Dataskyddspolicy

Ansvarig enhet: Rättssekretariatet

Kontaktperson: Cristina Pérez

1 Bakgrund och syfte

Dataskydd handlar om individens grundläggande rätt till kontroll över sina personuppgifter och Europeiska unionens (EU) reglering av det fria flödet av personuppgifter inom EU/EES. Som personuppgiftsansvarig, och i förekommande fall personuppgiftsbiträde, har Stockholms universitet ett lagstadgat ansvar att kunna visa att dataskyddslagstiftningen efterlevs.

Den här policyn beskriver Stockholms universitets inriktning för skydd av personuppgifter och är det övergripande styrdokumentet för dataskyddsarbetet vid Stockholms universitet. Den syftar till att i vid bemärkelse ge en struktur för universitetets efterlevnad av lagstiftningen på dataskyddsområdet. Under policyn finns regler, handläggningsordningar och stöddokument ordnade i en hierarkisk struktur för stöd i bedrivande av det praktiska arbetet med dataskydd vid universitetet. Dokumentationen ska ses som en helhet i ett systematiskt dataskyddsarbete vid universitetet.

Rättssekretariatet vid Rektors kansli ansvarar för att policyn hålls uppdaterad och korrekt i förhållande till universitetets övriga styrdokument, lag och förordning.

2 Mål

Målet med dataskyddsarbetet vid universitetet är att skapa en dataskyddskultur som samverkar med universitetets grundläggande uppdrag så som det kommer till uttryck i Högskolelagen (1992:1434). Dataskyddsarbetet ska bedrivas aktivt, systematiskt och integrerat med verksamheten vid Stockholms universitet.

Dataskydd ska beaktas i alla verksamhetsprocesser som innebär eller som har påverkan på universitetets behandling av personuppgifter med särskilt fokus på att upprätthålla de grundläggande dataskyddsprinciperna i enlighet med artikel 5 i den allmänna Dataskyddsförordningen vilket innebär att

• Personuppgiftsbehandling ska baseras på en rättslig grund (laglighet)
• Personuppgiftsbehandling ska vara skälig, rimlig och proportionerlig i förhållande till de registrerade (korrekthet)
• Information om vilka personuppgifter som behandlas, hur och varför behandling sker samt hur den registrerade kan tillvarata sina rättigheter ska tillhandahållas av universitetet till de registrerade (öppenhet)
• Personuppgiftsbehandling ska endast ske för särskilda, uttryckligt angivna och berättigade ändamål (ändamålsbegränsning)
• Personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet (uppgiftsminimering)
• Personuppgifterna ska vara riktiga och uppdaterade (riktighet)
• Personuppgifter ska endast sparas så länge som de behövs för ändamålet med personuppgiftsbehandlingen (lagringsminimering)
• Personuppgifterna ska skyddas genom lämpliga säkerhetsåtgärder (integritet och konfidentialitet)
• Universitetet ska kunna visa att de grundläggande dataskyddsprinciperna upprätthålls (ansvarsskyldighet)

Innan en personuppgiftsbehandling påbörjas ska den som ansvarar för en personuppgiftsbehandling i enlighet med denna policy och universitetets styrdokument överväga om behandlingen uppfyller alla ovanstående principer.

Det ska finnas en samverkan mellan det systematiska dataskyddsarbetet och universitetets systematiska säkerhets- och informationssäkerhetsarbete. Behov av skydd för personuppgifter ska identifieras och omhändertas genom universitetets processer för klassning av information och riskhantering. Dataskydd ska beaktas i universitetets arbete med digitalisering, till exempel vid upphandling och utveckling av digitala system.

3 Organisation och ansvar

Universitetet ska sträva efter att uppnå en gemensam systematik i dataskyddsarbetet, inbegripet hur arbetet organiseras, struktureras och dokumenteras. Rektor har det yttersta ansvaret för att universitetet följer gällande dataskyddslagstiftning och därmed för att det vid universitetet finns en grundläggande struktur för att genomföra arbetet med dataskydd. I detta ansvar ingår att säkerställa att det finns relevanta och uppdaterade styrdokument avseende dataskydd samt sådan organisation som behövs för att genomföra det som styrdokumenten föreskriver.

Av universitetets besluts- och delegationsordning framgår hur ansvar för samordning, genomförande och uppföljning av dataskyddsarbetet är fördelat. Dataskyddsarbetet ska integreras med verksamhetens övriga processer och personuppgiftsansvaret utövas i linjen. Det innebär att ansvariga i enlighet med regler för organisation och genomförande av dataskydd vid Stockholms universitet ska se till att samtliga medarbetare har relevant kunskap om dataskydd i förhållande till sina uppdrag. Universitetet ska också sträva efter att studenter i förekommande fall har tillräcklig kunskap om dataskydd vid sådan personuppgiftsbehandling som de utför inom ramen för universitetets ansvar. Vid universitetet finns en stödorganisation för dataskydd som är rådgivande i förhållande till verksamheten där verksamheten har det operativa ansvaret att genomföra arbetet med dataskydd. Vid universitetet finns också ett dataskyddsombud placerat på Rättssekretariatet, Rektors kansli med uppgiften att granska och ge råd till verksamheten. Närmare information om ansvar, stödorganisation och roller framgår av regler för organisation och genomförande av dataskydd vid Stockholms universitet (dnr SU FV-3115-24).

4 Publicering av styrdokument gällande dataskydd

På Stockholms universitets externa och interna webbplats ska innehåll i relevanta styrdokument publiceras på ett sätt som bidrar till transparens kring och spridning av information avseende Stockholms universitets systematiska dataskyddsarbete. Informationen ska ha en disposition och struktur som är lättillgänglig och anpassad för de målgrupper som finns.

Styrdokumentet i pdf-format

Dataskyddspolicy Pdf, 234.5 kB.