Lagring och radering
Lagra på rätt plats
Information som innehåller personuppgifter får lagras i godkända och anvisade it-system (länk), på F: (hemkatalog) eller G: (gemensam), och tillfälligt på flyttbart lagringsmedia som USB-minnen.
Men om informationen innehåller känsliga eller extra skyddsvärda personuppgifter måste de skyddas mer än andra personuppgifter. Sådana uppgifter får därför inte lagras i Box eller OneDrive. Och om det är nödvändigt att lagra dem tillfälligt på flyttbart lagringsmedia måste det vara krypterat.
Anpassa åtkomsten
Åtkomsten till information som innehåller personuppgifter ska som utgångspunkt vara personlig och begränsad till de som behöver personuppgifterna för att kunna utföra sitt arbete. Detta gäller särskilt känsliga och extra skyddsvärda personuppgifter.
Åtkomsten kan tekniskt begränsas på individ eller gruppnivå. Men glöm inte att uppdatera åtkomsten när någon slutar, byter avdelning eller av annan anledning inte längre behöver tillgång till personuppgifterna.
Radera i rätt tid
En vanlig missuppfattning är att det är viktigt att radera personuppgifter när de inte längre behövs för ändamålet med behandlingen. Högskolan är dock skyldiga enligt arkivlagstiftningen att bevara en stor del av den informationen som hanteras vid högskolan för att kunna tillgodose bland annat forskningens behov och allmänhetens rätt till insyn i offentlig verksamhet. Information är också en av högskolans viktigaste resurser, och det finns ett behov inom högskolan att säkerställa tillgången till information.
Att personuppgifter kan behöva sparas längre än vad som är nödvändigt för ändamålet med behandlingen står inte i strid med principen om lagringsminimering i dataskyddsförordningen. Personuppgifter får nämligen sparas längre än vad som normalt gäller, om det är nödvändigt för att uppfylla de krav som ställs i arkivlagstiftningen. Sådan behandling för arkivändamål är inte heller oförenlig med behandlingens ursprungliga ändamål och det krävs ingen särskild rättslig grund för behandlingen.
Dataskyddsförordningen ställer alltså inga konkreta krav på vid vilken tidpunkt personuppgifter ska raderas. Det bestämmer arkivlagstiftningen. Däremot ställer förordningen krav på att personuppgifter faktiskt raderas när så ska ske. För högskolans medarbetare innebär detta att den information som hanteras ska sparas och raderas enligt högskolans regler och riktlinjer för hantering av information.
Ansvar
Varje medarbetare ansvarar själv för att information som innehåller personuppgifter i e-post, webbformulär och personliga lagringsutrymmen, till exempel F: eller Box, lagras på rätt plats och raderas när så ska ske.
Chef med verksamhetsansvar ansvarar för personuppgifter som lagras på gemensamma lagringsytor, till exempel G: eller Box.
Lagring och radering av personuppgifter i verksamhetssystem ansvarar respektive systemägare för.