Regler för organisation och genomförande av dataskydd vid Stockholms universitet

Ansvarig enhet: Rättssekretariatet

Kontaktperson: Caroline Frankow Versvåg

(Dokumentet har aktualitetsgranskats under 2025. På sid 8 (avsnitt 3.5 och 3.7), sid 9 (avsnitt 4.5), sid. 15 (avsnitt 7.2) samt sid. 16 (avsnitt 7.4, sista stycket) ska det stå informationshanteringsplan istället för dokumenthanteringsplan.)

1 Inledning

Stockholms universitet behandlar personuppgifter för att utföra sitt uppdrag inom utbildning, forskning och samverkan. Universitetets uppdrag följer av lag, förordning och föreskrifter. Stockholms universitet är personuppgiftsansvarig organisation för den personuppgiftsbehandling som förekommer inom universitetet och tillsammans med andra när personuppgiftsbehandling sker inom ramen för samverkan. Den allmänna Dataskyddsförordningen (DF) och kompletterande nationell lagstiftning innehåller krav för personuppgiftsbehandling. En viktig princip i regelverket är att organisationer ska kunna visa hur lagstiftningen efterlevs. Detta kallas för ansvarsskyldighet. Med ansvarsskyldigheten följer att universitetet ska ha styrdokument, stöd och vägledning på plats för att ge organisationen förutsättningar att efterleva lagstiftningen.

På Stockholms universitet finns den övergripande dataskyddspolicyn som i vid bemärkelse reglerar universitetets strategi för skydd av personuppgifter. Ansvar för samordning, genomförande och uppföljning av det systematiska dataskyddsarbetet framgår av universitetets centrala besluts- och delegationsordning. Syftet med detta styrdokument är att beskriva hur dataskyddsarbetet ska organiseras och genomföras vid universitetet samt vilka roller som ska finnas i organisationen för att uppnå regelefterlevnad i universitetets alla delar och därmed en hållbar systematik och skydd avseende de personuppgiftsbehandlingar som sker inom universitetets verksamhet och i samverkan med andra.

Mottagare av regelverket är främst ansvariga för det systematiska dataskyddsarbetet i enlighet med universitetets centrala besluts- och delegationsordning, men även övriga medarbetare vid universitetet kan ha nytta av regelverket. Rättssekretariatet vid Rektors kansli ansvarar för att regelverket hålls uppdaterat och korrekt i förhållande till universitetets övriga styrdokument, lag och förordning.

2 Begrepp och definitioner

I universitetets systematiska dataskyddsarbete ska gemensamma och vedertagna begrepp med utgångspunkt i gällande lagstiftning och allmän internationell och nationell praxis inom området användas. Nedan följer definitioner av vanligt förekommande begrepp inom dataskydd.

2.1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG ska benämnas den allmänna Dataskyddsförordningen och/eller Dataskyddsförordningen (DF) i styrdokument och formella sammanhang. GDPR (General Data Protection Regulation) kan användas i stödjande dokument och informella sammanhang samt för extern och intern information.

2.2 Dataskyddslagstiftning: DF och därtill kompletterande lagstiftning, såsom den nationella dataskyddslagen (2018:218) (DL) och EU-rättsliga regelverk som inkluderar skydd för personuppgifter samt tillsynsmyndighetens Integritetsskyddsmyndighetens, (IMY) bindande beslut och föreskrifter och Europeiska Dataskyddsstyrelsens (EDPB) riktlinjer och rekommendationer.

2.3 Dataskydd: Skydd för personuppgifter eller skydd för den personliga integriteten så som det kommer till uttryck i dataskyddslagstiftningen.

2.4 Personuppgift: All information som direkt eller indirekt kan knytas till en fysisk person som är i livet.

2.5 Känsliga personuppgifter: Personuppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter eller biometriska uppgifter som används för att identifiera en person.

2.6 Integritetskänsliga personuppgifter: Personuppgifter som inte är känsliga, men som av lagstiftaren eller genom praxis bedömts som extra skyddsvärda. Som integritetskänsliga personuppgifter räknas personnummer, uppgifter om lagöverträdelser, löneuppgifter, värderande uppgifter eller uppgifter som rör en individs privata sfär.

2.7 Behandling: Varje åtgärd som vidtas med personuppgifter, exempelvis insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. Behandling av personuppgifter innebär all sådan digital hantering av personuppgifter men även analog behandling, om uppgifterna hanteras i ett register.

2.8 Pseudonymisering: Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

2.9 Anonymisering av personuppgifter: En process som innebär behandling av personuppgifter så att informationen efter behandlingen vare sig direkt eller indirekt kan knytas till en fysisk person som är i livet.

2.10 Personuppgiftsansvarig: En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. På Stockholms universitet innebär detta att universitetet som helhet är personuppgiftsansvarig för de behandlingar som sker i verksamheten.

