Information till de registrerade

Informera i rätt tid

De registrerade har rätt att känna till att och hur deras personuppgifter behandlas. Informera därför när du samlar in personuppgifter, till exempel genom blanketter, enkäter, formulär och dylikt eller personlig kontakt, samt när någon begär det. Detsamma gäller om du vill börja behandla personuppgifter på ett nytt sätt.

När personuppgifter samlas in eller tas emot från någon annan än de registrerade, till exempel från webben, ett register eller genom kontakter med någon som lämnar uppgifter om någon annan, ska de registrerade informeras snarast möjligt, men senast inom en månad.

I det fall personuppgifterna ska användas för att kommunicera med de registrerade eller lämnas ut till någon utanför högskolan räcker det att informera vid tidpunkten för den första kommunikationen eller utlämnandet.

Undantagsfall

När personuppgifter samlas in från någon annan än de registrerade kan det ibland vara svårt att informera de registrerade. Undantagsvis är det tillåtet att inte informera de registrerade, men det måste då vara omöjligt eller medföra en oproportionell ansträngning, eller göra det omöjligt eller avsevärt svårare att uppnå ändamålen med personuppgiftsbehandlingen.

Om du bedömer att det inte är möjligt att informera de registrerade är det viktigt att dokumentera hur du resonerar, och vidta lämpliga åtgärder för att skydda de registrerades fri- och rättigheter och andra berättigade intressen.

Tydlig information

Informationen till de registrerade ska vara koncis, klar och tydlig, och lättillgänglig. Informationen ska vara skriftlig och den bör lämnas i samma form som du använder för att samla in personuppgifter, till exempel papper.

En god utgångspunkt är att tänka dig in i hur de registrerade uppfattar informationen. Är informationen enkel, tydlig och lätt att förstå? Var särskilt öppen och tydlig med behandling som kan uppfattas som integritetskänslig, till exempel sammanställning av uppgifter från flera olika källor. Detsamma gäller ovanliga behandlingar eller behandlingar som de registrerade inte räknar med.

Du måste också aktivt informera de registrerade, det vill säga göra de registrerade medvetna om att du behandlar deras personuppgifter och lämna eller göra information om behandlingen tillgänglig. All information behöver inte nödvändigtvis lämnas på en och samma gång. När det är lämpligt kan du till exempel ha ett kortare meddelande med den mest väsentliga informationen och en länk till mer detaljerad information på webben.

Krav på innehåll

Dataskyddsförordningen ställer krav på vad information till de registrerade ska innehålla:

  • Namn och kontaktuppgifter till den personuppgiftsansvarige (högskolan), den som ansvarar för den aktuella personuppgiftsbehandlingen vid högskolan, och högskolans dataskyddsombud (Åsa Dryselius).
  • Klargör vilka personuppgifter som behandlas, vad de används till (ändamål) och den rättsliga grunden för personuppgiftsbehandlingen.
  • Klargör varifrån personuppgifter kommer, om uppgifterna inte kommer från den registrerade själv.
  • Klargör vilka som kommer att ta del av personuppgifterna och namnge eventuell tredje part som kommer att få del av uppgifterna. Förklara att personuppgifterna i regel är allmänna handlingar som kan komma att lämnas ut i det fall någon begär det i enlighet med offentlighetsprincipen. Utlova inte att personuppgifterna kommer att hanteras konfidentiellt, om du inte är säker på det.
  • Klargör ifall personuppgifterna kommer att lagras eller föras över till ett land utanför EU/EES och i så fall vilket undantag från förbudet mot sådana överföringar som är tillämpligt. Tänk på att i det fall personuppgifterna lagras i högskolans molntjänster som Box eller OneDrive överförs uppgifterna till länder utanför EU/EES.
  • Förklara hur länge personuppgifterna kommer att lagras. Tänk på att tidpunkten måste vara förenlig med arkivlagstiftningen och högskolans informationshanteringsplan, och förklara att högskolan enligt lag är förhindrad att radera personuppgifterna innan den tiden löpt ut.
  • Klargör ifall den registrerade är skyldig enligt lag eller avtal att lämna sina personuppgifter och de möjliga följderna av att uppgifterna inte lämnas.
  • Förklara ifall personuppgifterna kommer att användas till automatiserat beslutsfattande, det vill säga beslut som fattas utan mänsklig inblandning, inklusive profilering.
  • Klargör att den registrerade har vissa rättigheter enligt dataskyddsförordningen och förklara vilka dessa är. Alla har rätt att begära att få tillgång till sina personuppgifter, få sina uppgifter rättade eller raderade, få behandlingen begränsad, samt klaga på behandlingen till Integritetsskyddsmyndigheten (tidigare Datainspektionen).
  • När behandlingen sker med stöd av de rättsliga grunderna myndighetsutövning eller allmänt intresse har den registrerade även rätt att invända mot behandlingen.
  • När behandlingen sker med stöd av samtycke eller avtal har den registrerade också rätt till så kallad dataportabilitet i vissa fall, det vill säga få ut personuppgifter som har lämnats i ett strukturerat, allmänt använt och maskinläsbart format för överföring till en annan personuppgiftsansvarig.
  • Klargör, när personuppgiftsbehandlingen sker med stöd av samtycke, att den registrerade alltid kan vägra att samtycka och när som helst ta tillbaka ett samtycke utan att drabbas av negativa konsekvenser. Förklara hur man gör för att ta tillbaka ett samtycke. Det ska vara lika lätt att ta tillbaka som att lämna samtycke.

Högskolans integritetspolicy

I högskolans integritetspolicy på webben beskrivs hur högskolan behandlar personuppgifter på ett övergripande sätt utifrån de mest centrala behandlingarna av personuppgifter inom högskolan samt dataskyddsförordningens och högskolans egna regler och riktlinjer. Till exempel beskrivs en stor del av behandlingen av anställdas och studenters personuppgifter, principer för att skydda de registrerades personuppgifter, och de registrerades rättigheter.

Du kan länka till högskolans integritetspolicy för att informera om en viss behandling av personuppgifter, men kontrollera alltid först att behandlingen är beskriven och att informationen stämmer för just den behandlingen som du utför.

Om du vill lägga till något eller har frågor kring högskolans integritetspolicy är du välkommen att kontakta högskolans dataskyddsgrupp. Information om unika eller ovanliga behandlingar av personuppgifter, till exempel inom en viss kurs, ett visst projekt, ett visst it-system eller i samband med ett visst event, bör dock normalt beskrivas i en särskild information som lämnas till de som berörs av behandlingen och är därför inte lämplig i integritetspolicyn.

Högskolans integritetspolicy (svenska)

Högskolans integritetspolicy (engelska)

Mallar

Ska du informera de registrerade? Använd då gärna högskolans mallar.