Dataskyddsförordningen ställer stränga krav på hur vi hanterar personuppgifter. Om du som student tänker använda personuppgifter för examinerande moment eller ditt examensarbete finns det därför mycket att tänka på.

Denna text ger en kort genomgång av de åtgärder som är nödvändiga för att hanteringen av personuppgifter ska bli korrekt. Utöver de regler som gäller för personuppgifter kan det finnas ytterligare regler att ta hänsyn till, beroende på vilken typ av uppgifter du avser att behandla och inom vilket område (till exempel sjukvård).

Du bör därför ha en övergripande diskussion med din handledare/examinator om vilken information som ska hanteras och planera därefter.

Definitioner

Personuppgift - All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Personuppgiftsbehandling – Hantering av personuppgifter som innebär insamling, registrering, lagring, bearbetning, spridning, utplåning m.m.

Personuppgiftsansvarig - Den som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Miun som organisation är personuppgiftsansvarig.

Dataskyddsombud - Funktion inom Miun som kontrollerar att personuppgiftsbehandling sker på korrekt sätt. Stöttar och reviderar verksamheten.

Registrerad - Den vars personuppgifter behandlas.

Steg 1 – Måste personuppgifter behandlas?

Den första frågan är om det verkligen är nödvändigt att behandla personuppgifter? Den undersökning som ska göras kanske kan utföras med bibehållen kvalitet utan att personuppgifter behandlas och då är detta att föredra. Om man inte använder personuppgifter gäller inte dataskyddsförordningen, vilket gör arbetet lättare. Det är dock viktigt att komma ihåg att som personuppgift räknas all information som direkt eller indirekt kan knytas till en levande människa vilket gör att det inte bara är sådant som namn, personnummer, DNA eller porträttfoto som är en personuppgift utan det kan även vara en kombination av mer anonyma uppgifter som sammantaget gör det möjligt att identifiera en enskild person.

Steg 2 – Definiera syftet med behandlingen och vilka uppgifter som måste samlas in

Innan det praktiska arbetet börjar är det viktigt att definiera vilket syfte man har med personuppgiftsbehandlingen. Syftet behöver definieras för att säkerställa att det finns en laglig grund för personuppgiftsbehandlingen (se steg 4) och för att säkerställa att inte fler uppgifter än nödvändigt samlas in för att syftet ska kunna uppnås.

Syftet med att behandla uppgifterna är att du ska kunna utföra den undersökning eller studie som är nödvändig för att underbygga ditt examinerande moment eller examensarbete.

Du får bara samla in personuppgifter som behövs för att du ska kunna genomföra ditt arbete och du måste därför kunna motivera varför du behöver just de uppgifter du har för avsikt att inhämta.

Steg 3 – Hur kan informationen förvaras och hanteras säkert under arbetet

Insamlade personuppgifter måste behandlas på ett säkert sätt. Att förvara insamlade personuppgifter på serverutrymmet du har tillgång till via ditt studentkonto är att rekommendera. Externa lagringstjänster får inte användas för lagring av personuppgifter. Detta gäller exempelvis Dropbox, Google Docs, iCloud, OneDrive med flera.

Känsliga personuppgifter får inte förekomma på din egen, privata IT-utrustning, utan endast hanteras på särskilt angivna IT-resurser, kontakta IT-helpdesk för stöd.

Som känsliga personuppgifter räknas uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska

Många av de digitala enkätverktyg som finns kan inte användas om personuppgiftsbiträdesavtal saknas mellan Mittuniversitetet och enkätleverantören. Kontakta juristfunktionen eller DSO för mer information kring vilka enkätverktyg som Mittuniversitetet har avtal med.

