FAQ – juni 2018

==> This page in English

Här kommer en FAQ med några vanliga frågor.

  1. Vad är en personuppgift?
  2. Vad är ”känsliga” personuppgifter?
  3. När får vi behandla personuppgifter?
  4. Påverkar dataskyddsförordningen hur vi behandlar gamla personuppgifter?
  5. När ska vi använda samtycke som grund för behandling av personuppgifter?
  6. Hur ska vi hantera samtycke för behandling av personuppgifter?
  7. Vad gäller för barn och samtycken?
  8. Vad gäller för gamla samtycken?
  9. Hur ska vi behandla personuppgifter i vardagen?
  10. Ska vi köpa kurser för medarbetare om den nya lagstiftningen?
  11. Hur ska vi informera de registrerade?
  12. Vad kan jag göra om jag är lärare?
  13. Vad kan jag göra om jag är forskare?
  14. Vad kan jag göra om jag är chef?
  15. Vad gäller för mig som arbetar med kommunikation och samverkan?
  16. Hur förbereder jag mig om jag driver ett lokalt IT-system med personuppgifter?
  17. Vart vänder jag mig om jag behöver hjälp och stöd i förberedelserna?



1. Vad är en personuppgift?

Svar: Enligt dataskyddsförordningen är en personuppgift ”varje upplysning som avser en identifierad eller identifierbar fysisk person”. Exempel: Namn, foto, adress, e-post, betyg, ålder, personnummer, hårfärg, skonummer, kompetens, genom



2. Vad är ”känsliga” personuppgifter?

Svar: Dataskyddsförordningen definierar vissa personuppgifter som särskilt skyddsvärda. Dessa personuppgifter ska vi vara extra restriktiva med att använda.

etnicitet – politiska åsikter – religion – medlemskap i fackförening – hälsa – sexuell läggning – sexualliv – genetiska uppgifter – biometriska data

Vi ska i princip inte ha uppgifter om personers religion, sexualitet, åsikter etc. – om det inte är motiverat av personal- och studenthälsa eller etikprövad forskning.

OBS! I Sverige är även personnummer en särskilt känslig personuppgift.



3. När får vi behandla personuppgifter?

Svar: Vi får hantera de personuppgifter som är nödvändiga för att vi ska kunna utföra vårt uppdrag – att utbilda, forska och samverka.

Vi får också hantera personuppgifter som är nödvändiga för att vi ska kunna

  • följa lagar, förordningar och kollektivavtal
  • utföra myndighetsutövning
  • uppfylla avtal, t.ex. inköpsavtal eller samarbetsavtal

Kom ihåg: Vi får bara använda nödvändiga personuppgifter och vi får bara göra det så länge som det behövs!



4. Påverkar dataskyddsförordningen hur vi behandlar gamla personuppgifter?

Svar: Ja, dataskyddsförordningen påverkar redan insamlade personuppgifter. Inte minst eftersom ”lagring” i sig är en behandling av personuppgifter, men även att sortera, läsa, skicka vidare, radera etc. De enklaste vore att helt enkelt radera personuppgifter som vi inte behöver längre. Men det kan vi INTE göra utan att först ta ställning till om uppgifterna i stället ska arkiveras. Du kan hitta svar på radera-frågan i dokumenthanteringsplanen. Om du tycker det är svårt att förstå arkiveringsreglerna så fråga din lokala registrator.



5. När ska vi använda samtycke som grund för behandling av personuppgifter?

Svar: För de flesta personuppgifter vi hanterar behöver vi inte samtycke av de registrerade, eftersom vi är en statlig myndighet och utför ”en uppgift av allmänt intresse”. Men det finns vissa verksamheter där samtycke behövs, oftast för att de innebär att vi hanterar uppgifter om personer som inte aktivt bidrar till vår verksamhet. Några exempel:

  • rekrytering av anställda och studenter
  • listor eller register över externa intressenter såsom donatorer, alumner, mottagare av nyhetsbrev
  • personer på vissa foton, så kallade genrebilder (se projektbloggen)
  • studenters anhöriga

