Hoppa till huvudinnehåll
Länkstig

Behandling av personuppgifter

Göteborgs universitet är ansvarigt för all behandling av personuppgifter som sker inom universitetets verksamhet. Universitetet värnar om den personliga integriteten för varje enskild som är i kontakt med oss.

Universitet behandlar personuppgifter i och för universitetets uppdrag som utbildningsanordnare och forskningsinstitution samt i samband med samverkan med det övriga samhället, det vill säga den ”tredje uppgiften”.  All behandling av personuppgifter inom universitet har som syfte att understödja detta uppdrag.

All slags information som direkt eller indirekt kan kopplas till en identifierbar person, till exempel namn, personnummer, bild, e-postadress och IP-adress.

Universitetet behandlar personuppgifter för olika syften inom vår verksamhet. Inom utbildning behandlas studenters personuppgifter. Inom forskning sker behandling av forskningpersoners personuppgifter, det vill säga de som är deltagare i en forskningsstudie.

Personuppgifter behandlas också när det gäller anställda samt deltagare i konferenser eller andra evenemang. Det finns även andra situationer där universitetet behandlar personuppgifter, som vid kontakter och samarbeten mellan enskilda och andra organisationer.

I de flesta fall samlas personuppgifter in direkt från den enskilde. Detta sker vanligtvis genom kontakter mellan den enskilde och universitetet. I vissa fall kan även personuppgifterna samlas in från någon annan än från den enskilde själv.

I vissa fall har universitetet som myndighet krav på sig att lämna ut personuppgifter till andra. Det handlar till exempel om att lämna studenters studieresultat till Centrala studiestödsnämnden (CSN), eller anställdas och uppdragstagares löneuppgifter till Skatteverket.

Vilka personuppgifter som behandlas beror helt på syftet med behandlingen i det enskilda fallet. Det kan bland annat handla om:

  • Kontaktinformation som namn, adress, telefonnummer och e-postadress samt i förekommande fall personnummer
  • Uppgifter som behövs till exempel vid hjälpåtgärder för studenter och anställda
  • Bankuppgifter och andra ekonomiska uppgifter för ekonomiska transaktioner
  • Uppgifter inhämtade inom ramen för deltagande i en forskningsstudie
  • Information om studieresultat och annan information relaterat till studier
  • Information som samlas in vid besök på universitetets webbplatser i syfte att förbättra användarvänligheten på dem, exempelvis via kakor
  • Information vid deltagande i konferenser eller kurser
  • Uppgifter som behövs vid anställning eller vid ansökan om anställning

Universitet är ansvarigt för att se till att personuppgifterna skyddas av lämpliga tekniska och organisatoriska åtgärder. Universitetet säkerställer därmed en säkerhetsnivå som är lämplig i förhållandet till eventuella risker i samband med behandling av personuppgifter i det enskilda fallet. 

Säkerhetsaspekterna innefattar bedömning med hänsyn till konfidentialitet, riktighet och tillgänglighet. Det tekniska skyddet kan till exempel innebära att endast behörig person har tillgång till uppgifterna, att personuppgifterna krypteras eller att de lagras i särskilt skyddade utrymmen.

Göteborgs universitet är en myndighet vilket innebär att offentlighetsprincipen tillämpas vid universitetet. Detta betyder att var och en har rätt att begära att få ta del av all den information som finns vid universitetet. Informationen kan innehålla personuppgifter. Om inte sekretess gäller för personuppgifterna i fråga enligt offentlighets- och sekretesslagen (2009:400) så ska informationen lämnas ut. 

Universitetet har också andra uppgifter och skyldigheter som kan medföra att personuppgifter lämnas till andra parter. Det kan till exempel handla om uppgifter som behövs för att utföra en uppgift av allmänt intresse, som utgör ett led i myndighetsutövning, eller som lämnas vidare på grund av en rättslig förpliktelse.

Personuppgifter kan även i förekommande fall lämnas ut till universitets samarbetspartners till exempel inom ett forskningsprojekt, till leverantör eller till annan part som en följd av avtal mellan universitet och den enskilde.

Vid överföring till annan part vidtar universitet alla rimliga juridiska, organisatoriska och tekniska åtgärder som kan krävas för att skydda personuppgifterna. I de fall det ställs krav på att specifik information ges om att personuppgifter överförts till annan organisation kommer denna information att tillhandahållas den enskilde.

Utöver detta överlämnas inga personuppgifter till någon annan utan att det föreligger rättsligt stöd eller en rättslig förpliktelse.

