Handläggningsordning vid hantering av personuppgifter i studentarbeten
Vad gäller den här sidan?
Dennahandläggningsordning beskriver hur personuppgifter får behandlas i studentarbeten vid Mittuniversitetet. Den beskriver ansvarsfördelning och hur personuppgifter ska hanteras i praktiken, från planering till gallring. Rutinen vänder sig till både studenter och kursansvariga. Handläggningsordningen gäller när ett studentarbete:
- innehåller personuppgifter, och
- inte ingår i ett etikgodkänt forskningsprojekt.
Vad menas med personuppgifter, se informationen Behandling av personuppgifter
Ansvar – vem gör vad?
Mittuniversitetet
Mittuniversitetet är personuppgiftsansvarig för studenters personuppgiftsbehandling inom utbildningen och ansvarar för att GDPR följs.
Kursansvarig institution
Kursansvarig institution har ett särskilt ansvar för att:
- bedöma om personuppgifter behöver behandlas
- avgöra om känsliga eller integritetskänsliga uppgifter kan tillåtas
- säkerställa att studenten använder godkända lagringsytor
- säkerställa att samtycke och information hanteras korrekt
- se till att personuppgifter gallras eller arkiveras efter examination
Det är institutionen som ytterst beslutar hur kraven ska uppfyllas och som ska säkerställa att studenten är informerad om vad som gäller.
Studenten
Studenten ansvarar för att:
- följa institutionens instruktioner
- endast behandla nödvändiga personuppgifter
- hantera material säkert
- radera uppgifter när arbetet är avslutat
När gäller denna handläggningsordning?
Handläggningsordningen ska följas när: studentarbetet innehåller personuppgifter utöver citat, referenser och källhänvisningar, och
arbetet inte är en del av ett forskningsprojekt med ansvarig forskare.
Handläggningsordning – steg för steg
Steg 1: Måste personuppgifter behandlas?
Utgångspunkten ska alltid vara att inte behandla personuppgifter, eller att behandla så få som möjligt.
Kursansvarig institution ska:
- säkerställa att personuppgifter endast används om det är nödvändigt
- betona att färdigt studentarbete normalt inte ska innehålla personuppgifter
Steg 2: Bedöm uppgifternas skyddsvärde
Det ska tidigt fastställas:
- vilken typ av personuppgifter som kan förekomma
- om uppgifterna är vanliga, känsliga eller integritetskänsliga
- om känsliga eller integritetskänsliga uppgifter kan förekomma: krävs en nödvändighets- och lämplighetsbedömning
- kursansvarig institution ansvarar för att denna genomförs innan studien startar
Steg 3: Bestäm hur informationen ska lagras och hanteras
Kursansvarig institution ansvarar för att:
- endast universitetets godkända system används
- åtkomst begränsas till de som behöver uppgifterna
- externa molntjänster inte används
- känsliga uppgifter endast behandlas i särskilt godkända miljöer
Steg 4: Bestäm gallring eller arkivering
Redan innan insamling påbörjas ska det vara beslutat:
- vad som ska raderas
- vad som eventuellt ska arkiveras
- efter betygsättning ska: personuppgifter normalt gallras
- studenten uppmanas att radera allt material
- undantag hanteras enligt informationshanteringsplanen
Steg 5: Utforma information och samtycke
Kursansvarig institution ska:
- säkerställa att universitetets mallar används
- se till att informationen är korrekt, tydlig och anpassad till målgruppen
- vid behov kontakta dataskyddsombudet (t.ex. vid muntligt samtycke)
Denna mall är avsedd att användas i studentarbeten vid Mittuniversitetet där personuppgifter behandlas med samtycke som rättslig grund enligt dataskyddsförordningen (GDPR). Mallen ska lämnas till deltagare/registrerade innan personuppgifter samlas in. Text inom hakparentes [ ] ska anpassas till det aktuella studentarbetet.
Steg 6: Samla in och behandla personuppgifter
- samtycke ska vara dokumenterat
- samtycken ska lagras tillsammans med övrigt material
- institutionen ansvarar för uppföljning och stöd så att studenten kan följa beslutad hantering
Steg 7: Gallra eller arkivera efter examination
Efter avslutad examination ska:
- material raderas eller arkiveras enligt beslut
- studenten radera allt personuppgiftsmaterial
- institutionen säkerställa att detta sker
Studentarbeten inom forskningsprojekt (kort hänvisning)
Om studentarbetet ingår i ett forskningsprojekt gäller projektets regelverk, rättsliga grund och lagringslösningar. Ansvarig forskare är huvudansvarig.
Läs mer på sidan Personuppgifter i forskning.
Kontakt och stöd
Vid osäkerhet ska kursansvarig institution eller dataskyddsombudet kontaktas i god tid:
dataskyddsombud@miun.se