GDPR för studenter
Denna webbsida är ett stöd för dig som student vid behandling av personuppgifter när du skriver uppsats eller gör ett självständigt examensarbete.
Du hittar dels generell information om GDPR men även några tips vad du bör tänka på och hur du ska hantera olika typer av personuppgifter, eller kan du ännu hellre undvika att använda personuppgifter?
Introduktion till dataskyddsförordningen (GDPR)
Dataskyddsförordningen är den lag som gäller för personuppgiftsbehandling och som genomförs av samtliga medlemsländer i EU sedan den 25 maj 2018. GDPR är den engelska förkortningen av lagen (General Data Protection Regulation).
Lagstiftningen innebär att all behandling av personuppgifter som genomförs måste uppfylla de grundläggande principer som Dataskyddsförordningen anger och som sammanfattat handlar om att personuppgifter bara får hanteras om det finns ett berättigat ändamål, att de personer vars personuppgifter man behandlar har informerats om behandlingen, att man inte behandlar fler uppgifter än vad som är nödvändigt för det ursprungliga ändamålet, att personuppgifterna inte sparas längre än nödvändigt och att de förvaras på ett ändamålsmässigt säkert sätt.
Begrepp och definitioner
Personuppgifter
En personuppgift är en uppgift som direkt eller indirekt kan identifiera en levande person. En personuppgift kan vara namn, adress eller personnummer men även ip-nummer, registreringsnummer på bil eller fastighetsbeteckning. Det kan också vara biometriska uppgifter som fingeravtryck eller DNA. En uppgift som enskilt kanske inte går att utläsa, är fortfarande en personuppgift så länge det finns något hjälpmedel som kan utläsa den, t ex kodade uppgifter där en kodnyckel finns.
Behandling av personuppgifter
Alla former av åtgärder som görs med en personuppgift kallas personuppgiftsbehandling. Det kan till exempel vara insamling, registrering, strukturering, bearbetning, sammanställning och radering. Behandling av personuppgifter är ett mycket omfattande begrepp.
Personuppgiftsansvarig
Personuppgiftsansvarig är den som bestämmer ändamålen och medlen för behandlingen av personuppgifter. Linnéuniversitetet är personuppgiftsansvarig för den personuppgiftsbehandling som sker inom Linnéuniversitetets verksamhet, vilket även omfattar den personuppgiftsbehandling som studenter genomför inom sin utbildning, t ex i samband med uppsatsskrivning.
De grundläggande principerna
I Dataskyddsförordningens artikel 5 anges ett antal grundläggande principer som ska uppfyllas för att en personuppgiftsbehandling ska vara laglig. Det innebär att personuppgiftsbehandling som sker i samband med uppsatsskrivning ska uppfylla dessa grundläggande principer.
- Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den vars personuppgifter vi behandlar, det vill säga den registrerade (laglighet, korrekthet och öppenhet).
- Uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning).
- Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
- Uppgifterna ska vara korrekta och om nödvändigt uppdaterade (korrekthet).
- Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (lagringsminimering).
- Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna (integritet och konfidentialitet).
Studenters behandling av personuppgifter kräver samtycke
Det grundläggande med Dataskyddsförordningen är att man som enskild ska ha rätt att bestämma vem som hanterar vilka personuppgifter, och i vilket syfte, om en själv. För att en personuppgiftsbehandling ska vara laglig krävs en rättslig grund, vilket betyder att det krävs ett samtycke från personen vars personuppgifter man hanterar. Det finns vissa undantag där samtycke inte krävs för att någon ska få hantera personuppgifter, t ex om en myndighet behöver hantera vissa personuppgifter i sin myndighetsutövning eller ett företag behöver hantera vissa personuppgifter för att kunna uppfylla ett avtal och fakturera. När det gäller studentuppsatser är det dock i princip alltid så att en personuppgiftsbehandling behöver ha stöd av ett samtycke.
Ett samtycke ska enligt lagstiftningen vara:
- informerat, vilket innebär att personen ska ha fått tillräckligt med information om personuppgiftsbehandling för att kunna ta ett beslut om man vill ge samtycke eller inte.
