Text

Studentarbeten och GDPR

Här hittar du information kopplad till studentarbeten och GDPR.

Bakgrund

Dataskyddsförordningen (på engelska; General Data Protection Regulation, ”GDPR”) gäller för den personuppgiftsbehandling som sker inom Mälardalens universitets (MDU) verksamhet. Universitetet är personuppgiftsansvarig för all behandling av personuppgifter som sker inom ramen för universitetets forskning och utbildning. Den eventuella personuppgiftsbehandling som studenter kan komma att genomföra inom ramen för sin utbildning, t.ex. i samband med uppsatsskrivning eller andra examinerande arbeten är således personuppgiftsbehandling som Mälardalens universitet ansvarar för. Detta ställer krav på MDU att medvetandegöra för studenter vad som gäller enligt lagstiftningen när personuppgifter ska hanteras inom ramen för ett studentarbete, och det ställer krav på studenter vid MDU att behandla personuppgifter i enlighet med gällande rätt.

Denna sida syftar till att informera dig som student vid MDU om GDPR och vad du behöver tänka på samt hur du ska agera om det är aktuellt för dig att behandla personuppgifter inom ramen för dina studier vid universitetet. Informationen är ursprungligen framtagen vid Örebro universitet och är bearbetad av dataskyddsombudet vid MDU för anpassning till MDU:s förutsättningar samt organisation.

Sammanfattning

GDPR syftar till att stärka skyddet för den personliga integriteten och att skapa ett enhetligt regelverk inom EU avseende hantering av personlig data. Den tekniska utvecklingen och hanteringen av företag som Google och Facebook, vars affärsmodeller bygger på försäljning av personuppgifter och data, var starkt bidragande faktorer till EU:s införande av regelverket. Förenklat innebär GDPR att man, vid behandling av personuppgifter, bara får göra det som är uttryckligen tillåtet i lagstiftningen.

Den ”registrerade” är ett uttryck som används genomgående i denna information och betyder en identifierad eller identifierbar fysisk person vars information används i t.ex. ett uppsats- eller projektarbete.

En personuppgift är varje uppgift som direkt eller indirekt kan kopplas till en levande person. Det kan vara allt från ett personnummer till IP-adresser och genetiska data. Det måste finnas ett juridiskt stöd för användning av personuppgifter. Det ställs dessutom en hel del krav; exempelvis att information ska ges, säkerhet ska upprätthållas och att den registrerade oftast har rätt att få insyn i hur informationen används och även har rätt att invända om denne anser att du gör något fel.

Nedan följer en guide med åtta steg som är till för dig som student och som du kan använda dig av om du ska hantera personuppgifter inom ramen för dina studier vid MDU, t.ex. i ditt examensarbete.

Här hittar du en checklista avseende information till den registrerade som du kan använda dig av när du samlar in uppgifter med stöd i den rättsliga grunden samtycke.

Mall för samtycke kommer inom kort.

Insamling och bearbetning av personuppgifter

GDPR stadgar att varje uppgift som direkt eller indirekt kan kopplas till en levande person är en personuppgift. Detta innebär att det inte bara är sådant som namn och personnummer som kan vara personuppgifter utan även användarnamn, e-post- eller IP-adresser, biometriska data, fysiologiska uppgifter och även exempelvis en röstinspelning. Även kombinationer av uppgifter omfattas så länge det genom uppgifterna är möjligt att koppla dessa till en fysisk person. Sådan personuppgiftsbehandling måste följa GDPR:s samtliga principer för behandling, vilket bl.a. innebär att:

  • behandlingen ska ske på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade,
  • uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål,
  • uppgifterna får inte vara för omfattande i förhållande till syftet de samlas in för,
  • uppgifterna ska vara korrekta och uppdaterade,
  • uppgifterna får inte förvaras i form av identifierbara personuppgifter längre än vad som krävs för behandlingen och att
  • uppgifterna ska behandlas på ett säkert sätt.

