Handläggningsordning för de registrerades rättigheter enligt den allmänna dataskyddsförordningen

Rektor har 2024-12-19 beslutat om ,Handläggningsordning för de registrerades rättigheter enligt den allmänna dataskyddsförordningen (dnr SU FV-3116-24)

Ansvarig enhet: Rättssekretariatet

Kontaktperson: Caroline Frankow Versvåg

(Dokumentet har aktualitetsgranskats under 2025. På sid 5 (avsnitt 3.1 p. 6) och sid 7 (avsnitt 3.4) ska det stå informationshanteringsplan istället för dokumenthanteringsplan.)

 

1 Inledning

Enligt dataskyddslagstiftningen har de registrerade ett antal rättigheter som de kan göra gällande gentemot den personuppgiftsansvarige. Stockholms universitet behandlar personuppgifter i egenskap av personuppgiftsansvarig och har en skyldighet att hantera en begäran från de registrerade som vill åberopa sina rättigheter.

De rättigheter som en registrerad oftast kan tänkas göra gällande gentemot Stockholms universitet är:

  • Rätt till information om personuppgiftsbehandling
  • Rätt till tillgång och kopia på de personuppgifter som behandlas om hen
  • Rätt till rättelse av felaktiga personuppgifter
  • Rätt till radering av personuppgifter
  • Rätt till begränsning av personuppgiftsbehandling
  • Rätt att invända mot en personuppgiftsbehandling

Utöver dessa vanligaste rättigheter kan det ibland förekomma en begäran om rätt till dataportabilitet, dvs. en rätt att få ut och använda sina personuppgifter på annat håll och rätten att inte bli föremål för automatiserat beslutsfattande.

1.2 Handläggningsordningen och övriga styrdokument

På Stockholms universitet finns den övergripande dataskyddspolicyn som i vid bemärkelse beskriver universitetets inriktning för att uppnå skydd av personuppgifter i enlighet med gällande rätt. Ansvar för samordning, genomförande och uppföljning av det systematiska dataskyddsarbetet framgår av universitetets centrala besluts- och delegationsordning. Universitetets regler för organisation och genomförande av dataskydd beskriver hur dataskyddsarbetet ska organiseras och genomföras vid universitetet samt vilka roller som ska finnas i organisationen för att uppnå regelefterlevnad avseende dataskydd. I det regelverket definieras också en rad begrepp som används inom universitetets dataskyddsarbete och som också förekommer i denna handläggningsordning.

En begäran om rättighet (främst begäran om tillgång, jfr nedan) från en registrerad kan ha beröringspunkter med begäran om utlämnande av allmän handling i enlighet med regelverket om hantering och utlämnande av allmänna handlingar. Det är dock olika processer och de bör därför hållas åtskilda. En begäran om utlämnande av allmän handling ska hanteras i enlighet med regler och handläggningsordning om ansvar för allmänna handlingar och process för utlämnanden (dnr SU FV-4620-23). För rådgivning i dessa situationer bör Rättssekretariatet vid Rektors kansli kontaktas.

1.3 Handläggningsordningens syfte, målgrupp och ansvar för uppföljning

Stockholms universitet har som personuppgiftsansvarig organisation skyldighet att säkerställa att de registrerade kan utöva sina rättigheter i enlighet med dataskyddslagstiftningen. Det är universitetets ansvar att informera de registrerade om deras rättigheter och hur de kan utöva dem. Syftet med denna handläggningsordning är att säkerställa att universitetet behandlar de registrerades rättigheter på ett korrekt och enhetligt sätt. Handläggningsordningen beskriver närmare de rättigheter som de registrerade har i förhållande till universitetets personuppgiftsbehandlingar och hur handläggning av en begäran om rättighet ska ske.

