Huvudmeny
checklista

Checklista

I personuppgiftslagen (PuL) finns regler för hur personuppgifter får behandlas. Lagen bygger i hög grad på samtycke och information till de registrerade. Nedan checklista är ett stöd i bedömningen av om och i så fall vilken omfattning PuL är tillämplig på en tänkt behandling.

  • Är det en personuppgift?
    Personuppgift är all slags uppgifter som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Även kodade uppgifter kan anses vara personuppgifter i det fall någon har en kodnyckel. Den som har kodnyckeln behöver inte vara anställd på högskolan, utan kan befinna sig på en annan myndighet eller ett privat företag.
  • Rör det sig om en behandling av personuppgifter i PuL:s mening? 
    Behandling är varje slags åtgärd som vidtas i fråga om personuppgifter.
  • Är det fråga om en behandling av personuppgifter i regelrätta register/databaser eller i löpande text?
    Om det inte rör sig om ett register eller databas ska det göras en övergripande bedömning av om behandlingen kan anses innebära en kränkning av den registrerades integritet.
  • Finns det någon speciallag som reglerar högskolans personuppgiftsbehandling?
    För högskolan finns speciallagstiftning, t.ex. förordningen om redovisning av studier m.m. vid universitet och högskolor (LADOK).
  • Sker behandling på grund av krav i tryckfrihetsförordningen eller arkivlagstiftningen?
    Enligt PuL ska lagen inte tillämpas då myndigheter behandlar personuppgifter i samband med utlämnande av allmänna handlingar eller arkivering. Dock viktigt att komma ihåg att det finns en koppling mellan offentlighets- och sekretesslagen (OSL)  och PuL i 21 kap 7 § OSL. Sekretess föreligger för personuppgift om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med PuL. Detta innebär att PuL kan bli tillämplig när man ska göra sekretessprövningen vid begäran om att få ut allmän handling. I dessa fall får man även efterfråga vad uppgifterna ska användas till för att kunna göra en korrekt sekretessprövning.
  • Behandlas personuppgifterna uteslutande för journalistiskt, konstnärligt eller litterärt ändamål?
    Alla behandlingar som sker i opinionsbildande eller liknande syften anses enligt PuL vara för journalistiska ändamål oavsett om behandlingen sker av media, någon enskild eller annan.
  • Är alla personuppgifter relevanta i förhållande till ändamålet med behandlingen?
    I PuL finns krav om att endast nödvändiga och adekvata personuppgifter får behandlas.
  • Finns det rutiner för att uppdatera och rätta de behandlade uppgifterna?
    PuL ställer krav på att alla uppgifter som behandlas är aktuella och riktiga. Det måste också finnas rutiner för hur uppgifterna rättas, uppdateras och raderas.
  • Har den registrerade lämnat sitt samtycke till behandlingen? 
    Antingen krävs samtycke eller att behandlingen är nödvändig på någon annan grund enligt 10 § PuL, till exempel för att fullgöra avtal med kunder eller medlemmar eller efter en intresseavvägning där intresset för högskolan att få behandla personuppgifterna väger tyngre än den integritetskränkning denna behandling kan innebära för de registrerade.
  • Är det fråga om känsliga uppgifter, personnummer eller lagöverträdelser?
    Med känsliga uppgifter avses ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller personuppgifter som rör hälsa eller sexualliv. För denna typ av uppgifter gäller strängare regler enligt PuL.
  • Innebär behandlingen överföring till land utanför EU och EES?
    Möjligheten att föra över personuppgifter till länder utanför EU och EES är starkt begränsade.
  • Finns rutiner för hur information ska lämnas till den registrerade?
    I PuL finns ett flertal bestämmelser om hur och vilken information som ska lämnas.
  • Har högskolan vidtagit säkerhetsåtgärder för att skydda de personuppgifter som behandlas?
    Enligt PuL ska högskolan vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Det rör sig om såväl tekniska som administrativa säkerhetsåtgärder.