Personlig integritet är viktigt för MDU och universitetet följer den lagstiftning som finns för personuppgifter, som heter dataskyddsförordningen (GDPR, General Data Protection Regulation). Här hittar du information om hur personuppgifter som samlats in av MDU behandlas.

MDU är ansvarig för de behandlingar av personuppgifter som universitetet bestämmer ändamål och medel för. Universitetet behandlar personuppgifter bland annat i sin ärendehantering, vid antagning till studier vid universitetet, vid hantering av administration runt studier, inom alumni-verksamheten för universitetet, i förvaltningsadministrationen samt vid olika typer av arrangemang och evenemang som arrangeras.

Personuppgifter

Personuppgifter är all slags information som, direkt eller indirekt, kan kopplas till en levande person. Det kan exempelvis röra sig om namn, kontaktinformation eller personnummer. Även foton på personer räknas som personuppgifter.

Vissa personuppgifter är extra skyddsvärda, till exempel personnummer, löneuppgifter och information om sociala förhållanden. Vissa personuppgifter räknas som känsliga, till exempel ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, hälsa, information om sexuell läggning och genetiska uppgifter.

Personuppgiftsbehandling

Personuppgiftsbehandling är varje åtgärd där det ingår personuppgifter. Behandlingen kan vara IT-baserad/automatisk eller manuell. Exempel på behandlingar är: insamling, registrering, lagring, bearbetning, utlämnade, spridning, samkörning eller förstöring av personuppgifter.

Skydda mot kränkning

Dataskyddsförordningen syftar till att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Huvudregeln i dataskyddsförordningen är att personuppgifter får behandlas om den registrerade har informerats om behandlingen och dess ändamål, samt att den registrerade har lämnat sitt samtycke till behandlingen. Det kan också finnas en annan laglig grund än samtycke, till exempel myndighetsutövande.

Undantag från krav på samtycke

Universitetet får behandla personuppgifter utan individens samtycke om behandlingen är nödvändigt för att:

• uppfylla ingångna avtal
• tillgodose rättslig skyldighet
• skydda vitala intressen för den registrerade
• utföra arbetsuppgift av allmänt intresse
• utföra myndighetsutövning

Universitetet får även behandla personuppgifter utan samtycke i de fall universitetets behov av att behandla personuppgifterna väger tyngre än den enskildes behov av integritet. Information om att behandlingen sker och behandlingens ändamål måste lämnas även om samtycke inte behövs.

Så här behandlar MDU personuppgifter

Vid MDU finns det ett antal olika anledningar till att vi behandlar dina personuppgifter. De vanligaste anledningarna är att du är student, forskare, doktorand, anställd, deltagare i konferens eller evenemang, leverantör till universitetet , söker en tjänst hos universitetet eller använder universitets bibliotek. Du kan också ha en annan anledning att kontakta eller samarbeta med universitetet.

Huvuddelen av personuppgifterna samlar universitetet in direkt från dig, till exempel via formulär där du anmäler dig till ett evenemang eller när du söker till en utbildning hos universitetet. I vissa fall hämtas uppgifter från andra källor, som från Centrala studiestödsnämnden eller från Skatteverket.

Vilken information som behandlas beror på anledningen till behandlingen, men det handlar vanligen om:

• namn
• kontaktinformation (adress, telefonnummer, epost)
• personnummer eller samordningsnummer (när vi behöver kunna fastställa din identitet eller när samordning med mellan system behöver göras)
• bankinformation och annan ekonomisk information som behövs för att betala ut pengar eller fakturera
• information om studieresultat och annan information runt studier vid universitetet
• information om hur universitetets webbplatser används, i syfte att förbättra användarvänlighet, exempelvis via kakor/cookies
• information vid deltagande i konferenser och evenemang samt kurser
• personuppgifter som behövs vid en anställning eller när du söker en tjänst
• personuppgifter som inhämtats inom ramen för deltagande i en forskningsstudie
• studenters personuppgifter

De personuppgifter som sökande lämnar vid ansökan om antagning registreras i högskolornas nationella antagningssystem (NyA). När en sökande blir antagen till utbildning förs personuppgifterna över till universitetets system för studiedokumentation (Ladok) som används för att dokumentera studenternas resultat och för att sammanställa statistik både för internt bruk och för Statistiska centralbyrån (SCB).