Handläggningsordningen vänder sig främst till ansvariga och verksamhetsnära dataskyddssamordnare i enlighet med regler för organisation och genomförande av dataskydd vid Stockholms universitet. Samtliga medarbetare vid universitetet kan dock komma att beröras av handläggningsordningen eftersom personuppgifter behandlas inom de flesta verksamhetsgrenar på universitetet, vilket kan innebära att medarbetare utifrån det allmänna och statliga tjänstemannaansvaret behöver ha grundläggande kunskap om hur man handlägger en begäran om rättighet från en registrerad.

Rättssekretariatet vid Rektors kansli ansvarar för att handläggningsordningen hålls uppdaterad och korrekt i förhållande till universitetets övriga styrdokument, lag och förordning.

2 Ansvar för handläggning av ärende

Ansvaret för handläggningen av ett ärende om registrerades rättigheter följer av Stockholms universitets besluts- och delegationsordning och av regler för organisation och genomförande av dataskydd inom Stockholms universitet. Prefekt, föreståndare direkt underställd dekanus och avdelningschef inom förvaltningen har därmed det övergripande ansvaret för att en begäran om registrerads rättighet avseende en personuppgiftsbehandling hanteras vid den egna förvaltningsavdelningen respektive institutionen eller motsvarande (institut eller centrumbildning som sorterar under fakultet, fortsättningsvis institution).

3 Närmare om rättigheterna

Nedan följer en genomgång av de olika rättigheter som de registrerade har i enlighet med dataskyddslagstiftningen och hur de ska hanteras vid Stockholms universitet. Vad avser övriga rättigheter i dataskyddslagstiftningen är de sällan förekommande vid Stockholms universitet och bör hanteras individuellt vid förfrågningar från de registrerade. Om en registrerad gör gällande en sådan rättighet kan dataskyddsombudet rådfrågas för vägledning.

3.1 Rätten till information

Rätten till information om vilka personuppgifter som behandlas om den registrerade och på vilket sätt uppgifterna behandlas är ett uttryck för den grundläggande principen om öppenhet i dataskyddslagstiftningen. Dataskyddsförordningen ställer särskilda krav på vad information till den registrerade ska innehålla och att informationen ska ges på ett klart och tydligt sätt. Stockholms universitet har publicerat generell information om den personuppgiftsbehandling som sker vid universitetet på den externa webbplatsen. Förvaltningsavdelningar och institutioner kan dock särskilt behöva informera om sina respektive behandlingssituationer om sådan information inte framgår av den generella informationen på universitetets externa webb. Verksamheten kan välja att tillhandahålla information med hjälp av en mall (se bilaga 1 till denna handläggningsordning) eller formulera informationen självständigt så länge nedan information inkluderas. För forskningspersoninformation finns särskild mall framtagen av etiksstödsfunktionen på avdelningen för forsknings- och samverkansstöd (www.su.se/informeratsamtycke). Informationen kan tillhandahållas de registrerade genom publicering på den egna hemsidan eller genom utskick i samband med personuppgiftsbehandlingen. Till exempel så är det vid enkätundersökningar lämpligt att informera om personuppgiftsbehandling i samband med utskick av själva enkäten. Information avseende en personuppgiftsbehandling ska enligt dataskyddsförordningen innehålla följande:

