GDPR FAQ
Här hittar du svar på några av de vanligaste frågorna om dataskyddsförordningen. Saknar du något? Kontakta gärna dataskyddsombud@kth.se med dina förslag.
Dataskyddsförordningen i det dagliga arbetet
Dataskyddsförordningen väcker många praktiska frågor – t.ex. vad jag får skicka och inte skicka via e-post och hur vi hanterar personuppgifter på ett korrekt sätt. Här hittar du några scenarier med KTH:s ställningstagande, vilket ska hjälpa dig några vanliga arbetssituationer.
Frågor och svar (FAQ)
Vad är en personuppgift?
All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet, tex namn, personnummer, adress och e-postadress, bild och ljuduppgifter om en fysisk person räknas som personuppgifter. Krypterade eller kodade uppgifter är också personuppgifter om någon har en nyckel som kan koppla dem till en person.
Vad är känsliga personuppgifter?
Känsliga personuppgifter är uppgifter om bl.a. etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa, sexualliv eller sexuell läggning. Även genetiska uppgifter (t.ex. DNA) och, biometriska uppgifter för att entydigt identifiera en fysisk person (t.ex. ansiktsbilder eller fingeravtrycksuppgifter) tillhör denna kategori. Dessa får aldrig sparas om inte särskilda skäl finns för undantag.
Vad är en behandling?
Med behandling avses vad du än gör med en personuppgifterna, t.ex. insamling, lagring och spridning. Med andra ord, om hantering av personuppgifter sker i någon form utförs en behandling i dataskyddsförordningens mening.
Vad gör jag när någon begär att få sina personuppgifter raderade?
Som individ har man rätt att begära att de personuppgifter som finns förvarade på KTH raderas. Denna rätt gäller under vissa premisser.
Får ni en begäran om att få sina personuppgifter raderade, skicka ärendet till dataskydd@kth.se.
Vad ska göra om någon vill veta vilken information som KTH sparar om denne?
En individ har alltid laglig rätt att begära att få information om vilka personuppgifter som finns lagrade om är korrekta. Om en begäran om att få ett ”registerutdrag” kommer in ska den hänvisas till dataskydd@kth.se.
Vad är en rättslig grund?
En rättslig grund är de enligt dataskyddsförordningen tillåtna sätten att behandla personuppgifter. Vi måste alltid ha en laglig grund för att göra det.
Observera att det finns regler för gallring av dokument. Vad som ska gallras och arkiveras framgår av KTH:s Informationshanteringsplan .
När behöver jag ett personuppgiftsbiträdesavtal?
Enligt dataskyddsförordningen krävs skriftligt avtal mellan den som är personuppgiftsansvarig och den som är personuppgiftsbiträde. Avtalet benämns personuppgiftsbiträdesavtal. Den organisation som behandlar personuppgifter för en personuppgiftsansvarigs räkning kallas personuppgiftsbiträde. KTH har en egen personuppgiftsbiträdesavtalsmall. Kontakt dataskyddsombudet (dataskyddsombud@kth.se) för mer information och stöd.
Behöver jag anmäla alla mina Excelblad?
KTH är skyldig att föra en skriftlig förteckning över behandlingar som utförs under dess ansvar. Dataskyddsombudet har av rektorn blivit utsedd att hålla förteckningen aktuell.
Excelblad behöver inte anmälas. Det är framför allt när du planerar en verksamhet eller gör någonting unikt som det är viktigt att anmäla sin behandling.