och andra som arbetar i staten eller kommunerna har rätt att berätta vad de vet för utomstående (yttrandefrihet för tjänstemän).
  • Tjänstemän har också speciella möjligheter att lämna uppgifter till massmedia (meddelarfrihet för tjänstemän med flera).

Enligt handlingsoffentligheten har i princip alla, svenska såväl som utländska medborgare, rätt att läsa de handlingar som finns hos myndigheten. Denna rättighet har i princip funnits i Sverige sedan 1766 och är ett av de viktigaste inslagen i vårt demokratiska samhälle.

För att uppfylla kravet på handlingsoffentlighet och möjliggöra insynen i myndighetens verksamhet, måste allmänna handlingar bevaras, hållas ordnade och vårdas på ett sådant sätt att det snabbt kan fastställas att handlingarna existerar och att de enkelt kan tillhandahållas för att tillgodose behovet av information för rättskipning, förvaltning och forskning. Det här gäller både inkomna och upprättade handlingar, oavsett vilket medium en handling har. Detta är grunden för en god offentlighetsstruktur.

Allmän handling

Reglerna om handlingars offentlighet hos myndigheter finns i Tryckfrihetsförordningen och Offentlighets- och sekretesslagen och har två begränsningar:

  • Allmänheten har bara rätt att läsa sådana handlingar som betecknas som allmänna handlingar och offentliga handlingar, och
  • en del allmänna handlingar är sekretessbelagda (belagda med sekretess enligt offentlighets- och sekretesslagen och måste sekretessprövas i dessa fall vid en eventuell begäran).

En handling kan vara allmän eller inte allmän

En handling är något som innehåller lagrad information. Det kan vara ett papper, fax, e-post, en hårddisk, ett videoband eller upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniska hjälpmedel. Föremål räknas i vissa fall som handling om de "bär information", till exempel anteckningar på ett A4-papper, USB-sticka med mera.

För att en handling ska kunna betecknas som allmän handling måste den vara inkommen eller upprättad samt förvarad vid högskolan.

E-post liksom annan post blir allmän då den skickas ut eller kommer in till högskolan. Information som läggs på "webben" av högskolan blir också allmän handling. Detta gäller även information som läggs ut i olika sociala medier, så som Facebook, Twitter, etc. Vidare är alla dataregister som högskolan upprättar allmänna handlingar, även diariet. Man kan förenklat säga att allt som publiceras, sänds ut, mottas eller läggs upp i elektronisk form, pappersform eller annan form är allmän handling, under förutsättning att anställda på högskolan har tillgång till informationen i tjänsten och att högskolan fått dessa handlingar eller upprättat dessa på grund av den verksamhet som bedrivs på högskolan.

De allmänna handlingar som skapas, oavsett medium, i Södertörns högskolas verksamhet bildar högskolans arkiv.

Allmänna handlingar kan vara offentliga eller sekretessbelagda

Alla allmänna handlingar som inte är sekretessbelagda är offentliga. Endast uppgifter i handlingar som anges i offentlighets- och sekretesslagen kan beläggas med sekretess och därmed inte lämnas ut. I sådana fall ska en sekretessprövning göras vid en eventuell begäran.

För frågor om allmänna handlingar kan du kontakta arkivarie@sh.se.

Utlämnande av allmän handling

En handling ska lämnas ut på begäran även om den ännu inte är diarieförd. Handlingar lämnas ut av den som har handlingen i sin vård. Det kan till exempel vara en anställd som handlägger ett ärende till vilket den begärda handlingen tillhör, e-post i en inkorg eller registrator om handlingen är diarieförd.

Enligt Tryckfrihetsförordningen ska en begäran att få ta del av en kopia av allmän handling hanteras skyndsamt. Det innebär att en sådan begäran har företräde framför andra arbetsuppgifter och ska hanteras så snabbt som möjligt.

Originalhandlingar ska i regel inte lämna centralarkivet eller registraturen efter att de har blivit levererade dit. I vissa fall beviljas lån av handlingar för tjänsteändamål. Lånen noteras då i centralarkivets utlåningsregister och ska återlämnas snarast.

Arkivhandlingar får aldrig lämna högskolan eller lånas hem av medarbetare.

Gör alltid en sekretessprövning innan utlämnande

Den som begär ut allmänna handlingar har rätt att vara anonym och behöver inte heller uppge vad uppgifterna ska användas till. Men om handlingen kan tänkas vara sekretessbelagd kan man behöva veta vem som begär ut handlingarna och syftet med detta för att kunna göra en korrekt sekretessbedömning.

Prövning ska i första hand avse om handlingen är allmän och offentlig. Är den offentlig ska den lämnas ut genast eller så snart det är möjligt. Om den begärda handlingen är allmän och sekretessbelagd, har myndigheten skyldighet att pröva om handlingen ändå kan lämnas ut.

Om den som förvarar handlingen är tveksam till om handlingen ska lämnas ut eller inte, ska samråd skyndsamt ske med närmaste chef. Om anställd är av uppfattningen att handlingen inte ska lämnas ut ska den enskilde upplysas om att hen har rätt att hänskjuta frågan till myndigheten och därmed få ett överklagbart skriftligt beslut. Myndighetsbeslut att vägra lämna ut en handling kan överklagas hos kammarrätten.

Lämna ut allmän handling

Allmänheten har rätt att kostnadsfritt få ta del av högskolans allmänna handlingar i original, för läsning på plats i högskolans lokaler, eller i form av en kopia som personen har rätt att ta med sig eller få hemskickad.

Avgift för kopior

Enligt Avgiftsförordningen 15–16 §§ ska en myndighet ta ut en avgift vid utlämnande av kopia eller avskrift av allmän handling enligt följande:

  • Avgiften för en beställning på upp till nio sidor är kostnadsfri.
  • Avgiften för en beställning på tio sidor är 50 kronor och för varje sida därutöver är avgiften 2 kronor.

Myndigheten ska även ta ut en avgift för kostnaden för att skicka kopian av den begärda handlingen till mottagaren. Myndigheten kan besluta om undantag att ta ut avgift om det finns särskilda skäl till detta.

Beslut och styrdokument

För att en handling ska betecknas som allmän handling krävs att den är inkommen eller upprättad samt att den är förvarad hos myndigheten.Hur bedöms det här?

Inkommen handling

En handling är inkommen när den har anlänt till myndigheten eller tagits emot av någon behörig person, till exempel den tjänsteman som är föredragande i det ärende som handlingen avser eller lärare som har kontakt med studenter via e-post. Handlingen behöver inte vara diarieförd för att vara en allmän handling. En handling som kommer in i elektronisk form anses inkommen i och med att den blivit tillgänglig i till exempel e-postprogrammet.

Vid upphandling räknas dock anbuden som allmänna handlingar först vid den fastställda tidpunkten för anbudsöppningen även om anbudet inkommit till högskolan tidigare.

En handling som enbart rör den anställdes personliga förhållanden eller om handlingen är avsedd endast för mottagaren som innehavare av annan ställning, till exempel facklig förtroendeman, anses inte som en allmän handling. Handlingen betraktas i dessa fall inte som inkommen till myndigheten.

Upprättad handling

En handling anses upprättad när den fått sin slutgiltiga utformning. Tanken är att myndigheten ska få tid på sig för att bilda sig en uppfattning i frågan eller fatta beslut innan handlingarna blir tillgängliga för allmänheten. Innan handlingarna anses som färdigställda eller upprättade, utgör de myndighetsinternt arbetsmaterial.

När en handling är expedierad, det vill säga avsänd från myndigheten eller finns tillgänglig för avhämtning, är den upprättad och därmed en allmän handling. När handlingen har expedierats spelar det inte någon roll om handlingen var färdigställd först eller inte. Det avgörande är då att den sänts eller överlämnats till en mottagare utanför myndigheten.

I ett ärende kan också förekomma handlingar som inte expedierats. Dessa anses upprättade när ärendet, till vilket handlingarna hör, slutbehandlats. En handling som varken expedierats eller hör till ett ärende anses upprättad när den är justerad (riktigheten intygad) eller på annat sätt färdigställd till exempel publicerad på Medarbetarwebben.

Förvarad handling

En handling betraktas som förvarad när den fysiskt finns tillgänglig hos myndigheten så att den kan läsas, avlyssnas eller på annat sätt uppfattas. Även om man som anställd får ett personligt adresserat brev till sin hemadress, men innehållet berör ett ärende eller annan fråga som det ankommer på högskolan att besvara, är det en allmän handling som tillhör högskolan.

Ibland är dock begreppet "förvaring" inte självklart. Det förekommer att handlingar finns någon annanstans än hos myndigheten men ändå anses förvarade hos myndigheten. Handlingar kan till exempel vara utlånade eller tillfälligt finnas hemma hos en anställd. Det kan också förekomma exempelvis att en konsult utför uppdrag för en statlig myndighets räkning och därigenom har hand om viss dokumentation som rör uppdraget.

I tveksamma fall bör högskolans arkivarie eller jurist kontaktas för medbedömning.

Potentiell handling

Vissa handlingar kallas "potentiella handlingar" eftersom de kan, med hjälp av rutinbetonade åtgärder, sammanställas och därmed bli en allmän handling. Det är exempelvis om en begäran kommer in om att få ta del av uppgifter ur Ladok.

En "potentiell handling" kan bara bli en allmän handling med hjälp av rutinbetonade åtgärder, oftast tekniska hjälpmedel. Den rutinbetonade åtgärden får enligt praxis ta mellan 4–6 timmar, annars är det inte att betrakta som en potentiell handling som kan sammanställas med hjälp av rutinbetonade åtgärder.

Kom ihåg att allmänna handlingar som redan har upprättats (det vill säga finns bevarade i arkivet eller liknande) finns det ingen tidsbegränsning för.

Handlingar som inte är allmänna

Utkast, koncept och andra förstadier till färdigställda handlingar som beslut, skrivelser, rapporter och liknande är inte allmänna handlingar. Detsamma gäller uppteckningar eller upptagningar som har tillkommit endast för ärendes föredragning eller beredning och som inte tillför ärendet sakuppgift.

Dokument som skickas internt inom myndigheten, till exempel e-postmeddelanden, är generellt att betrakta som arbetshandlingar. Ofta kallar man dessa handlingar för ”minnesanteckningar” och de är inte allmänna handlingar. Men om minnesanteckningarna expedierats med ärendet och/eller tagits om hand för arkivering är de däremot allmänna handlingar. Minnesanteckningar och e-postmeddelanden som tillför ärendet sakuppgift är alltid allmänna handlingar och ska registreras och arkiveras med övriga handlingar i ärendet.

Begreppet "minnesanteckning" ska inte blandas samman med begreppet "tjänsteanteckning". En tjänsteanteckning är den skriftliga information som den ansvariga för ett visst ärende själv aktivt tillför ärendet. En tjänsteanteckning är allmän handling och ska diarieföras i det aktuella ärendet.

Anteckningar som i praktiken är att jämställa med protokoll är aldrig minnesanteckningar, de är alltid allmänna handlingar.

Delning, samråd, underhandsremiss

När en myndighet önskar få synpunkter på ett utkast till ett beslut kan detta överlämnas till en annan myndighet för delning. Andra ord som används för detta är "samråd" eller "underhandsremiss".

En handling som lämnas för delning blir inte allmän handling, varken hos den myndigheten som skickar utkastet eller hos den som tar emot det.

Synpunkter som lämnas skriftligt betraktas däremot som en allmän handling, både hos avsändaren och hos mottagaren. Lämnas synpunkterna muntligt ska en tjänsteanteckning göras av mottagaren, och även denna betraktas som en allmän handling, och bör registreras.

För mer information kontakta registrator@sh.se

Offentlighet- och sekretesslagen

Utgångspunkten i svensk rätt är att handlingar som är upprättade eller inkomna till en myndighet och förvaras hos myndigheten, är allmänna handlingar. I vissa fall kan allmänna handlingar även bli offentliga handlingar som kan lämnas ut till en enskild som begär det. Innan utlämnande sker ska en så kallad sekretessprövning göras av handlingen.

Vad omfattas av sekretess?

Notera att listan inte är fullständig, och inte gör anspråk på att vara det, utan ska ge exempel på vad för slags innehåll som är sekretessbelagt i högskolans verksamhet.

  • upphandling
  • rådgivning i rättsliga tvister
  • uppgifter om hälsa och sexualliv (OSL 21:1) – Förekommer inom forskning och inom personalområdet. Kan även förekomma inom studentområdet, t.ex. i disciplinärenden, studenthälsa, stödåtgärder för studenter etc.
  • andra känsliga uppgifter om anställda eller studenter kan omfattas av sekretess inom personalvårdande och studentvårdande funktioner
  • forskning – Uppgifter som omfattas hälsa och sexualliv, psykologisk undersökning eller register omfattas av sekretess. Även annan data i forskning kan omfattas av särskilda sekretessbestämmelser
  • forskningssamarbeten (OSL 24:5) – I forskningsavtal med enskilda juridiska (eller fysiska) personer där det finns sekretessklausuler
  • uppgifter om personer som är utsatta för hot och om personer med skyddade personuppgifter. För mer information kontakta dataskydd@sh.se

Uppgift hos psykolog, kurator eller studie och yrkesvägledningen

Sekretess gäller för uppgift som finns hos kurator eller hos företagshälsovården. Uppgiften får endast lämnas ut om det står klart att studenten eller någon närstående till denne inte lider men (23 kap. 5 § första stycket OSL).