  • Personuppgiftsansvarig organisation (Stockholms universitet) och kontaktuppgifter till den funktion eller person som kan svara på frågor från den registrerade gällande behandlingen.
  • Kontaktuppgifter till dataskyddsombudet: dso@su.se
  • Ändamålen med personuppgiftsbehandlingen samt den rättsliga grunden för behandlingen. Ändamålen avser anledningen till att personuppgifter behandlas och den rättsliga grunden avser någon av de grunder som det stadgas om i artikel 6 dataskyddsförordningen. På Stockholms universitets medarbetarwebb finns information om rättslig grund för personuppgiftsbehandling vid universitetet.
  • Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall. Mottagare kan exempelvis avse leverantör av digital tjänst eller part i olika samarbeten och samverkan.
  • Information om uppgifter kommer att behandlas utanför EU (tredjeland) och det rättsliga stödet för det.
  • Hur länge personuppgifterna kommer att lagras eller, om det inte är möjligt, de kriterier som används för att avgöra hur länge uppgifterna kommer att lagras. Detta framgår vanligtvis av Stockholms universitets dokumenthanteringsplan.
  • Information om övriga rättigheter som tillkommer den registrerade, enligt nedan, såsom rätten till radering eller registerutdrag.Rätt att inge klagomål till tillsynsmyndigheten Integritetsskyddsmyndigheten, IMY – www.imy.se Om den registrerade är skyldig att tillhandahålla uppgifterna enligt lag eller avtal och följderna om uppgifterna inte lämnas.Om personuppgiftsbehandlingen innebär profilering och vad det innebär för den registrerade.

Om personuppgifterna hämtats in från någon annan än den registrerade ska den registrerade också få information om varifrån uppgifterna hämtats.

3.2 Rätt till tillgång (registerutdrag)

En registrerad har rätt att få en bekräftelse på om dennes personuppgifter behandlas av Stockholms universitet och i så fall få tillgång till personuppgifterna (kopia) och information om personuppgiftsbehandlingen ifråga. Denna rätt kallas för rätten till tillgång eller rätten till registerutdrag.

Registerutdraget ska innehålla information om:

  • Ändamålen med behandlingen av den registrerades personuppgifter (jfr ovan under rubriken Rätten till information).
  • Kategorier av personuppgifter, dvs vilken typ av personuppgifter som behandlas. Det kan exempelvis vara namn och personnummer och loggdata.
  • Mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats ut eller ska lämnas ut (jfr ovan under rubriken Rätten till information).
  • Mottagare i tredjeland, inbegripet internationella organisationer.
  • Lagringstid för personuppgifterna (jfr ovan under rubriken Rätten till information).
  • Källan eller källorna varifrån personuppgifter hämtats.
  • Den registrerades rättigheter.
  • Rätten att inge klagomål till Integritetsskyddsmyndigheten.

Tillgång till personuppgifterna sker genom att universitetet lämnar en kopia av de personuppgifter som universitetet behandlar om den registrerade till den registrerade, genom att fylla i mall för registerutdrag (jfr bilaga 2 – mall för registerutdrag). Om begäran görs digitalt ska informationen tillhandahållas digitalt, om inte annat begärs. Universitetet ska dock aldrig tillhandahålla känsliga eller integritetskänsliga personuppgifter okrypterat via e-post. Om registerutdraget innehåller sådana uppgifter ska det därför skickas med vanlig post om inte säkrare digitalt alternativ än öppen e-post finns tillgängligt. En begäran om registerutdrag som omfattar flera förvaltningsavdelningar/institutioner vid universitetet samordnas av den centrala arkiv- och registraturfunktionen.

3.3 Undantag från rätten till information och tillgång till personuppgifter

Universitetet ska inte lämna ut sådana personuppgifter som med hänvisning till lag, författning eller ett beslut som har meddelats med stöd av en författning inte får lämnas ut. Detta innebär bland annat att uppgifter som det råder sekretess för enligt offentlighets- och sekretesslagen (2009:400) inte ska lämnas ut. Om uppgifter mot denna bakgrund exkluderas från information eller ett registerutdrag ska den registrerade informeras om det. Notera att det sällan råder sekretess för uppgifter gentemot den enskilde som uppgiften rör.

Universitetet är inte heller skyldig att lämna ut registerutdrag avseende personuppgifter som behandlas i löpande text som inte fått sin slutliga utformning vid det tillfälle då begäran görs, eller om den löpande texten utgör minnesanteckning eller liknande. Detta innebär att det registerutdrag som lämnas ut inte behöver omfatta de personuppgiftsbehandlingar som initierats som en direkt konsekvens av frågeställarens begäran om registerutdrag.