2.11 Personuppgiftsbiträde: En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

2.12 Mottagare: En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personuppgifterna utlämnas, vare sig det är en tredje part eller inte.

2.13 De registrerade: De individer vars personuppgifter universitetet behandlar.

2.14 Registerförteckning och/eller artikel 30-register: Register över de personuppgiftsbehandlingar som sker vid universitetet och som universitetet är skyldigt att hålla i enlighet med artikel 30 i DF. Registret ska innehålla information (metadata) om de olika personuppgiftsbehandlingarna som förekommer vid universitetet och inte personuppgifterna i sig.

2.15 Profilering: Automatisk behandling av personuppgifter som används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga exempelvis ekonomisk situation, preferenser, intressen, beteende eller vistelseort. Exempel på profilering är användning av s.k. cookies för riktade annonser.

2.16 Personuppgiftsbiträdesavtal: Avtal i enlighet med artikel 28 i DF som reglerar hur ett personuppgiftsbiträde får behandla personuppgifter för den personuppgiftsansvariges räkning. Avtalet ska innehålla instruktioner från den personuppgiftsansvarige om personuppgiftsbehandlingen, vilka säkerhetsåtgärder som biträdet vidtar för att skydda personuppgifterna samt lista över eventuella underbiträden.

2.17 Överenskommelse om gemensamt personuppgiftsansvar: En skriftlig överenskommelse i enlighet med artikel 26 i DF, mellan en eller flera personuppgiftsansvariga om hur skyldigheterna enligt DF ska fördelas och fullgöras, särskilt vad gäller utövandet av de registrerades rättigheter.

2.18 Konsekvensbedömning: En fördjupad riskanalys i enlighet med artikel 35 i DF som ska genomföras vid förhöjd risk för de registrerade eller utifrån givna kriterier fastställda av IMY. En konsekvensbedömning syftar till att identifiera samt omhänderta risker med en personuppgiftsbehandling i förhållande till de registrerade.

2.19 Inbyggt dataskydd: Genomförandet av lämpliga tekniska och organisatoriska skyddsåtgärder vid behandling av personuppgifter.

2.20 Dataskydd som standard: Inställningar i digitala samt analoga processer som beaktar de grundläggande principerna i DF.

2.21 Organisatoriska åtgärder: Interna styrdokument och rutiner med syfte att integrera dataskydd i verksamhetens behandling av personuppgifter.

2.22 Tekniska åtgärder: Digitala och analoga lösningar som beaktar dataskydd vid verksamhetens behandling av personuppgifter, såsom exempelvis behörighetstilldelning, pseudonymisering och skalskydd.

2.23 Informationssäkerhet: Tekniskt och organisatoriskt skydd för universitetets information i förhållande till verksamhetens behov samt lagkrav avseende att informationen ska vara korrekt och uppdaterad, skyddad från obehöriga och tillgänglig för de som behöver den.

2.24 Ansvarig: Med ansvarig avses i detta regelverk den som har delegerats ansvar i enlighet med avsnitt 5 i detta regelverk och som därmed ansvarar för att utföra personuppgiftsansvariges (Stockholms universitet) skyldigheter enlighet med detta regelverk. Ansvarig är riskägare och har därmed befogenhet att hantera en identifierad risk.

2.25 Riskägare: Ansvarig med befogenhet att hantera och besluta avseende en identifierad risk.

3 Grundläggande principer för dataskydd

Av universitetets dataskyddspolicy framgår att ansvarig för en personuppgiftsbehandling, innan personuppgiftsbehandlingen påbörjas, ska överväga om behandlingen uppfyller de grundläggande principerna i artikel 5 i DF. Nedan följer en genomgång av de grundläggande principerna i förhållande till universitetets verksamhet. På universitetets medarbetarwebb och på IMY:s webbplats: www.imy.se, finns mer information om de grundläggande principerna för dataskydd.

3.1 Laglighet

Dataskyddslagstiftningen ställer krav på att det ska finnas ett rättsligt stöd för behandling av personuppgifter. Av artikel 6 i DF framgår vilka olika rättsliga grunder som kan komma ifråga för en verksamhet vid behandling av personuppgifter. Eftersom universitetet är en myndighet med uppdrag att bedriva utbildning, forskning och samverkan med det omgivande samhället i enlighet med högskolelagens (1992:1434) 2 kap. 1 § samt att i övrigt ordna verksamheten utifrån gällande regelverk och regleringsbrev är den rättsliga grunden allmänt intresse i enlighet med artikel 6.1 (e) i DF ofta en lämplig rättslig grund för de personuppgiftsbehandlingar som universitetet ansvarar för. Det finns dock andra rättsliga grunder som kan tillämpas av verksamheten för personuppgiftsbehandling vid universitetet, såsom avtal med den registrerade (artikel 6.1 (b)) eller rättslig förpliktelse (artikel 6.1 (c)). Ansvarig ska se till att det är utrett vilken rättslig grund som ska tillämpas för personuppgiftsbehandlingar inom den egna verksamheten samt dokumentera det i universitetets registerförteckning.

