Dataskyddsförordningen

Dataskyddsförordningen börjar gälla den 25 maj 2018 och ersätter personuppgiftslagen (PuL).

Det övergripande syftet är att säkerställa och förstärka individens rätt till sitt privatliv genom skydd av personuppgifter. Detta innebär att individen, när KTH på något sätt hanterar dennes personuppgifter, har rätt till insyn om hur och varför uppgifterna behandlas och kan efter begäran bl.a. få sina uppgifter överförda till en annan extern part (företag, myndigheter m.m.).

Dataskyddsförordningen innebär en skärpning av de regler som finns i PuL, men ställer också upp några nya krav.

KTH:s webbutbildning om dataskyddsförordningen

Direktlänkt till webbutbildningen: kth.instructure.com/courses/8356

Hur förbereder sig KTH inför dataskyddsförordningen?

KTH håller på att genomföra olika aktiviteter för att anpassa sig till dataskyddsförordningen. Lista över aktiviteter finns här. Aktivitetsplan_publicerad_version_ 180514.pdf (pdf 213 kB)

Listan uppdateras kontinuerligt.

Rektorns beslut om dataskyddsombud: V-2018-0157_Beslut_Förordnade_av_dataskyddsombud.pdf (pdf 81 kB)

Om du har frågor, vänligen kontakta KTH:s personuppgiftsombud.

Krav som KTH ska uppfylla

KTH ska se till att individens rättigheter säkerställs vid alla skeden av en hantering av personuppgifter och oavsett på vilket sätt. Detta gör vi bl.a. genom att:

  • Vi på ett tydligt och lättbegripligt sätt kan redogöra för hur KTH behandlar personuppgifter.
  • Personuppgifterna ska alltid behandlas på laglig grund.
  • Vi kan motivera varför KTH samlar in, bearbetar och förvarar personuppgifterna samt varifrån vi har fått uppgifterna. Det ska finnas ett tydligt ändamål med hanteringen.
  • Vi ser till att personuppgifterna är relevanta och inte för omfattande i relation till syftet med insamlingen, bearbetningen eller förvarandet.
  • Vi håller personuppgifterna korrekta och uppdaterade.
  • Vi inte förvarar personuppgifter längre än nödvändigt med hänsyn till syftet. Vad som ska gallras och bevaras framgår av KTH:s dokumenthanteringsplan.
  • Vi vidtar tekniska och organisatoriska åtgärder för att säkerställa tillräckligt skydd så att personuppgifterna inte riskerar att komma i orätta händer eller bli manipulerade.
  • Vi jobbar aktivt med dataskydd, bl.a. att se till att de system, molntjänster eller andra ställen som vi använder för att samla in, bearbeta eller spara personuppgifter är utformade så att dataskyddsförordningen upprättshålls. Detta kan t.ex. vara funktioner som omöjliggör att fler personuppgifter än vad som är nödvändig samlas in.

KTH ska kunna visa att detta följs, t.ex. genom egna regelbundna kontroller, anvisningar och dokumentation.

Det ska alltid finnas en laglig grund för alla hantering av personuppgifter. De vanligaste lagliga grunderna som KTH följer är:

  • att behandlingen är nödvändig för att kunna utföra en uppgift av allmänt intresse eller för myndighetsutövning, t.ex. examinera studenter.
  • att behandlingen är nödvändig för att fullgöra ett avtal eller en rättslig förpliktelse, t.ex. internationella studenter och utredning av arbetskador.
  • samtycke från den registrerade, t.ex. vid rekrytering och anmälan till konferenser.

Vilka rättigheter har individen?

Individen har flera rättigheter gentemot KTH:

  • Rätt till information – individen ska fåinformation när personuppgifterna hanteras och vid vissa speciella situationer, så som dataintrång (s.k. personuppgiftsincidenter).
  • Rätt till rättelse – ska få möjlighet att rätta, komplettera och justera sina egna personuppgifteruppgifter.
  • Rätt till radering ("rätten att bli bortglömd") – i vissa fall har individen rätt att få sina uppgifter raderade.
  • Rätt till begränsning av behandling – i vissa fall har individen rätt att begära att hanteringen begränsas. Detta kan ske genom att personuppgifterna markeras för att på så sätt i framtiden hanteras endast för vissa avgränsade syften.

  • Dataportabilitet – under vissa förutsättningar har individen rätt att få ut och överföra personuppgifterna till ett annat ställe (t.ex. annan organisation).
  • I vissa fall rätt att göra invändningar mot vidare hantering.
  • Rätt att inte bli föremål för ett beslut, som har rättslig verkan, genom ett automatiserat beslutsfattande (inklusive profilering), om det inte finns ett undantag i annan lag eller samtycke har givits.
  • Klagomål och skadestånd– individen har rätt att lämna klagomål till KTH och Datainspektionen.

Om du vill veta mer

KTH:s webbutbildning om GDPR ("GDPR@KTH") finns i Canvas (begränsad åtkomst endast tillKTH:s personal).

Allmän information finns på Datainspektionens hemsida

Infograf om dataskyddsförordningen finns här.

Hjälpte denna sida dig?
Tack för din åsikt!
Till sidans topp