3.4 Rätten till radering

En registrerad har rätt att begära att Stockholms universitet raderar de personuppgifter som universitetet behandlar om hen. Om uppgifterna inte längre behövs för det ändamål som de samlades in för och om det inte finns något rättsligt stöd för att bevara uppgifterna ska den registrerades begäran tillmötesgås. Eftersom universitetet är en statlig myndighet med uppdrag att bedriva utbildning, forskning och att samverka med det omgivande samhället så är det dock sällsynt att en begäran om radering kan tillmötesgås i sin helhet. Om det inte finns stöd för att fortsatt behandla personuppgifterna ska de raderas. Om uppgifter raderas måste universitetet också informera dem som universitetet har lämnat ut uppgifter till om raderingen. Det gäller dock inte om det skulle visa sig omöjligt eller innebära en alltför betungande insats. Den registrerade har också rätt till information om till vem uppgifter har lämnats ut.

Rätten till radering gäller inte för uppgifter som behandlas för arkivändamål av allmänt intresse eller för vetenskapliga eller historiska forskningsändamål om radering av uppgiften avsevärt skulle försvåra uppnåendet av syftet med behandlingen. Vid frågan om radering ska arkivlagstiftningen således beaktas. Huvudregeln är att allmänna handlingar ska bevaras och gallras endast i enlighet Stockholms universitets dokumenthanteringsplan.

3.4.1 Särskilt om begäran om radering av personuppgifter i förhållande till personuppgiftsbehandling i nyhetsbrev, studentrekrytering och allmänna enkätundersökningar

Det är vanligt förekommande att den registrerade önskar bli raderad från e-postlistor när hens personuppgifter behandlas i allmänna utskick från universitetet, såsom nyhetsutskick (nyhetsbrev och dylikt), informationskampanjer (vid t.ex. studentrekrytering) eller större enkätundersökningar. En verksamhet som har för avsikt att behandla personuppgifter för sådana ändamål behöver säkerställa att det finns tydlig information vid utskick gällande personuppgiftsbehandlingen och att den registrerade på ett enkelt sätt förstår hur hen ska gå tillväga för att få sina uppgifter borttagna från utskicken eller från framtida utskick från samma avsändare (s.k. ”opt-out”). Generell information om personuppgiftsbehandling vid utskick av olika slag finns på universitetets externa webb.

3.5 Rätt till rättelse

Som personuppgiftsansvarig har Stockholms universitet skyldighet att se till att de personuppgifter som universitetet behandlar är korrekta och uppdaterade. En registrerad har rätt att begära rättelse av personuppgifter som den bedömer är felaktiga. Den registrerade har också rätt att komplettera med de personuppgifter som saknas och som är relevanta med hänsyn till ändamålet med personuppgiftsbehandlingen.

Om universitetet rättar personuppgifterna ska universitetet också informera dem som universitetet har lämnat ut personuppgifterna till, så att även de kan rätta uppgifterna. Det gäller dock inte om det skulle visa sig omöjligt eller innebära en alltför betungande insats. Den registrerade har även rätt att få information om till vem eller vilka som dennes personuppgifter har lämnats ut.

3.6 Rätt till begränsning av behandling

En registrerad kan under vissa förutsättningar begära att Stockholms universitets behandling av dennes personuppgifter begränsas. Det innebär att universitetet endast får behandla personuppgifterna för vissa avgränsade syften.

Rätten till begränsning gäller till exempel när den registrerade anser att personuppgifterna är felaktiga och har begärt rättelse. I sådana fall kan den registrerade också begära att universitetets behandling av uppgifterna begränsas under den tid som universitetet utreder om uppgifterna är korrekta.

3.7 Rätt att göra invändningar

När Stockholms universitet behandlar personuppgifter utifrån den rättsliga grunden intresseavvägning eller som ett led i myndighetsutövning har den registrerade rätt att invända mot personuppgiftsbehandlingen.