3.2 Korrekthet

Principen om korrekthet handlar om att universitetet ska ta hänsyn till vilken personuppgiftsbehandling de registrerade rimligen kan förvänta sig utifrån universitetets uppdrag och väga nyttan med en personuppgiftsbehandling mot intrånget som behandlingen av personuppgifter innebär. De registrerade ska kunna förstå varför deras personuppgifter behandlas, universitetets behov av och rätt till behandlingen.

3.3 Öppenhet

Den personuppgiftsansvarige ska, i förhållande till den registrerade, kunna redogöra för vilka personuppgifter som behandlas. Detta kommer till uttryck i DF genom kravet på information till den registrerade om bl.a. vilka uppgifter som behandlas och ändamålet för behandlingen. Informationen ska vara lättillgänglig och begriplig för den registrerade. Rätten till information är en särskild rättighet för den registrerade enligt artikel 13 och 14 i DF. I universitetets handläggningsordning för registrerades rättigheter finns närmare beskrivet vilken rätt till information som den registrerade har med anledning av personuppgiftsbehandlingen.

3.4 Ändamålsbegränsning och finalitet

Som personuppgiftsansvarig måste Stockholms universitet ha ett tydligt och avgränsat syfte med en personuppgiftsbehandling. Personuppgifter som behandlas för ett ändamål får inte senare behandlas för ett annat ändamål (principen om ändamålsbegränsning).I sådana fall blir det fråga om en ny behandling som kräver att de grundläggande dataskyddsprinciperna är uppfyllda. Universitetet får inte lämna över personuppgifter som universitetet ansvarar för till en mottagare som har för avsikt att behandla uppgifterna för ändamål som inte är förenliga med det ursprungliga syftet med behandlingen (principen om finalitet). Ansvarig ska särskilt beakta finalitetsprincipen och principen om ändamålsbegränsning vid anlitande av extern leverantör för personuppgiftsbehandling. Därvid ska beaktas om leverantören behandlar personuppgifter för ändamål som inte är förenliga med universitetets ändamål med personuppgiftsbehandlingen. Sådan överföring av uppgifter är inte tillåten enligt dataskyddslagstiftningen.

3.5 Uppgiftsminimering

Det är bara tillåtet att behandla de personuppgifter som behövs för att ändamålet med personuppgiftsbehandlingen ska kunna uppnås och det är inte heller tillåtet att behandla fler personuppgifter än vad som är nödvändigt för att uppnå ändamålet. För att upprätthålla principen om uppgiftsminimering ska ansvarig se till att rensning och gallring av handlingar sker i enlighet med nationella regler om informationshantering och universitetets dokumenthanteringsplan.

3.6 Riktighet

Personuppgifter som behandlas ska vara uppdaterade och korrekta (principen om riktighet). Det ska vara möjligt att kunna rätta felaktiga personuppgifter. Det ska också vara möjligt att kunna radera personuppgifter om det saknas stöd för fortsatt behandling av uppgifterna. Ansvarig ska se till att den egna verksamheten har rutiner för principen om riktighet kan upprätthållas.

3.7 Lagringsminimering

Efter att ändamålet med personuppgiftsbehandlingen är uppnått ska personuppgifterna raderas (gallras). Det är dock tillåtet att spara personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål samt för statistiska ändamål. Ansvarig ska därför se till att det finns rutiner för arkivering och gallring av allmänna handlingar i enlighet med nationell lagstiftning och universitetets dokumenthanteringsplan samt att de personuppgifter som det inte finns stöd för att bevara, gallras när det inte längre finns skäl till att behandla uppgifterna.

3.8 Integritet och konfidentialitet

Ansvarig ska se till att de personuppgifter som behandlas inom den egna verksamheten skyddas genom lämpliga tekniska och organisatoriska åtgärder och vid behov ta hjälp av universitetets informationssäkerhetsfunktion för detta arbete. Det är inte tillåtet att ge fler personer tillgång till personuppgifterna än vad som är nödvändigt för att uppnå syftet med behandlingen.

3.9 Ansvarsskyldighet

Principen om ansvarsskyldighet innebär ett ansvar för Stockholms universitet som organisation att följa gällande regelverk och att, på förfrågan från de registrerade, dataskyddsombudet eller tillsynsmyndigheten IMY, kunna visa att dataskyddslagstiftningen efterlevs. Interna styrdokument såsom universitetets dataskyddspolicy och underliggande styr- samt stöddokument, t.ex. förevarande regelverk ska vara kända för samtliga medarbetare vid universitetet. Ansvariga ska se till att universitetets interna regelverk följs av medarbetare, uppdragstagare och samverkanspartners samt i förekommande fall av studenter som genomför personuppgiftsbehandling inom ramen för universitetets verksamhet.

