GDPR för handledare, lärare och studenter

Avsikten med texterna

Texterna nedan börjar med att ge en introduktion till GDPR med inriktning på studenters behandling av personuppgifter inom ramen för utbildningen (Del 1), för att sedan övergå till en handledning för uppsatsarbeten i åtta steg (Del 2) som gäller vid Karlstads universitet. Alla lärare och studenter kan ha nytta av informationen i Del 1, medans texten i Del 2 i första hand är avsedd som ett stöd för dig som handledare eller student vid behandling av personuppgifter i uppsatsarbeten.

Att lära studenterna hur man hanterar personuppgifter på ett lagligt, korrekt och öppet sätt i förhållande till den enskilde vars personuppgifter man behandlar (den registrerade) bör ses som en integrerad del av utbildningen och en viktig kunskap inför studenternas framtida yrkesliv.

Del 1 – Studenters behandling av personuppgifter inom ramen för utbildningen (en introduktion)

1. Några grundläggande begrepp

Personuppgifter

Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Typiska identifieringsuppgifter är personnummer, namn, adress, e-postadress, IP-nummer, fotografier eller ljudupptagningar av röst, men även flera faktorer (t.ex. ålder + kön + utbildning) som gemensamt är specifika för en fysik person kan innebära att personen är identifierbar.

Observera att det räcker med att någon kan koppla uppgifterna till en levande fysisk person för att det ska räknas som personuppgifter.

Även om du som behandlar uppgifterna inte vet eller ens har möjlighet att ta reda på vilken personen det gäller kan det vara personuppgifter enligt definitionen i GDPR. För att avgöra om en fysisk person är identifierbar ska man beakta alla hjälpmedel som – antingen av den personuppgiftsansvarige eller av en annan juridisk eller fysisk person – rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. Så länge det exempelvis finns en kodnyckel sparad någonstans som gör att uppgifterna kan kopplas till en viss person är det personuppgifter.

Typiska personuppgifter utöver identifieringsuppgifter är alla uppgifter som rör den enskilde individens privat- eller familjeliv, men även uppgifter som hänför sig till arbetslivet räknas som personuppgifter. Personuppgifter kan t.ex. vara ålder, kön, civilstånd, bostadsort, ekonomiska förhållanden, anställning och lön, resultat från olika typer av prov och tester, samt den enskildes handlingar, åsikter, uttalanden, kunskaper eller andra egenskaper i övrigt. Det går inte att skriva en uttömmande lista på vad som kan vara personuppgifter. Avgörande är om uppgifterna kan knytas till en identifierad eller identifierbar levande fysisk person.

Den registrerade

En levande person som får sina personuppgifter behandlade av en personuppgiftsansvarig. I samband med ett uppsatsarbete är det den person som svarar på en enkät, blir intervjuad eller på annat sätt medverkar i en studie som är den registrerade (deltagaren). Hela GDPR bygger på att den registrerade har rättigheter som den personuppgiftsansvarige måste skydda och tillgodose.

Personuppgiftsansvarig

Personuppgiftsansvarig är den som bestämmer ändamålen och medlen för behandlingen av personuppgifter. När Karlstads universitet utför sina lagstadgade uppgifter utbildning, forskning och samverkan med det omgivande samhället (tredje uppgiften) är det som huvudregel Karlstads universitet som är personuppgiftsansvarig. Observera att det alltid är myndigheten Karlstads universitet som är personuppgiftsansvarig och som har huvudansvaret för att organisationen följer GDPR, inte en enskild person på myndigheten (varken anställd eller student).

Behandling av personuppgifter

Behandling av personuppgifter är ett mycket omfattande begrepp. Alla former av åtgärder med personuppgifter räknas som behandling av personuppgifter, från det att uppgifterna samlas in tills det att uppgifterna slutligt har raderats eller förstörts. Allt som görs med personuppgifter, från att spela in intervjuer, transkribera och skriva in i datorn, bevara, redigera, bearbeta, analysera, skriva ut, mejla, virusscanna, till att göra backup och slutligen radera personuppgifterna räknas som behandling av personuppgifter.

Exempel på behandling av personuppgifter är enligt definitionen i GDPR insamling, registrering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning, spridning och slutligen även själva raderingen eller förstöringen av personuppgifterna. Tänk på att t.ex. skickande av e-post, att låta någon läsa personuppgifter på din dataskärm, utskrift av personuppgifter på skrivare eller att kasta pappershandlingarna med personuppgifter i ett sopkärl alltid innebär behandling av personuppgifter. 