Universitetet får i sådana fall endast fortsätta den aktuella personuppgiftsbehandlingen om det finns avgörande berättigade skäl till att uppgifterna måste behandlas som väger tyngre än den registrerades intressen, rättigheter och friheter eller om behandlingen är till för att fastställa, utöva eller försvara rättsliga anspråk.

3.8 Klagomål från den registrerade

Om Stockholms universitet inte kan tillmötesgå en registrerads begäran om rättighet har den registrerade rätt att överklaga beslutet hos allmän förvaltningsdomstol. Universitetet ska i de fall en begäran inte kan tillmötesgås informera den registrerade om att den har rätt att begära ett överklagbart beslut. Rättssekretariatet vid rektors kansli är stödjande i författandet av ett sådant beslut och chefsjuristen fattar beslutet enligt delegation.

4 Process för hantering av de registrerades rättigheter

Nedan följer en beskrivning av hur begäran om en rättighet enligt dataskyddsförordningen ska hanteras vid Stockholms universitet.

4.1 Hantering av en inkommen begäran

Vid mottagande av en begäran om utövande av en rättighet från en registrerad ska den som mottar begäran bedöma om begäran kan hanteras separat av förvaltningsavdelningen/institutionen eller om begäran behöver samordnas centralt. Ofta kan en begäran hanteras relativt enkelt. Detta gäller t.ex. i de fall en forskningsdeltagare inte längre önskar delta i ett forskningsprojekt och vill få sina uppgifter raderade eller om en student eller anställd invänder mot behandling av uppgifter i nyhetsbrev. I en del fall kräver dock en begäran om utövande av rättighet ett samarbete mellan olika delar av universitetet.

Det är den förvaltningsavdelning eller institution som behandlar personuppgifter som ska avgöra om den registrerades begäran kan tillmötesgås. Den centrala funktionen för arkiv och registratur (hädanefter den centrala registraturen), Rättssekretariatet (inklusive dataskyddsombudet) och IT-avdelningen är stödfunktioner som verksamheten kan ta hjälp av. Om begäran behöver samordnas p.g.a. att den registrerades uppgifter förekommer på flera förvaltningsavdelningar och/eller institutioner så samordnar den centrala registraturen begäran och svarar den registrerade. Ansvaret för tillmötesgående av den registrerades begäran ligger dock alltid på den förvaltningsavdelning/institution som ansvarar för personuppgiftsbehandlingen ifråga i enlighet med gällande besluts- och delegationsordning. Detta innebär att förvaltningsavdelningen/institutionen behöver ha kunskap om personuppgiftsbehandlingen för att kunna tillmötesgå en begäran.

4.2 Tidsfrister

Enligt dataskyddslagstiftningen ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om vilka åtgärder som har vidtagits med anledning av en begäran, dock senast inom en månad från mottagandet av begäran. Det kan förekomma fall där begäran från den registrerade är särskilt komplex eller där universitetet har mottagit ett stort antal begäranden. I sådana fall kan tidsfristen förlängas med upp till ytterligare två månader. Om en förlängning av tidsfristen är aktuell, ska den registrerade informeras om att tidsfristen har förlängts och om anledningen till det. Informationen ska lämnas inom en månad från mottagandet av begäran.

Det är enligt dataskyddslagstiftningen inte tillåtet att rutinmässigt förlänga tidsfristen för återkoppling till den registrerade, utan det är endast möjligt att förlänga tiden om något av villkoren ovan är uppfyllda.