Steg 4 – Bestäm vilka delar av informationen som ska raderas respektive vara kvar när arbetet är klart

Personuppgifter får inte sparas längre tid än vad som är nödvändigt och ska raderas när de inte längre behövs. Samtidigt kan det finnas delar av informationen som måste finnas kvar en tid för att kunna styrka slutsatserna i arbetet eller för att de är nödvändiga för framtida egna behandlingar inom överskådlig framtid (ex. att användas som underlag på en uppsats på nästa nivå). I de fall informationen inte är nödvändig för framtida behandlingar är en bra riktlinje att radera den då betyget är satt och registrerat i studieregistret och därmed inte längre behövs för att styrka slutsatserna i rapporten.

Innan det praktiska arbetet startar är det därför viktigt att bestämma vad som ska hända med de insamlade personuppgifterna efteråt. Vilka uppgifter ska sparas respektive slängas? Under arbetets gång kan det finnas anledning att ompröva den ursprungliga planeringen men det är viktigt att det finns en grundläggande plan som är förankrad med din handledare eller kursansvarige (beroende på uppgiftens upplägg). Detta inte minst för att kunna besvara frågor från de personer vars information du vill använda dig av (de registrerade).

Steg 5 – Inhämta samtycke, informera de registrerade och samla in de nödvändiga personuppgifterna

Personuppgifter får endast behandlas om det finns laglig grund för behandlingen. Dataskyddsförordningen anger ett antal grunder som betraktas som tillåtna men för ett studentarbete är det i praktiken endast samtycke som kan komma ifråga.

Blankett för samtycke 

Mall för information om behandling i studentarbeten

Om det inte är möjligt att använda samtycke bör du ta upp detta med din handledare och dataskyddsombudet för att se om det går att finna en annan lösning.

Att inhämta ett samtycke innebär i praktiken att du på ett tydligt och klart sätt talar om vilka uppgifter du vill samla in, vad de ska användas till och av vem/vilka samt hur länge uppgifterna ska användas. Om du redan nu avser att använda det insamlade materialet även i framtida studentarbeten utöver det nu aktuella måste detta informeras om vid inhämtandet av samtycke från den registrerade. Du ska även informera om att det finns möjlighet att begära att få se den insamlade informationen och att det finns möjlighet att vända sig till universitetets dataskyddsombud eller Integritetsskyddsmyndigheten med klagomål.

Efter det att den registrerade har tagit del av informationen kan han/hon ge sitt samtycke till behandlingen och det är då tillåtet att behandla uppgifterna. Viktigt att veta om samtycke är att det ska dokumenteras och sparas så att det kan plockas fram vid behov. Den registrerade har rätt att när som helst återkalla sitt samtycke. För behandling av särskilda kategorier av personuppgifter (känsliga personuppgifter) med stöd av samtycke krävs att det är särskilt poängterat vid informationen och att samtycket verkligen täcker detta.

Rådgör med din handledare eller kursansvarige vid osäkerhet kring samtycken. Observera även att känsliga uppgifter ställer extra stora krav på säkerheten i hanteringen.

Steg 6 – Behandla det insamlade materialet

Under förutsättning att de tidigare stegen har utförts är detta ett formellt enkelt steg som inte kräver några ytterligare åtgärder.

Samtidigt är detta i praktiken det huvudsakliga arbetet.

Steg 7 – Efter behandling, radera eller spara personuppgiftsmaterialet efter behov.

Även detta bör vara ett enkelt steg då det praktiska arbetet nu är avslutat. Materialet som har behandlats ska nu antingen sparas eller raderas enligt vad du kommit fram till i steg 4.

De eventuella samtycken du har inhämtat för att kunna göra personupp-giftsbehandlingen måste sparas lika länge som själva materialet, och raderas/kastas vid samma tidpunkt.

Det är du som student som ansvarar för att materialet raderas då det inte längre behövs för att verifiera resultatet i rapporten eller i annat syfte. Tänk på att inte radera underlag innan att slutligt betyg är satt på kursen.

 

Kontakt

Arne Wahlström

Chefsjurist|Head of Legal Affairs

010-1428883