Uppgift om enskilds personliga förhållanden vid personförföljelse med mera.

Sekretess gäller för uppgift om en students identitet, adress och andra liknande uppgifter om den enskildes personliga förhållanden om det av särskild anledning kan antas att studenten eller någon närstående till denne lider men (23 kap. 5 § andra stycket OSL). Bestämmelsen kan användas vid befarad personförföljelse eller andra trakasserier. Sekretessen gäller enbart om det av särskild anledning kan antas att den enskilde lider men.

En myndighet är inte skyldig att på eget initiativ, utan någon särskild indikation, kontrollera om en person exempelvis har en sekretessmarkering i folkbokföringen eller har medgetts skyddat adress. Den enskilde måste på något sätt ha gjort myndigheten uppmärksam på detta.

Underlag för kunskapsprov/tentamina

Rättade tentor är som utgångspunkt allmänna och offentliga handlingar som ska lämnas ut på begäran. Undantagsvis kan dock frågorna i en tenta omfattas av sekretess, som exempelvis för vissa standardiserade/elektroniska tentor som skrivs i datasal och där tentan exempelvis består av en databas med en begränsad mängd återkommande frågor. Frågeunderlaget kan sekretessbeläggas med stöd av 17 kap. 4 § OSL om det kan antas att syftet med provet motverkas om uppgiften röjs.

För mer information kontakta dataskydd@sh.se

Forskningssamverkan är forskning som efter överenskommelse bedrivs i samverkan mellan högskolan och en eller flera enskilda (fysiska eller juridiska personer).

Sekretess i forskningssamverkan

Sekretess gäller hos högskolan för uppgifter om en enskilds affärs- eller driftsförhållanden, uppfinningar eller forskningsresultat som har lämnats eller kommit fram i en sådan forskning, om det måste antas att den enskilde, det vill säga det samarbetande företaget, har deltagit i samverkan under förutsättning att sekretess råder (24 kap. 5 § OSL).

Uppgifterna ska ha en direkt koppling till samverkan och kan exempelvis handla om affärsmetoder, produktionsmetoder, kostnadskalkyler och prissättning. Även om företaget inte uttryckligen har begärt det, ska du följaktligen göra en bedömning av om de uppgifter som har begärts ut är av en sådan art att bristen på sekretesskydd för uppgiften måste anses framstå som så väsentlig för företaget att det utan sekretesskyddet skulle ha avstått från att samverka med högskolan. Sekretessen gäller även hos andra myndigheter som tillsammans med högskolan deltar i samverkan. Uppgifterna kan dock utväxlas mellan parterna i samverkan utan hinder av sekretess (24 kap. 6 § OSL).

Om forskaren har valt att ansöka om patent på sin uppfinning, gäller sekretess i ärende om ansökan av patent för uppgift om uppfinning eller företagshemlighet enligt 31 kap. 20–21 §§ OSL. Skulle forskningssamverkan fortfarande pågå gäller fortfarande sekretess enligt 24 kap. 5 § OSL för de uppgifter som inte har lämnats i patentärendet.

Sekretess i uppdragsverksamhet

Sekretess gäller för uppgift i uppdragsverksamhet som högskolan utför för en enskilds räkning, om det måste antas att uppdraget har lämnats under förutsättning att uppgiften inte röjs (31 kap. 12 § OSL).

De uppgifter som avses är provning, bestämning av egenskaper eller mängd, värdering, vetenskaplig, teknisk, ekonomisk eller statistisk undersökning eller annat sådant uppdrag som myndigheten utför för en enskilds räkning. Paragrafen skyddar uppdragsgivarens ekonomiska förhållanden. Även tredje mans (det vill säga en extern part) personliga eller ekonomiska förhållanden kan skyddas, exempelvis då uppdraget avser undersökning för en arbetsgivares räkning av prover som har tagits av anställda i företagshälsovården.

Du kan normalt utgå från att uppdragsgivaren har förutsatt att sekretess råder för denna typ av uppgifter. Även om uppdragsgivaren inte uttryckligen har begärt det, ska du följaktligen göra en bedömning av om de uppgifter som har begärts ut är av en sådan art att bristen på sekretesskydd för uppgiften måste anses framstå som så väsentlig för företaget att det utan sekretesskyddet skulle ha avstått från att samverka med högskolan. (Se samma kommentar ovan)

Statistiksekretess

Enligt 24 kap. 8 § OSL gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde.

För att tillgodose forskningens behov av uppgifter har det i 24 kap. 8 § införts en möjlighet för statistikansvariga myndigheter att lämna ut uppgifter som behövs för forskningsändamål, om det står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående lider skada eller men. Om statistiska uppgifter lämnas från en myndighet, exempelvis SCB, till Södertörns högskola för forskningsändamål, överförs sekretessen också (om det inte redan finns en annan sekretessbestämmelse som skyddar samma intresse hos högskolan).

För mer information kontakta dataskydd@sh.se

Vad kan allmänheten ta del av från den personaladministrativa verksamheten på Södertörns högskola?

Personalsocial verksamhet

Sekretess gäller i personalsocial verksamhet för uppgift om enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den anställde eller någon närstående till denne lider men. Det vill säga, utgångspunkten är att uppgiften är sekretessbelagd. Exempelvis uppgifter som förekommer inom företagshälsovården.

Personalsocial verksamhet kan även i viss utsträckning bedrivas av chefer. Vissa uppgifter som kan komma fram vid planerings- och utvecklingssamtal kan sägas vara av personalsocial karaktär. Även dessa uppgifter kan sekretessbeläggas. Sekretess gäller endast om det kan antas att den anställde eller eller honom/henne närstående lider men om uppgiften röjs (39 kap. 1 § OSL).

Personaladministrativ verksamhet i övrigt

Uppgifter om en anställds hälsotillstånd, exempelvis uppgift om sjukskrivning liksom uppgifter om hälsotillstånd hos anhöriga till den anställde, kan sekretessbeläggas med stöd av 39 kap. 2 § OSL. Likaså kan uppgifter om den enskildes personliga förhållanden i ärende om omplacering eller pensionering av anställd sekretessbeläggas. Sekretess gäller endast om det kan antas att den anställde eller honom/henne närstående lider men om uppgiften röjs.

Sekretess gäller inte i ärende om anställning (se dock nedan om urvalstester) eller ärende om disciplinansvar och inte heller i beslut om omplacering eller pensionering (39 kap. 2 § OSL).

I undantagsfall kan en myndighet även i övrigt sekretessbelägga uppgift om den anställdes personliga förhållanden om det kan antas att den anställde eller honom/henne närstående utsätts för våld eller annat allvarligt men om uppgiften röjs. Paragrafen är avsedd att tillämpa i undantagssituationer när det verkligen finns fog att anta att den anställde exempelvis på grund av ett fattat beslut riskerar hot eller andra trakasserier. Uppgifter om till exempel hemadress och hemtelefon och andra kontaktuppgifter kan sekretessbeläggas (39 kap. 3 § OSL).

Urvalstester

Om det i ärende om anställning (som i övrigt är offentligt) finns uppgift som avser urvalstester, gäller sekretess för urvalstesterna; om det inte står klart att uppgiften kan röjas utan att den anställde eller någon närstående till denne lider men. Med urvalstest avses prestationstest, begåvningstest samt personlighetstest som kan användas i en rekrytering. Sekretessen gäller såväl uppgifterna i testet som eventuella sammanställningar av resultatet (39 kap. 5a § OSL).

Medarbetarenkäter

I 24 kap. 8 § OSL regleras sekretess för statistik i myndighetens verksamhet, dock är lagrummet formulerat något otydligt. I 7 § Offentlighets och-sekretessförordningen (2009:641), OSF, förtydligas lagrummet och det stadgas att sekretess för ”de undersökningar som anges nedan för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde”.

I prop. 2013/14:162, s. 10 räknas sådan undersökning eller ”annan jämförbar undersökning ”statistik för” trivseln i arbetet och inställningen till överordnade”. Med andra ord kan sekretess bedömas föreligga enligt 24 kap. 8 § OSL om begäran kommer in att få ta del av en medarbetarenkät. Däremot är det upp till myndigheten att avgöra när och om en medarbetarenkät ”avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde”, det vill säga kan hänföras till enskild chef, och därmed inte bör lämnas ut.

För varje begäran som kommer in att få ta del av en medarbetarenkät bör sekretessbedömning även göras för till skydd för den enskilde (chefens främst, om vi tittar på uttalandet i prop. 2013/14:162, men kan även omfatta medarbetares) personliga förhållanden.

För mer information kontakta dataskydd@sh.se

Personuppgifter

Här kan du läsa om vad Integritetsskyddsmyndigheten (IMY) skrivit om vad som gäller användandet av personuppgifter i arbetslivet.

Vilka regler gäller för upphandling?

Upphandlingssekretess

I upphandlingsärenden och i andra affärsrelationer kan det gälla sekretess till skydd för Södertörns högskolas eller leverantörens affärs- eller driftsförhållanden.

Uppgifter om enskilds (det vill säga en leverantör/anbudsgivare) affärs- eller driftsförhållanden skyddas av absolut sekretess fram till dess att ett tilldelningsbeslut har meddelats (19 kap. 3 § andra stycket OSL).

Efter tilldelningsbeslutet skyddas enskilds affärs- eller driftsförhållanden av svag sekretess.

Exempel på uppgifter som har sekretessbelagts med stöd av denna bestämmelse är priser och prisstrategier (detaljpriser, inte totalpriser), verksamhets- och strategibeskrivningar, metoder, arbetssätt, affärs- och driftförhållanden, referensuppdrag, samarbetspartners och kundförteckningar, namn/cv på nyckelpersoner. Omständigheter som kan vägas in i bedömningen är sökandes syfte, branschförhållanden och om leverantören har för avsikt att återanvända uppgifterna i en ny upphandling. För handling som anger villkoren i avtal kan sekretess bara gälla i två år från det att avtalets slöts (31 kap. 16 § OSL).

Enskilds affärsförbindelse med myndighet

Uppgift om en enskilds affärs- och driftsförhållanden som har trätt i affärsförbindelse med en myndighet kan sekretessbeläggas om det av särskild anledning kan antas att den enskilde lider skada om uppgiften röjs (31 kap. 16 § OSL). Det är med andra ord en mycket svag form av sekretess. Av prop.1979/80:2 "Med förslag till sekretesslag m.m" Del A s. 241 framgår att det måste föreligga någon särskild omständighet eller något särskilt förhållande som åberopas av en anbudsgivare för att kunna sekretessbelägga delar av ett anbud. Det kan röra sig om uppgifter om affärshemligheter eller andra för företaget unika uppgifter som kan skada företaget om de lämnas ut. Företaget kan redan i anbudet ha begärt att delar av anbudet sekretessbeläggs.

För mer information kontakta dataskydd@sh.se

När får vi inte lämna ut uppgifter om enskilda individer?

Uppgift om hälsotillstånd och sexualliv

I 21 kap. 2 § OSL står det att ”Känsliga uppgifter om hälsotillstånd och sexualliv, uppgifter om sjukdomar, missbruk, sexuell läggning, könsbyte, sexualbrott eller liknande kan sekretessbeläggas om det kan antas att den enskilde eller någon närstående till denne skulle lida betydande men om uppgiften röjs. Uppgifter om hälsa kan skyddas även av andra bestämmelser i OSL.

Denna paragraf utgör dock ett minimiskydd för känsliga uppgifter om enskilds hälsa och sexualliv och kan tillämpas av alla myndigheter som omfattas av OSL. Sekretess gäller bara om det kan antas att det finns en risk för betydande men. Sekretessen gäller inte för uppgifter som tas in i ett beslut.

Uppgift om förföljda/hotade personer

Uppgift om adress eller annan jämförbar uppgift som kan lämna upplysning om var en enskild bor stadigvarande eller tillfälligt (fritidshus, hotell), telefonnummer, e-postadress eller annan jämförbar kontaktuppgift (telefonnummer till arbetsplatsen) samt motsvarande uppgifter om den enskildes anhöriga, kan sekretessbeläggas av myndigheten, om det av särskild anledning kan antas att den enskilde eller någon närstående till denna kan komma att utsättas för hot, våld eller annat allvarligt men (21 kap. 3 § OSL).

Paragrafen tillämpas av alla myndigheter som omfattas av OSL. Sekretess gäller bara om det av särskild anledning kan antas att den enskilde lider men. Den enskilde måste ha gjort myndigheten uppmärksam på detta, eller att det i övrigt föreligger en akut hotsituation, för att myndigheten ska sekretesspröva ärendet.