4.3 Identifiering av den registrerade

Innan en begäran om utövande av rättighet kan behandlas kan universitetet behöva säkerställa att begäran kommer från rätt person. Det behöver bedömas från fall till fall om särskild identifiering av den registrerade behövs för att kunna tillmötesgå begäran. Universitetet har enligt lagstiftningen skyldighet att underlätta för den registrerade vid begäran om en rättighet. Samtidigt får inte universitetet behandla fler personuppgifter än nödvändigt för att kunna tillmötesgå begäran. Det kan därför vara aktuellt att göra en avvägning mellan riskerna med att begära in ytterligare upplysningar kontra att inte göra så. Bara när det finns rimliga skäl att tvivla på den registrerades identitet kan det bli aktuellt att begära in kompletterande uppgifter. En begäran om radering av personuppgifter som universitetet inte har stöd för att fortsatt behandla bör exempelvis kunna tillmötesgås utan krav på ytterligare identifiering. På samma sätt bör en begäran om radering som inte kan tillmötesgås p.g.a. att universitetet fortsatt måste behandla uppgifterna inte kräva identifiering. En bedömning måste dock alltid göras i varje enskilt fall.

Observera att om en tredje part företräder den registrerade, ska universitetet kontrollera att denne har behörighet att agera å den registrerades vägnar, t.ex. via fullmakt.

Nedan processbeskrivning kan tjäna som vägledning när det bedöms nödvändigt att begära in ytterligare uppgifter för identifiering från den registrerade. Det är förvaltningsavdelningen/institutionen som ansvarar för personuppgiftsbehandlingen ifråga som avgör om kompletterande uppgifter bör begäras in. Om den centrala registraturen samordnar en begäran som omfattar flera förvaltningsavdelningar/institutioner sker inhämtande av uppgifter via registraturen i samråd med de avdelningar som ansvarar för personuppgiftsbehandlingen.

4.4 Process för identifiering och initial eftersökning

1. Begäran kommer in från känd registrerad

Om begäran inkommer från en registrerad via e-post och adressen är känd för verksamheten samt denna kontaktväg använts tidigare i förhållande till den registrerade bör någon ytterligare upplysning inte begäras in för att behandla den registrerades begäran.

2.1 Begäran inkommer från okänd registrerad student och/eller anställd/uppdragstagare

Om begäran inkommer muntligt via telefon eller om adressen och/eller den registrerade inte är känd för verksamheten sedan tidigare kan den registrerade hänvisas till e-post och att använda sin av universitetet kända e-postadress för att begära rättigheten. Uppger personen t.ex. att hen är student, kan begäran skickas från adressen som finns registrerad i LADOK. Om personen uppger att hen är anställd eller uppdragstagare hos universitetet eller om det ändå är oklart vem personen är kan hen hänvisas till att använda den e-postadress som används inom tjänsten och som tillhandahållits av universitetet.

Följande formulering kan användas i kontakt med den registrerade:

”Stockholms universitet har mottagit din begäran om /rättighet/ enligt GDPR. För att universitetet ska behandla din begäran behöver universitetet säkerställa att det är rätt person som äger rätt att utöva rättigheten. Du ombeds därför skicka din begäran från den e-postadress som finns knuten till dig i LADOK. / Du ombeds därför skicka din begäran från den e-postadress du fått av Stockholms universitet, dvs din arbetsadress. När universitetet säkerställt att begäran kommer från rätt person kommer universitetet att behandla begäran.”

3. Begäran inkommer från extern okänd person

Om en begäran inkommer från en extern person och det är oklart om och på vilket sätt personen har varit i kontakt med universitetet behöver universitetet undersöka om och med vilken del av verksamheten personen haft kontakt. Detta sker genom dialog med den registrerade så att begäran antingen kan hanteras direkt eller vidarebefordras till rätt förvaltningsavdelning/institution. Personen kan också hänvisas att själv kontakta den del av verksamheten som personen varit i kontakt med så att hen kan framställa sin begäran till rätt del av verksamheten. Om det inte går att lösa frågan i dialog med den registrerade ska begäran vidarebefordras till centrala registraturen som tar hjälp av IT avdelningen för att identifiera vilka avdelningar personen varit i kontakt med för att sedan vidarebefordra begäran till rätt förvaltningsavdelningar/institutioner inom universitetet.