Känsliga personuppgifter

Vissa typer av personuppgifter är till sin natur särskilt känsliga. Dessa benämns i GDPR som särskilda kategorier av personuppgifter, men brukar i Sverige kallas känsliga personuppgifter. Det är som huvudregel förbjudet att behandla känsliga personuppgifter enligt GDPR, men det finns undantag. Det ställs dock alltid höga krav på tekniska och organisatoriska skyddsåtgärder när dessa uppgifter behandlas.

I GDPR finns en uttömmande uppräkning av vad som räknas som känsliga personuppgifter i artikel 9. Med känsliga personuppgifter menas uppgifter som avslöjar ras (i GDPR används ordet ras, men det står också att det inte innebär att EU godtar teorier om att det skulle finnas skilda människoraser) eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Vad som omfattas av de olika begreppen i artikel 9 GDPR har fått en vid tolkning. Till personuppgifter om hälsa räknas exempelvis alla uppgifter som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd, och kan vara till exempel sjukfrånvaro, graviditet och läkarbesök. Det är viktigt att tänka på att även personuppgifter som indirekt kan avslöja känsliga personuppgifter, såsom exempelvis alkohol- eller rökvanor, kan räknas som känsliga personuppgifter då dessa indirekt kan härleda till uppgifter om hälsa.

Även sådana personuppgifter som i Sverige normalt sett inte anses vara särskilt känsliga, som t.ex. facklig tillhörighet eller religiös tro, omfattas av de högt ställda skyddskraven för behandling av känsliga personuppgifter. En anledning till detta är att de känsliga personuppgifterna anses nära förknippade med andra mänskliga rättigheter och friheter som framgår av bl.a. Europiska unionens stadga om de grundläggande rättigheterna (EU-stadgan). Förbudet mot att behandla känsliga personuppgifter kan därför ses som ett skydd för exempelvis följande rättigheter och friheter i EU-stadgan:

• respekt för privatlivet och familjelivet (artikel 7)
• tankefrihet, samvetsfrihet och religionsfrihet (artikel 10)
• mötes- och föreningsfrihet (artikel 12)
• icke-diskriminering (artikel 21)

Integritetskänsliga personuppgifter

Även om en uppgift inte klassas som en känslig personuppgift enligt artikel 9 GDPR kan det ändå vara frågan om andra integritetskänsliga personuppgifter (ibland benämnda extra skyddsvärda personuppgifter). I GDPR nämns uttryckligen uppgifter om lagöverträdelser (artikel 10) samt personnummer och samordningsnummer (artikel 87). Ytterligare exempel på integritetskänsliga personuppgifter är löneuppgifter, värderande uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler, och kan även vara information som rör någons privata sfär eller uppgifter om sociala förhållanden.

Integritetskänsliga personuppgifter kräver inte lika starkt skydd som känsliga personuppgifter, men kan kräva en högre nivå av skydd än mer harmlösa personuppgifter. Uppgifterna bör till exempel inte skickas med mejl över öppet nät till externa mottagare utan sådana kompletterande skyddsåtgärder som Karlstads universitets IT-avdelningen har bedömt adekvata.

Ordinära personuppgifter

Ordinära personuppgifter (ibland benämnda harmlösa personuppgifter) används för att beskriva sådana uppgifter som vare sig är känsliga eller integritetskänsliga. Exempel på ordinära personuppgifter är namn, födelsedatum och kontaktuppgifter till arbetet.

2. Vem ansvarar för studenternas behandling av personuppgifter?

Det är Karlstads universitet som är ansvarig för studenternas behandling av personuppgifter inom ramen för utbildningen. Universitetet ansvarar till fullo för att studenternas behandling av personuppgifter är laglig och att de registrerades integritet respekteras och skyddas. När en student behandlar personuppgifter under universitetets överinseende likställs studenten med en representant för universitetet, och studenten ansvarar för att endast behandla personuppgifter enligt universitetets instruktioner.

Detta gäller dock inte undantagslöst för alla de situationer som kan tänkas uppkomma inom ramen för utbildningen. En student kan exempelvis komma att behandla personuppgifter vid praktik (exempelvis verksamhetsförlagd utbildning) inom bland annat skola eller hälso- och sjukvården. I sådana situationer är det som huvudregel praktikplatsen som är personuppgiftsansvarig. Eftersom det är praktikplatsen som ger studenten instruktioner för hur arbetsuppgifterna ska utföras är det praktikplatsen som också bestämmer ändamålen och medlen för den personuppgiftsbehandling som sker. Studenten omfattas i denna situation även av annan lagstiftning som gäller på praktikplatsen, såsom offentlighets- och sekretesslagen (OSL) och patientdatalagen.