Inom forskningen används samtycke på samma sätt som tidigare, i de fall det krävs för etikprövningsbeslutet. Läs mer om det på https://www.forskningsetik.lu.se/forskningsetisk-information/informerat-samtycke



6. Hur ska vi hantera samtycke för behandling av personuppgifter?

Svar: Samtycket ska vara: frivilligt, informerat och dokumenterat.

frivilligt – Detta innebär att vi måste vara restriktiva med att använda samtycke för att behandla personuppgifter som rör våra anställda eller våra studenter. Både anställda och studenter står ofta i beroendeställning till universitetet. Det kan finnas utrymme att använda samtycke även för personal och studenter i de fall de kan tacka nej utan risk för personliga konsekvenser. Exempel på det kan vara att be personer att uppträda med citat, foton eller film i vår publika kommunikation.

informerat – Den som ska ge sitt samtycke ska vara införstådd med vilka personuppgifter vi samlar in och vad vi ska ha dem till, hur vi behandlar dem och vilka rättigheter man har. Den informationen (se DSF art 1314 för detaljer) är så pass omfattande att den som regel måste ges skriftligt. De allmänna delarna av informationen hittar du på www.lu.se/integritet, du måste själv komplettera med det som är specifikt för din personuppgiftshantering.

dokumenterat – Vi måste dokumentera samtycken från registrerade. Det kan göras på olika sätt, det viktiga är att vi kan plocka fram samtycket igen vid behov och koppla det till just de personuppgifter samtycket gäller. Däremot så behöver du inte diarieföra samtycken.



7. Vad gäller för barn och samtycken?

Svar: För barn t.o.m. 12 års ålder gäller att samtycke ska lämnas av barnets vårdnadshavare – i de fall samtycke behövs. Från 13 års ålder lämnar barn själva samtycke till hantering av deras personuppgifter.

Vad gäller hantering av personuppgifter för barn finns det anledning att vara extra försiktig. Prata gärna med deras vårdnadshavare även om lagen inte kräver att du gör det.



8. Vad gäller för gamla samtycken?

Svar: Gamla samtycken gäller under förutsättning att de lever upp till kraven i dataskyddsregleringen. De måste till exempel vara dokumenterade på ett sätt så att vi har kontaktinformation till de registrerade. Har man gamla samtycken på papper, i mail eller från ett webbformulär är det viktigt att:

  • hålla ordning på samtyckena
  • ta ställning till om de lever upp till: frivilligt, informerat och dokumenterat där informerat bl a innefattar information om vad vi avser använda uppgifterna till, vilka rättigheter man har och hur man hävdar dem.
  • eventuellt kunna skilja ut samtycken som kan ha getts av personer i beroendeställning t ex personal och studenter.


9. Hur ska vi behandla personuppgifter i vardagen?

  • Använd sunt förnuft – Hur hade jag velat att mina personuppgifter hanteras?
  • uppgiftsminimering: Använd endast de personuppgifter som behövs!
  • lagringsminimering: Hantera personuppgifter bara så länge som det behövs, rensa sedan ut dem (och arkivera dem eventuellt)!
  • Var försiktig med vilka personuppgifter du skickar i mail.
  • När du mailar många; använd BCC istället för CC om det inte är meningen att alla mottagare ska ha varandras e-postadresser – eller gör en riktig sändlista i epic eller listserver.lu.se (OBS! samtycke krävs för personer som inte är medarbetare eller studenter).
  • Undvik att samla in eller lagra personuppgifter i gratistjänster som universitetet inte har avtal med, t ex:
    • Dropbox och Google docs  – LU Box är ok för icke-känsliga personuppgifter
    • Google forms – Sunet Survey är ok för icke känsliga personuppgifter. Våra stora webbpubliceringssystem som Drupal och Typo3 har ganska kraftfulla formulärverktyg, även om de ibland är mindre smidiga.
    • Doodle – Kalenderfunktionen i universitets e-postsystem kan många gånger ge samma funktion.