IT avdelningen bistår med eftersökning i följande system: Exchange/Outlook, SUKAT och AD, Telefoni och MS365

Följande formulering kan användas i kontakt med den registrerade

”Stockholms universitet har mottagit din begäran om /rättighet/ enligt GDPR. Personuppgifter behandlas inom olika delar av universitetets verksamhet, men framförallt inom utbildning och forskning. För att universitetet ska kunna behandla din begäran behöver universitetet veta på vilket sätt du varit i kontakt med universitetet. Vi ber dig därför att återkomma med uppgift om vilken del av Stockholms universitet du varit i kontakt med. Universitetet kan sedan komma att behöva begära kompletteringar av dig för att säkerställa att det är rätt person som begär att få utöva rättigheten.”

Om det t.ex. visar sig att personen är student eller anställd vid universitetet kan det bli aktuellt att be personen återkomma med begäran enligt processen beskriven i punkten 2 ovan för att säkerställa personens identitet.

4. Vid begäran som omfattar känsliga och/eller integritetskänsliga uppgifter eller om den registrerade har skyddad identitet

Försiktighet ska iakttas vid behandling av känsliga och/eller integritetskänsliga personuppgifter eller om den registrerade uppger att hen har skyddad identitet. Vid sådana fall kan det finnas anledning säkerställa att det är rätt person som begär att få utöva rättigheten. Samma avvägning som ovan måste göras om det är befogat att begära in ytterligare uppgifter. Först om begäran omfattar känsliga och/eller integritetskänsliga personuppgifter och det finns rimliga skäl att tvivla på den registrerades identitet kan det bli aktuellt att kräva att den registrerade identifierar sig. Ett förfarande med en säkerhetskod som den registrerade verifierar till universitetet kan användas för identifiering.

Följande formulering och förfarande kan användas:

”Stockholms universitet har mottagit din begäran om /rättighet/ enligt GDPR. Begäran omfattar känsliga och/eller integritetskänsliga uppgifter/du har uppgett att du har skyddad identitet/ och universitetet behöver därför iaktta särskild försiktighet vid hantering av begäran. Som en säkerhetsåtgärd behöver universitetet säkerställa din identitet för att kunna hantera din begäran. Du ombeds bekräfta nedan fyrsiffriga kod via e-post till /NN/adress: /…/ alternativt via telefonsamtal eller sms till /NN/ nr /XX/.

En fyrsiffrig kod skickas per rekommenderad post till den registrerades folkbokföringsadress/Skatteverkets postförmedling. Kopia av den utgående posten sparas i ärendet. Den registrerade verifierar sedan koden via e-post, telefonsamtal eller sms till den som administrerar begäran (berörd avdelning/institution eller registratur).

4.5 Process vid inkommen begäran om rättighet

1. Begäran inkommer…

1.1 …till förvaltningsavdelning/institution (hädanefter avdelning/en)

Avdelningen bedömer om begäran är specifik för avdelningen och därmed kan hanteras av avdelningen direkt. Om avdelningen ser att begäran rör fler verksamheter på universitetet, en annan avdelning eller om osäkerhet råder gällande detta och det inte går att utröna i dialog med den registrerade vidarebefordras begäran till den centrala registraturen.

1.2 …till den centrala registraturen eller via avdelning till centrala registraturen

Den centrala registraturen bedömer om begäran är specifik för en avdelning och skickar begäran dit för handläggning (jfr också p. 3 nedan). Om begäran rör fler avdelningar på universitetet samordnar den centrala registraturen begäran och sköter kontakten med den registrerade.

2. Begäran diarieförs. Oavsett om en begäran inkommer till en specifik avdelning eller till den centrala registraturen ska en begäran om rättighet enligt dataskyddsförordningen diarieföras i det centrala diariet via den centrala registraturen.

