De registrerades rättigheter
Rätt till information och registerutdrag
De registrerade har rätt att få information om att och hur deras personuppgifter behandlas. De har också rätt att vända sig till högskolan och få ett så kallat registerutdrag. Ett registerutdrag ska innehålla en kopia av de personuppgifter som behandlas, samt de upplysningar om behandlingen som ska lämnas i samband med att personuppgifter samlas in. Registerutdrag ska lämnas senast inom en månad från att begäran mottagits.
Rätt till radering, rättelse och komplettering
De registrerade har rätt att vända sig till högskolan och be att få sina personuppgifter raderade, rättade eller kompletterade. Det finns emellertid flera undantag från rätten till radering, till exempel för att utföra en uppgift av allmänt intresse, vilket gör att det inte alltid blir aktuellt att tillmötesgå den registrerades begäran och radera uppgifterna. Varje begäran måste dock alltid prövas individuellt!
Rätt till begränsning av behandling
De registrerade har rätt att begära att behandlingen av deras personuppgifter begränsas. Med det menas att personuppgifterna markeras så att de endast får behandlas för vissa avgränsande syften. Begränsning av behandling kan till exempel bli aktuellt i samband med att en registrerad vill att behandlingen helt ska upphöra, men högskolan först behöver pröva om det är möjligt att tillmötesgå begäran.
Rätt att göra invändningar
När personuppgifter behandlas för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, har de registrerade rätt att invända mot behandlingen. Uppgifterna får då bara fortsätta att behandlas om det går att visa att det finns tvingande berättigade skäl till att uppgifterna måste behandlas som väger tyngre än den registrerades intressen.
De registrerade har alltid rätt att invända mot att deras personuppgifter används för direkt marknadsföring. Framställs en sådan invändning får alltså uppgifterna inte längre behandlas för sådana ändamål.
Automatiserat beslutsfattande och profilering
Enskilda har rätt att inte bli föremål för automatiserade beslut, det vill säga beslut som fattas helt utan mänsklig inblandning, om beslutet kan ha rättsliga följder eller på liknande sätt i betydande grad påverka dem.
Automatiserade beslut kan fattas med eller utan profilering. Omvänt kan profilering användas utan att det leder till ett automatiserat beslut.
Med profilering menas varje form av automatisk behandling av personuppgifter för att bedöma vissa personliga egenskaper, i synnerhet för att analysera eller förutsäga en fysisk persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.
Automatiska beslut och profilering är normalt inte tillåtet, men kan vara det i undantagsfall.
Dataportabilitet
Dataportabilitet innebär att den som har lämnat sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format har rätt att få ut uppgifterna för att överföra dem till en annan personuppgiftsansvarig.
Den som har tagit emot personuppgifterna är skyldig att underlätta en sådan flytt av uppgifter. En förutsättning är dock att uppgifterna behandlas med stöd av den registrerades samtycke eller ett avtal med den registrerade. Och det gäller bara sådana uppgifter som den registrerade själv har lämnat.
Handläggning
Kontakta informationshanteringsrådet
En registrerades begäran om att utöva sina rättigheter ska normalt handläggas som ett ärende och diarieföras. Begäran ska handläggas skyndsamt och allra senast inom en månad efter att begäran kommit in till högskolan.
En begäran kan avse personuppgifter som endast behandlas inom en viss verksamhet, eller som behandlas inom flera av högskolans verksamheter, till exempel uppgifter i Ladok. Kontakta alltid informationshanteringsrådet (före detta dataskyddsgruppen) i det senare fallet eller om du annars är osäker på hur begäran ska handläggas!
Identifiering av den registrerade
Om en registrerad begär att till exempel få sina personuppgifter raderade, är det viktigt att först säkerställa att den registrerade är den som personen utger sig för att vara. Hur identifieringen ska gå till regleras inte i dataskyddsförordningen, det får man själv bedöma utifrån förhållandena i det enskilda fallet.
Det är tillåtet att be om kompletterande information om det behövs för att identifiera den registrerade, till exempel en kopia av personens legitimation. Men samla inte in mer uppgifter än vad som behövs. Identifieringen får inte leda till en ny, onödig behandling av personuppgifter.
En registrerads begäran att utöva en viss rättighet, till exempel rätten till radering, måste normalt alltid prövas. Det är bara om det är omöjligt att identifiera den registrerade som det går att vägra att hantera begäran.
Skriftligt beslut
I det fall det saknas rättsliga förutsättningar att helt eller delvis bevilja en registrerads begäran, ska det fattas ett beslut om att avslå begäran. Beslutet ska fattas av en behörig beslutsfattare inom högskolan, vara skriftligt och innehålla en motivering inklusive vilka rättsregler som är tillämpliga samt en överklagandehänvisning.
Beslut att avslå en begäran kan överklagas till förvaltningsrätten. Den registrerade har också alltid rätt att lämna in ett klagomål till Integritetsskyddsmyndigheten (tidigare Datainspektionen), som är tillsynsmyndighet.
Anmälningsskyldighet
Om personuppgifter rättas eller raderas på den registrerades begäran ska alla som uppgifterna har lämnats ut till informeras om rättelsen eller raderingen, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Detsamma gäller om behandlingen av personuppgifter begränsas.
Om personuppgifterna som ska raderas på den registrerades begäran har offentliggjorts måste dessutom rimliga åtgärder vidtas för att informera andra personuppgiftsansvariga som behandlar uppgifterna om att radera eventuella länkar till eller kopior eller reproduktioner av personuppgifter.
På begäran har den registrerade även rätt att få information om till vem eller vilka personuppgifterna har lämnats ut.