Jönköping University (JU) är en stiftelsehögskola som kännetecknas av internationalisering och entreprenörsanda. JU består av en stiftelse och dess sex helägda dotterföretag. Stiftelsen och dotterföretagen är, var och en för sig, ansvariga för hur personuppgifter behandlas.

JU behandlar personuppgifter för uppdragen som utbildningsanordnare och forskningsinstitution samt vid samverkan med det omgivande samhället.

Vilka personuppgifter hanteras på JU?

Inom utbildning behandlas studenters personuppgifter och inom forskning sker behandling av forskningsdeltagares personuppgifter. JU behandlas enbart de personuppgifter som är nödvändiga för verksamhetens ändamål.

I de flesta fall samlas personuppgifter in direkt från den enskilde. Detta sker vanligtvis genom kontakter mellan den enskilde och JU. I vissa fall kan även personuppgifterna samlas in från någon annan än den enskilde själv, exempelvis från myndighetsregister.

Exempel på personuppgifter som JU behandlar:

  • Kontaktinformation som namn, adress, telefonnummer och e-post för kommunikation.
  • Personnummer behandlas när det är nödvändigt för JU att säkerställa identitet.
  • Bank och annan ekonomisk information hanteras för betalningar eller fakturor.
  • Personuppgifter om frivilliga deltagare i forskningsstudier.
  • Studieresultat och studierelaterad information dokumenteras i studieregister.
  • Information om hur JU:s webbplatser används samlas in i syfte att förbättra användarvänligheten, exempelvis via kakor (”cookies”).
  • De personuppgifter som behövs för rekryterings- och anställningsprocessen.

 

De rättsliga grunderna för behandling av personuppgifter

JU:s behandlingar av personuppgifter baseras alltid på en rättslig grund. Exempel på rättsliga grunder är:

  • Myndighetsutövning och uppgift av allmänt intresse (JU måste behandla personuppgifter för att utföra myndighetsuppgifter)
  • Rättslig förpliktelse (lagar och regler gör att JU måste behandla personuppgifter)
  • Avtal (enskilda har ett avtal eller ska ingå ett avtal med JU)
  • Intresseavvägning (när JU:s intressen väger tyngre än den enskildes och om behandlingen är nödvändig för ändamålet, exempelvis överföringar inom JU-koncernen)
  • Samtycke (den enskilda har sagt ja till personuppgiftsbehandlingen)

 

Offentlighetsprincipen och personuppgifter

Mycket av den information som finns vid JU är allmänna handlingar. På begäran ska allmänna handlingar ut, förutsatt att handlingarna inte innehåller uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400). Med andra ord kan personuppgifter komma att lämnas ut i enlighet med offentlighetsprincipen. JU har i normalfallet inte rätt att efterforska till vem handlingarna lämnas ut eller vad de ska användas till, så länge det inte har en avgörande betydelse för sekretessbedömningen.

 

Hur skyddas personuppgifterna?

Personuppgiftsansvariga vid JU ska säkerställa att personuppgifter skyddas av lämpliga tekniska och organisatoriska åtgärder. Säkerhetsnivån bestäms i förhållandet till risker för enskildas fri- och rättigheter. Skyddet kan till exempel innebära att endast behöriga personer har tillgång till uppgifterna, att uppgifterna krypteras, att de lagras i särskilt skyddade IT-miljöer eller att uppgifterna säkerhetskopieras.

 

Hur länge sparas personuppgifter?

Personuppgifter sparas så länge som de behövs för att uppnå syftet med behandlingen. Dock kan det i vissa fall finnas lagkrav eller andra regler som kräver att uppgifterna sparas under en längre period.

 

Vem kan ta del av personuppgifterna?

Anställda på JU har åtkomst till de personuppgifter som är nödvändiga för att den anställde ska kunna utföra sina arbetsuppgifter.

JU omfattas av lagkrav på redovisning, exempelvis rapporteras studenters studieresultat till Centrala studiestödsnämnden (CSN) och anställdas löneuppgifter till Skatteverket.

Personuppgifter kan delas med samarbetspartners, exempelvis inom ramarna för ett forskningsprojekt eller för att hantera utbytesstudenter till och från andra lärosäten. När det finns krav på att informera den berörda personen om att deras uppgifter har överförts till en annan organisation tillhandahålls sådan information.