4 Inbyggt dataskydd och dataskydd som standard

I artikel 25 i DF stadgas om den personuppgiftsansvariges skyldighet att införa lämpliga tekniska och organisatoriska åtgärder för ett effektivt genomförande av de grundläggande principerna om dataskydd. Detta betyder att dataskydd ska vara integrerat i alla verksamhetsprocesser som innebär personuppgiftsbehandling. Vid universitetet innebär detta framförallt att:

4.1 Dataskydd särskilt ska beaktas vid upphandling, avrop och avtals ingående av digitala system och lösningar.

4.2 Dataskydd ska inkluderas i verksamhetsnära styrdokument, rutiner och processer.

4.3 Vid kommunikationsinsatser och undersökningar som avser universitetets samverkan med det omgivande samhället ska verksamheten tillse att den registrerade har möjlighet att avregistrera sig från utskick.

4.4 Dataskydd ska inkluderas i universitetets portföljstyrning.

4.5 Verksamheten ska föra dokumentation över sina personuppgiftsbehandlingar. Dokumentationen ska hanteras i enlighet med universitetets dokumenthanteringsplan och i enlighet med allmänna krav avseende diarieföring och bevarande av allmänna handlingar. Riskanalyser och avtal ska diarieföras och/eller bevaras tillsammans med huvudärendet. Dokumentationen ska på begäran kunna visas upp för IMY eller dataskyddsombudet vid Stockholms universitet.

4.6 Risker för de registrerades integritet ska vid alla aktiviteter som inkluderar personuppgiftsbehandling, inklusive forskningsprojekt, identifieras genom dokumenterade analyser och – i förekommande fall – konsekvensbedömningar.

4.7 Institutioner ska ha rutiner för att omhänderta studenters behandling av personuppgifter inom ramen för sina studier utifrån att universitetet är personuppgiftsansvarig för sådana behandlingar.

4.8 Vid samverkan med eller anlitande av externa parter ska ansvar och roller gällande personuppgiftsbehandling vara utrett och lämpliga avtal för personuppgiftsbehandlingen upprättade.

4.9 Universitetets registerförteckning ska vara uppdaterad och korrekt.

4.10 Frågan om etikprövning och andra lämpliga skyddsåtgärder ska beaktas i de forskningsprojekt där känsliga personuppgifter och/eller personuppgifter om lagöverträdelser behandlas.

4.11 Registrerades rättigheter ska tas omhand på ett strukturerat och för den registrerade transparent och lättfattligt vis. Handläggningsordningen för registrerades rättigheter ska därvid vara känd och tillämpas av verksamheten vid begäran om rättighet från en registrerad.

4.12 Ansvariga ska säkerställa att deras medarbetare känner till regelverket om dataskydd och ge dem möjlighet att delta i utbildning samt ta del av information rörande dataskydd så att medarbetaren självständigt kan hantera frågor om dataskydd inom ramen för sitt uppdrag.

5 Ansvar

Av Stockholms universitets arbetsordning framgår universitetets övergripande organisation, arbetsfördelning samt formerna i övrigt för verksamheten. Av arbetsordningen framgår att den forskande verksamheten och utbildningsverksamheten bedrivs inom institutioner eller motsvarande (institut eller centrumbildning som sorterar under en fakultet) och att det vid universitetet finns en universitetsförvaltning med uppdrag att stödja universitetet att fullgöra sitt myndighetsansvar samt att utveckla universitetets administration. Av universitetets centrala besluts- och delegationsordning framgår hur ansvar för det systematiska dataskyddsarbetet är delegerat inom universitetet. Personuppgiftsansvaret och ansvaret för det praktiska dagliga dataskyddsarbetet i verksamheten följer linjen i den centrala och de lokala besluts-och delegationsordningarna. Detta innebär ett ansvar att se till att:

• de grundläggande dataskyddsprinciperna enligt avsnitt 3 i detta regelverk är uppfyllda avseende personuppgiftsbehandlingar inom den egna verksamheten.
• dataskydd är integrerat i de egna verksamhetsprocesserna i enlighet med avsnitt 4 i detta regelverk och att personuppgiftsbehandlingar inom den egna verksamheten är införda i universitetets registerförteckning.
• kompetens och kunskap finns för att upptäcka, dokumentera och avgöra allvarlighetsgraden av en personuppgiftsincident avseende den egna verksamhetens personuppgiftsbehandlingar samt att vid behov rådgöra med universitetets dataskyddsombud och besluta om att anmäla personuppgiftsincidenten till IMY. Avseende sådana personuppgiftsincidenter som också utgör IT-incidenter och som rör universitetsövergripande system ansvarar dock produktägaren för att incidenten utreds och hanteras i samverkan med IT-avdelning och vid behov efter rådgivning från universitetets dataskyddsombud.

