Ändamålsbegränsning

Tydliga ändamål

Ändamålen med behandlingen av personuppgifter sätter ramarna för vad du får och inte får göra, till exempel vilka personuppgifter du får behandla och vad de får användas till.

Ändamålen ska vara specifika och konkreta. Det är till exempel inte tillräckligt att ha "administration", "marknadsföring" eller "forskning" som ändamål. Det är alltför brett uttryckt, och det går inte bedöma vad personuppgiftsbehandlingen innebär.

Dokumentera ändamålen

Det räcker inte att följa dataskyddsförordningen, utan högskolan måste också kunna visa att vi följer reglerna. Dokumentera därför ändamålen med behandlingen av personuppgifter och på vilken rättslig grund behandling sker.

Behandling för nya ändamål

Om du vill börja behandla personuppgifter på ett nytt sätt, måste det vara förenligt med behandlingens ursprungliga ändamål. I sådana fall kan du stödja dig på samma rättsliga grund som innan, men kom ihåg att informera de registrerade om den nya behandlingen innan den börjar.

Om du däremot vill börja behandla personuppgifter på ett sätt som inte är förenligt med behandlingens ursprungliga ändamålen, är det fråga om en helt ny behandling. Du måste då börja med att bestämma rättslig grund för behandlingen och stämma av att behandlingen uppfyller dataskyddsförordningens grundläggande principer och övriga krav.

För att avgöra om en ny personuppgiftsbehandling är förenlig med tidigare ändamål bör du fundera på följande frågor. I tveksamma fall bör en behandling för nya ändamål betraktas som en helt ny behandling.

  • Vilka kopplingar finns mellan de nya och ursprungliga ändamålen?
  • I vilket sammanhang har personuppgifterna samlats in?
  • Vilken personuppgiftsbehandling kan de registrerade räkna med?
  • Vilken typ av personuppgifter ska du behandla? Är de integritetskänsliga?
  • Vilka konsekvenser kan personuppgiftsbehandlingen få för de registrerade?
  • Vilka skyddsåtgärder används, till exempel behörighetsstyrning och kryptering?

Behandling av personuppgifter som samlats in av andra

En stor del av de personuppgifter som behandlas i arbetet har förmodligen samlats in av någon annan från början, till exempel uppgifter som kommer från studieregistret Ladok eller högskolans diarium, W3D3.

Kom ihåg att personuppgifter som du hämtar från högskolans it-system eller som du får av kollegor också bara får behandlas för de ändamål som de ursprungligen samlats in för. Säkerställ därför vid osäkerhet att det du vill göra med uppgifterna är tillåtet. Bara för att du får del av, eller har möjligt att ta del av, personuppgifter innebär det inte att du också får behandla dem hur som helst.

Registerförfattningar

Behandlingen av personuppgifter kan vara särskilt reglerade i så kallade registerförfattningar. Till exempel regleras uppgifter om studenter i Ladok av förordning (1993:1153) om redovisning av studier m.m. vid universitet och högskolor. Där anges bland annat för vilka ändamål uppgifterna får behandlas:

  • Säkra att uppgifter om sökande till utbildning, genomgångna studier, betyg över utbildningar och examina bevaras,
  • uppföljning och utvärdering,
  • antagning av studenter,
  • beslut om anmälningsavgift eller studieavgift,
  • avstängning av studieavgiftsskyldiga studenter,
  • administration,
  • utlämnande av uppgifter i vissa uppräknade fall,
  • rapportering av officiell statistik till SCB,
  • resurstilldelning, och
  • forskning.