2.1 Om en begäran hanteras av en avdelning specifikt ska en handläggare vid avdelningen utses som skickar handlingarna till den centrala registraturen för diarieföring så snart ärendet inleds, löpande och när ärendet avslutas.

2.2 Om begäran samordnas av den centrala registraturen ska handläggare i ärendet utses där. Handlingar som administreras av annan avdelning ska skickas till den centrala registraturen för diarieföring.

3. Vid behov ska identifiering och inledande eftersökning ske, primärt av den avdelning som behandlar personuppgifterna ifråga men om individens identitet är oklar ska identifiering och inledande eftersökning ske av den centrala registraturen och IT-avdelning i samverkan.

4. Handläggning av begäran

4.1 Om den registrerades begäran är specifik för en avdelning vidarebefordrar den centrala registraturen ärendet till avdelningen. Avdelningen utser handläggare och hanterar ärendet i sin helhet, jfr p 1.1 och 2.1 ovan.

4.2 Om den registrerades begäran rör flera delar av universitetets verksamhet och därför samordnas av den centrala registraturen, skickar registraturen vidare förfrågan till berörda avdelningar. Även om den centrala registraturen samordnar begäran så är det varje avdelnings ansvar (där den registrerades personuppgifter behandlas/behandlats) att se till att punkterna 5-10 nedan följs.

5. Beräkning av tidsåtgång och återkoppling till den registrerade.

5.1 Begäran hanteras i sin helhet av en avdelning: Avdelningen återkopplar till den registrerade att begäran inkommit och handläggs. Om avdelningen bedömer att handläggningen kommer att ta längre tid än 30 dagar ska den registrerade informeras om det och anledningen till det (t.ex. p.g.a. att begäran är komplex).

5.2 Begäran samordnas av den centrala registraturen: Avdelningarna återkopplar uppskattad tidsåtgång för behandling av ärendet till den centrala registraturen. Om ärendet beräknas ta längre tid än två veckor ska avdelningen informera den centrala registraturen och om anledningen till det. Den centrala registraturen återkopplar till den registrerade att begäran inkommit och handläggs. Om uppskattad tidsåtgång för handläggning överstiger 30 dagar ska den registrerade informeras om det och anledningen till det (t.ex. att begäran är komplex).

6. Avdelningen/arna där personuppgifterna behandlas eftersöker uppgifterna. Vid behov stöttar IT-avdelningen att söka efter uppgifter i av avdelningen anvisade system.

7. Om begäran avser registerutdrag ska avdelningen/arna där personuppgifterna behandlas undersöka om eventuella undantag till rätten att få del av uppgifter är tillämpliga, jfr ovan under rubriken ”Undantag”.

8. Vid begäran om registerutdrag så kontrollerar avdelningen/arna om uppgifterna delas med tredje land, personuppgiftsbiträden eller om utlämnandet av den registrerades personuppgifter på något sätt kan kränka andra individers integritet eller rättigheter. Av universitetets registerförteckning ska framgå om uppgifter delas med tredje land och/eller om uppgifter hanteras av personuppgiftsbiträden. Vid behov bistår IT-avdelningen med att informera om system och tjänster som tillhandahålls centralt och var data hanteras av leverantörerna.

9. Om samordning av begäran sker av den centrala registraturen ska avdelningen lämna svar till registraturen.

10. Svar till den registrerade

10.1 Om begäran hanterats i sin helhet av en avdelning ska avdelningen återkoppla till den registrerade.

10.2 Om begäran samordnas av den centrala registraturen ska registraturen sammanställa svaren från avdelningarna och återkoppla till den registrerade. Vid begäran om registerutdrag ska bilaga 2 – Mall för registerutdrag användas.

Bilagor

1 – Mall för information om personuppgiftsbehandling Word, 166.7 kB.

2 – Mall för registerutdrag Word, 167.7 kB.

Senast uppdaterad: 2025-06-09

Sidansvarig: Rektors kansli