Personuppgiftsbehandling vid studentarbeten

GDPR ställer, tillsammans med ett antal svenska lagar kopplade till denna, hårda krav på att allt arbete med personuppgifter utförs korrekt. Örebro universitet har formellt ansvar för de personuppgifts-behandlingar som utförs inom hela verksamheten och det gäller också våra studenters egen hantering av personuppgifter inom ramen för deras utbildning. Den här listan vänder sig till dig som student som hanterar personuppgifter inom ramen för dina studier men när det inte är tänkt att det ska ingå i något forskningsunderlag framöver etc.

Om du som student tänker använda personuppgifter i en uppsats, ett examensarbete eller något annat som är relaterat till dina studier vid Örebro universitet finns det mycket att tänka på. Denna text ger en kort genomgång av de steg som är nödvändiga för att hanteringen av personuppgifter ska bli korrekt. Utöver de regler som gäller för personuppgifter kan det, beroende på vad du avser att göra, finnas ytterligare regler att ta hänsyn till och du bör därför ha en övergripande diskussion med din handledare om vilken information du tänker hantera och på vilket sätt och planera därefter.

Referenser, källhänvisningar och citat krävs enligt upphovslagen. Detta för att hänvisa till andra verk. Dessa personuppgifter är också en form av personuppgiftsbehandling men kräver ingen ytterligare hänsyn till GDPR (ingen registrering behövs).

Steg 1 – Lämplighets- och nödvändighetsbedömning

Den första frågan är om det verkligen är nödvändigt att behandla personuppgifter? Den undersökning som ska göras kanske kan utföras med bibehållen kvalitet utan att personuppgifter behandlas och då är detta att föredra. Om man inte använder personuppgifter gäller inte GDPR, vilket gör arbetet lättare.

Det är viktigt att komma ihåg att som personuppgift räknas all information som direkt eller indirekt kan knytas till en levande människa. Det innebär att det inte bara är sådant som namn, personnummer, DNA eller porträttfoto som är en personuppgift utan det även kan vara en kombination av mer anonyma uppgifter som sammantaget gör det möjligt att identifiera en enskild person. Även om studenter/handledare endast har tillgång till kodade (pseudonymiserade) data gäller GDPR. Om det någonstans finns en kodlista, oavsett om det är på universitet, hos en annan myndighet (såsom Socialstyrelsen) eller utomlands så är det fortfarande personuppgifter som hanteras.

Ex. Kombinationen ålder och skonummer tillsammans med grupptillhörighet för en person är inte personuppgifter om vi endast vet att det handlar om en svensk medborgare men kan vara det om man vet att urvalet är begränsat till en liten grupp såsom Svenska Akademien.

Utöver "vanliga" harmlösa personuppgifter tillkommer även kategorierna extra skyddsvärda (integritetskänsliga) personuppgifter så som exempelvis personnummer,  och uppgifter om lagöverträdelser och känsliga personuppgifter. 

Känsliga personuppgifter är uppgifter om:
- etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i en fackförening
- hälsa
- en persons sexualliv eller sexuella läggning
- genetiska uppgifter
- biometriska uppgifter som används för att entydigt identifiera en person.

Uppgifter om lagöverträdelser är exempelvis:
- målnummer till brottmålsdomar
- uppgift om att någon blivit häktad
- uppgift om att någon varit föremål för en domstolsprocess
- övriga uppgifter som har anknytning till brottmålsprocesser eller lagöverträdelser.

Bedöm vilka typer av personuppgifter som är nödvändiga att behandla inom ramen för ditt arbete. Skriv även ner ditt ändamål/syfte med behandlingen så kortfattat som möjligt.

Steg 2 – Definiera syftet och vilka uppgifter som måste samlas in

Innan det praktiska arbetet börjar är det viktigt att göra klart vilka uppgifter som ska samlas in och varför. För dig som ska göra ett studentarbete ska inte detta vara någon svår uppgift utan syftet med personuppgiftsbehandlingen är helt enkelt att kunna utföra den undersökning som är nödvändig för att underbygga ditt arbete. Det är däremot viktigt att du tänker igenom och formulerar syftet och att du har klart för dig vilken personlig information som är nödvändig för att nå det. Du får, som ovan nämnts, inte samla in personuppgifter bara för att de kan vara ”bra att ha”.

Steg 3 – Känsliga personuppgifter och uppgifter om lagöverträdelser

Om du anser att det är nödvändigt att samla in känsliga personuppgifter eller integritetskänsliga personuppgifter så som till exempel uppgifter om lagöverträdelser för utförandet av ditt studentarbete ska detta stämmas av och ske i dialog med kursansvarig och handledare.
Extra fokus bör läggas på att samtyckets tydlighet så att den registrerade är medveten om att just känsliga personuppgifter behandlas.
Om uppgifter hämtas på ett sådant sätt där det är omöjligt att inhämta samtycke eller informera utan att behöva samla in kontaktuppgifter från annan källa (exempelvis brottsmål) så ska du inte gå till andra register för dessa (exempelvis folkbokföring). Där emot blir kraven på säkerhet och integritet högre i ditt arbete och slutliga produkten. 