10. Ska vi köpa kurser för medarbetare om den nya lagstiftningen?

Svar: Nej, gör helst inte det. Det finns ett stort utbud av kurser och de allra flesta av dem tar inte höjd för områdena utbildning och forskning – båda har särskild lagstiftning. Har du frågor så vänd dig till universitetets dataskyddsombud, men klicka först igenom de standardbildspel som projektet tagit fram. Universitetet kommer att ta fram en e-utbildning på kompetensportalen. Gå gärna igenom LUISA i väntan på den.



11. Hur ska vi informera de registrerade?

Dataskyddsförordningen artikel 13-14 kräver ganska omfattande information till alla vars personuppgifter vi behandlar – och det oavsett varför vi behandlar personuppgifterna.

Projektet hjälper till med att fram en generell och standardiserad information för oss medarbetare och för studenter. Idén är att den informationen ska täcka in all behandling av personuppgifterna för de två grupperna.

Forskningsprojekt med personuppgifter sköter liksom tidigare sin egen information och eventuella samtycken.

Samma sak gäller samverkan, rekrytering av studenter och anställda samt publika arrangemang. Den som samlar in personuppgifter ansvarar för att de registrerade informeras och lämnar samtycke när det behövs.

Grundläggande information finns på www.lu.se/integritet. Du måste själv komplettera med bland annat:

  • ändamålet med personuppgiftshanteringen
  • hur länge hanteringen kommer att pågå
  • om vi delar personuppgifterna med någon utanför Lunds universitet


12. Vad kan jag göra om jag är lärare?

  • Lyssna efter information och rekommendationer från de som ansvarar för lärplattformar eller webbpubliceringssystem som du använder i undervisningen.
  • Läs in dig på standardinformationen för studenter när den kommer. Om du samlar in eller hanterar personuppgifter som inte täcks av standardinformationen behöver du komplettera informationen till studenter och kanske samla in samtycke.
  • Notera att det är universitetet som i de flesta fall ansvarar för personuppgiftsbehandlingar som våra studenter genomför i examensarbeten och andra projekt. Det innebär att vi även ansvarar för hur studenterna informerar och samlar in samtycke.


13. Vad kan jag göra om jag är forskare?

  • Du ska anmäla forskningsprojekt med personuppgifter till dataskyddsombudet via ett webbformulär.
  • Webbformuläret håller på att uppdateras. När det är klart kommer information om detta. Till dess behöver du inte anmäla dina personuppgiftsbehandlingar inom forskningen.
  • Räkna inte med att en godkänd etikprövning innebär att vi lever upp till den nya lagstiftningen.


14. Vad kan jag göra om jag är chef?

  • Om ni har lokala administrativa system med personuppgifter behöver du bevaka att de uppfyller dataskyddsregleringen – något som planeras komma på köpet för de system som förvaltas i processmodellen PM3 från år 2019
  • Det kan komma nya styrdokument på området. Ha beredskap för att läsa in dig på dem och att kommunicera dem till de medarbetare som behöver veta.
  • Fråga universitetets dataskyddsombud om du är osäker.


15. Vad gäller för mig som arbetar med kommunikation och samverkan?

  • Personuppgifter i ostrukturerad information på papper, i mail, textfiler och på webben slutar vara ett undantag i det här sammanhanget. Det innebär t ex att vi bör radera överskottsinformation från intervjuer, utvärderingar och liknande – om det inte ska arkiveras.
  • Vi behöver arbeta in nya rutiner för hur vi hanterar foto och film, både på webben och i trycksaker. Mer information om detta finns på projektbloggen.


16. Hur förbereder jag mig om jag driver ett lokalt IT-system med personuppgifter?

Se till att systemet förvaltas och rapporteras enligt universitetets systemförvaltningsmodell, baserad på processmodellen PM3. Vänd dig till IT-kontoret för information om modellen, utvecklingsstrateg Karl Ageberg karl.ageberg@rektor.lu.se.



17. Vart vänder jag mig om jag behöver hjälp och stöd i förberedelserna?

  • Från 25 maj har universitetet ett nytt dataskyddsombud, Bo-Göran Andersson. Du når honom på dataskyddsombud@lu.se.
  • Frågor om personuppgiftsavtal ställs till avdelningen Juridik.
  • Arbete pågår för att ta fram samordnade och decentraliserade strukturer för stöd och hjälp i personuppgiftsfrågor.