Enligt GDPR måste man, redan när uppgifterna samlas in, veta vad de ska användas till. På så vis undviker man att samla in mer information än nödvändigt, och man har klart för sig för vilket berättigat ändamål insamling sker.

Laglig grund

För personuppgiftsbehandlingen måste det finnas en laglig grund. I GDPR finns det sex lagliga grunder som kan tillämpas vid personuppgiftsbehandling. Det räcker med att en av dem är uppfylld för att behandlingen ska vara tillåten. En vanlig grund för behandling av personuppgifter är samtycke till behandlingen. Det är också den grunden som du som student framförallt kan använda dig av när du ska behandla personuppgifter inom ramen för ett studentarbete. För övrig verksamhet vid MDU är de rättsliga grunderna myndighetsutövning och allmänt intresse vanligast förekommande som grunder för personuppgiftsbehandling. En annan vanligt förekommande laglig grund är uppfyllelsen av avtal.

Särskilda kategorier av personuppgifter (”känsliga personuppgifter”)

Behandling av personuppgifter som avslöjar hälsa, politiska åsikter, religion, etniskt ursprung, facklig tillhörighet, sexuell läggning, sexualliv samt genetiska och biometriska uppgifter kräver enligt GDPR särskilt stöd och mer omfattande säkerhetsåtgärder. I GDPR benämns den här typen av uppgifter som ”särskilda kategorier av personuppgifter”, men i dagligt tal brukar man tala om ”känsliga personuppgifter”.

Mälardalens universitet rekommenderar att studenter inte behandlar känsliga personuppgifter i sina studentarbeten, eftersom det ställer högre krav på behandlingen bl.a. vad gäller samtyckets tydlighet och på säkerhetsnivåer för bearbetning och lagring av uppgifterna. Om sådan behandling ändå utförs bör det ske i dialog med kursansvarig och handledare som vid behov kan vända sig till dataskyddsombudet vid MDU för rådgivning.

Informationsplikt

Vid insamling av personuppgifter finns en skyldighet att lämna information till den registrerade som bl.a. ska innehålla:

  • identitet och kontaktuppgifter för den personuppgiftsansvarige (mer om personuppgiftsansvarig nedan),
  • kontaktuppgifter för dataskyddsombudet (mer om dataskyddsombud nedan),
  • ändamålet med/anledningen till behandlingen samt det rättsliga stödet för denna,
  • vem/vilka som kommer att ta del av uppgifterna samt
  • eventuell överföring till länder utanför EU och information om skyddsnivån hos mottagaren.

För att underlätta utformningen av denna information finns en checklista för vad denna information ska innehålla när du samlar in uppgifter med stöd i den rättsliga grunden samtycke.

Informationsplikten gäller även om universitetet inte samlar in uppgifterna direkt från den registrerade. Det finns vissa utrymmen för undantag; om du vet att den registrerade sedan tidigare är informerad, om det är praktiskt omöjligt eller mycket svårt att informera eller om behandlingen är en skyldighet via lagstiftning. Det är dock osannolikt att du som student kan tillämpa sådana undantag, då rekommendationen är att insamling av uppgifter till studentarbeten sker direkt från de registrerade med stöd i den rättsliga grunden samtycke.

Uppgifterna ska behandlas på ett korrekt och öppet sätt i förhållande till den registrerade. Om den registrerade har frågor eller vill använda sig av sina rättigheter i förhållande till behandlingen som MDU utför finns det en skyldighet att hjälpa till. Detta gäller så länge som det inte finns hinder mot detta på grund av exempelvis sekretess- eller arkiveringsregler.

Säkerhet

De insamlade uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder. Detta omfattar skydd mot obehörig eller otillåten behandling och skydd mot förlust, förstöring eller skada genom olyckshändelse. Detta innebär att du som student måste se till att endast behöriga personer har tillgång till uppgifterna och att eventuella databaser eller system där uppgifterna lagras omfattas av olika säkerhetsåtgärder (exempelvis att skydda datorn med lösenord och att låsa datorn om du går ifrån datorn).