Det finns dock undantagssituationer även här. Om Karlstads universitet till exempel ger studenterna instruktioner att spela in olika situationer eller göra intervjuer på praktikplatsen så kan behandlingen omfattas av Karlstads universitets personuppgiftsansvar.

3. Grundläggande principer för behandling av personuppgifter

All behandling av personuppgifter måste följa de grundläggande principerna som anges i GDPR (artikel 5). De grundläggande principerna kan sägas vara kärnan i GDPR som ska genomsyra all personuppgiftsbehandling och sätta de yttersta ramarna för vad som är en tillåten behandling. Det är därför viktigt att alltid ha principerna i bakhuvudet när studenter ska behandla personuppgifter inom ramen för utbildningen.

Principerna innebär bland annat att Karlstads universitet som personuppgiftsansvarig:

• måste ha rättsligt stöd i GDPR för att få behandla personuppgifter och att behandlingen ska vara rättvis, skälig, rimlig, proportionerlig och öppen i förhållande till de registrerade
• bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
• inte ska behandla fler personuppgifter än vad som behövs för ändamålen
• ska se till att personuppgifterna är riktiga
• ska radera personuppgifterna när de inte längre behövs
• ska skydda personuppgifterna med lämpliga tekniska och organisatoriska säkerhetsåtgärder, så att inte obehöriga får tillgång till personuppgifterna och så att de inte förloras eller förstörs

Detta är grundprinciperna för all behandling av personuppgifter och alla aktiviteter ska ses mot bakgrund av ovanstående punkter. Det är den personuppgiftsansvarige som ansvarar för att de grundläggande principerna efterlevs, och den personuppgiftsansvarige måste också kunna visa att principerna följs. För mer information om de grundläggande principerna, se Integritetsskyddsmyndighetens webbplats:

• Integritetsskyddsmyndighetens information om de grundläggande principerna

4. Rättsligt stöd för studenters personuppgiftsbehandling

Karlstads universitet får som personuppgiftsansvarig för den behandling som sker inom ramen för universitetets verksamhet bara samla in och behandla personuppgifter när det finns ett rättsligt stöd för behandlingen i GDPR (artikel 6). Behandlingen av personuppgifter i forskning anses enligt GDPR vara en uppgift av allmänt intresse (artikel 6.1 e). När det gäller studenters behandling av personuppgifter i exempelvis uppsatsarbeten bedömer universitetet att det i de allra flesta fall i stället är den rättsliga grunden samtycke som universitetet kan stödja sin personuppgiftsbehandling på (artikel 6.1 a).

4.1 Samtycke som rättslig grund

I de fall där personuppgifterna samlas in från den registrerade själv krävs enligt universitetets bedömning ett informerat och aktivt samtycke från varje enskild person vars personuppgifter behandlas inom ramen för till exempel ett uppsatsarbete. Innan samtycke kan ges måste den registrerade erhålla information om den tänkta personuppgiftsbehandlingen.  

Med samtycke till behandling av personuppgifter menas varje slag av frivillig, specifik, informerad och otvetydig viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör personen själv. Detta innebär att till exempel förkryssade samtyckesrutor eller att använda principen opt-out inte kan användas som samtycke för att behandla personuppgifter.

Det är viktigt att informera de registrerade om att ett samtycke till behandling av personuppgifter när som helst kan återkallas utan krav på motivering. Ett återkallande av samtycke till behandling av personuppgifter innebär att uppgifterna inte längre får behandlas. Personuppgifter som samlats in med stöd av den rättsliga grunden samtycke som sedan återkallas måste därför som huvudregel raderas så snart som möjligt efter återkallandet. Återkallandet påverkar dock inte lagligheten av den personuppgiftsbehandling som har skett innan återkallandet.

Informationshanteringsrådet vid Karlstads universitet har tagit fram en mall för informationsbrev och samtyckesblankett för studenters uppsatsarbeten. Dessa mallar ska som huvudregel användas vid inhämtande av samtycke till att delta i en studie inom ramen för ett självständigt uppsatsarbete. Om handledaren anser att avsteg från mallen behöver göras i ett specifikt fall rekommenderas att handledaren kontaktar Karlstads universitets dataskyddsombud. Mallarna finns tillgängliga till höger på webbsidan under dokument.

