Varför ska jag anmäla min personuppgiftsbehandling?
Universitetet ska enligt dataskyddsförordningen föra ett register över sådana behandlingar av personuppgifter som sker helt eller delvis automatiserat. Universitetet har på en övergripande nivå i registret tagit upp de personuppgiftsbehandlingar som normalt kan förutses i verksamheten. Enskilda forskningsprojekt, IT-system och fall där universitetet agerar personuppgiftsbiträde kräver dock särskild anmälan. Begreppet IT-system omfattar även IT-tjänster och externa molntjänster.
Hur anmäls personuppgiftsbehandlingar?
En anmälan om personuppgiftsbehandling gör du genom att skicka en e-post till pulo@umu.se och uppger att du ska behandla personuppgifter. Du måste specificera om behandlingen ska ske inom forskning, IT-system eller om universitetet är personuppgiftsbiträde. Är du osäker är det bra om du kort beskriver vad det är du ska göra.
Du kommer sedan att få en informationsskrivelse samt en länk till ett digitalt formulär där du själv fyller i de uppgifter som efterfrågas. Din anmälan hamnar sedan i vårt diarieföringssystem W3D3. Kontakta pulo@umu.se vid oklarheter kring formuläret.
Vem ska anmäla personuppgiftsbehandling och ska all personuppgiftsbehandling anmälas?
- Varje forskningsprojekt där personuppgifter behandlas ska anmälas av ansvarig forskare.
- Personuppgiftsbehandling som sker i IT-system ska anmälas av systemägaren.
- Register ska även föras över när Umeå universitet är personuppgiftsbiträde. Den som är ansvarig vid Umeå universitet för avtalsförhållandet där biträde förekommer ska anmäla sådan behandling.
Det är enbart sådana behandlingar av personuppgifter som sker helt eller delvis automatiserat som ska anmälas.
Exempel på helt/delvis automatiserad behandling är:
- Behandling i datorer av personuppgifter som finns i datorformat samt överföring av personuppgifter till datorformat, t.ex. när man behandlar personuppgifterna i ett sökbart register eller i en databas.
- Digitala ljud- och bildinspelningar.
- Manuell insamling av personuppgifter exempelvis genom pappersenkäter som man sedan registrerar i datorformat t.ex. genom att lägga in svaren i ett sökbart register eller databas.
- Personuppgifterna som behandlas och sparas digitalt i exempelvis ett Worddokument, Exceldokument eller pdf-format.
Du behöver inte avanmäla personuppgiftsbehandlingen, men däremot ska du ange när den förväntas upphöra. Om det sker någon förändring avseende den information du lämnat angående din personuppgiftsbehandling kan du göra en ändringsanmälan. Kontakta pulo@umu.se för att få särskild blankett för detta.
Studentarbeten behöver inte anmälas särskilt utan en sådan anmälan finns redan gjord för alla studentarbeten gemensamt.
Om du som anställd enbart behandlar personuppgifter på ett förutsägbart sätt med hänsyn till universitetets verksamhet inom ett IT-system, så behöver användaren inte anmäla personuppgiftsbehandlingen utan det åligger systemägaren att anmäla IT-systemet
Du behöver inte heller anmäla personuppgiftsbehandling inom utbildning och administration om behandlingen sker på ett förutsägbart sätt.
Är du osäker om du ska anmäla din behandling av personuppgifter bör du kontakta pulo@umu.se för att utreda om din behandling ska anmälas.
När ska min personuppgiftsbehandling anmälas?
Innan du inleder eller startar ett forskningsprojekt, tillhandahåller ett IT-system eller börjar utföra uppgifter i egenskap av personuppgiftsbiträde som kräver helt eller delvis automatiserad behandling av personuppgifter, ska du anmäla sådan behandling till universitetets dataskyddsombud.
Om du av någon anledning inte har anmält en pågående personuppgiftsbehandling ska du inkomma med din anmälan så snart som möjligt. Kontrollera därför att dina pågående behandlingar är anmälda.
Vad händer efter min anmälan?
Din anmälan förs in i ett register över personuppgiftsbehandlingar vid Umeå universitet.
Ytterligare frågor kring anmälan?
Kontakta dataskyddsombudet med dina funderingar genom att skicka en e-post till pulo@umu.se