Roller och ansvar

För all personuppgiftshantering, från den enskilda studentens uppsatsarbete till forskningsprojekt och administrativa system, finns det en personuppgiftsansvarig och för den verksamhet som bedrivs inom lärosätet är detta Mälardalens universitet. Det är universitetet som har det yttersta ansvaret för all behandling av personuppgifter som sker inom ramen för verksamheten.

Som enskild student som inom ramen för dina studier behöver hantera personuppgifter förväntas du sätta dig in i vad som gäller för att just din hantering av personuppgifter ska bli korrekt.

Vid lärosätet finns också ett dataskyddsombud som internt ska granska hanteringen men även fungera som hjälp och stöd för verksamheten. Dataskyddsombudet ska också vara tillgängligt för att kunna hantera frågor och klagomål från registrerade. Kontaktuppgifter till ombudet hittar du här Länk till annan webbplats..

Integritetsskyddsmyndigheten, www.imy.se Länk till annan webbplats., är tillsynsmyndighet för GDPR och har därmed ansvar för att granska verksamheters hantering av personuppgifter och hantera klagomål från registrerade.

Vid fel och brister i hanteringen kan både personuppgiftsansvarig och eventuella personuppgiftsbiträden drabbas av både sanktionsavgifter (böter) och skadestånd. Sanktionsavgifterna ska vara effektiva, proportionella samt avskräckande och kan bli mycket höga.

Den registrerades rättigheter

Genom GDPR har den registrerade en rad rättigheter som är till för att stärka skyddet för den personliga integriteten och positionen gentemot den som behandlar personuppgifter. Alla registrerade har rätt att i förväg få information på ett klart och tydligt sätt om den tänkta personuppgiftsbehandlingen. Grundtanken är att den registrerade ska kunna förutse vad som kommer hända med den aktuella informationen.

Det finns också en rätt för den registrerade att ta del av vilka uppgifter som behandlas om denne. Den registrerade har också rätt att få felaktig information korrigerad utan onödigt dröjsmål samt rätt att få personlig information raderad, där så är juridiskt och praktiskt möjligt. Vidare har den registrerade också rätt att invända mot behandlingen, att återkalla eventuella samtycken och rätt att klaga till tillsynsmyndigheten om den registrerade anser att behandlingen är felaktig.

Andra lagar som också styr behandlingen av personuppgifter

GDPR kompletteras genom vissa nationella lagar, t.ex. Dataskyddslagen (2018:218), Tryckfrihetsförordningen (1949:105), Offentlighets- och sekretesslagen (2009:400) samt Arkivlagen (1990:782) med tillhörande lokalt regelverk. Exempelvis ska examensarbeten vid Mälardalens universitet bevaras och förvaras i databasen DIVA.

Personuppgiftsbehandling vid studentarbeten

GDPR ställer, tillsammans med ett antal svenska lagar kopplade till denna, hårda krav på att allt arbete med personuppgifter utförs korrekt. Mälardalens universitet har formellt ansvar för de personuppgiftsbehandlingar som utförs inom hela verksamheten och det gäller också våra studenters egen hantering av personuppgifter inom ramen för deras utbildning. Den här listan vänder sig till dig som student som hanterar personuppgifter inom ramen för dina studier.

Om du som student tänker använda personuppgifter i en uppsats, ett examensarbete eller något annat som är relaterat till dina studier vid Mälardalens universitet finns det mycket att tänka på. Denna text ger en kort genomgång av de steg som är nödvändiga för att hanteringen av personuppgifter ska bli korrekt. Utöver de regler som gäller för personuppgifter kan det, beroende på vad du avser att göra, finnas ytterligare regler att ta hänsyn till och du bör därför ha en övergripande diskussion med din handledare om vilken information du tänker hantera och på vilket sätt och planera därefter.

Steg 1 – Måste personuppgifter behandlas?

Den första frågan är om det verkligen är nödvändigt att behandla personuppgifter? Den undersökning som ska göras kanske kan utföras med bibehållen kvalitet, utan att personuppgifter behandlas och då är detta att föredra. Om man inte använder personuppgifter gäller inte GDPR, vilket gör arbetet lättare för dig som student.