4.2 Allmänt intresse som rättslig grund

I de fall där personuppgifterna inte samlas in från den registrerade direkt – till exempel vid internetstudier eller registerstudier – är det ofta inte möjligt att informera om behandlingen och erhålla ett samtycke från varje enskild person. I sådana situationer kan det vara möjligt att använda den rättsliga grunden att utföra en uppgift av allmänt intresse (utbildning) för studenternas behandling av personuppgifter. För att detta ska gälla krävs dock att behandlingen av personuppgifter är nödvändig för att studenten ska kunna genomföra de aktuella studierna mot bakgrund av hur studerandemålen är beskrivna i kursplan eller utbildningsplan. Med begreppet ”nödvändig” menas i detta sammanhang att behandlingen ska behövas för att utbildningen ska kunna genomföras med god kvalitet, men att en rimlighetsbedömning görs mot vilka andra alternativa sätt att utföra studierna som är möjliga. Är det möjligt att genomföra studierna med bibehållen kvalitet utan att behandla personuppgifter ska studenten inte behandla personuppgifter med stöd av den rättsliga grunden allmänt intresse. 

5. Studenters behandling av känsliga personuppgifter

Vissa typer av personuppgifter är till sin natur särskilt känsliga. Dessa benämns i GDPR som särskilda kategorier av personuppgifter, men brukar i Sverige kallas känsliga personuppgifter. Behandling av sådana personuppgifter omfattas av restriktioner och höga krav på tekniska och organisatoriska säkerhetsåtgärder. Utgångspunkten i GDPR är att det är förbjudet att behandla känsliga personuppgifter.

Vid Karlstads universitet är det som huvudregel inte tillåtet för studenter att behandla känsliga personuppgifter inom ramen för utbildningen. Det finns dock vissa specifika situationer där denna huvudregel inte är tillämplig. Under till exempel verksamhetsförlagd utbildning inom hälso- och sjukvården där arbetet utförs under ledning av praktikplatsen, eller vid praktik på psykologmottagningen vid Karlstads universitet, kan det vara nödvändigt att studenter behandlar känsliga personuppgifter. I dessa fall är studenterna också bundna av sekretess på motsvarande sätt som anställda enligt offentlighets- och sekretesslagen (OSL) och patientdatalagen.

Vid Karlstads universitet finns det även vissa undantag från förbudet för studenter att behandla känsliga personuppgifter när det sker inom ramen för uppsatsarbeten.

6. Studenters behandling av känsliga personuppgifter i uppsatsarbeten

Utgångspunkten i GDPR är att det är förbjudet att behandla känsliga personuppgifter, men att det kan vara tillåtet under vissa förutsättningar.

Det rättsliga utrymmet för att låta studenter behandla känsliga personuppgifter i uppsatsarbeten är begränsat. Behandling av känsliga personuppgifter måste alltid ske restriktivt och med höga krav på tekniska och organisatoriska säkerhetsåtgärder. De omfattande möjligheterna att behandla känsliga personuppgifter för forskningsändamål som ges i GDPR och lag (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) är inte tillämpliga inom utbildning på grundnivå eller på avancerad nivå eftersom detta inte räknas som forskning.

Av prop. 2007/08:44 s 20 Vissa etikprövningsfrågor m.m. framgår att ”regeringen menar att det inte är rimligt att förvänta sig att studenter som genomgår utbildning på grundnivå eller på avancerad nivå med säkerhet har hunnit tillägna sig kunskaper och insikter i den omfattning som krävs för att säkerställa skydd för de personer som medverkar i forskning. Studenterna bör därför inte åläggas det ansvar som det innebär att bedriva verksamhet där människor medverkar och där det finns risk att skada dessa människor fysiskt, psykiskt eller integritetsmässigt”.

Mot bakgrund av detta är det som huvudregel inte tillåtet för studenter att behandla känsliga personuppgifter i uppsatsarbeten vid Karlstads universitet. Det finns dock undantagssituationer.

6.1 Uppsatsarbeten som utgör en del av ett forskningsprojekt

När uppsatsarbeten skrivs inom ramen för ett av Karlstads universitet bedrivet forskningsprojekt som har fått ett etikgodkännande från Etikprövningsmyndigheten, så sker studentens behandling av personuppgifter och hantering av forskningsdata under de förutsättningar som ges i det aktuella projektet och under ansvar av huvudansvarig forskare. Den rättsliga grunden för studentens behandling av personuppgifter är i denna situation densamma som för forskningsprojektet, dvs. i normalfallet allmänt intresse.   