Observera att det inte är möjligt att sekretessbelägga en persons namn och personnummer med stöd av denna paragraf.

Avseende studenter vid Södertörns högskola finns dock möjligt att sekretessbelägga denna typ av uppgifter med stöd av 23 kap. 5 § andra stycket OSL, se rubriken Sekretess inom utbildningsverksamhet.

Behandling i strid med dataskyddsförordningen

Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med dataskyddsförordningen (679/2016) enligt 21 kap. 7 § OSL. Det är alltså inte fråga om en bedömning av om de enskilda uppgifterna i sig skulle omfattas av sekretess (vilket de kan göra enligt andra paragrafer i OSL såsom uppgift om hälsa).

Den bedömning den utlämnande myndigheten ska göra med stöd av denna paragraf är istället om det kan antas att uppgifterna efter utlämnandet kommer att behandlas i strid med dataskyddsförordningen.

Dataskyddsförordningen gäller inte för ren privat behandling av personuppgifter, eller om behandlingen sker för journalistiska ändamål, eller konstnärligt och litterärt skapande. Om media begär ut uppgifter kan de alltså inte sekretessbeläggas med stöd av denna (21:7 OSL) bestämmelse.

Frågan som ska ställas är vad kommer att hända med personuppgifterna efter det att de har lämnats ut och vad ska de användas till?
Bestämmelsen blir i praktiken oftast tillämplig vid massuttag. Den första fråga man bör ställa sig är om dataskyddsförordningen är tillämplig på den behandling som mottagaren av uppgifterna ska utföra. Enligt tidigare rättsfall har det konstaterats att bestämmelsen enbart tar sikte på mottagarens (den som begär ut uppgifterna) behandling av personuppgifter. Det är normalt en fråga om en insamling och en helt eller delvis automatiserad behandling av uppgifterna, vilket innebär att dataskyddsförordningen oftast blir tillämplig.

Därefter bör man göra en bedömning av om mottagarens behandling verkar överensstämma med de grundläggande krav som finns i dataskyddsförordningen.

Det är inte ovanligt att enskilda vänder sig till myndigheter för att få namn- och adresslistor (vilka i sig innehåller helt offentliga uppgifter) i marknadsföringssyfte. En intresseavvägning ska i dessa fall göras mellan företagets kommersiella intresse och den enskildes integritetsintresse.

Det är sällan som 21 kap. 7 § OSL kan åberopas om det inte på något sätt är uppenbart att personuppgifterna kommer att behandlas i strid med dataskyddsförordningen. I rättsfallet HFD 2014 ref. 66 ville personen ta del av domstolsbeslut och därefter sammanställa personuppgifterna i en privat databas där intressanta rättsfall kunde sökas fram. Syftet ansågs vara i strid med dataskyddsförordningen. Handlingarna lämnades därför inte ut.

För mer information kontakta dataskydd@sh.se

Korruption, mutor och jäv

Anställda vid Södertörns högskola har som andra statsanställda, ett särskilt ansvara att upprätthålla kraven på saklighet och opartiskhet i sin tjänsteutövning. Det gäller både lärare och administrativ/teknisk personal. Korruption är ett hot mot detta förtroende för samhället. Både olämpligt beteende och brottsliga handlingar kan vara korruption.
För att undvika gränsdragningsproblem bör du alltid välja att helt avstå från att ta emot gåvor och förmåner.

Vänskapskorruption

Vänskapskorruption är korrupta handlingar som utförs utan något direkt krav på ersättning eller motprestation. Det kan exempelvis vara mellan statsanställd och leverantörer, bjudmiddagar och gåvor som syftar till att stärka relationen och ge förmåner i fortsatta kontakter.

Mutor

Mutbrott är när en arbetstagare, eller uppdragstagare, tar emot en muta för sin egen eller för någon annans räkning för att utöva sitt arbete. Lagen gäller även om en arbetstagare begär en muta eller låter sig bli utlovad en muta.

Exempel på otillbörliga förmåner

Du som arbetar på högskolan ska tänka dig noga för inför erbjudanden om gåvor, testamentsförordnande, rabatter, provisioner, måltider, resor, rabatter och bonus som tillfaller den anställde och inte arbetsgivaren, konferenser, event, fritidserbjudanden, tjänster eller krediter, men också dolda erbjudanden som exempelvis inköp till självkostnadspris.

Särskilt utsatta kategorier av anställda

Det finns kategorier som har särskilt höga krav på oberoende. Även symboliska gåvor kan för dessa utgöra mutor.

  • anställda som har arbetsuppgifter som innefattar myndighetsutövning (antagning och examination),
  • forskare som kan hamna i beroendeställning i förhållande till en finansiär,
  • studenter (som kan tänkas ge bort eget resultat till sin examinator),
  • anställda som arbetar med inköp eller upphandling, samt
  • anställda som har kontakt med leverantörer.

Frågor att ställa sig när något erbjuds av en utomstående part

  • Varför erbjuds förmånen mig?
  • Finns det en koppling mellan förmånen och min tjänsteutövning?
  • Vad är förmånens värde och hur är den beskaffad?
  • Vilket inflytande har jag och hur är min tjänsteställning?

Gåvor från studenter

Att ta emot gåvor från studenter såväl före som efter examination medför en risk. Det kan därför vara lämpligt att läraren redan vid kursens början tar upp problematiken kring att ta emot gåvor från studenter. Det kan uppfattas som oartigt att avböja en gåva från en student. Om värdet av gåvan är mycket lågt kan det vara tillåtet att ta emot den, men det måste då vara helt klart att den inte kan uppfattas som muta. Även vid avtackningsgåvor från en hel studentgrupp måste risken för mutbrott beaktas.

Om du känner dig utsatt

Om du blir utsatt för försök till otillåtlig påverkan (mutor) i ditt arbete ska du genast meddela detta till din chef. Du bör iaktta försiktighetsprincipen och aldrig motta gåvor som har ett högt värde eller inte följer allmän sedvänja över vad som är godtagbart att få som offentligt anställd. Din chef ansvarar för att vidta nödvändiga åtgärder, som exempelvis meddela rektor för att få ett beslut om hur handläggningen ska tas vidare.

Jäv

Jävsreglerna talar om när en anställd kan tänkas ha ett sådant intresse i ett ärende att dennes opartiskhet kan i frågasättas. Jävsreglerna gäller all ärendehantering och riktar sig till alla som på något sätt kan påverka ärendets utgång. För att bestämmelserna ska gälla krävs inte någon personlig nytta eller ekonomisk vinning för den inblandade tjänstemannen. Jävsreglerna gäller i alla slags ärenden och i hela processen vid högskolan, bland annat; antagning, betygsbeslut, beslut avseende särskilt stöd, rekrytering, utbetalningar av ersättning och upphandling.

När är man jävig?

  • Om du eller någon närstående sökande i ärendet eller om ärendets utgång kan väntas medföra synnerlig nytta eller skada för dig eller en närstående.
  • När ett ärende överklagats eller av annat skäl ska avgöras i en högre instans och du tidigare deltagit i den slutliga handläggningen i den lägre instansen.
  • Ekonomiskt beroende av en part eller intressent.
  • Engagemang på ett sådant sätt att misstanke lätt kan uppkomma att de brister i förutsättningar för en opartisk bedömning.

Om du är jävig

Om du är jävig får du inte delta i handläggningen - varken i beredningen eller beslutsfattandet. Det är ditt ansvar att självmant meddela detta till din närmaste chef. Du bör omgående lämna ärendet när du får kännedom om att du kan vara jävig. Ansvarig chef ska göra en bedömning kring jävsfrågan utifrån reglerna i Förvaltningslagen. Denna bedömning ska dokumenteras och läggas till ärendet i diariet.

Skulle du - uppsåtligt eller av oaktsamhet - delta i handläggningen av ett ärende fast du är att anses som jävig kan du riskera disciplinära åtgärder för tjänsteförseelse - varning eller löneavdrag. I vissa fall allmänt åtal för tjänstefel (22 § lagen om offentlig anställning).

Lagregler mot mutor finns i brottsbalken och jäv regleras i Förvaltningslagen och Lagen om offentlig anställning.

Mer information finns nedan: Institutet mot mutor, Näringslivskoden

Övriga frågor kontakta dataskydd@sh.se

På Statskontoret finns olika skrifter och dilemman; Den statliga värdegrunden,En kultur mot korruption, Jäv i offentlig tjänst, Dilemman att fundera över. Lär mer nedan.

Upphovsrätt

Den tekniska utvecklingen, som bland annat underlättar skapande av undervisningsmaterial, har medfört att undervisning och lärande via nätet blivit vanligt förekommande inslag inom högre utbildning. Därför finns behov av att tydliggöra tillämpningen av det upphovsrättsliga regelverket gällande undervisningsmaterial vid Södertörns högskola.

Vad är immateriella rättigheter?

Huvudsakligen brukar rättsområdet delas in i "upphovsrätt", "idéer" och "patent". På Södertörns högskola är det främst upphovsrätt som är mest vanligt förekommande och det som generar flest frågor.

Som "ägare" till ett verk kallas du i juridiska termer "upphovsmannen". Upphovsmannen har rätt att ensam bestämma över sitt verk – exempelvis hur det ska användas och spridas. Ägande till ditt verk, det vill säga att bli upphovsman, uppkommer, utan formaliteter, helt automatiskt i samma ögonblick som verket skapas. Dock under förutsättning att verket är ett konstnärligt eller litterärt verk som uppfyller kraven på originalitet, individualitet och självständighet (så kallad verkshöjd).

I Södertörns högskolas verksamhet är exempel på litterära verk bland annat vetenskaplig och populärvetenskaplig text och exempel på konstnärliga verk är olika typer av design.

Vad gäller för mina idéer som framgår av verket?

De fakta eller idéer som verket innehåller kan inte innefattas av en upphovsrätt, utan endast upphovspersonens personliga sätt att uttrycka idéerna genom verkets innehåll. Som exempel kan nämnas idé till ett potentiellt forskningsområde – själva idén till forskningen har inget upphovsrättsligt skydd, men den handling varpå upphovsmannen beskrivit idén och exempelvis har ritat grafer eller liknande är ett upphovsrättsligt skyddat verk.

Vad gäller för spridning av upphovsrättskyddat material?

Vissa handlingar som upprättas av en myndighet (exempelvis myndighetsbeslut) saknar helt upphovsrättsligt skydd och får spridas fritt. Andra typer av handlingar som upprättas av myndigheten (exempelvis arbetsmaterial, handböcker) har i viss mån ett begränsat upphovsrättsligt skydd, vilket medför att de får spridas men under följande förutsättningar. För även om det finns rättsligt stöd att sprida materialet, kvarstår rätten för upphovsmannen att kunna begära ekonomisk ersättning för spridningen samt att bli omnämnd som upphovsman till verket (den så kallade ideella rätten).

Vad gäller för upphovsrätt och allmän handling?

En handling som förvaras hos Södertörns högskola är en allmän handling och, i vissa fall, en offentlig handling. En sådan handling kan lämnas ut på begäran, dock föreligger enbart rätten att ta del av handlingen (materialet) för privat bruk och inte en rätt att sprida materialet vidare. Allmänna handlingar ska oavsett upphovsrätten tillhandahållas på begäran enligt reglerna i tryckfrihetsförordningen.

Andras material

Hur hittar jag och hur får jag använda material för att illustrera min föreläsning?

Att bilder och annat upphovsrättsligt material är tillgängligt på internet, exempelvis via Instagram, Youtube och Google innebär inte att du får använda dig av detta i din undervisning hur som helst. En del upphovsmaterial som ligger på nätet är Creative Common-licensierat. Detta innebär att upphovsmannen i olika omfattning har medgett en kostnadsfri användning av materialet. Lärarna har vidare möjlighet att genom det så kallade Bonus-avtalet under vissa förutsättningar använda sig av andras upphovsrättsligt skyddade material. Det finns också via andra källor på internet möjligheter att hitta exempelvis bilder som få användas under vissa förutsättningar.

Upphovsrättsligt material som inte omfattas av detta får användas i undervisningen endast efter medgivande av den/de som har upphovsrätt till det.

Hur får jag använda studenters material?

Studenterna äger sitt material upphovsrättsligt vilket innebär att du som lärare inte får använda materialet i din undervisning utan studentens medgivande. Du får således inte lägga in det på kurssidan som kursmaterial, använda det i klassrummet eller publicera materialet på internet utan medgivande från studenten.

Vad gäller för kopiering av material?

Du som lärare får kopiera av upphovsrättsligt material för din undervisning i den omfattning som framgår av det så kallade BONUS-avtalet. Därutöver får du naturligtvis kopiera material när du har fått upphovsmannens tillstånd.

Vad finns det för upphovsrätt för mig som lärare?

När du skapar ett verk innebär upphovsrätten en ekonomisk (rätt till ersättning) och en ideell rätt (rätt att bli omnämnd som upphovsrättsman).