• kompetens och kunskap finns för att genomföra analyser och konsekvensbedömningar avseende den egna verksamhetens personuppgiftsbehandlingar samt besluta om att påbörja eller inte påbörja en personuppgiftsbehandling mot bakgrund av resultatet från sådana analyser och med hänsyn till dataskyddsombudets råd.
  

6 Stödorganisation och särskilda roller

Vid universitetet ska det finnas en organisation och roller som i samverkan ska arbeta för ett effektivt stöd avseende det systematiska dataskyddsarbetet i enlighet med detta regelverk. Eftersom ansvaret för det systematiska dataskyddsarbetet utgår från ett linjeansvar i enlighet med avsnitt 5 i detta regelverk ska samtliga frågor rörande dataskydd i första hand hanteras av den egna verksamheten med stöd av en verksamhetsnära dataskyddssamordnare (se nedan). Vid behov kan den verksamhetsnära dataskyddssamordnaren vända sig till den stödorganisation som beskrivs i detta avsnitt inklusive dataskyddsombudet. Dataskyddsombudet ska genom regelbundna möten med de verksamhetsnära dataskyddssamordnarna samt de övriga roller som beskrivs nedan, fånga upp relevanta frågor och verka för kunskapsöverföring och att frågor av liknande karaktär hanteras i samverkan mellan universitetets olika verksamhetsgrenar. Närmare om vilket stöd som i övrigt ankommer på de olika rollerna att ge med avseende på universitetets systematiska dataskyddsarbete framkommer nedan.

6.1 Verksamhetsnära dataskyddssamordnare

Vid varje institution eller motsvarande samt vid varje förvaltningsavdelning ska det fattas beslut om att utse en eller flera verksamhetsnära dataskyddssamordnare. Behovet av dataskyddssamordnare ska utgå från omfattningen av personuppgiftsbehandling inom verksamheten. Vid denna bedömning ska omfattningen av personuppgiftsbehandling inom utbildning och forskning beaktas. Hänsyn ska också tas till institutionens eller avdelningens IT-miljö och utveckling samt användning av lokala digitala lösningar. Dataskyddssamordnare kan utses i samverkan och delas mellan institutioner eller motsvarande eller mellan förvaltningsavdelningar, om ansvariga bedömer att det är lämpligt med beaktande av omfattningen av den egna verksamhetens personuppgiftsbehandlingar.

Den verksamhetsnära dataskyddssamordnaren stöttar den egna verksamheten i dataskyddsarbetet, vilket innebär följande:

• Vara förstahandskontakt för medarbetare inom verksamheten för stöd och råd i frågor om personuppgiftsbehandling och dataskydd.
• Vara kontakt i frågor rörande registrerades rättigheter externt och internt.
• Stötta verksamheten i arbetet med att hålla artikel 30-registret uppdaterat samt säkerställa att registret förvaltas i enlighet med avsnitt 7.1 detta regelverk.
• Omhänderta och dokumentera personuppgiftsincidenter.
• Stötta i genomförandet av riskanalyser och konsekvensbedömningar gällande verksamhetens personuppgiftsbehandlingar.

Det ankommer i övrigt på avdelningschef, prefekt eller motsvarande att vid behov närmare beskriva uppdragets innehåll.

6.2 Dataskyddsombud

Vid Stockholms universitet finns ett dataskyddsombud i enlighet med artikel 37 i DF. Dataskyddsombudet är placerat på Rättssekretariatet, Rektors kansli. Ombudets uppdrag framgår av artikel 39 i DF vilket innebär att ombudet ska informera och ge råd till den personuppgiftsansvarige och oberoende granska verksamhetens efterlevnad av Dataskyddslagstiftningen. Av artikel 38 i DF framgår bl.a. att den personuppgiftsansvarige ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter. Vid Stockholms universitet innebär detta att dataskyddsombudet ska få information om de personuppgiftsbehandlingar som sker, lämpligtvis genom att verksamhetens artikel 30-register är uppdaterat och korrekt.