Studentens personuppgiftsbehandling ska i detta fall följa de regler som gäller för det aktuella forskningsprojektet och all hantering av forskningsdata måste ske inom ramen för forskningsprojektets IT-lösning med säkerställd adekvat säkerhet. All forskningsdata som insamlas av studenten blir också allmänna handlingar och räknas som primärmaterial i forskning, och studenten är bunden av sekretess enligt offentlighets- och sekretesslagen på samma sätt som deltagande forskare. Dokumentation av studentens behandling av personuppgifter och diarieföring sker i detta fall i enlighet med den av rektor beslutade etikgranskningsprocessen vid Karlstads universitet.  

Karlstads universitet rekommenderar att studenter som behöver behandla känsliga personuppgifter i sitt uppsatsarbete i första hand gör detta inom ramen för ett etikgodkänt forskningsprojekt. 

6.2 Självständiga uppsatsarbeten (uppsatsarbeten som inte utgör en del av ett forskningsprojekt)

Vid Karlstads universitet är det som huvudregel förbjudet för studenter att behandla känsliga personuppgifter inom ramen för självständiga uppsatsarbeten. Det rättsliga utrymmet för att behandla känsliga personuppgifter är i detta fall mycket begränsat, och kan i normalfallet endast grunda sig på uttryckligt samtycke från den registrerade (artikel 9.2 a). Studentuppsatser som inte ingår i ett forskningsprojekt kan inte heller få ett etikgodkännande från Etikprövningsmyndigheten enligt etikprövningslagen. Att en motsvarande granskning som krävs när utbildade forskare behandlar känsliga personuppgifter inte sker när studenter behandlar samma typ av personuppgifter innebär en ökad risk för integritetskränkning för de registrerade som deltar i studien.

Karlstads universitet bedömer trots risken för integritetskränkning att ansvarig dekan i vissa situationer kan finna anledning att besluta om undantag från förbudet. De undantagssituationer som kan förekomma berör framför allt ämnen där en behandling av känsliga personuppgifter framstår som en förutsättning för att studenterna ska kunna uppfylla kunskaps- och kvalitetsmålen för examination så som de beskrivs i kurs- och utbildningsplaner. En ytterligare förutsättning för att det ska vara tillåtet för studenter att behandla känsliga personuppgifter i självständiga uppsatsarbeten är att det kan säkerställas och även visas att varje uppsatsarbete kommer att genomföras under etiskt godtagbara former och att de registrerades integritet och skydd av personuppgifter garanteras.

Känsliga personuppgifter får därför endast behandlas på IT-tekniska lösningar och tjänster som IT-chefen har bedömt ha adekvat skydd för den aktuella typen av uppgifter och i enlighet med IT-avdelningens instruktioner. Vilka system som kan användas och instruktioner på hur dessa kan användas finns här:

• Säker uppsats

7. Ansvar och roller

På fakultetsnivå är det dekan som har det övergripande ansvaret för att säkerställa fakulteternas efterlevnad av gällande dataskyddslagstiftning och interna styrdokument beträffande integritetsskydd. Det är även dekan som har rätt att besluta om undantag från förbudet att behandla känsliga personuppgifter i självständiga uppsatsarbeten.

Vid behandling av personuppgifter i självständiga uppsatsarbeten är det som huvudregel handledaren som ansvarar för att se till att uppsatsarbetets upplägg och planering följer god sed, gällande lagstiftning och interna regler och rutiner. Detta sker bland annat genom en granskning av blanketten för studenters behandling av personuppgifter i uppsatsarbeten. Handledaren kan dock av naturliga skäl inte vara ansvarig för att säkerställa att studenterna i praktiken alltid följer givna instruktioner.

Även studenterna har därför ett stort ansvar för att se till att all behandling av personuppgifter genomförs på ett korrekt och lagligt sätt. Studenterna ansvarar alltid för att den behandling av personuppgifter som de utför inom ramen för utbildningen följer de riktlinjer och instruktioner som lämnas av Karlstads universitet. Om en student uppsåtligen skulle bryta mot instruktionerna kan disciplinära påföljder enligt 10 kap. högskoleförordningen bli aktuella.

Observera! Vid behandling av känsliga personuppgifter inom ramen för självständiga uppsatsarbeten ska granskningen av uppsatsarbetet undertecknas av både handledaren och verksamhetsansvarig på kursansvarig institution (till exempel prefekt eller kursansvarig) där det bland annat intygas att det finns tillräckliga resurser som garanterar de registrerades säkerhet och integritet.

8. Stöd finns att få

På fakultets- och institutionsnivå finns goda kunskaper om behandling av personuppgifter och hur studentarbeten går till vid Karlstads universitet. Kontakta i första hand din handledare, kursansvarig lärare eller examinator för stöd.

