Personuppgiftsansvariga och personuppgiftsbiträden
Den som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde. Högskolans skyldigheter enligt dataskyddslagstiftningen ser olika ut beroende på vilket ansvar som lärosätet har för en viss behandling. Därför är de viktigt att kunna bedöma om högskolan är personuppgiftsansvarigt, gemensamt personuppgiftsansvarigt eller personuppgiftsbiträde för en viss personuppgiftsbehandling.
Personuppgiftsansvarig
Personuppgiftsansvarig är den som självständigt bestämmer för vilka syften personuppgifterna ska behandlas och hur behandlingen ska gå till. I högskolans dagliga verksamhet som sker enligt vårt uppdrag att bedriva utbildning, forskning och samverkan är högskolan normalt personuppgiftsansvarig för den behandling som sker av personuppgifter.
Den som är personuppgiftsansvarig måste se till att behandlingen sker enligt dataskyddsförordningen. Läs mer på de allmänna sidorna för personuppgiftshantering: Dataskydd (GDPR) och behandling av personuppgifter - Högskolan Dalarna
Gemensamt personuppgiftsansvarig
Högskolan är gemensamt personuppgiftsansvarigt om lärosätet bestämmer varför och hur behandlingen ska gå till tillsammans med en eller flera andra, exempelvis ett annat lärosäte. Detta är vanligt exempelvis vid forskningssamarbeten.
Personuppgiftsbiträde
Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Till exempel är högskolan personuppgiftsbiträde när vi behandlar personuppgifter på någon annans uppdrag, det vill säga enligt den andre partens instruktioner. Med hänsyn till högskolans uppdrag att bedriva utbildning, forskning och samverkan är det mer ovanligt att vi agerar personuppgiftsbiträde åt någon annan.
Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvarigas organisation och kan till exempel vara ett företag som anlitas för att lagra uppgifter åt högskolan eller för att ta hand om utskick av marknadsföring eller ett molntjänstföretag som anlitas för att hantera och lagra personuppgifter.
Personuppgiftsbiträdesavtal
Personuppgiftsbiträden som högskolan anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och kunna säkerställa att den registrerades rättigheter skyddas. Därför ska högskolan teckna ett personuppgiftsbiträdesavtal med dessa.
Roller och ansvar
Högskolan som myndighet är personuppgiftsansvarig för all hantering av personuppgifter inom lärosätet. Enligt högskolans regler för personuppgiftsbehandling ansvarar medarbetare och studenter för att följa högskolans instruktioner gällande behandling av personuppgifter.
Den i verksamheten som planerar att genomföra en behandling av personuppgifter som innebär att någon behandlar personuppgifter för högskolans räkning ska överväga om ett personuppgiftsbiträdesavtal ska ingås.
Enligt högskolan delegationsordning undertecknar högskoledirektör personuppgiftsbiträdesavtal som berör verksamhetsstödet.
För personuppgiftsbiträdesavtal som berör institutionens verksamhet undertecknar ansvarig prefekt.
I samtliga fall sker beredning av behandlingsansvarig (den som gör anmälan om personuppgiftsbehandling) med stöd av högskolans dataskyddsgrupp.
Tänk också på att anmäla behandlingen till högskolans behandlingsregister: Verksamhetssystem, process och övrigt - Högskolan Dalarna
När avtalet är underskrivet ska det diarieföras. Kontakta din institutionsadministratör eller registrator för hjälp.
Frågor och stöd
Om du har frågor eller vill ha stöd vid upprättandet av personuppgiftsbiträdesavtal kontakta högskolans dataskyddsgrupp på dataskydd@du.se
För generell information kring högskolans personuppgiftsbehandling besök i första hand den här sidan: Dataskydd (GDPR) och behandling av personuppgifter - Högskolan Dalarna