Syftet med dataskyddsförordningen är både att tydliggöra de enskildas rättigheter som att öka ansvaret för och kraven på de personuppgiftsansvariga. För Umeå universitet är det av stor vikt att allmänheten har förtroende för vår personuppgiftsbehandling.
Umeå universitet behandlar mycket personuppgifter inom alla delar av vår verksamhet. Vi behandlar alla studenters personuppgifter inom utbildningen, våra medarbetares och andras personuppgifter inom den administrativa och myndighetsutövande verksamheten. Stor del av vår forskning förutsätter tillgång till personuppgifter för sitt genomförande.
Att allmänheten har förtroende för vår behandling av deras personuppgifter är därför av stor vikt för att vi ska kunna utföra vår verksamhet. Umeå universitet måste därför vara beredd att möta de krav dataskyddsförordningen ställer på oss i maj 2018.
Förstudie som sen blir ett projekt
En förstudie, med Sara Wilhelmsson, ITS, som projektledare, ska vara klar i december 2017. Förstudien ska kartlägga vad vi behöver göra för att möta kommande lagstiftning. Förstudien ska även föreslå ett ledningssystem för personuppgiftbehandling samt en projektplan för införande av dataskyddsförordningen, ett projekt som kommer att bedrivas med början under vårterminen 2018. Projektet kommer bl a att ta fram styrdokument, utarbeta rutiner och utbildningsmaterial.
I maj 2018 kommer universitetet att utse ett dataskyddsombud, obligatoriskt för oss enligt dataskyddsförordningen, som kommer att ersätta nuvarande personuppgiftsombud.
Register över alla personuppgiftsbehandlingar
För att Umeå universitet som personuppgiftsansvarig ska kunna möta de ökade krav som ställs av dataskyddsförordningen krävs att universitetet har ett samlat grepp om vilka personuppgifter vi behandlar, var de behandlas och med vilken laglig grund vi behandlar dem.
Här kommer det förbättrade registret över alla personuppgiftsbehandlingar – till vilket alla personuppgiftsbehandlingar ska anmälas - att vara en viktig grund för att nå detta.
Organisatorisk och teknisk säkerhet
Vi behöver också skapa en gemensam struktur för hur vi hanterar behörigheter till personuppgifter. För att kravet på lämplig teknisk säkerhet ska kunna mötas måste vi skapa ett system för informationsklassning och erbjuda lämpliga tekniska lösningar för olika typer av personuppgiftsbehandlingar.
Vi måste också se till att de rättigheter de registrerade får i dataskyddsförordningen kan tillgodoses i den struktur och organisation vi skapar. Här kommer ett nära samarbete med det informationssäkerhetsarbete som pågår vid universitetet vara en förutsättning för att vi ska kunna nå vårt mål.
Information och utbildning
Eftersom i princip alla medarbetare vid Umeå universitet behandlar personuppgifter i sitt arbete är det också av yttersta vikt att tydlig information finns att tillgå, att målgruppsanpassad utbildning ges samt att det finns en stödorganisation vid universitetet.
Varje medarbetares ansvar
Varje medarbetare ansvarar för att den personuppgiftsbehandling den gör följer lagar, regler och instruktioner. Vad kan man som anställd göra för att förbereda sig för dataskyddsförordningen?
- Följ de regler som gäller enligt personuppgiftslagen – se https://www.aurora.umu.se/regler-och-riktlinjer/juridik/personuppgifter/
- Säkerställ att alla personuppgiftsbehandlingar är anmälda till personuppgiftsombudet pulo@umu.se.
- Behandla bara personuppgifter i system och it-tjänster som är godkända för sådan behandling.
- Se till att eventuella personuppgiftsbiträdesavtal du ansvarar för är aktuella och uppdatera dessa efter behov.
- Var särskilt observant på de särskilda krav som gäller om du ska behandla känsliga personuppgifter.
Chatarina Larson
Biträdande förvaltningschef, verksamhetsområde för ekonomi-, arbetsgivar- och myndighetsfrågor
Enhetschef Universitetsledningens kansli