Ytterligare säkerhetsåtgärder för behandling av dessa uppgifter kan vara uppgiftsminimering, kryptering, pseudonymisering och/eller lösen vid korrespondens, säkra lagringsytor, extra lösenordsskydd för mappar och filer etc. Se vidare under Steg 4 om säker hantering. 

Steg 4 – Hur kan informationen förvaras och hanteras säkert under arbetet

Insamlad information måste hanteras på ett säkert sätt. Använd fasta lagringsytor så som egen hårddisk och tjänster tillhandahållna av Örebro univeristet så som ORU Survey som enkätverktyg, oru cloud, zoom m.m. vid hantering av personuppgifter. Där du kan logga in med ditt oru-konto.  Program och tjänster för studenter tilldelade av Örebro universitet  

Externa lagringstjänster så som icloud, Dropbox, Google Docs, med flera är ej tillåtet för behandling av personuppgifter vid studentarbeten. 

Steg 5 – Bestäm vad som ska raderas respektive vara kvar vid avslut

Personuppgifter får inte sparas längre tid än vad som är nödvändigt och ska raderas när de inte längre behövs. Samtidigt kan det finnas delar av informationen som måste finnas kvar en tid för att kunna styrka slutsatserna i arbetet eller för att de är nödvändiga för framtida egna personuppgifts-behandlingar inom överskådlig framtid (ex. att användas som underlag på en uppsats på nästa nivå). I de fall informationen inte är nödvändig för framtida behandlingar är en bra riktlinje att radera den då betyget är satt och registrerat i studieregistret och därmed inte längre behövs för att styrka slutsatserna i rapporten.

Innan det praktiska arbetet startar är det därför viktigt att bestämma vad som ska hända med de insamlade personuppgifterna efteråt. Vilka uppgifter ska sparas respektive slängas? Under arbetets gång kan det finnas anledning att ompröva den ursprungliga planeringen men det är viktigt att det finns en grundläggande plan som är förankrad med din handledare eller kursansvarige (beroende på uppgiftens upplägg). Detta inte minst för att kunna besvara frågor från de registrerade (de personer vars information du vill använda dig av). Det är dock lämpligt att vänta med eventuell radering av information till dess att arbetet är slutfört, se Steg 8. 

Steg 6 – Inhämta samtycke, informera och samla in personuppgifter

Personuppgifter får endast behandlas om det finns laglig grund för behandlingen. GDPR anger ett antal grunder som betraktas som tillåtna men för ett studentarbete är det normalt sett endast samtycke som är aktuellt. Om det inte är möjligt att använda samtycke bör du ta upp detta med din handledare för att se om det går att hitta en annan lösning.

Att inhämta ett samtycke innebär i praktiken att du på ett tydligt och klart sätt talar om vilka uppgifter du vill samla in, vad de ska användas till och av vem/vilka samt hur länge uppgifterna ska användas. Om du redan nu planerar att använda det insamlade materialet även i framtida studentarbeten, utöver det som nu är aktuellt, måste du informera om det vid inhämtandet av samtycke från den registrerade. Du ska även informera om att det finns möjlighet att begära att få se den insamlade informationen samt att det finns möjlighet att vända sig till dataskyddsombudet vid universitetets eller Integritetsskyddsmyndigheten med klagomål. En checklista för vad du behöver tänka på när du utformar din information finns som bilaga till detta dokument.

Efter att den registrerade tagit del av informationen kan han/hon ge sitt samtycke till behandlingen och det är då tillåtet att behandla de personuppgifter som är nödvändiga för att genomföra ditt syfte. Viktigt att veta om samtycke är att det ska dokumenteras och sparas så att det kan plockas fram vid behov. Den registrerade har rätt att när som helst återkalla sitt samtycke. För behandling av särskilda kategorier av personuppgifter (känsliga personuppgifter) med stöd av samtycke krävs att det är särskilt poängterat vid informationen och att samtycket verkligen täcker detta. Rådgör med din handledare eller kursansvarige vid osäkerhet kring samtycken. Observera även att känsliga uppgifter ställer extra stora krav på säkerheten i hanteringen.

Steg 7 – Behandla det insamlade materialet

Under förutsättning att de tidigare stegen har utförts är detta ett formellt enkelt steg som inte kräver några ytterligare åtgärder utifrån GDPR. Samtidigt är detta i praktiken det huvudsakliga arbetet.

Steg 8 – Efter behandling; radera eller spara materialet efter behov.

Även detta bör vara ett enkelt steg då det praktiska arbetet nu är avslutat. Materialet som har behandlats ska nu antingen sparas eller raderas enligt vad du kommit fram till i Steg 5. De eventuella samtycken du har inhämtat för att kunna göra personuppgiftsbehandlingen måste sparas lika länge som själva materialet, och raderas/kastas vid samma tidpunkt.

Det är du som student som ansvarar för att materialet raderas då det inte längre behövs för att verifiera resultatet i rapporten eller i annat syfte. Tänk på att inte radera underlag innan att slutligt betyg är satt på kursen.