Dataskyddsombudet ska rådfrågas vid personuppgiftsincidenter samt konsekvensbedömningar. Dataskyddsombudet ska få kännedom om processer som innebär inköp av digitala tjänster och vid behov rådfrågas rörande personuppgiftsbehandlingen i dem. För att dataskyddsombudet ska kunna genomföra sitt uppdrag att oberoende granska universitetets efterlevnad av dataskyddslagstiftningen ska verksamheten ha förmåga att svara på frågor från dataskyddsombudet och bistå med dokumentation över de personuppgiftsbehandlingar som sker inom den egna verksamheten. Ansvarig godkänner om en personuppgiftsbehandling kan påbörjas eller ej samt ser till att avsteg från dataskyddsombudets rekommendationer dokumenteras. Det ankommer på dataskyddsombudet att sammankalla övriga roller enligt detta regelverk att delta i regelbundna möten för samverkan och kunskapsöverföring avseende dataskydd. Universitetsstyrelsen har närmare beslutat om dataskyddsombudets uppdrag och ställning (Dnr SU-4100-21).

6.3 Rättssekretariatet

Vid Rättssekretariatet, Rektors kansli arbetar universitetsjurister med att ge löpande och strategiskt juridiskt stöd till universitetets verksamhet. Rättssekretariatet bistår således med juridisk rådgivning avseende dataskyddslagstiftningen till verksamheten när sådant behov finns. Universitetsjuristerna har på samma sätt som dataskyddsombudet ett rådgivande uppdrag i förhållande till verksamheten och beslutar inte i enskilda ärenden rörande dataskydd. Universitetsjuristerna kan därvid identifiera en juridisk risk avseende en personuppgiftsbehandling och bistå med råd kring hanteringen av en sådan risk. Utifrån denna rådgivning ankommer det på ansvarig att hantera risken i egenskap av riskägare. Universitetsjuristerna, inklusive dataskyddsombudet, stöttar verksamheten vid frågor som rör tillämpningen av dataskyddslagstiftningen och som de verksamhetsnära dataskyddsamordnarna inte kan besvara.

6.4 Centrala arkiv- och registraturfunktionen

Centrala arkiv- och registraturfunktionen (arkivfunktionen) tar fram regelverk för samt är stöd vid frågor gällande bevarande och gallring av handlingar inklusive handlingar som innehåller personuppgifter.

Av handläggningsordning för registrerades rättigheter framgår att den centrala arkiv- och registraturfunktionen (centrala registraturen) samordnar universitetets svar vid förfrågningar om rättigheter från de registrerade, när en förfrågan från en registrerad rör flertalet institutioner och/eller avdelningar vid universitetet. Ansvaret att svara på en förfrågan om rättighet från en registrerad ankommer dock alltid på den institution och/eller förvaltningsavdelning där personuppgiftsbehandlingen sker. Vad som gäller vid förfrågningar om rättigheter från de registrerade framgår av handläggningsordningen för registrerades rättigheter.

6.5 Etikstödsfunktionen

Forskning som bygger på behandling av personuppgifter behöver uppfylla kraven i dataskyddslagstiftningen. Om forskning på särskilda kategorier av personuppgifter eller på personuppgifter om lagöverträdelser sker i Sverige måste krav på etikprövning beaktas. Vid Avdelningen för forskning- och samverkansstöd finns en etikstödsfunktion med uppdrag att stötta forskare vid Stockholms universitet i forskningsetiska frågor, inklusive etikrelaterade aspekter kring dataskydd som behöver beaktas inom forskning. Stödet från etikstödsfunktionen ska ges i nära samverkan med universitetsjurister, dataskyddsombud och övriga stödfunktioner såsom de verksamhetsnära dataskyddssamordnarna.

6.6 Forskningsdatagruppen och forskningsdatateamet

Forskningsdatagruppen stöttar och erbjuder forskare utbildning inom praktisk hantering av forskningsdata från planeringsfas till arkivering och återanvändning av data inklusive de aspekter kring dataskydd som behöver beaktas vid denna hantering. Forskningsdatateamet är ett universitetsövergripande team som, under ledning av forskningsdatagruppen vid universitetsbiblioteket, för dialog och samverkar i frågor som rör hantering av forskningsdata. Etikstödsfunktionen, universitetsjurister, dataskyddsombud och informationssäkerhetsfunktionen ingår i forskningsdatateamet. Forskningsdatagruppen ansvarar för att planera och genomföra återkommande avstämningsmöten inom forskningsdatateamet på universitetet.

6.7 Informations- och IT-säkerhetsfunktionen

Vid IT-avdelningen finns informations- och IT-säkerhetsfunktionen med uppdrag att stötta universitetet i säker informationshantering utifrån lagkrav och verksamhetens behov. Av universitetets dataskyddspolicy framgår att behov av skydd för personuppgifter ska identifieras och omhändertas genom universitetets processer för klassning av information och riskhantering. Informations- och IT-säkerhetsfunktionen stöttar verksamheten i detta arbete genom ett metodstöd för klassning av information, där behov av skydd för personuppgifter är en aspekt som ska beaktas. Funktionen ska vägleda produktansvariga (jfr universitetets modell för produktstyrning) att identifiera, definiera och dokumentera lämpliga skyddsåtgärder för att upprätthålla relevant skydd för information, inklusive personuppgifter i digitala system. Funktionen stöttar verksamheten vid upphandlingsprocesser och avtals ingående avseende krav på organisatoriska och tekniska säkerhetsåtgärder som universitetet behöver ställa i förhållande till de personuppgiftsbehandlingar som universitetet ansvarar för.