Det är viktigt att komma ihåg att som personuppgift räknas all information som direkt eller indirekt kan knytas till en levande människa. Det innebär att det inte bara är sådant som namn, personnummer, DNA eller porträttfoto som är en personuppgift utan det kan även vara en kombination av mer anonyma uppgifter som sammantaget gör det möjligt att identifiera en enskild person. Även om studenter/handledare endast har tillgång till kodade (pseudonymiserade) data gäller GDPR. Om det någonstans finns en kodlista, oavsett om det är på universitetet, hos en annan myndighet (såsom Socialstyrelsen) eller utomlands så är det fortfarande personuppgifter som hanteras.

Exempel

Kombinationen ålder och skonummer tillsammans med grupptillhörighet för en person är inte personuppgifter om vi endast vet att det handlar om en svensk medborgare, men kan vara det om man vet att urvalet är begränsat till en liten grupp, såsom Svenska Akademien.

Steg 2 – Definiera syftet och vilka uppgifter som måste samlas in

Innan det praktiska arbetet börjar är det viktigt att göra klart vilka uppgifter som ska samlas in och varför. För dig som ska göra ett studentarbete ska inte detta vara någon svår uppgift utan syftet med personuppgiftsbehandlingen är helt enkelt att kunna utföra den undersökning som är nödvändig för att underbygga ditt arbete. Det är däremot viktigt att du tänker igenom och formulerar syftet och att du har klart för dig vilken personlig information som är nödvändig för att nå det. Du får inte samla in personuppgifter bara för att de kan vara ”bra att ha”.

Steg 3 – Känsliga personuppgifter

Om du anser att det är nödvändigt att samla in känsliga personuppgifter för utförandet av ditt studentarbete ska detta stämmas av och ske i dialog med kursansvarig och handledare. Extra fokus bör läggas på samtyckets tydlighet så att den registrerade är medveten om att just känsliga personuppgifter behandlas. Ytterligare säkerhetsåtgärder för behandling av känsliga personuppgifter kan vara kryptering och/eller lösen vid mejlkorrespondens, säker lagringsyta (välj t.ex. H: för lagring, än att lagra uppgifterna i OneDrive), extra lösenordsskydd för mappar och filer etc. Se vidare under Steg 4 om säker hantering.

Steg 4 – Hur kan informationen förvaras och hanteras säkert under arbetet

Insamlad information måste hanteras på ett säkert sätt. Undvik eller begränsa användning av externa lagringstjänster. Detta gäller exempelvis Dropbox, Google Docs, iCloud, OneDrive.

MS Forms får användas vid enkätundersökningar av studenter vid MDU, med beaktande av riskerna det kan innebära att hantera personuppgifter i verktyget. Hantering av personuppgifter i verktyget ska därför begränsas till ett minimum, t.ex. genom att endast IP-adress (som i normalfallet är en personuppgift) behandlas i verktyget. Känsliga och/eller skyddsvärda personuppgifter får inte hanteras i MS Forms oavsett om det är direkta/indirekta eller pseudonymiserade uppgifter. Ansvar för studenters användning av verktyget ligger hos kursansvarig/handledare. Om känsliga och/eller skyddsvärda personuppgifter måste behandlas i någon form ska enkätverktyget Survey and Report, alternativt pappersenkäter användas. Eftersom studenter i nuläget inte kan få direkt tillgång till Survey and Report, kan lärare skicka ut digitala enkäter via verktyget för studenters räkning, om läraren bedömer att det är möjligt inom ramen för sitt uppdrag. Enkäter där personuppgifter behandlas kan annars genomföras fysiskt i pappersform och förvaras i ett inlåst utrymme på universitetet

Genomförande av intervjuer kan ske digitalt och spelas in via Zoom så länge känsligt material inte behandlas. Om känslig information ska behandlas bör intervjuer ske via fysiskt möte, alternativt kan intervjun ske via Zoom eller telefonmöte, där inspelning sker med diktafon under mötet för att sedan transkriberas, lagras säkert samt raderas efter transkribering. Se vidare under Steg 5 om bevarande och radering av uppgifter.