Den ideella rätten innebär att du alltid har rätt att bli erkänd som upphovsrättsman till verket. De ideella rättigheterna kan inte överlåtas eller licensieras, men upphovspersonen (det vill säga läraren) kan i vissa avseenden ingå avtal om att avstå från dem. De ekonomiska rättigheterna däremot kan överlåtas eller licensieras till annan. Upphovsrätten innebär också att andra inte får ändra ett verk eller använda det i ett sammanhang som anses kränkande för upphovsmannen.

Vad gäller för mitt undervisningsmaterial som jag har tagit fram?

Vad gäller undervisningsmaterial som en lärare tar fram i sin anställning, så är denne upphovsman till sådant material. Södertörns högskola har dock en nyttjanderätt till det undervisningsmaterial som tagits fram inom ramen för anställningen.

Som lärare bör du märka ditt undervisningsmaterial med ditt namn för att säkerställa den ideella rätten. Läraren ska dock ha rätt att, inom lojalitetspliktens ram (att agera lojalt gentemot Södertörns högskola) och i den mån andras rättigheter inte påverkas, själv nyttja undervisningsmaterialet i egenskap av upphovsrättsman, exempelvis hos andra lärosäten.

Vilken rätt har Södertörns högskola till mitt framtagna material?

En så kallad tumregel har utvecklats i praxis, som innebär att arbetsgivaren inom verksamhetsområdet (det vill säga Södertörns högskola) och inom den normala verksamheten får använda arbetstagarens (lärarens) verk som har kommit till inom arbetsuppgifterna eller särskilda åtaganden mot arbetsgivaren (exempelvis undervisningsmaterial). Arbetsgivaren får bara använda verket på det sätt som kan förutses när verket gjordes (exempelvis behålla materialet upplagt på Studiewebben).

Nyttjanderätten innebär en rätt för Södertörns högskola att använda undervisningsmaterialet i högskolas normala verksamhet och för de undervisningsändamål som kunnat förutses vid undervisningsmaterialets tillkomst. Om verket framtogs för att användas i undervisningsändamål äger högskolan rätt att fortsätta använda sig av materialet därefter. Nyttjanderätten innefattar även en rätt att tillgängliggöra och framställa exemplar, såväl i tryckt som i elektronisk form, samt att lagra undervisningsmaterialet (exempelvis i Studiewebben).

Södertörns högskolas nyttjanderätt inskränker inte lärarens upphovsrätt till undervisningsmaterialet. Som lärare behåller alltså du din ideella rätt att fortsatt bli omnämnd som upphovsman.

Hur får jag ersättning för mitt arbete?

Det arbete du lägger ner på att spela in utbildningsmaterial räknas som planeringsarbete och ersätts normalt som annat för- och efterarbete med tid i din tjänst.

Har jag rätt att spela in mina lektioner där studenterna är med?

Om du funderar på att spela in studenter i undervisningssituationer måste du tänka på att det inte bara är upphovsrättsliga regler att ta hänsyn till, utan även dataskyddslagstiftningen. Det kan också förekomma att du har en student med skyddade personuppgifter (sekretessbelagda uppgifter) i din klass som du naturligtvis inte får sprida på något sätt.

Läs mer om inspelning av undervisningssituationer här Öppnas i nytt fönster.

Vad gäller om jag byter arbetsplats, kan jag ta med min kurs?

Eftersom du i normalfallet har upphovsrätten till din föreläsning får du ta med den till din nya arbetsplats. Ibland finns det andra personer inblandade i inspelningen av din föreläsning (exempelvis en fotograf), som också har upphovsrätt till inspelningen.

Enligt högskolans rutin har dock högskolan en nyttjanderätt till materialet, varför du inte kan hindra högskolan från att använda sig av detta i undervisningen.

För mer information kontakta dataskydd@sh.se

Vad får studenten göra med den inspelade föreläsningen?

Dina föreläsningar är upphovsrättsligt skyddade. Studenten får därför inte dela med sig av inspelningen till sina studiekamrater eller sprida den på webben utan ditt medgivande. Inspelning får enbart ske för privat bruk.

Vad händer om en student sprider sin inspelning av din föreläsning på internet?

Studenten har genom att sprida föreläsningen på internet gjort sig skyldig till en otillåten användning av din upphovsrättsligt skyddade föreläsning. Du kan då vända sig till den som administrerar sidan där föreläsningen har lagts upp och be dem att ta bort materialet.

Vad får studenter spela in?

Riktlinjer för studenters bild och/eller ljudupptagning i undervisningssituationer, dnr 1889-1.1.2-2020, se nedan, reglerar rätten till studenters inspelning och vidarespridning av undervisningsmaterial.

Ljud- och bildupptagning (inspelning) av undervisning eller andra presentationer i högskolans lokaler är inte tillåten om så inte uttryckligen angetts. Läraren har möjlighet att vid undervisningstillfället uttryckligen ge tillstånd till inspelning samt att ange villkoren för detta. Läraren ska i sitt ställningstagande beakta om övriga deltagande studenter motsätter sig sådan inspelning.

Inspelning får endast avse undervisningen eller presentationen (det vill säga läraren och tavlan). Fotografering och eller filminspelning av studenterna vid undervisningen är aldrig tillåten om inte dessa medgivit att inspelning sker. En student som genomför en inspelning måste själv var närvarande när inspelningen görs. Och får endast nyttja inspelningen för personligt bruk. Studenten har inte rätt att sprida inspelningen, varken till annan student eller genom att till exempel publicera den.

Får studenter sprida inspelning vidare?

Inspelat material får enbart användas för privat bruk. Studenten får inte lägga upp inspelningen på en webbplats eller skicka det vidare till en annan kursare. En person som sprider inspelat material kan bli skadeståndsskyldig (URL 7 kap.).

Vad gäller för upphovsrätt och allmän handling?

En handling som förvaras hos Södertörns högskola är en allmän handling och, i vissa fall, en offentlig handling. Det kan exempelvis gälla inspelningar av undervisningstillfällen som laddas upp via digitala tjänster. En sådan handling kan lämnas ut på begäran, dock föreligger enbart rätten att ta del av handlingen (materialet) för privat bruk och inte en rätt att sprida materialet vidare. Allmänna handlingar ska oavsett upphovsrätten tillhandahållas på begäran enligt reglerna i tryckfrihetsförordningen.

För mer information kontakta dataskydd@sh.se

Förvaltningslagen

Förvaltningslagen är högskolans grundläggande lagstiftning som styr hur och på vilket sätt vi arbetar. Lagen ställer bland annat krav på att vi hanterar ärenden skyndsamt, effektivt och inom en viss tidsram. Hur vi arbetar på högskolan har också en central del i lagstiftningen. Exempelvis har vi som anställda på högskolan en serviceskyldighet i vårt bemötande och krav på att uttrycka oss korrekt och rätt i vår kommunikation med allmänheten.

Rätta eller ändra beslut

Högskolan kan alltid korrigera ett beslut innan det har meddelats, det vill säga innan enskild har meddelats om beslutet.

När ett beslut har meddelats till enskild är däremot huvudregeln i svensk rätt att gynnande beslut är orubbliga och inte får ändras (dras tillbaka).

Undantag till huvudregeln om att gynnande, meddelade beslut inte får rättas och/eller ändras finns i förvaltningslagen.

För mer information kontakta dataskydd@sh.se

Här kan du läsa hela dokumentet om när och om du får rätta eller ändra ett beslut som redan har meddelats den enskilde:

Dataskyddsförordningen

Den europeiska dataskyddsförordningen, GDPR (General Data Protection Regulation) i kombination med kompletterande svenska lagar, ställer krav på att allt arbete med personuppgifter utförs på ett öppet, korrekt och säkert sätt.

Texten nedan ger en kortfattad genomgång av vad som är nödvändigt att beakta för att hanteringen av personuppgifter ska vara tillåten på Södertörns högskola. I slutet finns en kort förklaring över skillnaden i lagstiftningen mellan GDPR och den tidigare, gällande personuppgiftslagen (PuL).

Dataskyddsförordningens grunder

All behandling av personuppgifter måste uppfylla de grundläggande principer som anges i dataskyddsförordningen. Principerna innebär förenklat att personuppgifter bara får samlas in för vissa berättigade ändamål, att inte fler uppgifter än nödvändigt får behandlas, och att uppgifterna inte får sparas längre tid än nödvändigt. Personuppgifterna måste alltid hanteras på ett säkert sätt.

Något som är viktigt att komma ihåg är att dataskyddsarbete är ett kontinuerligt arbete som kräver att alla medarbetare tillsammans gör sitt för att Södertörns högskola ska kunna efterleva dataskyddsförordningens bestämmelser. Det är ett gemensamt arbete att föra dataskyddsarbetet framåt på högskolan.

Några grundläggande begrepp

Personuppgifter

Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan kopplas till en levande, fysisk person. Exempel på personuppgifter är namn, adress och IP-nummer, men även flera uppgifter som gemensamt kan kopplas till en fysisk person räknas som personuppgifter.

Observera att det räcker med att någon kan koppla uppgifterna till en fysisk person för att det ska räknas som personuppgifter.

Även om du som behandlar uppgifterna inte vet eller ens har möjlighet att ta reda på vilken person det gäller kan det vara behandling av personuppgifter. För att avgöra om en fysisk person är identifierbar ska man beakta alla hjälpmedel som – antingen av den personuppgiftsansvarige eller av en annan juridisk eller fysisk person – rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen.

Behandling av personuppgifter

Behandling av personuppgifter är ett begrepp som har en vidsträckt tolkning. Alla former av åtgärder med personuppgifter räknas som behandling av personuppgifter, från det att uppgifterna samlas in tills det att uppgifterna slutligt har raderats eller förstörts.

Exempel på behandling av personuppgifter är enligt definitionen i dataskyddsförordningen insamling, registrering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning, spridning och slutligen även själva raderingen eller förstörelsen av personuppgifterna.

Tänk på att till exempel utskrift av personuppgifter på skrivare och skickande av e-post alltid innebär behandling av personuppgifter. För riktlinjer om hur du bör använda e-post i tjänsten kan du läsa om under rubriken Molntjänster och särskilt om e-post.

Personuppgiftsansvarig

Personuppgiftsansvarig, det vill säga Södertörns högskola, är den som bestämmer ändamål och riktlinjer för behandlingen av personuppgifter.

Vem ansvarar för all behandling av personuppgifter som sker i högskolans verksamhet?

Södertörns högskola är personuppgiftsansvarig för den behandling av personuppgifter som sker inom lärosätets verksamhet. Detta gäller inte bara den behandling som görs av lärare och administrativ personal, utan universitetet ansvarar som huvudregel även för den behandling av personuppgifter som studenterna utför inom ramen för utbildningen. Om en student till exempel behandlar personuppgifter i sitt uppsatsarbete omfattas behandlingen därför av reglerna i dataskyddsförordningen, och det är Södertörns högskolas ansvar att se till att reglerna efterlevs.

Det finns dock vissa undantagssituationer. Om en student till exempel genomför verksamhetsförlagd utbildning (VFU) är det som huvudregel istället praktikplatsen som är personuppgiftsansvarig när studenten utför olika arbetsuppgifter inom exempelvis skola eller hos Polismyndigheten (på samma sätt som praktikplatsen är personuppgiftsansvarig när dess anställda behandlar personuppgifter).

Grundläggande principer för behandling av personuppgifter

Varje behandling av personuppgifter, oavsett i vilken del av verksamheten, som utförs måste uppfylla de sex grundläggande principer som anges i artikel 5 dataskyddsförordningen. Södertörns högskola måste därför säkerställa och visa på att behandlingen uppfyller nedanstående krav.

  • Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den vars personuppgifter vi behandlar, det vill säga den registrerade (laglighet, korrekthet och öppenhet).
  • Uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning).
  • Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
  • Uppgifterna ska vara korrekta och om nödvändigt uppdaterade (korrekthet).
  • Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (lagringsminimering).
  • Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna (integritet och konfidentialitet).

Detta är grundprinciperna för all behandling av personuppgifter och alla verksamhetsområden på Södertörns högskola ska behandla personuppgifter i enlighet med ovanstående punkter.

Vad är skillnaden mellan GDPR och den tidigare, svenska personuppgiftslagen?

EU:s dataskyddsförordning blev tillämplig den 25 maj 2018 och dess syfte är att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter. Mycket i den nya lagstiftningen liknar de tidigare regler som fanns i personuppgiftslagen. Det som skiljer är införandet av sanktionsavgift samt högre grad av transparens som bland annat innebär följande:

  • Datainspektionen är tillsynsmyndighet och kan vid överträdelser utdöma sanktionsavgift på upp till 10 mkr.
  • Skyldighet att kunna visa på dokumentation som styrker att EU:s dataskyddsförordning efterlevs (ansvarsskyldighet).
  • Skyldighet för personuppgiftsansvarig att föra register över alla behandlingar av personuppgifter.
  • Tydligare krav för personuppgiftsansvarig att dokumentera rättslig grund för behandlingen av personuppgifter.

Vad kan jag göra om jag vill lära mig att tillämpa GDPR i praktiken?