 

Del 2 – Personuppgiftsbehandling i självständiga uppsatsarbeten – En handledning i åtta steg

Den europeiska dataskyddsförordningen (GDPR) tillsammans med kompletterande svenska lagar ställer många och omfattande krav på att allt arbete med personuppgifter utförs på ett öppet, korrekt och säkert sätt. Om du som student tänker behandla personuppgifter i ditt självständiga uppsatsarbete (uppsatsarbete som inte utgör en del av ett forskningsprojekt) finns det därför mycket att tänka på innan du kan börja.

Denna text ger en genomgång av de åtta steg som måste vara uppfyllda för att hanteringen av personuppgifter ska vara tillåten i självständiga uppsatsarbeten. Detta innebär kortfattat att du tillsammans med din handledare ska:

1. Definiera syftet med studien (ändamålet med behandlingen) och den rättsliga grunden för personuppgiftsbehandlingen
2. Bedöma om behandlingen är nödvändig och lämplig
3. Bestämma hur personuppgifterna ska samlas in, analyseras och lagras med adekvat säkerhet
4. Bestämma vilka delar av informationen som ska raderas eller bevaras när uppsatsarbetet är avslutat
5. Skriva informationsbrev och samtyckesblankett (när personuppgifterna samlas in direkt från den registrerade)
6. Granska uppsatsarbetets upplägg och lämplighet, samt registrera uppsatsarbetet i universitetets register över personuppgiftsbehandling i uppsatsarbeten
7. Genomföra uppsatsarbetet i enlighet med det som beslutades i steg 1-6 ovan
8. Radera personuppgiftsmaterialet

Stäm alltid av med din handledare vad som är lämpligt för just ditt uppsatsarbete och tänk på att din handledare måste vara involverad och känna till varje steg av processen. För att uppfylla kraven i GDPR måste alla de olika stegen bedömas och utföras på korrekt sätt.

Det är handledaren som har huvudansvaret för att för att säkerställa att uppsatsarbetet upplägg och planering följer god sed, gällande lagstiftning samt universitetets interna regler och rutiner. Även du som studenter har dock ett stort ansvar för att se till att all behandling av personuppgifter genomförs på ett korrekt och lagligt sätt. Studenterna ansvarar alltid för att den behandling av personuppgifter som de utför inom ramen för utbildningen följer de riktlinjer och instruktioner som lämnas av Karlstads universitet. Om en student uppsåtligen skulle bryta mot instruktionerna kan disciplinära påföljder enligt 10 kap. högskoleförordningen bli aktuella.

 

Steg 1 – Definiera syftet med studien (ändamålet med behandlingen) och den rättsliga grunden

Inled med att bestämma och skriv ner syftet med studien du ska genomföra – det är detta som är ändamålet med din behandling av personuppgifter. Ändamålet med behandlingen är helt enkelt att kunna utföra den undersökning som är nödvändig för att underbygga ditt arbete, men det är viktigt att du tänker igenom och formulerar syftet såväl som att du är klar över vilken information som är nödvändig för att nå det.

När det gäller studenters behandling av personuppgifter i uppsatsarbeten bedömer Karlstads universitet att det i normalfallet är den rättsliga grunden samtycke som universitetet kan stödja personuppgiftsbehandlingen på (artikel 6.1 a GDPR). I de fall där personuppgifterna inte samlas in från den registrerade direkt – till exempel vid internetstudier eller registerstudier – är det dock ofta inte möjligt att informera och erhålla ett samtycke från varje enskild person. I sådana situationer kan det ibland vara möjligt att använda den rättsliga grunden att utföra en uppgift av allmänt intresse (utbildning) för studenternas behandling av personuppgifter (artikel 6.1 e GDPR).    

Steg 2 – Bedöma om behandlingen är nödvändig och lämplig

Innan det praktiska arbetet börjar är det viktigt att tänka igenom och tydligt anteckna vilka typer av uppgifter som behöver samlas in och varför. Fundera på om det är nödvändigt att behandla personuppgifter för att uppnå syftet med studien, eller om du kan uppnå samma syfte utan att behandla personuppgifter. Tänk också på att det aldrig är tillåtet att samla in och behandla fler personuppgifter än vad som är nödvändigt för att uppnå ändamålet.

Du behöver också bedöma lämpligheten av personuppgiftsbehandlingen i det tilltänkta arbetet tillsammans med din handledare. Kan arbetet utföras så att integriteten för de personer vars personuppgifter behandlas inte kränks?