Steg 5 – Bestäm vad som ska raderas respektive vara kvar vid avslut

Personuppgifter får inte sparas längre tid än vad som är nödvändigt och ska raderas när de inte längre behövs. Samtidigt kan det finnas delar av informationen som måste finnas kvar en tid för att kunna styrka slutsatserna i arbetet eller för att de är nödvändiga för framtida egna personuppgifts-behandlingar inom överskådlig framtid (ex. att användas som underlag på en uppsats på nästa nivå). I de fall informationen inte är nödvändig för framtida behandlingar är en bra riktlinje att radera den då betyget är satt, registrerat i studieregistret och därmed inte längre behövs för att styrka slutsatserna i rapporten.

Innan det praktiska arbetet startar är det därför viktigt att bestämma vad som ska hända med de insamlade personuppgifterna efteråt. Vilka uppgifter ska sparas respektive slängas? Under arbetets gång kan det finnas anledning att ompröva den ursprungliga planeringen men det är viktigt att det finns en grundläggande plan som är förankrad med din handledare eller kursansvarige (beroende på uppgiftens upplägg). Detta inte minst för att kunna besvara frågor från de registrerade.

Steg 6 – Inhämta samtycke, informera och samla in personuppgifter

För ett studentarbete är det normalt sett endast samtycke som är aktuellt som laglig grund för behandling av personuppgifter.

Att inhämta ett samtycke innebär i praktiken att du på ett tydligt och klart sätt talar om vilka uppgifter du vill samla in, vad de ska användas till och av vem/vilka samt hur länge uppgifterna ska användas. Om du redan nu planerar att använda det insamlade materialet även i framtida studentarbeten, utöver det som nu är aktuellt, måste du informera om det vid inhämtandet av samtycke från den registrerade. Du ska även informera om att det finns möjlighet att begära att få se den insamlade informationen samt att det finns möjlighet att vända sig till dataskyddsombudet vid universitetet eller Integritetsskyddsmyndigheten med klagomål. En checklista för vad du behöver tänka på när du utformar din information hittar du här.

Efter att den registrerade tagit del av informationen kan hen ge sitt samtycke till behandlingen och det är då tillåtet att behandla de personuppgifter som är nödvändiga för att genomföra syftet med behandlingen och ditt arbete. Viktigt att veta om samtycke är att det ska dokumenteras och sparas så att det kan plockas fram vid behov. Den registrerade har rätt att när som helst återkalla sitt samtycke. För behandling av särskilda kategorier av personuppgifter (känsliga personuppgifter) med stöd av samtycke krävs att det är särskilt poängterat vid informationen och att samtycket verkligen täcker detta. Rådgör med din handledare eller kursansvarige vid osäkerhet kring samtycken. Observera även att känsliga uppgifter ställer extra stora krav på säkerheten i hanteringen (se ovan under steg 3).

Checklista:

Steg 7 – Behandla det insamlade materialet

Under förutsättning att de tidigare stegen har utförts är detta ett formellt enkelt steg som inte kräver några ytterligare åtgärder utifrån GDPR. Samtidigt är detta i praktiken det huvudsakliga arbetet.

Steg 8 – Efter behandling; radera eller spara materialet efter behov

Även detta bör vara ett enkelt steg då det praktiska arbetet nu är avslutat. Materialet som har behandlats ska nu antingen sparas eller raderas enligt vad du kommit fram till i steg 5. De eventuella samtycken du har inhämtat för att kunna göra personuppgiftsbehandlingen måste sparas lika länge som själva materialet, och raderas/kastas vid samma tidpunkt.

Det är du som student som ansvarar för att materialet raderas då det inte längre behövs för att verifiera resultatet i rapporten eller i annat syfte. Tänk på att inte radera underlag innan att slutligt betyg är satt på kursen.