Fundera över ditt dagliga arbetssätt utifrån principerna ovan och ställ dig själv frågan om du uppfyller de grundläggande kraven som finns i dataskyddsförordningen. Tala gärna med dina kollegor om hur ni kan förbättra era rutiner för att arbeta i enlighet med gällande lagstiftning.

För mer information kontakta dataskydd@sh.se

Nedan följer ett antal övningar att titta igenom och öva på om du behöver friska upp GDPR-minnet (med tillhörande facit).

Rutin för begäran från den enskilde

  • Registraturen är första ingången vid förfrågningar som ska diarieföra begäran. Om begäran kommer in på annat sätt ska den skickas vidare till registrator för diarieföring. Det är viktigt att inkomna förfrågningar diarieförs för att möjliggöra att högskolan kan hålla reda på lagstadgade tidsfrister, att ärendet tilldelas rätt handläggare och att handlingarna i ärendet finns på rätt plats.
  • Registrator måste utröna vilka IT-system som berörs, och ser till att ärendet skickas till berörda systemägare för handläggning.

Om det är många system som berörs bör GDPR-samordnaren för respektive avdelning tilldelas som handläggare för ärendet.

Om det inte blir en träff, ska en fråga skickas tillbaka till den enskilde vilket verksamhetsområde inom högskolan som förfrågan gäller.


  • Svar kommer inte tillbaka med en ifylld blankett - GDPR-samordnaren för respektive avdelning tilldelas som handläggare för ärendet att utreda om och var personen förekommer i systemen där.
    - Svar från den enskilde kommer tillbaka med ifylld blankett - GDPR-samordnaren för den aktuella avdelningen bekräftar till den enskilde att begäran har kommit in, Du ska även lämna besked till den enskilde om när vi beräknar kunna ta ställning till den inkomna frågan, enligt lag har vi 1 månad på oss att besvara den enskilde. Om det beräknas ta längre tid än en (1) månad bör samråd ske med dataskyddsombudet på dataskydd@sh.se.
  • GDPR-samordnaren utreder begäran genom att ta behövlig kontakt med relevanta parter, bland annat leverantören av systemet och medarbetare.
  • GDPR-samordnaren skickar ett förslag till beslut till den enskilde. För att säkerställa identiteten (att det är rätt och samma personen i fråga som faktiskt utövar sina rättigheter) ska du skicka ett beslutsbrev innan själva raderingen/rättningen/ändringen/etc. sker (förslag till beslut).
    - Kompletteringstiden bör vara satt till 2 veckor som ger den enskilde rimlig tid att invända mot förslaget. Brevet skickas hem till den enskildes folkbokföringsadress för att säkerställa den enskildes identitet.
    - Besvärshänvisning (för överklagan) ska också finnas med.
  • En kopia av förslag till beslut skickas till registrator för diarieföring.
  • GDPR-samordnaren ansvarar för att sammanställa svaren från systemägarna i en Word-fil.
  • Ärendet skickas till rektor eller den som fått delegation att fatta beslut i dessa frågor.
  • Ärendet föredras av GDPR-samordnaren för rektor eller annan behörig person.
  • Rektor eller annan behörig person fattar beslut i frågan.

- Om radering eller rättelse inte sker ska detta meddelas den enskilde till dennes folkbokföringsadress.

  • Ett gynnande (det vill säga rättelse/radering har skett) beslut kommuniceras till den enskilde. På grund av säkerhetsskäl kan Södertörns högskola inte tillhandahålla elektronisk utlämning. Utlämnandet sker på något av följande sätt:

- Utlämnande sker på papper via rekommenderat brev och skickas till den enskildes folkbokföringsadress.
- Utlämnandet sker personligen genom att personen besöker oss och legitimerar sig.

Ett utlämnande ska aldrig ske elektroniskt via e-post.

  • Beslutet verkställs av systemägaren. Detta kan ske tidigast ske efter att tidsfristen som den enskilde har fått informerat om i steg 5 löpt ut.

Om din avdelning inte har en GDPR-samordnare ska en sådan roll utses. Tills dess att en medarbetare har blivit tilldelad rollen är det systemägaren (oftast avdelningschef) som gör samtliga steg ovan där det står "GDPR-samordnare".

Vilka beslut som kan överklagas

Den enskilde har rätt att överklaga högskolans beslut i frågor som rör den enskildes utövande av sina rättigheter, se vidare 7 kap. 2 § dataskyddslagen:

  • Beslut om att inte tillmötesgå en begäran eller att ta ut en avgift för att administrera en begäran från den enskilde om den är ogrundad, orimlig eller av repetitiv karaktär (artikel 12.5)
  • Rätten till tillgång, även kallat registerutdrag (artikel 15)
  • Rätten till rättelse (artikel 16)
  • Rätten till radering (artikel 17)
  • Rätten till begränsning (artikel 18)
  • Anmälningsskyldighet (artikel 19)
  • Dataportabilitet (artikel 20)
  • Rätten att göra invändningar (artikel 21)

Ovanstående beslut, det vill säga förvaltningsbeslut, måste fattas av behörig person som har delegation.

Besvärshänvisning ska alltid bifogas beslutet.

För mer information kontakta dataskydd@sh.se

En enskild har rätt att begära ut ett så kallat registerutdrag, vilket innebär att varje enskild har rätt att få ett sammanställt dokument med vilka personuppgifter som Södertörns högskola har om personen.

Nedan följer en rutin om hur ett sådant registerutdrag går till.

Rutin för registerutdrag

  • Begäran kommer in till registrator på registrator@sh.se.
  • Registrator skickar begäran till utsedda GDPR-samordnare på varje avdelning och institution. Vid eventuell frånvaro av GDPR-samordnare, skickas begäran till systemägare. Med utskicket sätts också ett sista svarsdatum, cirka två till tre veckor för varje avdelning och institution att återkomma med svar till dataskydd@sh.se.

- Om inget svar har inkommit efter sista svarsdag sänder dataskydd@sh.se ut en påminnelse till varje avdelning och institution som inte har svarat att göra det, senast inom en (1) vecka.

  • GDPR-samordnaren söker, med hjälp av personnummer/namn/e-postadress, efter den aktuella personen i de databaser som varje avdelning respektive institution hanterar.

- Om inget resultat ges, trots att den enskilde uppgivit att denne har varit student/medarbetare/etc., skickar GDPR-samordnaren en förfrågan till den enskildes folkbokföringsadress. Kom ihåg att sätta en rimlig kompletteringstid, två veckor rekommenderas.

  • GDPR-samordnaren kontaktar varje enskild medarbetare med förfrågan om medarbetaren har en registerförteckning för enskilda personuppgiftsbehandlingar som den enskilde har samtyckt till (som exempelvis forskningsstudie).
  • Förfarandet

- När personuppgifter har hittats i dels databaser, dels enskilda personuppgiftsbehandlingar skickas informationen från enskild medarbetare till GDPR-samordnaren. GDPR-samordnaren använder därefter använder Microsoft-verktyget ”Snip & Sketch” för att klippa ut den relevanta informationen med personuppgifter. Kom ihåg att det enbart är personuppgifter som ska klippas ut och klistras in, det vill säga namn, e-post med mera. Var noga med att inte få med andras personuppgifter. Klistra in utdraget i en Word-fil.

Kom ihåg att utöver utdraget måste du även ange information om var/i vilket system som personuppgifterna har hittats. Se vidare i exemplet nedan.

  • Sammanställningen

- Om personen finns i något av era verksamhetssystem fyller GDPR-samordnaren i sammanställningen med information om uppgifterna. Vid frågor, kontakta systemägare till systemet (vanligtvis chef) alternativt dataskydd@sh.se.

- Om personen inte finns i något av era verksamhetssystem,
kommunicera det till dataskydd på dataskydd@sh.se. Skriv ett e‑postmeddelande till dataskydd med diarienumret. Ange följande information: ”Personen finns inte i något av verksamhetssystemen vid XXX (aktuell avdelning/institution)".

Ett avslagsbeslut behövs inte, eftersom det inte finns en handling att avslå begäran på.

  • GDPR-samordnaren skickar Word-dokumentet med sammanställningen av personuppgifter (enligt ovan) som avdelningen/institutionen hanterar till dataskydd@sh.se. Om det finns flera handlingar bör det skickas flera olika e-post för att inte skicka med alla utdrag av personuppgifter på en gång i samma e-post.

- Om vissa personuppgifter inte tas med i registerutdraget, exempelvis på grund av sekretess (se nedan) ska det informeras till den enskilde.

  • Utlämnandet

Dataskydd samlar ihop samtliga handlingar som inkommit och kontrollerar att inga andra personuppgifter tillhörande andra personer förekommer. Dataskyddet ringer, för att kontrollera folkbokföringsadressen, Skatteupplysningen på 0771-567 567 och ber om att få tala med "Folkbokföringen" - "Uppgift ur folkbokföringsregistret". En tjänsteanteckning ska göras av samtalet.

Utlämnandet sker på något av följande sätt:

  1. Utlämnande sker på papper via rekommenderat brev och skickas till den enskildes folkbokföringsadress.
  2. Utlämnande sker på en USB-sticka via rekommenderat brev och skickas till den enskildes folkbokföringsadress.
  3. Utlämnandet sker personligen genom att personen besöker oss och legitimerar sig.

Ett utlämnande ska aldrig ske elektroniskt via e-post.

Personen har rätt att få registerutdraget inom en månad från att begäran inkom till högskolan.

Registerutdraget ska lämnas i tid, annars riskerar högskolan ett tillsynsärende och kritik från Datainspektionen. Om handläggningen skulle ta längre tid ska den enskilde underrättas om detta innan en månad har passerat. Dataskyddsombudet måste även meddelas på dataskydd@sh.se.

Särskilt gällande Ladok

Studentavdelningen har fått till ansvar att söka efter den enskilde i Ladok och svara för hela högskolan om personen finns i systemet eller inte. Det är således enbart Studentavdelningen som behöver genomsöka Ladok. När svar inkommer från Studentavdelningen om personen finns med i Ladok eller inte kommer samtliga institutioner att meddelas detta. Kom ihåg att genomsökning av system utöver Ladok som finns på varje institution ska genomföras oavsett om personen finns i Ladok eller inte. Exempelvis kan personen ha förekommit i forskningsstudier.

Finns det undantag som gör att vi inte behöver lämna ut information?

Det kan finnas information som den enskilde inte har rätt att få ta del av. Om begäran är uppenbart ogrundad eller orimlig kan vi vägra att lämna ut ett registerutdrag. I vissa fall får den personuppgiftsansvarige inte lämna ut uppgifterna enligt annan lagstiftning. Här är exempel på sådana undantag:

  • Registerutdraget behöver inte innehålla sådana personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.
  • Personuppgifterna i den löpande texten ska dock lämnas ut till den registrerade om uppgifterna redan lämnats ut till tredje part eller om de behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål, eller har behandlats under längre tid än ett år i löpande text som inte fått sin slutliga utformning.

Ett registerutdrag ska inte innehålla sådan information som är sekretessbelagd enligt offentlighet- och sekretesslagen och inte skulle lämnats ut i vanliga fall, till exempel uppgift om hälsotillstånd eller uppgifter ur pågående disciplinärende.

Vilka beslut som kan överklagas

Den enskilde har rätt att överklaga högskolans beslut i dessa frågor som rör den enskildes utövande av sina rättigheter, se vidare 7 kap. 2 § dataskyddslagen.

  • Beslut om att inte tillmötesgå en begäran eller att ta ut en avgift för att administrera en begäran från den enskilde om den är ogrundad, orimlig eller av repetitiv karaktär (artikel 12.5)
  • Rätten till tillgång, även kallat registerutdrag (artikel 15)
  • Rätten till rättelse (artikel 16)
  • Rätten till radering (artikel 17)
  • Rätten till begränsning (artikel 18)
  • Anmälningsskyldighet (artikel 19)
  • Dataportabilitet (artikel 20)
  • Rätten att göra invändningar (artikel 21)

Ovanstående beslut, det vill säga förvaltningsbeslut, måste fattas av behörig person som har delegation.

Besvärshänvisning ska alltid bifogas beslutet.

Ska en extern part behandla personuppgifter i uppdrag av Södertörns högskola? I så fall ska ett personuppgiftbiträdesavtal tecknas mellan parterna. För att kunna teckna ett personuppgiftbiträdesavtal måste ett så kallat huvudavtal ha tecknats mellan parterna.

Nedan finns mall på dels huvudavtal, dels personuppgiftbiträdesavtal.

Ändrat rättsläge för persondata som överförs till USA

Viktig information gällande verksamhetssystem där praxis gällande överföring av persondata till USA nyligen ändrats. Domen berör dig som köper in eller ansvarar för programvaror där personuppgiftsbiträdet eller underbiträdet är baserat i USA. Domen berör också dig som forskare eller anställd som har pågående projekt eller på annat sätt överför persondata till USA.