6.8 Inköps- och upphandlingssektionen

Inköps- och upphandlingssektionen är organisatoriskt placerad inom Ekonomiavdelningen. I samverkan med informations- och IT-säkerhetsfunktionen samt Rättssekretariatet stöttar inköps- och upphandlingssektionen verksamheten avseende kravställning och avtals ingående vid inköp och upphandling utifrån lagkrav, inklusive dataskydd.

6.9 Samordningsgruppen för säkerhetsfrågor

Vid universitetet finns en samordningsgrupp för säkerhetsfrågor som ska verka för ett effektivt och systematiskt säkerhetsarbete inom områdena informations- och IT-säkerhet, fysisk säkerhet, dataskydd, säkerhetsskydd och kris- och kontinuitetshantering. Samordningsgruppen ska bl.a. se till att samordning sker av styrdokument och handlingsplaner och säkerställa att universitetets incidenthantering är samordnad och effektiv. Samordningsgruppen består av säkerhetschef (ordförande), informationssäkerhetschef, gruppchef för arbetarskydd och dataskyddsombud. Ytterligare funktioner kan adjungeras till gruppen. Mer information om samordningsgruppen för säkerhetsfrågor finns i universitetsdirektörens beslut 2024-06-20 (dnr SU FV-2122-24).

7 Dokumentation

Av den grundläggande principen om ansvarsskyldighet (jfr avsnitt 3.9 i detta regelverk) framgår att universitetet som personuppgiftsansvarig på förfrågan från de registrerade, dataskyddsombudet samt tillsynsmyndigheten IMY ska kunna visa att dataskyddslagstiftningen efterlevs. Detta uppnås genom att verksamheten ska hålla sådan dokumentation som DF föreskriver.

7.1 Registerförteckning

Av artikel 30 i DF framgår att universitetet ska föra ett register över behandling som utförs under universitetets ansvar eller när universitetet agerar som personuppgiftsbiträde. Av den aktuella bestämmelsen framgår vilken information som registret ska innehålla, t.ex. information om ändamål med personuppgiftsbehandlingen och vilka kategorier av personuppgifter som behandlas. Utöver det ska registret även innehålla sådan information som de registrerade har rätt till vid en förfrågan om rättighet t.ex. information om rättslig grund för personuppgiftsbehandlingen ifråga. Den centrala förvaltningens registerförteckning förvaltas av dataskyddsombudet som vid behov bereder ansvariga och verksamhetsnära dataskyddssamordnare vid den centrala förvaltningen tillgång till registret. Det ankommer på ansvariga att med hjälp av den verksamhetsnära dataskyddssamordnaren se till att personuppgiftsbehandlingar inom ramen för den egna verksamheten är införda i registret samt att de hålls uppdaterade och är korrekta. Institutioner eller motsvarande (institut eller centrumbildning som sorterar under en fakultet) ska självständigt föra register över personuppgiftsbehandlingar inom den egna verksamheten. Registret ska hållas i elektronisk format, förvaras ordnat på institutionen och vid förfrågan göras tillgängligt för dataskyddsombudet och IMY. För ändamålet finns en mall i excel-format framtagen av dataskyddsombudet som institutionen kan använda.

7.2 Konsekvensbedömning

Av artikel 35 i DF framgår att om en personuppgiftsbehandling sannolikt leder till hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter (konsekvensbedömning). IMY har fastställt kriterier för när en konsekvensbedömning ska genomföras. Om dessa kriterier är uppfyllda ska ansvarig alltid se till att en konsekvensbedömning genomförs. För dokumentation avseende konsekvensbedömning finns en mall framtagen av dataskyddsombudet. Mallen kan användas både för att avgöra om en personuppgiftsbehandling sannolikt leder till hög risk eller ej och för att genomföra själva konsekvensbedömningen.

Av DF framgår att dataskyddsombudet ska rådfrågas vid genomförande av en konsekvensbedömning.

En konsekvensbedömning eller ett beslut om att inte genomföra en konsekvensbedömning ska diarieföras och bevaras i enlighet med universitetets dokumenthanteringsplan.

7.4 Avtal

Delning och överföring av personuppgifter från en verksamhet till en annan verksamhet eller samarbetspartner måste enligt DF regleras i avtal eller skriftliga överenskommelser som ett led i uppfyllandet av de grundläggande dataskyddsprinciperna.