Personuppgifterna sparas endast så länge som de behövs för att uppfylla ändamålet med behandlingen av uppgifterna. I vissa fall kan det finnas lag och andra bestämmelser som ställer krav på att uppgifterna ska bevaras längre tid.

När det gäller allmänna handlingar hanteras personuppgifter i dessa i enlighet med tryckfrihetsförordningen (1949:105)arkivlagen (1990:782) samt Riksarkivets föreskrifter. Detta kan innebära att personuppgifter sparas under längre eller kortare tid och i vissa fall för all framtid i universitetets arkiv.

Universitet kan i verksamheten komma att föra över personuppgifter till tredje land, det vill säga till länder utanför EU/EES. Under sådana förhållanden gäller särskild lagstiftning. Universitet kommer under sådana förhållanden att vidta alla rimliga juridiska, organisatoriska och tekniska åtgärder som krävs för att uppnå en lämplig skyddsnivå för dessa personuppgifter. Särskild information ges i det enskilda fallet till de vars personuppgifter som omfattas av en sådan överföring.

Dataskyddsförordningen anger att den enskilde har ett antal rättigheter.

Rätten till tillgång (registerutdrag)

Som enskild har du rätt att kostnadsfritt en gång per kalenderår begära information om vilka personuppgifter som universitetet behandlar om dig. Kontakta oss via dataskydd@gu.se för att begära ett utdrag av dina personuppgifter hos oss. Specificera gärna om du kommit i kontakt med oss som student, medarbetare, inom ett forskningsprojekt eller på något annat sätt. 

Rätten till rättelse

Som enskild har du rätt att begära att få personuppgifter vid universitet rättade om de skulle vara felaktiga. En sådan begäran kan med fördel skickas till närmaste kontaktperson, kursledare, chef eller annan behörig person. Universitet är skyldigt att rätta felaktiga personuppgifter utan onödigt dröjsmål.

Rätten till radering

Som enskild har du rätt att få dina personuppgifter raderade i de fall som personuppgifterna inte längre behövs för att uppfylla det ändamål som de samlades in för (rätten att bli bortglömd).

Det kan finnas bestämmelser som anger att personuppgifterna inte får raderas vilket gör att det då är dessa bestämmelser som gäller. 

Om personuppgifterna har lämnats ut till en annan part ska universitetet vidta rimliga åtgärder för att underrätta denna part om att uppgifterna har raderats.

I de fall det finns rättsliga hinder mot radering av personuppgifterna kommer universitetet att begränsa behandlingen av dessa personuppgifter till att endast omfatta behandling i den utsträckning som det finns rättsliga krav för. 

Rätten till begränsning av personuppgifter

Som enskild har du rätt att begära att behandlingen av personuppgifter begränsas genom att personuppgifterna bara får behandlas för vissa specifika ändamål. Rätt till begränsning kan göras i följande fall:

  • Om personuppgifterna inte är korrekta och universitetet behöver tid att kontrollera uppgifternas riktighet.
  • Om personuppgifterna inte längre behövs för universitetets verksamhet men du begär att de fortsatt ska lagras för att de kan behövas för att ta vara på rättsliga anspråk.
  • Om du invänder mot behandling som utförs av universitetet. Behandlingen begränsas i så fall till dess att en avvägning har gjorts mellan de skäl som du har gett för invändningen och universitetets tvingande berättigade skäl.
  • I de fall du anser att universitetet ska radera dina personuppgifter men universitetet av någon anledning inte kan tillmötesgå detta.

Rätten att invända mot behandling

Som enskild har du i vissa fall rätt att invända mot att universitet behandlar dina personuppgifter. Om det inte finns tvingande skäl för universitetet att fortsätta behandla personuppgifterna, som till exempel för att uppfylla rättsliga krav, kommer universitet då upphöra med behandlingen.

Rätten till dataportabilitet

När universitetet behandlar dina personuppgifter med stöd av de rättsliga grunderna samtycke eller avtal så har du under vissa omständigheter rätt att själv få ut de personuppgifter som du lämnat till oss för att till exempel överföra uppgifterna till en annan personuppgiftsansvarig.

Om du anser att universitetet behandlar dina personuppgifter i strid med dataskyddsförordningen har du rätt att lämna in ett klagomål till Datainspektionen. Närmare information om hur du går till väga för att lämna ett klagomål finns på Datainspektionens webbplats, www.datainspektionen.se.