Schrems II-målet

I juli kom en dom från EU-domstolen som gör att det rättsliga stödet för att på olika sätt digitalt överföra personuppgifter till USA via olika licenser/verktyg/system är ändrat. Det kan till exempel handla om forskningsdata, lönehantering eller geografisk positionering där antingen hanteringen sker i eller att support etc. kan ges från USA. Inom sektorn pågår just nu ett intensivt samarbete med både juridik och IT för att nå hållbara lösningar utifrån hur domen ska tolkas. Domen leder även till frågor av mer praktisk karaktär:

  1. Tills dess att Södertörns högskola har tagit ställning till hur domen ska hanteras bör samtliga verksamheter avvakta med att ta in nya licenser/verktyg/system med kopplingar till USA.
  2. Om en systemleverantör hör av sig och vill att systemägare ska skriva på ett tilläggsavtal till befintligt avtal för att kunna hantera personuppgifter i USA (liknande personuppgiftsbiträdesavtal) ska dessa inte skrivas på utan en sådan begäran ska vidarebefordras till dataskydd@sh.se, för att möjliggöra en enhetlig hantering på högskolan.
  3. Som forskare eller anställd med pågående projekt där överföringar av persondata skickas till USA bör dessa undvikas. Ni bör omgående hitta andra sätt att möjliggöra ert arbete där persondata inte skickas till USA.

Vänligen notera att det är enbart tredje landsöverföringar till USA som är aktuella i domen. Däremot innebär varje tänkt tredje landsöverföring en särskild juridisk bedömning.

För mer information kontakta dataskydd@sh.se

Om det inträffar en personuppgiftsincident är högskolan skyldig att dokumentera den. I vissa fall ska händelsen rapporteras till Datainspektionen. Kom ihåg att det ska ske skyndsamt, nämligen inom 72 timmar från det att du fick kännedom om händelsen.

Exempel på personuppgiftsincidenter

  • En dator, mobil, USB-minne eller telefon som innehåller personuppgifter blir stulen eller glöms kvar på allmän plats.
  • Det upptäcks att en person som inte skulle ha tillgång till ett IT-system med personuppgifter, till exempel en tidigare anställd eller utomstående har haft det.
  • En anställd ändrar obehörigen personuppgifter i ett system.
  • Ett tekniskt haveri, brand eller cyberangrepp leder till att ett verksamhetskritiskt system slås ut. Om detta riskerar få konsekvenser för individer, till exempel om anställda riskerar att inte få sin lön utbetald, studenter riskerar att inte kunna antas till kurser eller kunna examineras eller att vi riskerar att inte kunna lämna ut allmänna handlingar i tid. Allt som riskerar att störa den ordinarie verksamheten i system som hanterar personuppgifter.
  • Ett mail innehållande personuppgifter om många studenter skickas av misstag till en maillista med ett stort antal mottagare.
  • Ett mail innehållande känslig personuppgifter och/eller integritetskänsliga personuppgifter skickas till fel mottagare (gäller även om det är få mottagare).

Vad ska jag som GDPR-samordnare göra?

Samla på dig så mycket information du bara kan. En bra och omfattande dokumentation är viktig. Ta även hjälp av leverantören samt systemägaren för IT-systemet.

- Vanligtvis är det avtalsreglerat i ett personuppgiftsbiträdesavtal att leverantören ska vara behjälplig vid rapportering av personuppgiftsincidenter. Be om ett skriftligt underlag, men tänk på vilken kommunikationskanal som används. Okrypterad mail är inte lämplig för kommunikation som innehåller personuppgifter eller detaljer om brister i IT-system som kan utnyttjas. Diskutera möjliga kommunikationsvägar med leverantören.

- Ta del av vad Integritetsskyddsmyndigheten (IMY) skriver på sin hemsida om personuppgiftsincidenter:

  • Bedöm hur allvarlig personuppgiftsincidenten är. Läs gärna den officiella vägledningen från EU som innehåller viktig information, se nedan. Om du är osäker ta hjälp av Södertörns högskolas dataskyddsombud. Allvarlighetsgraden ska bedömas i förhållande till vår verksamhet och de personuppgifter som behandlas på Södertörns högskola.
  •  
  • Ta ställning till om anmälningsskyldighet gentemot Integritetsskyddsmyndigheten föreligger. Instruktioner för anmälan hittar du nedan.

- Om du ska anmäla: Rekommendationen är att ta det säkra för det osäkra och hellre anmäla om man är osäker. Då dessa ärenden omfattas av svag sekretess hos IMY är det viktigt att inte skriva för mycket om brister i IT-säkerhet som kan utnyttjas av obehöriga eller att skriva information som kan identifiera en enskild person. Om IMY vill utreda ärendet kommer de kontakta oss, det är först då som den upprättade dokumentationen ska överlämnas.

- Om ingen anmälan ska ske?

  • Ta ställning till om de berörda enskilda ska kontaktas. Ibland är vi skyldiga att göra det men det kan även vara lämpligt i andra fall.

- Om den enskilde ska informeras, använd då mallen enligt nedan.

- Om den enskilde inte ska informeras, fyll i mallen enligt nedan men skicka den enbart till registrator för diarieföring..

Vi måste kunna visa att alla incidenter utretts och hanterats korrekt, därför ska alla brev och beslut som fattas med anledning av personuppgiftsincidenten dokumenteras och diarieföras.

  • Skicka ett mail till dataskydd@sh.se med diarienumret. Dataskyddsombudet måste föra en aktuell lista över alla personuppgiftsincidenter som inträffat.

Hur ska jag göra om jag vill anmäla en misstänkt incident?

Rapportering av en personuppgiftsincident sker genom att du sänder ett e-postmeddelande till registrator@sh.se med kort information om händelsen.

Hur gör jag bedömningen om det ska anmälas till IMY? Tycker det verkar så svårt!

I skäl 75 i dataskyddsförordningen anges att olika faktorer ska beaktas vid bedömningen av risken för fysiska personers rättigheter och friheter. Bland annat nämns personuppgifter som omfattas av tystnadsplikt, uppgifter om hälsa eller sexualliv. Vidare ska beaktas om behandlingen gäller personuppgifter om sårbara fysiska personer, framförallt barn, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal registrerade.

Du kan också kontakta högskolans dataskyddsombud på dataskydd@sh.se om du vill ha råd och stöd.

Personuppgifter i form av bild och film med eller utan namn behandlas och lagras av Södertörns högskola för att dokumentera vår verksamhet, informera allmänheten och för att öka intresset för högskolans verksamheter och utbildningar. Det kan innebära att vi i vissa fall kan fotografera/filma i samband med olika evenemang som äger rum vid Södertörns högskola.

Vid Södertörns högskola kan fotografering/filmning samt tillhörande lagring göras med en eller flera av följande rättsliga grunder:

  1. Allmänt intresse (till exempel nyhetsrapportering)
  2. Avtal (ersättning ges)
  3. Samtycke (ersättning ges inte).

I de fall allmänt intresse inte går att åberopa som rättslig grund kan högskolan inhämta ett skriftligt samtycke från personen det berör att högskolan använder bilder/filmer på personen med eller utan namn på det sätt som anges nedan.

Vid ett avtalsförhållande där ersättning utgår innebär avtalet att personen inte har möjlighet att återkalla användandet av bilder/filmer, om inte särskilda skäl finns.

Hur bilderna/filmerna får användas

När en person ger sitt samtycke eller ingår ett avtal rörande användningen av bilder/filmer från aktuellt foto- eller filmtillfälle har Södertörns högskola rätt att använda dessa i såväl redaktionella som marknadsföringssammanhang i alla medier.

Bilderna/filmerna kan till exempel komma att användas på webben, i annonser, broschyrer, som pressbilder eller av samarbetspartners (det vill säga tredje part), inom utbildning och forskning.

Bilderna/filmerna kommer att tas bort när de inte längre bedöms vara relevanta, senast 15 år från foto/filmtillfället (enligt upphovsrättsliga regler). Det betyder att bilderna/filmerna därefter inte kommer att användas. Ett urval av bilderna/filmerna kommer däremot att arkiveras löpande.

Södertörns högskola har rätt att redigera och beskära de aktuella bilderna/filmerna för att möjliggöra ändamålsenlig användning.

Spridning i sociala medier

Södertörns högskola marknadsför sig i sociala medier, samt på andra mötesplattformar och medier med bas i tredje land, det vill säga utanför EU/EES. Eftersom Södertörns högskola inte har möjlighet att hindra annan användning av bilderna/filmerna som läggs ut på dessa medier än vad som anges ovan behöver vi alltid personen det berörs uttryckliga samtycke till överföring av dessa personuppgifter (bild/namn).

Behandling av personuppgifter

När en person ger sitt samtycke eller ingår ett avtal rörande användningen av bilder/filmer där personen ger sitt godkännande till att högskolan behandlar personuppgifterna i den omfattning som krävs för hantering av projektet. Som personuppgift räknas aktuella bilder/filmer liksom övrig information om personen, till exempel namn och kontaktuppgifter.

Nedan information ska alltid ges till den person som samtycker till vår personuppgiftsbehandling:

Återkallelse/frågor/klagomål

Om du vill att vi slutar använda bilderna/filmerna i nya publiceringar har du i vissa fall rätt till det. Kontakta i så fall ansvarig institution/avdelning vid Södertörns högskola som nås via växeln 08-40 00 00. Om du vill veta hur dina personuppgifter används eller anser att vi har använt dina personuppgifter på ett felaktigt sätt, vänligen kontakta Södertörns högskolas dataskyddsombud på dataskydd@sh.se.

Har du klagomål på Södertörns högskola hantering av dina personuppgifter har du alltid möjlighet att vända dig till tillsynsmyndighet, i detta fall till Integritetsskyddsmyndigheten (IMY) på imy@imy.se

Följande två blanketter ska användas när ni ska inhämta samtycke från en person att medverka vid fotografering/filmning

Den här blanketten ska användas för att informera deltagare vid större sammankomster att fotografering/filmning sker

Riktlinjerna i korthet vad gäller live-streaming och inspelning av undervisningstillfällen:

  • Om det är nödvändigt får högskolan i samband med undervisning live‑streama studenter och lärare, om syftet är att bedriva undervisning.
  • Om det är nödvändigt får högskolan spela in undervisning om inspelningen utgör en del i undervisningsunderlaget (dock inte i syfte att stävja fusk).
  • Om det är nödvändigt får högskolan live-streama en examination eller ett obligatoriskt moment.
  • Om det är nödvändigt får högskolan spela in examinationen eller det obligatoriska momentet om syftet är att inspelningen ska utgöra grund för examinationen. Högskolan får dock inte spela in studenterna om syftet är att inspelningen ska utgöra underlag för bedömning om otillåtna hjälpmedel eller annat vilseledande förekommit i samband med examination (kartläggning).

Nedan finns beslut om vilken rätt studenter har att spela in undervisning.

Vad är "nödvändigt"?

För att avgöra om en behandling är nödvändig kan du utgå från följande frågor:

  • Är behandlingen ett effektivt sätt att genomföra utbildningen?
  • Finns det andra alternativ till hur utbildningen kan genomföras som är lika effektiva men mindre ingripande för studenterna?

Om svaret på den första frågan är "ja" och den andra frågan "nej" så är behandlingen förmodligen nödvändig och alltså tillåten enligt GDPR.

Nedan finns mer specificerade rekommendationer kring ett antal behandlingar som är särskilt förekommande under coronapandemin (med anledning av distansläget). Mer information om vad GDPR generellt ställer för krav vid digital undervisning går att läsa om hos Datainspektionen.

Examination är en viktig central myndighetsuppgift som måste ske rättssäkert.

Tre villkor kan ställas upp för att rättssäkerhet ska anses råda:

  1. Aktuella regler ska vara klara och adekvata.
  2. Aktuella regler ska vara publicerade .
  3. Aktuella regler ska tillämpas lojalt och korrekt av de rättstillämpande organen (i det här fallet högskolan som examinerar studenten).

Live-streaming

Vid föreläsning/seminarium

Det går inte att ”tvinga” studenter att ha kameran påslagen, såvida det inte bedöms vara nödvändigt för att kunna bedriva undervisningen. I ett tillfälle där studenten ska delta digitalt och där det är nödvändigt att delta med bild, kan du som lärare göra bedömning, i det enskilda fallet, att deltagande med aktiverad kamera är nödvändigt för genomförandet av undervisningen. Studenten ska i god tid innan tillfället ha fått information om att detta är ett krav (se blankett nedan). I de fall det inte bedöms vara nödvändigt för att bedriva undervisningen har läraren möjlighet att framföra sin önskan att samtliga deltagare har kameran påslagen, men har ingen rätt att vidta ytterligare åtgärder om så inte sker.

Den personuppgiftsbehandling som sker genom att studenterna deltar med ljud och bild i ett sådant live-streamat undervisningsmoment är därmed tillåten. Detta med den rättsliga grunden "allmänt intresse" tillsammans med högskolelagens krav på att lärosäten ska bedriva undervisning. Med det sagt kan vi inte kräva att studenterna har kameran påslagen (såvida det inte är nödvändigt).