- frivilligt, vilket innebär att det ska finnas en möjlighet att säga nej, det får inte finnas ett ojämlikt maktförhållande, som t ex mellan en arbetsgivare och arbetstagare och det får inte finnas negativa konsekvenser för personen som säger nej.
- återkallningsbart, vilket innebär att personen ska ha möjlighet att dra tillbaka sitt samtycke.
Känsliga personuppgifter
En del personuppgifter räknas som känsliga personuppgifter, vilket innebär att de omfattas av strängare krav i Dataskyddsförordningen. Känsliga personuppgifter är uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter, uppgifter om hälsa eller uppgifter om en persons sexualliv eller sexuella läggning.
Utgångspunkten i dataskyddsförordningen är att det är förbjudet att behandla känsliga personuppgifter.
Stöd finns att få
Du kan kontakta Linnéuniversitetets dataskyddsombud om du har frågor kring Dataskyddsförordningen och personuppgiftshantering.
Anmäla till förteckning över uppsatser som innehåller personuppgifter
Om du använder personuppgifter i ditt uppsatsarbete behöver du anmäla det till Linnéuniversitetets dataskyddsombud för att universitetet ska kunna ha koll på var det förekommer personuppgiftsbehandlingar. Det gör du via webbformuläret för anmälan av personuppgiftsbehandling.
Hur hanterar jag som student personuppgifter i mitt arbete?
Steg 1: Måste personuppgifter behandlas?
Om undersökningen kan göras utan att personuppgifter behandlas är detta att föredra. Då gäller nämligen inte kraven i dataskyddsförordningen.
Steg 2: Definiera syftet med behandlingen och vilka uppgifter som måste samlas in
Vilka uppgifter ska samlas in och varför? Tänk igenom syftet med personuppgiftsbehandlingen så att du är klar över vilken information som är nödvändig för din undersökning.
Steg 3: Registrera behandlingen
Varje behandling av personuppgifter skall registreras i Linnéuniversitetets register över personuppgiftsbehandlingar. Detta gör du i webbformuläret för registrering av personuppgifter.
Steg 4: Bestäm hur informationen skall förvaras och hanteras säkert under arbetet
Insamlad information måste behandlas på ett säkert sätt. Molntjänster såsom Dropbox, iCloud, Google Drive etc får inte användas för lagring av personuppgifter.
Steg 5: Bestäm vilka delar av informationen som ska raderas respektive bevaras när arbetet är klart
Personuppgifter får inte bevaras längre tid än vad som är nödvändigt och ska raderas när de inte längre behövs. När uppsatsen är betygsatt, och uppladdad i DiVA så ska personuppgifterna i regel raderas. För journaler inom vården gäller andra regler för arkivering, kontakta din handledare för korrekt hantering.
Steg 6: Inhämta samtycke, informera de registrerade och samla in de nödvändiga personuppgifterna
Du behöver ha samtycke från vederbörande för att behandla en personuppgift om denne. Att ge sitt samtycke innebär att den registrerade personen ger sitt aktiva godkännande till behandlingen.
Detta innebär i praktiken att du talar om:
- vilka uppgifter du vill samla in
- vad de ska användas till och av vem/vilka
- hur länge uppgifterna ska användas
- att det finns möjlighet att begära att få se den insamlade informationen
- att den registrerade har rätt att när som helst återkalla sitt samtycke
- att det finns möjlighet att vända sig till dataskyddsombudet vid Linnéuniversitetet eller datainspektionen med klagomål.
Efter det att den registrerade har tagit del av informationen kan hen ge sitt samtycke till behandlingen och det är då tillåtet att behandla uppgifterna. Samtycke ska dokumenteras så att det kan plockas fram vid behov.
En del utbildningar har färdiga samtyckesblanketter som du kan använda, kontakta din handledare för att se om det finns en specifik samtyckesblankett för just din utbildning. Länk till samtyckesblankett
Steg 7: Behandla det insamlade materialet
När alla tidigare steg har utförts kan du nu behandla personuppgifterna på ett korrekt sätt i enlighet med de grundläggande principerna. Efter avslutad behandling, glöm ej att radera personuppgifterna.