Observera! Vid Karlstads universitet är det som huvudregel inte tillåtet för studenter att behandla känsliga personuppgifter i självständiga uppsatsarbeten. Dekan har dock rätt att besluta om undantag från det generella förbudet för studenter att behandla känsliga personuppgifter i självständiga uppsatsarbeten för ett eller flera ämnen. Grundförutsättningen för ett sådant beslut är att det finns ett dokumenterat behov för studenterna att behandla känsliga personuppgifter, och att administrativa och tekniska rutiner har tagits fram för att säkerställa de registrerades integritet. I dessa fall är det inte alltid tillräckligt med att tillämpa denna handledning i åtta steg för att säkerställa att behandlingen är tillåten, utan även de av dekan beslutade rutinerna behöver följas. Du och din handledare måste därför i detta skede säkerställa att ditt ämne har fått ett undantag beviljat av dekan för att behandla känsliga personuppgifter och vilka rutiner som behöver följas.        

Steg 3 - Bestämma hur personuppgifterna ska samlas in, analyseras och lagras med adekvat säkerhet

Personuppgifter måste alltid samlas in och behandlas på ett säkert sätt. Det är också viktigt att tänka på att personuppgifterna inte får spridas till fler personer än nödvändigt. Obehöriga personer ska inte kunna ta del av personuppgifterna, utan enbart den som behöver ha tillgång till uppgifterna för att uppsatsarbetet ska kunna genomföras och examineras får behandla personuppgifterna.

Behandlar studenten personuppgifter på sin egen dator behöver datorn exempelvis skyddas med lösenord av god kvalitet, antivirus och brandvägg. Datorns operativsystem och programvara som används ska också vara uppdaterade med nödvändiga säkerhetsuppdateringar. Externa molntjänster som inte tillhandahålls genom Karlstads universitet får inte användas för behandling av personuppgifter. När du loggar in på molntjänster för att behandla personuppgifter ska det därför alltid ske via Karlstads universitets inloggningssidor.

För mer detaljerad och praktisk information om vilka krav som ställs för säker behandling av personuppgifter, se rutiner för IT-säkerhet riktad mot studenter vid behandling av personuppgifter:

• Säker behandling

Även utskrifter med personuppgifter måste hanteras på ett säkert sätt så att inte obehöriga får del av dessa, både under behandlingen till självständiga uppsatsarbeten men även när utskriften ska kasseras. Detta kan ske genom t.ex. att hålla utskrifterna under uppsikt, låsa in dem, eller när behandlingen är klar att riva utskriften i småbitar.

Observera! Om känsliga personuppgifter behandlas ställs betydligt högre krav på IT-säkerhet än de som har beskrivits i texten ovan. Känsliga personuppgifter i självständiga uppsatsarbeten får endast behandlas i den av IT-avdelningen för ändamålet framtagna tekniska lösningen och i enlighet med IT-avdelningens instruktioner.

För mer information om den tekniska lösningen se:

• Säker uppsats

Steg 4 – Bestämma vilka delar av informationen som ska raderas eller bevaras när uppsatsarbetet är avslutat

Personuppgifter får inte bevaras längre tid än vad som är nödvändigt och ska raderas när de inte längre behövs för att uppfylla ändamålet med behandlingen. Insamlade personuppgifter ska därför raderas när uppsatsarbetet är avslutat. I vissa undantagssituationer kan det dock finnas personuppgifter som behöver bevaras viss tid för att kunna styrka slutsatserna i uppsatsarbetet eller för att de är nödvändiga för framtida behandlingar (till exempel om du har för avsikt att publicera resultatet i vetenskapliga artiklar). Innan det praktiska arbetet startar är det därför viktigt att bestämma vad som ska hända med de insamlade personuppgifterna. Finns det några uppgifter som behöver lämnas in till Karlstads universitet för att bevaras under viss tid? Övriga personuppgifter ska raderas av studenten efter det att uppsatsarbetet har avslutats.

Observera! Känsliga personuppgifter i självständiga uppsatsarbeten ska alltid raderas när uppsatsarbetet har avslutats.   

Steg 5 – Skriva informationsbrev och samtyckesblankett (när personuppgifterna samlas in direkt från den registrerade)

Personuppgifter får enligt GDPR endast behandlas om det finns en rättslig grund för behandlingen. GDPR anger ett antal grunder som betraktas som tillåtna, men för ett uppsatsarbete där personuppgifterna samlas in från deltagarna i studien är det enligt universitetets bedömning den rättsliga grunden samtycke från varje enskild person som kan komma i fråga.