Studenterna ska vara informerade om personuppgiftsbehandlingen (varför den är nödvändig, hur den sker, hur länge uppgifterna sparas, vem studenten kan kontakta vid frågor). Streaming i Zoom innebär inte att ljud, film och chatt sparas, den informationen hanteras endast under tiden streaming pågår. Information om webbmötet (till exempel användarnamn, tidpunkt för möte, andra som deltagit) kan komma att sparas.

För att minska intrånget i privatlivet kan studenterna uppmanas att placera sig i en så neutral miljö i hemmet som möjligt.

Blanketten nedan ska tillgängliggöras för studenterna om du använder dig av tekniska hjälpmedel för din undervisning.

Vid examination

Vid examination har högskolan ett krav att kunna säkerställa en rättssäker examination. Detta får vägas mot det intrång i den personliga integriteten som olika tekniska lösningar (exempelvis användandet av Zoom) vid examination kan innebära för studenterna?

Om övervakning av examinationen kommer att ske med hjälp av tekniskt hjälpmedel, använd blanketten nedan.

Baserat på de faktorer som anges nedan får läraren ta ställning till om en teknisk lösning är lämplig att använda eller inte. Som lärare bör du överväga följande:

  • Övervakning av tentaskrivande student online, med exempelvis Zoom, får endast ske om det bedöms nödvändigt för att säkerställa en rättssäker examination. De digitala verktygen måste användas på sådant sätt att det inte innebär ett intrång i integriteten. Det är därför viktigt att ni tänker igenom vilket tekniskt hjälpmedel som ni kommer att använda (exempelvis Zoom, Microsoft Teams) och på vilket sätt dessa kommer användas (när studenterna ska sätta på kameran, vad händer om studenten under examinationen stänger av kameran, etc.).
  • Det är inte tillåtet att begära att studenten filmar runtom i sitt hem i syfte att förhindra fusk. Det är inte heller tillåtet att begära att studenterna visar upp sitt ID i helgrupp, utan det ska ske i så kallade break-out rooms.
  • För att minska intrånget i privatlivet kan studenterna uppmanas att placera sig i en så neutral miljö i hemmet som möjligt.
  • Beslut om övervakning av studenter via tekniskt hjälpmedel bör dokumenteras inför varje examinationstillfälle i en diarieförd tjänsteanteckning. Externa övervakningsverktyg som använder sig av ansiktsigenkänning får inte köpas in och användas.

Inspelning av föreläsningar

Vad är bra att komma ihåg om jag vill spela in en föreläsning?

Innan du trycker på ”Record” bör du ge följande instruktioner:

  • Var noga med att informera studenterna att undervisningstillfället kommer att spelas in och samtligas ljud och bild stängs av under presentationen (inspelningen).
  • Informera om att eventuella frågor hänvisas till efter att presentationen är klar, eller privat i chatten till läraren under presentationens gång. Det är enbart lärarens röst och presentationen som redovisas som ska spelas in för att minimera mängden personuppgifter.

Inspelade föreläsningar är allmänna handlingar och ska hanteras (bevaras eller gallras) enligt gällande regelverk, se informationshanteringsplan nedan. Kontakta arkivarie på arkivarie@sh.se för mer information om bevarande/gallring av just dina inspelningar.

Får min chef kräva att jag spelar in min föreläsning?

Om en chef beordrar inspelning av föreläsning måste en bedömning ske om det är nödvändigt för att fullgöra ett avtal parterna emellan (det vill säga fullgörande av ett anställningsavtal) och att det föreligger allmän intresse (som innebär att inspelning är nödvändigt för att vi ska kunna leva upp till kraven i högskolelagen).

Om alla studenter samtycker till att inspelning sker och allas bild- och ljud är påslagna under en föreläsning, då borde det väl vara ok?
Inspelning av seminarier/föreläsning där studenterna aktivt delar kan inte vila enbart på den så kallade samtyckesgrunden (det vill säga att studenterna ger sitt samtycke att spelas in). Bedömningen måste göras utifrån om inspelningen är nödvändig för en uppgift av allmän intresse (som innebär att inspelningen får ske om det är nödvändigt för att vi ska kunna leva upp till kraven i högskolelagen).

I fall där inspelning sker på seminarium där studenterna aktivt deltar är det tveksamt om det kan bedömas vara nödvändigt att inspelning sker för att kunna bedriva undervisning jämte det intrång i den personliga integriteten som det innebär.

Inspelning av examinationer och obligatoriska moment

Inspelning av studenter i deras hemmiljö anses vara ett sådant intrång i den personliga integriteten att uttryckligt lagstöd krävs för att universitetet som myndighet ska anses ha den rätten. Eftersom uttryckligt lagstöd saknas för att spela in studenter i examinationssituationer i syfte att motverka eller utgöra underlag för bedömning av fusk (eller annat vilseledande beteende) är det dataskyddsombudets uppfattning att en sådan inspelning även på distans strider mot dataskyddsförordningen.

Muntliga examinationer och obligatoriska moment förutsätter att de är av individuellt prövande karaktär. Detta förhållande kan kräva att de dokumenteras på lämpligt vis. Sker en inspelning i dessa fall för att erhålla nödvändig dokumentation av underlaget inför examination, eller bedömning av det obligatoriska momentet, är inspelningen tillåten. Det kan också handla om att inspelningen utgör underlag för studentens egen reflektion eller för diskussion, vilket också är tillåtet.

I motsvarande fall är inspelning av studenter vid muntlig examination eller vid annat obligatoriskt moment på distans tillåtet. Det man bör tänka på i dessa fall är att uppmana studenterna att inför inspelningen placera sig i en så neutral miljö i hemmet som möjligt för att minska intrånget i privatlivet.

Dessa inspelningar ska bevaras/gallras i enlighet med informationshanteringsplanen (se ovan) och informationshanteringslagen (se ovan). Vid frågor kan du kontakta arkivarie@sh.se.

För mer information kontakta dataskydd@sh.se

Nedan finns riktlinjer för handledning av studenter som skriver examensarbeten som behandlar personuppgifter. Rutinen i PDF finns att läsa både på svenska och engelska.

Nedan följer den "steg för steg"-guide som meddelats studenterna, med relevanta bilagor efter varje steg.

  • Säkerställ att känsliga personuppgifter inte kommer att behandlas. Om du kommer att göra det, behöver det göras en etisk prövning av ditt tilltänkta uppsatsämne. Den etiska prövningen görs av din handledare på institutionen.
  • Bestäm hur informationen ska förvaras och säkerställ att den hanteras säkert under arbetets gång i samråd med din handledare.
  • Bestäm vilka delar av informationen som ska raderas respektive bevaras när arbetet är utfört, i samråd med din handledare. Vad gäller registerförteckning ska detta skötas av handledaren. Antingen i elektronisk form (se exempel nedan) eller genom blanketten som ska hållas ordnat av handledaren i pappersform (blanketten hittar du nedan). Registerförteckningen ska uppdateras löpande.
  • Fyll i informationsbrev- och samtyckesblankett. Det finns inget krav i lag på att samtycke ska inhämtas skriftligen, dock har du skyldighet enligt lag att kunna påvisa att den enskilde har lämnats sitt samtycke. Därför rekommenderas att blanketterna nedan används.
  • Informera och inhämta samtycke från varje enskild person som ska delta i studien, samla in de nödvändiga personuppgifterna och behandla personuppgifterna i enlighet med det som beslutades i steg 1–4 ovan.
  • Efter det att uppsatsarbetet har godkänts, radera eller arkivera personuppgiftsmaterialet i enlighet med det som beslutades i steg 3 ovan. För mer information kontakta dataskydd@sh.se

Varje avdelning och institution ska utse en GDPR-samordnare. Personen som får uppdraget har en viktig och betydelsefull roll i att säkerställa Södertörns högskolas efterlevnad av dataskyddsförordningen.

Vad gör en GDPR-samordnare?

Uppdraget innebär huvudsakligen en handläggande roll, men även en representativ roll för den egna verksamheten.

  • Samordnande funktion på institutionen/avdelningen vid frågor relaterade till dataskyddsförordningen, såsom registerutdrag, radering/rättelse av personuppgifter.
  • Har en viktig roll vid personuppgiftsincidenter i att ansvara för korrekt dokumentation och rapportering,
  • Verksamhetens kontaktperson till dataskyddsombudet.

GDPR-samordnaren ska, med stöd av verksamheten och dataskyddsombudet, utreda förfrågningar som inkommer till den egna verksamheten som rör dataskyddsförordningen. GDPR-samordnaren blir utsedd till handläggare av registrator när en sådan förfrågan inkommer. GDPR-samordnaren har det huvudsakliga ansvaret att se till att förfrågan besvaras, även att så sker inom utsatt tid.

För att underlätta arbetet som GDPR-samordnare, som vid en förfrågan kan bli omfattande, har särskilda rutiner för processens gång tagits fram. Dessa kan med fördel användas under arbetets gång och bör tas fram som ett referensdokument att titta på.

Var hittar jag rutinerna?

Här hittar du rutinen för begäran om radering Öppnas i nytt fönster.

Här hittar du rutinen för begäran av registerutdrag Öppnas i nytt fönster.

Här hittar du rutinen för personuppgiftsincidenter Öppnas i nytt fönster.

Vem är utsedd som GDPR-samordnare på min arbetsplats?

I de fall som en GDPR-samordnare inte är utsedd på en avdelning/institution har systemägare (chef) angivits.

För mer information kontakta dataskydd@sh.se

Från och med den 25 maj 2018 är alla myndigheter skyldiga att ha ett dataskyddsombud. Dataskyddsombudets uppgift är att ha en övervakande och rådgivande roll gällande högskolans behandling av personuppgifter. Dataskyddsombudet har enligt EU:s dataskyddsförordning en tvådelad lojalitet. Dataskyddsombudet har dels ett ansvar för att främja en god dataskyddskultur inom Södertörns högskola, dels ett ansvar att samarbeta med Datainspektionen när det behövs.

Du kan alltid kontakta dataskyddsombudet

Du kan alltid höra av dig till dataskyddsombudet för råd och stöd. Det är dock viktigt att påpeka att din hemmahörande avdelning/institution, som ansvarar för ett IT-system som hanterar personuppgifter, har det formella ansvaret att dataskyddsförordningens bestämmelser och grundläggande principer iakttas för personuppgiftsbehandlingen. Dataskyddsombudet har inget juridiskt ansvar för högskolans personuppgiftshantering. Dataskyddsombudet får inte ha ett operativt ansvar som leder till att det uppstår en intressekonflikt som försvårar rollen att självständigt och med integritet kunna granska brister i högskolans dataskyddsarbete.

Du har alltid rätt att kontakta dataskyddsombudet. Det är dock rekommenderat du först försökt att ta upp frågan med den som är ansvarig för den verksamhet eller det IT-system som din fråga gäller. Dataskyddsombudet har mandat att granska Södertörns högskolas personuppgiftsbehandlingar. Om dataskyddsombudet tar del av sekretessbelagd information vid utförandet av sitt uppdrag omfattas även dataskyddsombudet av sekretessen.

Det här gör dataskyddsombudet

  • Samlar in information om hur Södertörns högskola behandlar personuppgifter,
  • Kontrollerar att Södertörns högskola följer bestämmelser och interna styrdokument som framtagits,
  • Informerar och ger råd om relevant lagstiftning inom dataskyddsfrågor,
  • Ger råd om konsekvensbedömningar och övervakar deras genomförande,
  • Samarbetar med Datainspektionen i relevanta frågor,
  • Är kontaktperson för alla som får sina personuppgifter behandlade av högskolan, exempelvis studenter, anställda och deltagare i forskningsprojekt,
  • Tar emot och hanterar frågor och klagomål från personer som får sina personuppgifter behandlade av Södertörns högskola.

Södertörns högskolas dataskyddsombud

För mer information kontakta högskolans dataskyddsombud Anna Gulle, högskolejurist.

Regelverk för studier på grundnivå och avancerad nivå vid Södertörns högskola

"Rättigheter och skyldigheter – regelverk för studier på grundnivå och avancerad nivå vid Södertörns högskola" är ett lokalt regelverk som innehåller bestämmelser om relationen mellan studenterna och högskolan. Syftet med regelverket är att studenter vid Södertörns högskola ska behandlas lika och att det ska vara tydligt vilka rättigheter och skyldigheter du har som student.

Molntjänster

Södertörns högskola använder M365 (före detta O365) från leverantören Microsoft. M365 är en så kallad molntjänst (tjänster som tillhandahålls över Internet) och omfattar bland annat e-post, kalender, adressbok, dokumentlagring via OneDrive och samarbetsplattformen Teams. I gula boxarna nedan följer tydliga rekommendationer för dig som anställd hur du bör hantera personuppgifter i bland annat e-post men även för alla tjänster som Microsoft 365 tillhandahåller för högskolan (Teams, OneDrive och Zoom).

