När rapportering sker av misstänkt missförhållanden sker samt när bedömning görs av de framkomna uppgifterna kan personuppgifter komma att behandlas. Med anledning av detta finns bestämmelser i lagen om skydd för personer som rapporterar om missförhållanden gällande personuppgiftsbehandling.

Enligt dataskyddförordningen ska ett följande krav vara uppfyllda vid behandling av personuppgifter:

• Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade
  
• Personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål - ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska dock inte anses vara oförenlig med de ursprungliga ändamålen
  
• Uppgifterna ska vara adekvata och korrekta och får inte förvaras under en längre tid än vad som är nödvändigt
• Uppgifterna måste behandlas på ett sätt som säkerställer lämplig säkerhet

Laglig grund för behandlingen

Den lagliga grunden enligt dataskyddsförordningen för behandling av personuppgifter vid intern rapportering är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åligger högskolan med anledning av att personuppgiftsbehandlingen sker i enlighet med reglerna i lag om skydd för personer som rapporterar missförhållanden.

Ändamålen med behandlingen

I enlighet med lagen om skydd för personer som rapporterar missförhållanden.får personuppgifter behandlas om behandlingen är nödvändig för ett ärende avseende uppföljning av vad som framkommit i rapporten.

Personuppgifter får också behandla för att fullgöra ett uppgiftslämnande som

• är nödvändigt för att åtgärder ska kunna vidtas med anledning av det som har framkommit i ett ärende,
• är nödvändigt för att rapporter ska kunna användas som bevisning i rättsliga förfaranden, eller
• sker i överensstämmelse med lag eller förordning.

Personuppgifter som behandlas för ändamålet får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Enligt bestämmelsen får personuppgifter behandlas om det är nödvändigt för att åtgärder ska kunna vidtas med anledning av det som har framkommit i ett ärende. Det kan röra sig om åtgärder som behöver vidtas av en ledningsfunktion, rättsfunktion eller personalfunktion inom högskolan. Enligt bestämmelsen får personuppgifter behandlas om det är nödvändigt för att rapporter ska kunna användas som bevisning i rättsliga förfaranden. De förfaranden som kan vara aktuella är framför allt tvister enligt denna lag, arbetsrättsliga tvister och brottmålsförfaranden.I bestämmelsen föreskrivs att personuppgifter får behandlas för att fullgöra ett uppgiftslämnande i överensstämmelse med lag eller förordning. Ett sådant uppgiftslämnande kan t.ex. vara aktuellt om uppgifter behöver lämnas ut för att uppfylla krav enligt offentlighets- och sekretesslagen (prop. 2020/21:193 s. 300).

Enligt lagen får personuppgifter som behandlas för ändamålet behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Bestämmelsen tydliggör att den s.k. finalitetsprincipen, dvs. att personuppgifter endast får behandlas för de ändamål som angavs när uppgifterna samlades in, gäller vid behandling av personuppgifter. Bestämmelsen innebär dock att bl.a. behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål inte ska anses vara oförenlig med de ursprungliga ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i dataskyddsförordningen ska beaktas vid bedömningen om behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in (prop. 2020/21:193 s. 301).

Tillgång till personuppgifter

I enlighet med lagen får endast personer som har utsetts som behöriga eller personer som arbetar vid enheter som har utsetts som behöriga att ta emot, följa upp och lämna återkoppling på rapporter ha tillgång till personuppgifter som behandlas i ett uppföljningsärende. Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Bestämmelserna i paragrafen reglerar tillgången till personuppgifter som finns i ett uppföljningsärende. Den innebär ett uttryckligt krav på att endast personer som har utsetts som behöriga eller personer som arbetar vid enheter som har utsetts som behöriga att ta emot, följa upp och lämna återkoppling på rapporter får ha tillgång personuppgifter som behandlas. Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Tillgången till personuppgifter kan således variera inom personalgruppen beroende på vilka arbetsuppgifter som var och en ska utföra i uppföljningsärendet. Hur stor krets som får ha tillgång till personuppgifterna måste avgöras från fall till fall med beaktande av dataskyddsförordningens grundläggande principer (prop. 2020/21:193 s. 301).

Längsta tid som personuppgifter får behandlas

I enlighet med lagen får personuppgifter som uppenbart inte är relevanta för handläggningen av en viss rapport inte samlas in och ska raderas snarast möjligt om de har samlats in av misstag.

Uppgifter som uppenbart inte är relevanta kan vara uppgifter som inte har någon som helst koppling till påståendena om missförhållanden eller till uppföljningen av påståendena. Sådana uppgifter får inte samlas in och om de samlas in av misstag ska de raderas snarast möjligt (prop. 2020/21:193 s. 301).

I enlighet med lagen får personuppgifter i ett ärende inte behandlas längre än två år efter det att ärendet avslutades. Bestämmelsen hindrar dock inte att högskolan i egenskap av en statlig myndighet arkiverar och bevarar allmänna handlingar.