Du inhämtar ett samtycke genom att skriftligen informera de som ska delta i studien vad syftet är med studien, vilka personuppgifter du vill samla in, vad personuppgifterna ska användas till, och hur länge personuppgifterna kommer att sparas innan de raderas. Först efter det att den som ska delta i studien har tagit del av informationen kan han eller hon ge sitt samtycke till behandlingen.

Informationshanteringsrådet vid Karlstads universitet har tagit fram en mall för informationsbrev och samtyckesblankett för studenters uppsatsarbeten. Dessa mallar ska som huvudregel användas vid inhämtande av samtycke till att delta i en studie inom ramen för ett självständigt uppsatsarbete. Om handledaren anser att avsteg från mallen behöver göras i ett specifikt fall rekommenderas att handledaren kontaktar Karlstads universitets dataskyddsombud. Mallarna finns tillgängliga till höger på webbsidan under dokument.

Steg 6 – Granska uppsatsarbetets upplägg och lämplighet, samt diarieföra uppsatsarbetet i universitetets register

Innan behandlingen av personuppgifter kan påbörjas måste alltid en blankett över behandlingen fyllas i och diarieföras i Karlstads universitets register över personuppgiftsbehandling i uppsatsarbeten. Det är i normalfallet du som student som fyller i de uppgifter som efterfrågas. Det är dock handledaren som har huvudansvaret för att för att granska och säkerställa att uppsatsarbetet upplägg och planering följer god sed, gällande lagstiftning och interna regler och rutiner. Det är också handledarens ansvar att se till att blanketten blir diarieförd.

Registret över behandling av personuppgifter i uppsatsarbeten ska inte innehålla några av de insamlade personuppgifterna, utan är bara en förteckning över vad som kommer att samlas in och behandlas så att Karlstads universitet har kontroll över vilka behandlingar som pågår.

Om större förändringar görs i uppsatsarbetet upplägg, till exempel att syftet med uppsatsen ändras eller att andra kategorier av personuppgifter ska behandlas, behöver blanketten för ändringsanmälan fyllas i och diarieföras. En ändringsanmälan behöver även lämnas in vid byte av handledare. När du som student har fyllt i de ändrade uppgifterna och fått dem godkända av din handledare är det handledarens ansvar att se till att de nya uppgifterna blir diarieförda i Karlstads universitetets register över personuppgiftsbehandling i uppsatsarbeten.  

Informationshanteringsrådet vid Karlstads universitet har tagit fram blanketter för anmälan av behandling av personuppgifter i uppsatsarbeten som ska användas. Blanketterna finns tillgängliga till höger på webbsidan under dokument.

Observera! Lämplighetsbedömningen vid behandling av känsliga personuppgifter i självständiga uppsatsarbeten ska genomföras med användning av frågeställningarna i Etikprövningsmyndighetens ansökningsformulär, och i enlighet med de av dekan fastställda rutinerna. Ansökningsformuläret ska efter intern granskning på kursansvarig institution undertecknas av handledaren och verksamhetsansvarig (till exempel prefekt eller kursansvarig) där det bland annat intygas att det finns tillräckliga resurser som garanterar de registrerades säkerhet och integritet. Ansökningsformuläret ska sedan diarieföras i Karlstads universitets register över personuppgiftsbehandling i uppsatsarbeten.

Steg 7 – Genomföra uppsatsarbetet i enlighet med det som beslutades i steg 1-6 ovan

Var noggrann och behandla bara personuppgifter på det sätt som du har informerat de registrerade om och angett i anmälan till Karlstads universitets register över personuppgiftsbehandling i uppsatsarbeten. Under förutsättning att de tidigare stegen har utförts korrekt är detta ett formellt enkelt steg. Samtidigt är detta i praktiken det huvudsakliga arbetet då du genomför den studie som uppsatsarbetet avser.

Steg 8 - Radera personuppgiftsmaterialet

När du har fullgjort ditt uppsatsarbete, examinerats på momentet och ditt resultat har förts in i Ladok återstår ytterligare ett viktigt moment. Personuppgiftsmaterialet – inklusive inhämtade samtycken – som har behandlats ska nu antingen raderas eller föras över för bevarande/arkivering enligt vad som beslutades i steg 4.

Det är du som student som ansvarar för att personuppgiftsmaterialet raderas när uppsatsarbetet är avslutat.

Observera! Känsliga personuppgifter i självständiga uppsatsarbeten ska alltid raderas när uppsatsarbetet har avslutats.