M365 (inklusive Teams) efterlever GDPR-kraven genom att:

  • Södertörns högskola har som en del av licensvillkoren ingått ett så kallat personuppgiftsbiträdesavtal (PUBA) med Microsoft som omfattar molntjänsten M365.
  • Lagringen av data vad gäller M365 (inklusive Teams) sker på servrar inom EU.

Informationen i M365 är dessutom krypterad.

Vad får jag inte lagra i molntjänster som M365?

Syftet med lagringslösningen är att användare ska kunna skapa, hantera, dela ut, och komma åt arbetsmaterial, information och data – med så få restriktioner som möjligt. Data som lagrats i M365 är nåbar från samtliga platser där du har en internetanslutning.

Det finns dock ett antal begränsningar i det som får lagras, som behöver belysas utifrån ett offentlighetsperspektiv när du använder dig av molnlagring.

Information som inte får lagras i M365 är:

  • Information som omfattas av sekretess enligt offentlighets- och sekretesslagen.
  • Information om lagöverträdelser och känsliga personuppgifter enligt dataskyddslagstiftningen.

Som användare ansvarar du för att den information som lagras i M365 inte bryter mot gällande regelverk och lagstiftning. Om du är osäker kan du i första hand kontakta din chef och i andra hand högskolans jurist.

Sekretessärenden – några exempel

Sekretess för personal och studenter:

Hälsotillstånd, omplacering, skyddade adresser, avskiljandeärenden

Sekretess till skydd för ekonomiska intressen:

Affärs- och driftsförhållanden, anbud/upphandling

Sekretess inom forskning:

Uppdrag, patent, samverkan, statistik, överföring

Känsliga personuppgifter – några exempel

Känsliga personuppgifter sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.

Lagöverträdelser (exempel):

Personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Får jag verkligen lagra personuppgifter i M365?

I och med att Södertörns högskola har ingått personuppgiftsbiträdesavtal (PUBA) med Microsoft, som omfattar molntjänsten M365, får du lagra personuppgifter som inte bryter mot sekretess, lagöverträdelser eller känsliga personuppgifter enligt ovanstående punkt.

Observera att rätten att lagra personuppgifter i molnet gäller endast de tjänster, till exempel M365, där detta reglerats i PUBA med leverantören. Personuppgifter får aldrig lagras i molnlösningar utan PUBA, såsom exempelvis Dropbox eller Google Drive.

Hur säkert är M365?

M365 är minst lika säkert och sannolikt säkrare än lokala hemkataloger (G:). Baserat på Microsofts datorhallar, utrustning, rutiner och revisioner uppnås dessutom en säkrare drift och högre tillgänglighet till dessa system.

Som användare ansvarar du för ditt användarkonto och hur detta används i enlighet med högskolans ansvarsförbindelse för användarkonto.

Vad händer när jag slutar?

När du slutar tas ditt konto och din data bort från M365. Du ska därför innan du slutar:

  • Ta tillvara data du sparat i M365. Det material som behöver finnas kvar i organisationen förmedlar du vidare till din efterträdare alternativt till din chef.
  • Om du är ägare till en funktionsadress, se till att ägandeskapet flyttas till en ny ägare. För mer information kontakta dataskydd@sh.se

Vad innebär e-postanvändandet ur rättslig synvinkel?

E-postmeddelanden som inkommer till din e-postadress som du använder i tjänsten har främst två huvudsakliga innehåll, dels kan det i vissa fall röra sig om innehåll som initierar ett ärende, dels kan det tillföra sakuppgift till ett redan pågående ärende. För att kunna behandla personuppgifter i e-post krävs att det finns en rättslig grund. Nedan beskrivs tre rättsliga grunder som huvudsakligen tillämpas i högskolans verksamhet:

Allmänt intresse

Ett allmänt intresse fungerar som en rättslig grund för personuppgiftsbehandling. För att grunden "allmänt intresse" ska vara tillämplig ska detta vara utskrivet i svensk rätt; antingen genom lag, förordning, myndighetsföreskrifter eller kollektivavtal. Exempelvis stadgar högskolelagen att vi ska bedriva studier på högre nivå.

Vidare måste det vara nödvändigt att behandla personuppgifter för att uppnå det allmänna intresset och för att man ska kunna använda det som laglig grund för behandling.

Led i myndighetsutövning

Om en åtgärd inom ramen för myndighetsutövningen hos ett lärosäte kräver personuppgiftsbehandling kan detta läggas som grund för behandlingen.

Exempel på detta är verksamhet som en högskola utför enligt högskoleförordningen, exempelvis examination. Viktigt att tänka på är dock att personuppgiftsbehandlingen måste ha ett tydligt samband med myndighetsutövningen. Går uppgiften att utföra utan personuppgifter ska det ske.

Rättslig förpliktelse

För att en rättslig förpliktelse ska få läggas till grund för personuppgiftsbehandling krävs att förpliktelsen är fastställd i svensk rätt, inklusive i kollektivavtal, regerings- eller myndighetsbeslut. Skillnaden mellan de två grunderna som behandlas ovan är att den rättsliga förpliktelsen måste vara så pass tydlig att den enskilde kan förstå vilken typ av behandling som kommer att utföras med stöd av den rättsliga förpliktelsen.

Typexempel på sådan förpliktelse är förordningen om redovisning av studier med mera vid universitet och högskolor, även kallad Ladok-förordningen.

Endast de uppgifter som krävs för att uppfylla behandlingens syfte ska inhämtas och lagras. Endast de som behöver uppgifterna ska ha tillgång till dem. Personuppgifter ska undvikas helt om det är möjligt att uppnå syftet med behandlingen genom användning av anonyma uppgifter, utan att det avsevärt försvårar arbetet.

När får jag skicka personuppgifter i e-post internt?

När du skickar e-post internt är det viktigt att kontrollera att du skickar till rätt mottagare, med rätt innehåll och med rätt laglig grund. Du bör först ställa dig frågan om du måste skicka personuppgiften, eller om det går bra att skicka e‑posten utan personuppgiften.

Om personuppgiften krävs för att kunna utföra ditt arbete bör du ha som utgångspunkt att alltid utgå från ”3”, det vill säga enbart tre personuppgifter per e‑post. Detta för att minimera mängden personuppgifter som du skickar per e‑post om en enskild person. Exempel på sådana personuppgifter som du kan tänkas skicka via e‑post är exempelvis namn, telefonnummer och e‑post till en registrerad (exempelvis student, medarbetare med mera). Du bör därför med försiktighet använda dig av flertalet personuppgifter, om det inte är nödvändigt.

Notera dock att känsliga personuppgifter (exempelvis läkarintyg, lönespecifikationer innehållande uppgift om sjukfrånvaro eller facklig tillhörighet samt brottmålsdomar) och handlingar som innehåller sekretessbelagda uppgifter ska skickas med intern posten och aldrig via e-post.

Om du arbetar på distans ombeds du att lägga över den sekretessbelagda handlingen på :G och kontakta berörd kollega att handlingen finns där, exempelvis "Hej! Det finns ett ärende i :G under "ABC - Ärenden" som behöver åtgärdas".

Om du skickar e-post till flera mottagare samtidigt – kom ihåg att skriva in e‑postadresserna som "Hemlig kopia" för att inte sprida onödigt många personuppgifter.

När får jag skicka personuppgifter i e-post externt?

Vid korrespondens externt, exempelvis till andra myndigheter, bör du först fråga dig själv om personuppgifterna verkligen behövs i e-posten för att kunna utföra dina arbetsuppgifter på ett korrekt sätt. Utgångspunkten är densamma som ovan att även vid extern korrespondens ska tre (3) personuppgifter per e‑post vara utgångspunkten, för att minimera mängden personuppgifter som skickas om en enskild individ.

E-post som innehåller känsliga personuppgifter (exempelvis beslut med sekretessbelagt innehåll i disciplinärenden eller läkarintyg som ska skickas till Försäkringskassan) samt e-post innehållande sekretess ska aldrig skickas via e-post externt. Observera att korrespondens gällande känsliga personuppgifter eller sekretessbelagda uppgifter ska skickas med post.

När ska personuppgifter i e-post gallras respektive bevaras?

Huvudregeln är att personuppgifter enbart får sparas så länge det är ändamålsenligt, vilket innebär att när du inte längre behöver personuppgifterna i din e‑post ska dessa gallas eller bevaras. Gallring av handlingar av tillfällig eller ringa betydelse regleras i Södertörns högskolas informationshanteringsplan, se längst ner på sidan.

Enligt dataskyddsförordningen ska personuppgifter sluta behandlas när ändamålet med personuppgiftsbehandlingen är slut. Först när ändamålet med personuppgiftsbehandlingen är avslutad räknas e-posten som inaktuell och därmed är personuppgiften otillåten att behandlas.

Om innehållet i e-posten initierar ett ärende eller tillför sakuppgift till befintligt ärende ska den alltid diarieföras innan e-posten raderas. Om innehållet i e‑postmeddelandet är av privat karaktär eller bedöms som att det inte tillför eller initierar ett ärende ska e-posten gallras (raderas).

Du bör ha som rutin att rensa din e-postlåda med jämna mellanrum. Kom ihåg att även rensa ”Deleted items” för att säkerställa att hela e-postmeddelandet har gallrats korrekt.

Vad gäller för e-post som är sekretessbelagda eller innehåller känsliga personuppgifter?

Vad omfattas av sekretess i offentlighets- och sekretesslagen och inte av den enskilda avsändaren eller mottagaren? E-post som innehåller sekretessbelagt material får aldrig skickas med e-post. Detsamma gäller för e-post som innehåller känsliga personuppgifter. Sekretessbelagda handlingar ska alltid diarieföras.

E-postmeddelande som inkommit till Södertörns högskola, innehållande sekretessbelagd information, ska skrivas ut på papper – lämnas till registrator för diarieföring med internposten – därefter ska e-postmeddelandet raderas.

Om e-postmeddelandet inte ska bevaras, men sparas ombeds du att lägga handlingen i :G, eller :H (om den enbart berör dig).

Om du behöver kontakta en kollega i ärendet gör du följande: lägg över den sekretessbelagda handlingen på :G och informera berörd kollega om att handlingen finns där, exempelvis "Hej! Det finns ett ärende i :G under "ABC - Ärenden" som behöver åtgärdas".

Vad är en känslig personuppgift?

Uppgift om hälsa kan bland annat röra sig om feber, halsont, huvudvärk, magsjuka, brutet ben, psykisk ohälsa med mera. Då en person skickar in uppgift om sitt hälsotillstånd till högskolan via exempelvis e-post är det mottagarens (högskolans) ansvar att hantera den informationen på ett säkert sätt. Det innebär att du bör föra över informationen till rätt system (exempelvis läkarintyg till Primula) och därefter radera informationen i e-posten (inklusive i borttaget/deleted items).

Om den inkomna e-posten ska besvaras med Svara-knappen ska den känsliga informationen raderas från meddelandet. I svaret bör ingen information om sjukdomstillståndet beskrivas. Det vill säga att du raderar informationen där det framgår uppgift om hälsa. Exempelvis bör e-posten ”Hej! Jag är hemma idag och är magsjuk” ändras och svaras med – ”Hej! Jag är hemma idag xxxxxx” alternativt raderar du hela den tidigare e-posten från avsändaren.

För enkelhetens skull går det även att skriva en Skicka ny e-post där ingen uppgift framkommer från den tidigare e-posten. Exempelvis kan rubriken vara ”Din e-post tidigare idag” med exempelvis innehållet ”Tack, då vet jag!”.

Den enskilde har alltså rätt till att skicka in sin information till Södertörns högskola, men vi som myndighet får inte fortsätta sprida den. Med spridning räknas även om vi som @sh.se skickar e-post till en annan domän såsom exempelvis Gmail, Hotmail med mera.

Kom ihåg att även rensa ”Deleted items” för att säkerställa att hela e-postmeddelandet har gallrats korrekt.

Vad ska jag tänka på?

Utgå från följande tre punkter för att avgöra om personuppgifterna kan lagras i molntjänsten eller inte.

  1. Mängden personuppgifter (riktlinjen är tre personuppgifter per individ, exempelvis e-post, namn och telefonnummer).
  2. Kategori av personuppgifter (anställda och studenter anses vara extra skyddsvärda).
  3. Personuppgiftens art (om det rör så kallade harmlösa personuppgifter såsom namn, telefonnummer, eller om det kan anses som mer integritetskänsligt, exempelvis löneuppgifter). Har du frågor? Kontakta dataskydd@sh.se

Mer information

Läs mer på Integritetsskyddsmyndigheten (IMY) om e-post nedan.

Läs mer på Datainspektionens hemsida om lönespecifikationer som skickas i e‑post nedan.

Läs mer om informationssäkerhet i artikel 32 dataskyddsförordningen nedan.

Sidansvarig

Har du frågor om innehållet? Se kontakt i respektive plusbox

Önskemål om uppdateringar på sidan? - Fyll i detta formulär

Övriga frågor, vänligen vänd dig till info@sh.se

Senast uppdaterad: 2021-09-10 av Jessica Strålind

Dela

E-post