Allmänheten, exempelvis enskilda medborgare, har rätt att ta del av JU:s allmänna handlingar. Personuppgifter kan komma att lämnas ut i enlighet med offentlighetsprincipen, om inte personuppgifterna omfattas av bestämmelser om sekretess i offentlighets- och sekretesslagen (2009:400).

JU använder sig av leverantörer för olika typer av IT-tjänster. När leverantörer behandlar personuppgifter för JU:s räkning så blir de personuppgiftsbiträden till JU. De leverantörer som anlitas av JU får endast behandla personuppgifter i enlighet med de ändamål och instruktioner som JU har lämnat. Biträdet och de som agerar under biträdets ledning får aldrig ta del av mer uppgifter än vad som krävs för att utföra den tjänst som avtalet med högskolan omfattar.

 

Personuppgifter till tredje land – utanför EU/ESS

Vid samverkan med utländska lärosäten och organisationer kan JU behöva överföra personuppgifter till länder utanför EU/EES. Under sådana förhållanden gäller särskilda krav i dataskyddsförordningen. JU ansvarar för att vidta de åtgärder som krävs för att uppnå en lämplig skyddsnivå för dessa personuppgifter. Särskild information kan ges i det enskilda fallet till de vars personuppgifter omfattas av en sådan överföring.

 

Enskildas rättigheter

Dataskyddsförordningen ger enskilda ett antal rättigheter. JU hanterar en enskilds begäran inom en månad. För att kunna tillgodose en begäran måste den enskildes identitet säkerställas.

Enskildas rättigheter kan vara begränsade, exempelvis när JU är rättligt förpliktigat att behandla personuppgifter eller när behandling av personuppgifter är nödvändigt som ett led i JU:s myndighetsutövning.

 

Rätt till tillgång

Du har rätt att begära information om vilka personuppgifter som JU behandlar om dig. För att begära ett utdrag av dina personuppgifter kontaktar du oss via e-post. Specificera om du kommit i kontakt med oss som student, anställd, inom ett forskningsprojekt eller på något annat sätt.

 

Rätt till rättelse

Du har rätt att begära att få dina personuppgifter rättade om de är felaktiga. Du kan exempelvis göra detta med ett kompletterande utlåtande till din kontaktperson, kursledare, chef eller forskningsledare.

 

Rätt att invända mot behandling

Du har rätt att invända mot att JU behandlar dina personuppgifter. Om JU inte kan visa att det finns tvingande eller berättigade skäl att fortsätta att behandla uppgifterna måste behandlingen upphöra.

 

Rätt till begränsning av behandling

Du har rätt att begära att behandlingen av dina personuppgifter begränsas genom att personuppgifterna bara får behandlas för vissa specifika ändamål. Genom att begära en begränsning har du möjlighet att tillfälligt stoppa JU från att använda uppgifterna annat än för att exempelvis försvara rättsliga anspråk. Du kan även hindra JU från att radera uppgifter, till exempel om du behöver uppgifterna för att kräva skadestånd.

 

Rätt till radering (rätten att bli bortglömd)

Du har rätt att få dina personuppgifter raderade om de inte är nödvändiga för ursprungliga berättigade ändamål, eller för att uppfylla lagstiftning.

Rätten till radering begränsas exempelvis av regelverket för allmänna handlingar och kraven på dokumentation av forskning eller studier.

Om det finns rättsliga hinder för att radera dina uppgifter kommer JU i stället att begränsa behandlingen av dina uppgifter till det som är absolut nödvändigt för att uppfylla lagliga skyldigheter.


Rätt till dataportabilitet

När JU behandlar dina personuppgifter med stöd av de rättsliga grunderna samtycke eller avtal har du i vissa fall möjlighet att få ut personuppgifter som rör dig för att använda dessa på annat håll, exempelvis genom överföring av uppgifterna till en annan personuppgiftsansvarig.


Om du har frågor om JU:s personuppgiftsbehandling

Vid frågor om personuppgiftsbehandling, kan du kontakta din kontaktperson vid JU, projekt- eller kursansvarig, eller för mer allmänna frågor JU:s dataskyddsombud (DPO).

Klagomål till integritetsskyddsmyndigheten (IMY)

Om du anser att dina personuppgifter behandlas i strid med dataskyddsförordningen har du rätt att lämna in ett klagomål till IMY. Närmare information om hur du går till väga för att lämna ett klagomål finns på Integritetsskyddsmyndighetens webbplats.