Universitetet är ansvarig för hantering av sökande och studenters personuppgifter i ovanstående register. Hanteringen regleras i förordning om redovisning av studier m.m. vid universitet och högskolor (1993:1153).

Detta används personuppgifterna till

MDU behandlar personuppgifter för att uppfylla uppdraget som statlig myndighet och läroanstalt för högre utbildningar samt för att finansiera och genomföra forskning. Universitetet samverkar också med samhället och informerar om verksamheten samt hanterar personuppgifter i alumniverksamheten på universitetet.

Universitetet behandlar personuppgifter för att följa lagstiftning som universitetet omfattas av, för statistiska ändamål samt för att utveckla och följa upp verksamheten.

Universitetet använder sig av flera olika sociala medier, som Facebook, Linkedin och Twitter. På dessa konton ansvarar MDU för personuppgifter som publicerars För personuppgifter som andra publicerar genom inlägg ansvarar universitetet endast för i den mån det finns möjlighet att påverka innehållet. MDU strävar efter att ta bort olämpligt innehåll.

Universitetet har flera officiella webbplatser, till exempel mdu.se, där information om universitetets verksamhet publiceras. På dessa webbplatser ansvarar universitetet för personuppgifter som är publicerade på webbplatsen.

Universitetet behandlar personuppgifter för att uppfylla sitt uppdrag som arbetsgivare samt förhandlingspart med fackliga organisationer.

Om du använder IT-resurser från MDU kan spår av dina aktiviteter sparas för att användas i universitetets IT-säkerhetsarbete.

Så skyddas dina personuppgifter

MDU ska se till att all behandling av personuppgifter skyddas av lämpliga organisatoriska och tekniska åtgärder. Åtgärderna ska säkerställa en säkerhetsnivå som är lämplig i förhållande till en behandlings risker. Säkerhetsaspekterna innefattar konfidentiella uppgifter, riktighet och tillgänglighet.

Dina personuppgifter kommer att skyddas av säkerhetsinfrastruktur, behörighetskontroll samt vid behov kryptering eller lagring i särskilt skyddade utrymmen. Personuppgifter i IT-system säkerhetskopieras regelbundet.

Vem kan komma att ta del av dina personuppgifter?

MDU är en statlig myndighet och som sådan är mycket av informationen vid universitetet allmänna handlingar. Om dina personuppgifter förekommer i en allmän handling kan alla som begär ut handlingen ta del av dina personuppgifter, om inte sekretess enligt offentlighets- och sekretesslagen (2009:400) hindrar detta.

Utöver detta kan dina uppgifter lämnas ut till samarbetspartners inom forskningsprojekt, till leverantörer och andra parter som behöver ta del av uppgifterna till följd av avtal mellan universitetet och dig, på grund av en uppgift av allmänt intressen, som ett led i myndighetsutövning eller på grund av en rättslig förpliktelse som universitetet har.

Inom universitetets verksamhet sker en strukturerad behörighetskontroll. Endast den personal som arbetar med en uppgift som berör eller inkluderar dina personuppgifter har möjlighet att del av dina personuppgifter. Övrig personal har inte tillgång till dina personuppgifter.

Universitetet har dedikerad IT-personal för att hantera system, behörighetstilldelningar, backuper samt infrastruktur.

Vid överföring av uppgifter till annan part vidtar universitetet alla rimliga åtgärder som kan krävas för att skydda dina personuppgifter. Om universitetet planerar att lämna ut information om dig till andra organisationer så kommer du att få information om detta.

MDU kommer inte att överlämna personuppgifter till andra parter utan rättsligt stöd.

Så länge sparar MDU personuppgifter

Universitetet sparar dina personuppgifter så länge som ändamålet och behandlingen kräver det, eller så länge som krävs i aktuell lagstiftning.

Om du är anställd behandlas dina personuppgifter så länge som det behövs för att administrera anställningsförhållandet.

Om du är leverantör eller genomför uppdrag åt universitetet behandlar MDU dina personuppgifter så länge som det behövs för att uppfylla aktuellt avtal.

Om du är student behandlar MDU dina personuppgifter så länge som du är student hos universitetet.

När du inte längre är student vid universitetet, behandlas dina personuppgifter på så sätt som krävs enligt lag och i eventuella evenemang och publiceringar som du har godkänt.

Om du är deltagare i en studie inom universitetets verksamhet behandlar MDU dina personuppgifter så länge som behövs för att säkerställa pågående forskning.

