Studentarbeten och personuppgiftshantering
Uppsala universitet är personuppgiftsansvarig för den behandling av personuppgifter som sker inom lärosätets verksamhet. Detta innebär att universitetet även ansvarar för den behandling av personuppgifter som studenterna genomför inom ramen för utbildningen.
Dataskyddsförordningen
Dataskyddsförordningen (GDPR) gäller som lag i EU:s medlemsländer sedan den 25 maj 2018. Förordningen syftar till att stärka rättigheterna för enskildas personliga integritet vid behandling av personuppgifter.
Vad är en personuppgift?
En personuppgift är varje upplysning som avser en identifierad eller identifierbar fysisk person. Denna person kallas för den registrerade. Alla uppgifter som direkt eller indirekt kan identifiera en person anses vara en personuppgift. Detta omfattar alla uppgifter som enskilt eller tillsammans med andra uppgifter kan knytas till en levande person. Exempelvis namn, personnummer, IP-adress, bilder, ljudinspelningar och e-postadresser.
För att avgöra om en fysisk person är identifierbar ska man beakta alla hjälpmedel som rimligen kan användas för att direkt eller indirekt identifiera personen. Finns det exempelvis en kodnyckel sparad som gör att uppgifterna kan kopplas till en person är det fråga om personuppgifter. Även om du som student inte vet vilken person uppgifterna gäller så utgör det en personuppgift. Det räcker att någon kan koppla ihop uppgiften till en fysisk person.
Är uppgifterna helt anonyma och inte går att koppla till en fysisk person faller uppgifterna utanför dataskyddsförordningens tillämpningsområde.
Känsliga personuppgifter
Vissa personuppgifter anses vara känsliga och har ett starkare skydd i dataskyddsförordningen. Detta är personuppgifter som gäller:
- uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening.
- uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
- en behandling av genetiska och biometriska uppgifter för att identifiera en fysisk person.
Huvudregeln enligt dataskyddsförordningen är att behandling av känsliga personuppgifter är förbjuden. Det finns dock vissa undantag, exempelvis om den registrerade har samtyckt till behandlingen.
Korrekt personuppgiftshantering – steg för steg
Om du som student behandlar personuppgifter i ditt uppsatsarbete omfattas behandlingen av dataskyddsförordningen. Det är Uppsala universitets ansvar att se till att reglerna följs.
Steg 1. Är det nödvändigt att personuppgifter behandlas?
Det första du ska göra är att fundera om det är nödvändigt för ditt arbete att personuppgifter behandlas. Fundera över vad syftet med arbetet är och om detta syfte går att uppnå utan en personuppgiftsbehandling. Om du bedömer att det är nödvändigt att behandla personuppgifter ska du även fundera över vilka personuppgifter och i vilken omfattning det är nödvändigt att behandla dem.
Steg 2. Vad är ändamålet med behandlingen och vilka personuppgifter ska behandlas?
Formulera vad syftet med arbetet är och vad ändamålet med behandlingen av personuppgifterna är. Bestäm vad målet med arbetet och på vilket sätt personuppgifterna bidrar till att uppnå detta mål. Det räcker med en kortfattad beskrivning av vad personuppgifterna ska användas till och varför de behandlas. Det viktiga är att ändamålet är klart och tydligt.
Det är inte tillåtet att behandla fler personuppgifter än vad som är nödvändigt för att uppnå ändamålet. Bestäm också vilka kategorier av personuppgifter som ska behandlas och om känsliga personuppgifter kommer behandlas. Exempel på kategorier är kontaktuppgifter, uppgifter om politisk åsikt etc.
Steg 3. Bestäm hur personuppgifterna ska förvaras och hanteras
Insamlade personuppgifter måste behandlas på ett säkert sätt. Det är viktigt att inte obehöriga får tillgång till personuppgifter.
Steg 4. Bestäm vilka delar av informationen som ska raderas respektive sparas när arbetet är klart
Bestäm vad som ska hända med personuppgifterna när arbetet är slutfört. Personuppgifter får inte bevaras längre tid än vad som är nödvändigt och ska raderas när examensarbetet är redovisat och betygssatt.
Steg 5. Rapportera att du planerar att behandla personuppgifter
Varje personuppgiftsbehandling ska registreras av Uppsala universitet i egenskap av personuppgiftsansvarig. Syftet med registreringen är att den personuppgiftsansvarige ska kunna överblicka vilka behandlingar av personuppgifter som sker i verksamheten. I registret ska det finnas uppgifter om att en personuppgiftsbehandling sker, vad den går ut på och vem som utför det.
Steg 6. Inhämta samtycke, informera de registrerade och samla in de nödvändiga personuppgifterna
Vid behandling av känsliga personuppgifter ska samtycke inhämtas innan behandlingen påbörjas. Är det inte fråga om känsliga personuppgifter krävs inget samtycke.
De registrerade ska informeras om:
- Vilka kategorier av uppgifter som samlas in
- Ändamålet med behandlingen
- Den lagliga grunden för behandlingen
- Hur länge uppgifterna ska användas
- Att det finns möjlighet att begära tillgång till personuppgifterna
- Att Uppsala universitet är personuppgiftsansvarig samt kontaktuppgifter
- Kontaktuppgifter till dataskyddsombudet
- Att det finns möjlighet att vända sig till dataskyddsombudet vid Uppsala universitet eller datainspektionen med klagomål
Grundar sig behandlingen på samtycke måste den registrerade få information om:
- Att den registrerade kan återkalla sitt samtycke
Steg 7. Behandla det insamlade materialet
Detta steg utgör det praktiska arbetet i din studie.
Steg 8. Radera eller arkivera personuppgifterna
När arbetet är slutfört ska personuppgifterna raderas i enlighet med vad som bestämts i steg 4.
Det här gäller enligt dataskyddsförordningen
All behandling av personuppgifter måste följa de grundläggande principerna som anges i dataskyddsförordningen.