Skip to main content

Personuppgifter & dataskydd: Rättigheter & skyldigheter

På dessa sidor sammanfattas regelverket i Dataskyddsförordningen. Här finns även stöd i form av checklistor, blanketter och länkar till mer information.

Registrerades rättigheter

Information: Den registrerade har rätt att få klar och tydlig information om vilka personuppgifter som behandlas och hur, både vid insamlandet och på begäran.

Rättelse: Den registrerade har rätt att få felaktiga uppgifter rättade eller uppdaterade.

Radering: Den registrerade kan i vissa fall be att få uppgifter raderade. Det kan dock finnas annan lagstiftning som gör att högskolan är skyldig att bevara uppgifterna.

Begränsning: Den registrerade kan i vissa fall begära att behandlingen av uppgifter begränsas, t.ex. i de fall den registrerade anser att uppgifterna är felaktiga och begär rättelse.

Dataportabilitet: Den registrerade har i vissa fall rätt att flytta sina personuppgifter, om uppgifterna kommer från den registrerade själv och behandlingen stöds av samtycke eller avtal.

Invända mot behandling: Registrerade kan invända mot behandling, t.ex. direktmarknadsföring, men även annan behandling i vissa fall.

Invända mot automatiserat beslutsfattande och profilering: Registrerade kan invända mot beslut som fattas automatiserat (maskinellt) och mot profilering (maskinell bedömning av personliga egenskaper) i den mån det förekommer.

Klagomål: Registrerade kan klaga på behandlingen till Datainspektionen.

Skadestånd: Registrerade som anser sig ha lidit skada kan begära skadestånd av högskolan, personuppgiftsbiträde eller hos domstol.

Läs mer om registrerades rättigheter hos Datainspektionen.

Personuppgiftsansvarigas skyldigheter

Information: När vi behandlar personuppgifter ska vi informera den registrerade i enlighet med kraven i dataskyddsförordningen.

Anmäla och registrera pågående behandlingar: Vi ska föra förteckning över alla pågående behandlingar. För att en behandling ska kunna registreras måste den anmälas till högskolans dataskyddsombud.

Inbyggt skydd & dataskydd som standard: Vi ska säkerställa att skydd av personuppgifter byggs in i IT-tjänster och rutiner, samt att personuppgifter bara behandlas i dessa när det är nödvändigt.

Säkerhet: Vi måste vidta lämpliga säkerhetsåtgärder, både tekniskt och organisatoriskt. Hur säkerheten ska utformas beror på bland annat på riskerna med behandlingen, vilken typ av uppgifter som behandlas, på de tekniska möjligheter som finns och kostnaderna för detta.

Konsekvensbedömningar: Om en första riskanalys visar att en behandling innnebär särskilda risker ska en konsekvensbedömning göras. Det gäller t.ex. vid storskaliga register med känsliga personuppgifter. Om konsekvensbedömningen visar på hög risk ska även samråd med Datainspektionen ske innan behandlingen påbörjas.

Personuppgiftsincidenter: Personuppgiftsincidenter som dataintrång eller förlust av uppgifter ska dokumenteras. Om det finns risk för enskildas fri- och rättigheter ska det anmälas till Datainspektionen inom 72 timmar. I allvarliga fall ska även registrerade informeras, t.ex. vid risk för identitetsstöld eller bedrägeri.

Dataskyddsombud: Myndigheter som högskolan måste utse dataskyddsombud.

Läs mer om personuppgiftsansvarigas skyldigheter hos Datainspektionen.

Vad händer om vi gör fel?

Datainspektionen: Den som anser att personuppgifter behandlas felaktigt kan klaga hos Datainspektionen, som kan genomföra tillsyn och utfärda varningar eller förelägganden. De kan även besluta att begränsa eller förbjuda behandling samt besluta om administrativa sanktionsavgifter.

Skadestånd: Den som anser sig ha lidit skada av behandlingen kan begära skadestånd från den personuppgiftsansvarige, från personuppgiftsbiträdet eller väcka talan i domstol.