Ansvarig enhet: Fastighetsavdelningen
Kontaktperson: Martina Bergsjö Johnsson

Bakgrund

Inpasseringssystem med tillhörande loggdata innebär systematisk övervakning av personer som passerar genom detta system. Sådan övervakning är nödvändig för Stockholms universitet men är samtidigt av starkt integritetskänslig karaktär.

Myndigheter är personuppgiftsansvariga för behandling av personuppgifter som sker i myndighetens verksamhet. Vid behandling av personuppgifter måste myndigheter följa flera regelverk:

  • dataskyddsförordningen (GDPR)
  • särskild registerförfattning
  • den kompletterande dataskyddslagen, det vill säga lagen med kompletterande bestämmelser till EU:s dataskyddsförordning

Principerna i dataskyddsförordningen, https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/grundlaggande-principer/, innebär bland annat att personuppgifter bara får samlas in för berättigade ändamål som inte är alltför allmänt hållna och att mängden uppgifter ska begränsas till vad som är nödvändigt för ändamålen. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål och inte heller sparas längre än nödvändigt eller enligt vad som har kommunicerats till den registrerade. En behandling som saknar laglig grund ska omedelbart upphöra och personuppgifterna raderas, förutsatt att uppgifterna inte behandlas på annat sätt med en korrekt grund och därmed måste behållas.

Syfte

Denna hanteringsordning omfattar hantering av loggdata rörande anställda, studenter och leverantörer. Syftet är att skapa en tydlig rutin kring denna handläggning och vilken information som kan lämnas ut, i vilket syfte och till vem.

För att loggdata ska få användas i delar, eller i sin helhet, måste användningsändamålet motiveras av ett så starkt intresse att det kan anses överväga den eventuells kränkning av personers integritet som det innebär.

Loggdata ska som huvudregel främst användas när det finns misstanke om brottslig gärning men användning kan också motiveras för att komma tillrätta med systematiska brister i universitets skalskydd eller liknande problem. Innan användning ska dock alla möjliga alternativa åtgärder övervägas och det är först när sådana åtgärder bedöms saknas eller vara verkningslösa som loggdata bör nyttjas.

Passageloggar kan komma att sparas vid behov av utredning i samband med incidenter.

Beställning

Behörig att ansöka att ta del av passageloggar är nyckel- och passerkortansvarig, administrativ chef och prefekt eller motsvarande vid respektive institution/motsvarande samt utredningsansvarig av oegentligheter enligt regler och handläggningsordning för hantering av misstänkta oegentligheter (dnr SU FV-1.1.2-1066-20).

Ansökan görs genom en beställning i universitetets ärendehanteringssystem. Säkerhetshandläggare ansvarig för passersystemet hanterar ärendet och rådgör med säkerhetssamordnare och vid behov säkerhetschef innan utdrag ur systemet lämnas ut.

Då passageloggar innehåller information som kan vara säkerhetskänslig ska endast den information som ansökts om och som blivit godkänd lämnas ut till beställaren.

Säkerhetshandläggare ansvarar för att hålla information om ansökan och utlämnande av handling ordnad. I händelse av utredning av oegentligheter lämnas passageloggar till utredningsansvarig. I händelse av polisärende skickas passageloggar direkt till utredare vid Polismyndigheten.

Bilaga: Flödesschema handläggningsordning (157 Kb)