Universitetet kan ibland ha behov av att ta hjälp av extern leverantör för informationshantering, inklusive personuppgiftsbehandling. När leverantören hanterar personuppgifter för universitetets räkning, utan eget ändamål med behandlingen, är leverantören personuppgiftsbiträde (jfr definitionen av personuppgiftsbiträde under avsnitt 1) åt universitetet. I detta fall kräver artikel 28 i DF att det upprättas ett personuppgiftsbiträdesavtal (PUBA) mellan universitetet och leverantören, genom vilket universitetet ska säkerställa att leverantören lever upp till kraven i DF. Den personuppgiftsansvarige ska lämna tydliga instruktioner avseende personuppgiftsbehandlingen i en bilaga till avtalet. Rättssekretariatet tillhandahåller en mall för personuppgiftsbiträdesavtal, inklusive mall för bilaga med instruktioner från personuppgiftsansvarig. Till avtalet ska även bifogas en mall med de säkerhetsåtgärder som ska tillämpas för personuppgiftsbehandlingen ifråga (säkerhetsbilaga). Informations- och IT-säkerhetsfunktionen ska stötta verksamheten vid framtagande av säkerhetsbilaga till personuppgiftsbiträdesavtal.

Universitetets grundläggande uppdrag innebär till stor del samverkan med andra, såväl andra lärosäten, forskningshuvudmän och myndigheter som privata organisationer. Om informationsdelning och hantering sker i sådan samverkan, och personuppgifter behandlas utifrån ett gemensamt ändamål, så ska det i enlighet med artikel 26 i DF upprättas en skriftlig överenskommelse om gemensamt personuppgiftsansvar mellan parterna. Denna överenskommelse tjänar till att reglera hur parterna ska säkerställa att de grundläggande principerna inom DF efterlevs, särskilt vad avser omhändertagande av de registrerades rättigheter. Rättssekretariatet tillhandahåller en mall för överenskommelse om gemensamt personuppgiftsansvar.

Det kan förekomma att två verksamheter som delar information med varandra har egna och separata ändamål med en personuppgiftsbehandling, där ändamålen är förenliga med varandra (jfr avsnitt 3.4 avseende den grundläggande principen om ändamålsbegränsning och finalitet). Om personuppgifter delas från Stockholms universitet till annan verksamhet utan att det föreligger ett personuppgiftsbiträdesförhållande eller ett gemensamt personuppgiftsansvar ska personuppgiftsbehandlingen regleras genom en särskild klausul i huvudavtalet. Rättssekretariatet kan bistå med stöd avseende granskning och formulering av sådan klausul.

Avtal inom dataskydd ska diarieföras och bevaras tillsammans med huvudärendet i enlighet med universitetets dokumenthanteringsplan.

7.5 Personuppgiftsincident

En säkerhetsincident som inkluderar personuppgifter är en personuppgiftsincident. Det kan till exempel röra sig om att uppgifter röjts för obehöriga eller att obehöriga på annat sätt fått åtkomst till uppgifterna eller att uppgifter inte är tillgängliga för de som behöver dem, inklusive de registrerade. Av lagtexten följer att en personuppgiftsincident som inte osannolikt medför risk för fysiska personers fri- och rättigheter ska anmälas till IMY inom 72 timmar från att incidenten upptäcktes. IMY har utförlig information om personuppgiftsincidenter på sin webbplats (Anmäl personuppgifts­incident | IMY), inklusive exempel på sådana och när en incident ska anmälas dit. Universitetet har en skyldighet att dokumentera alla personuppgiftsincidenter i enlighet med artikel 33 i DF, även sådana som universitetet inte bedömer ska anmälas till IMY. Det ankommer på ansvarig att tillse att det inom den egna verksamheten finns kompetens att bedöma allvarlighetsgraden av en personuppgiftsincident i enlighet med avsnitt 5 detta regelverk. Dataskyddsombudet ska informeras om en personuppgiftsincident och rådfrågas vid behov. Dokumentation avseende personuppgiftsincident ska upprättas av verksamheten och delas med dataskyddsombudet som ska se till att den diarieförs i förvaltningens serie.

8 Implementering av regelverket

Universitetets arbete med dataskydd ska ske strukturerat och systematiskt. Personuppgiftsbehandlingar ska identifieras i verksamhetsprocesser, lämpligast i samband med klassning av verksamhetsinformation inom ramen för universitetets systematiska informationssäkerhetsarbete. Genomförande och uppföljning av regelverket ska beslutas om i enlighet med universitetets centrala och lokala delegationsordningar. Det ankommer således på ansvariga i enlighet med detta regelverk att se till att arbetet inom den egna verksamheten organiseras och resurssätts på så vis att dataskyddet implementeras i den egna verksamheten.

Styrdokumentet i pdf-format

Regler för organisation och genomförande av dataskydd vid Stockholms universitet Pdf, 415.2 kB.