För allmänna handlingar hanteras personuppgifter i enlighet med aktuell arkivlagstiftning (1990:782) samt tryckfrihetsförordningen (1949:105) samt Riksarkivets föreskrifter. I de fall allmänna handlingar ska gallras så styrs detta av universitetets dokumenthanteringsplaner samt gallringsbeslut.

Personuppgifter i allmänna handlingar sparas i många fall mellan fem år och permanent i universitetets arkiv.

Personuppgifter till tredje land

MDU kan komma att överföra personuppgifter till tredje land utanför EU/EES i samband med studentutbyten samt internationella forskningsprojekt. I dessa fall kommer du att bli informerad om att en överföring till tredje land sker i samband med att du lämnar dina uppgifter till universitetet.

MDU vidtar alla rimliga juridiska, organisatoriska och tekniska åtgärder som behövs för att uppnå en adekvat skyddsnivå för dina personuppgifter, oavsett om de behandlas inom EU eller i tredje land.

Dina rättigheter enligt dataskyddsförordningen

Dataskyddsförordningen ger dig som enskild individ ett antal rättigheter gällande dina personuppgifter. Om du vill använda dina rättigheter eller om du har frågor som rör behandlingen av dina uppgifter kan du vända dig till universitetets dataskyddsombud, e-post dso@mdu.se.

Rätten till registerutdrag

Du har rätt att begära svar på om universitetet behandlar personuppgifter om dig. Du har också rätt att få en kostnadsfri kopia av de personuppgifter som behandlas. Vill du begära utdrag upprepade gånger kommer MDU att ta ut en avgift för att täcka administrativa kostnader för detta. I samband med att begäran om ett registerutdrag hanteras kommer universitetet även att lämna information om behandling, ändamål, laglig grund för behandlingen samt förutsedda lagringstider.

Rätten till rättelse

Du har rätt att begära att felaktiga personuppgifter om dig ska korrigeras. Om dina personuppgifter är ofullständiga kan du begära att få dessa kompletterade. Universitetet är inte skyldig att rätta dina uppgifter om de ingår i underlag till en färdigställd forskning.

Rätten att bli bortglömd

Du har rätt att få dina personuppgifter raderade ur universitetets system om personuppgifterna inte längre behövs för att uppfylla det ändamål som de samlades in för. Om dina personuppgifter har lämnats ut till en annan part kommer universitetet att vidta alla rimliga åtgärder för att underrätta dessa parter om din begäran av radering.

Du har även rätt att begära att enstaka personuppgifter ska raderas, till exempel om du förekommer på bild på en webbsida som universitetet ansvarar för eller om din e-postadress finns på en distributionslista för nyhetsbrev.

Det kan finnas lagliga krav och andra bestämmelser som kräver att universitetet behåller dina personuppgifter, till exempel reglerna om allmänna handlingar eller om dokumentation av studier och forskning.

Rätten till begränsning av behandling

Du har rätt att begära att behandling av dina personuppgifter begränsas, vilket innebär att universitetet ser till att personuppgifter endast behandlas för specifika ändamål. MDU kommer att begränsa behandlingar i följande fall:

• Om du informerar oss om att dina personuppgifter är inkorrekta och universitetet behöver tid att kontrollera uppgifternas riktighet.
• Om universitetet inte längre behöver uppgifterna, men du begär att de ska fortsätta lagras för att du behöver dessa för att tillvarata rättsliga anspråk.
• Om du invänder mot en behandling som utförs av universitetet. Behandlingen begränsas i så fall till dess att en avvägning har gjorts mellan dina skäl för invändningen och universitetets tvingande berättigade skäl.
  

Rätten att invända mot behandling

Du har rätt att lämna invändningar mot att MDU behandlar dina personuppgifter i vissa fall, till exempel inom forskning eller inom utbildningsverksamhet. Universitetetkommer då att upphöra med behandlingen om MDU inte har tvingande skäl till att fortsätta den, eller om behandlingen krävs för att tillvarata rättsliga anspråk.

Om du har synpunkter på universitetets behandling av dina personuppgifter

Du har möjlighet att lämna synpunkter på universitetets behandling av dina personuppgifter. Du kan även göra en anmälan till Integritetsskyddsmyndigheten (tidigare Datainspektionen), som är tillsynsmyndighet. Vill du kräva skadestånd kan du framföra ditt krav till universitetet eller väcka talan i allmän domstol.