GDPR
Denna text är i första hand avsedd att vara ett stöd för dig som student vid behandling av personuppgifter i självständiga arbeten/examensarbeten/uppsatsarbeten (nedan ”uppsatsarbeten”), men även övriga studenter har nytta av informationen i del 1.
Avsikten med texten
Den europeiska dataskyddsförordningen (GDPR) tillsammans med kompletterande svenska lagar ställer många och omfattande krav på att allt arbete med personuppgifter utförs på ett öppet, korrekt och säkert sätt. Om du som student till exempel tänker behandla personuppgifter i ditt uppsatsarbete finns det därför mycket att tänka på innan du kan börja. Denna text ger en kortfattad genomgång av vad som är nödvändigt att beakta för att hanteringen av personuppgifter ska vara tillåten.
Texten nedan börjar med att ge en introduktion till dataskyddsförordningen (Del 1) för att sedan övergå till en handledning för uppsatsarbeten i nio steg (Del 2).
Del 1 – Introduktion till Dataskyddsförordningen (GDPR)
Dataskyddsförordningens grunder
Dataskyddsförordningen gäller som lag i alla EU:s medlemsländer sedan den 25 maj 2018. Förordningen innebär en hel del förändringar för de som behandlar personuppgifter och stärkta rättigheter för den enskilde när det gäller personlig integritet.
All behandling av personuppgifter måste uppfylla de grundläggande principer som anges i dataskyddsförordningen. Principerna innebär förenklat att personuppgifter bara får samlas in för vissa berättigade ändamål, att inte fler uppgifter än nödvändigt får behandlas, och att uppgifterna inte får sparas längre tid än nödvändigt. Det är också viktigt att tänka på att personuppgifterna alltid måste hanteras på ett säkert sätt.
En övergripande tanke med de nya reglerna i dataskyddsförordningen är att betona att den som behandlar personuppgifter måste ta ansvar för att förordningens regler följs och att man även ska kunna visa detta genom skriftlig dokumentation. Det är därför mycket viktigt att du som student har en grundläggande kunskap om de regler som styr behandling av personuppgifter.
Några grundläggande begrepp
Personuppgifter
Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Typiska personuppgifter är personnummer, namn, adress och IP-nummer, men även flera faktorer som gemensamt kan kopplas till en fysisk person räknas som personuppgifter.
Observera att det räcker med att någon kan koppla uppgifterna till en fysisk person för att det ska räknas som personuppgifter.
Även om du som behandlar uppgifterna inte vet eller ens har möjlighet att ta reda på vilken personen det gäller kan det vara behandling av personuppgifter. För att avgöra om en fysisk person är identifierbar ska man beakta alla hjälpmedel som – antingen av den personuppgiftsansvarige eller av en annan juridisk eller fysisk person – rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. Så länge det till exempel finns en kodnyckel sparad någonstans som gör att uppgifterna kan kopplas till en viss person är det personuppgifter.
Behandling av personuppgifter
Behandling av personuppgifter är ett mycket omfattande begrepp. Alla former av åtgärder med personuppgifter räknas som behandling av personuppgifter, från det att uppgifterna samlas in tills det att uppgifterna slutligt har raderats eller förstörts.
Exempel på behandling av personuppgifter är enligt definitionen i dataskyddsförordningen insamling, registrering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning, spridning och slutligen även själva raderingen eller förstöringen av personuppgifterna. Tänk på att till exempel utskrift av personuppgifter på skrivare och skickande av e-post alltid innebär behandling av personuppgifter.
Personuppgiftsansvarig
Personuppgiftsansvarig är den som bestämmer ändamålen och medlen för behandlingen av personuppgifter.
Vem ansvarar för studenternas behandling av personuppgifter?
Karlstads universitet är personuppgiftsansvarig för den behandling av personuppgifter som sker inom lärosätets verksamhet. Detta gäller inte bara den behandling som sker av lärare och administrativ personal, utan universitetet ansvarar som huvudregel även för den behandling av personuppgifter som studenterna utför inom ramen för utbildningen. Om en student till exempel behandlar personuppgifter i sitt uppsatsarbete omfattas behandlingen därför av reglerna i dataskyddsförordningen och det är Karlstads universitets ansvar att se till att reglerna följs.
Det finns dock vissa undantagssituationer. Om en student till exempel genomför verksamhetsförlagd utbildning (VFU) är det som huvudregel istället praktikplatsen som är personuppgiftsansvarig när studenten utför olika arbetsuppgifter inom exempelvis skola eller hälso- och sjukvården (på samma sätt som praktikplatsen är personuppgiftsansvarig när dess anställda behandlar personuppgifter).
Grundläggande principer för behandling av personuppgifter
Varje behandling av personuppgifter som utförs måste uppfylla de sex grundläggande principer som anges i dataskyddsförordningen (artikel 5 GDPR). När studenter vid Karlstads universitet behandlar personuppgifter måste universitetet därför säkerställa och kunna visa att behandlingen uppfyller nedanstående krav.
- Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den vars personuppgifter vi behandlar, det vill säga den registrerade (laglighet, korrekthet och öppenhet).
- Uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning).
- Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
- Uppgifterna ska vara korrekta och om nödvändigt uppdaterade (korrekthet).
- Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (lagringsminimering).
- Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna (integritet och konfidentialitet).
Detta är grundprinciperna för all behandling av personuppgifter och alla aktiviteter ska ses mot bakgrund av ovanstående punkter.
Studenters behandling av personuppgifter kräver samtycke
Det är i vanliga fall endast samtycke som kan vara rättslig grund för studenters behandling av personuppgifter inom ramen för utbildningen.
Utgångspunkten i dataskyddsförordningen kan sägas vara att varje person äger sina egna personuppgifter. De personer som till exempel ska delta i en studie måste därför själva få möjlighet att ta ställning till om personuppgifter som avser honom eller henne ska få behandlas. För att detta ska vara möjligt måste varje enskild person först tillhandahållas information om vad personuppgiftsbehandlingen innebär, och därefter ges möjlighet att ta ställning till om han eller hon samtycker till behandlingen (informerat samtycke).
Känsliga personuppgifter
Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd i dataskyddsförordningen. Dessa kallas känsliga personuppgifter. Med känsliga personuppgifter menas uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Även personuppgifter som till exempel modersmål eller hemspråk kan vara känsliga personuppgifter då dessa i vissa fall indirekt kan härleda till etniskt ursprung.
Utgångspunkten i dataskyddsförordningen är att det är förbjudet att behandla känsliga personuppgifter.
Observera att det vid Karlstads universitet därför som huvudregel inte är tillåtet för studenter att behandla känsliga personuppgifter. Det finns dock undantagsfall där det kan vara tillåtet för studenter att behandlar känsliga personuppgifter, som till exempel under verksamhetsförlagd utbildning inom hälso- och sjukvården eller vid praktik i psykologkliniken.
Behandling av känsliga personuppgifter i uppsatsarbeten
Det finns vissa undantag från förbudet att behandla känsliga personuppgifter i dataskyddsförordningen, men behandlingen måste alltid ske restriktivt och med höga krav på organisatoriska och tekniska säkerhetsåtgärder. De omfattande möjligheterna att behandla känsliga personuppgifter för forskningsändamål som ges i dataskyddsförordningen, forskningsdatalagen och etikprövningslagen är inte tillämpliga inom utbildning på grundnivå eller på avancerad nivå eftersom detta inte räknas som forskning.
Av prop. 2007/08:44 Vissa etikprövningsfrågor m.m. framgår också att ”regeringen menar att det inte är rimligt att förvänta sig att studenter som genomgår utbildning på grundnivå eller på avancerad nivå med säkerhet har hunnit tillägna sig kunskaper och insikter i den omfattning som krävs för att säkerställa skydd för de personer som medverkar i forskning. Studenterna bör därför inte åläggas det ansvar som det innebär att bedriva verksamhet där människor medverkar och där det finns risk att skada dessa människor fysiskt, psykiskt eller integritetsmässigt”.
Observera att det vid Karlstads universitet därför inte är tillåtet för studenter att behandla känsliga personuppgifter i uppsatsarbeten.
Enda undantaget från denna regel är när studenter skriver sitt uppsatsarbete inom ramen för ett forskningsprojekt vid Karlstads universitet som har fått ett etikgodkännande från en regional etikprövningsnämnd.
Stöd finns att få
På fakultets- och institutionsnivå finns goda kunskaper om behandling av personuppgifter och hur studentarbeten går till vid Karlstads universitet. Kontakta i första hand din handledare, kursansvarig lärare eller examinator för stöd.
Del 2 – Personuppgiftsbehandling i uppsatsarbeten – En handledning i nio steg
Den europeiska dataskyddsförordningen (GDPR) tillsammans med kompletterande svenska lagar ställer många och omfattande krav på att allt arbete med personuppgifter utförs på ett öppet, korrekt och säkert sätt. Om du som student tänker behandla personuppgifter i ditt självständiga arbete/examensarbete/uppsatsarbete (nedan ”uppsatsarbete”) finns det därför mycket att tänka på innan du kan börja.
Denna text ger en genomgång av de nio steg som måste vara uppfyllda för att hanteringen av personuppgifter ska vara tillåten. Detta innebär kortfattat att du ska:
- Utvärdera om det är nödvändigt att behandla personuppgifter.
- Definiera syftet med behandlingen av personuppgifter och bedöma vilka uppgifter som måste samlas in.
- Säkerställa att känsliga personuppgifter inte kommer att behandlas.
- Bestämma hur informationen ska insamlas, behandlas och lagras och säkerställ att den hanteras säkert under arbetet.
- Bestämma vilka delar av informationen som ska raderas respektive bevaras när arbetet är utfört.
- Skriva informationsbrev och samtyckesblankett.
- Fylla i formuläret för registrering av personuppgifter i uppsatsarbeten så att uppsatsen kan registreras i universitetets register av handledaren.
- Informera och inhämta samtycke från varje enskild person som ska delta i studien, samla in de nödvändiga personuppgifterna, och behandla personuppgifterna i enlighet med det som beslutades i steg 1-7 ovan.
- Efter det att uppsatsarbetet har godkänts, radera eller arkivera personuppgiftsmaterialet i enlighet med det som beslutades i steg 5 ovan.
Stäm av med din handledare vad som är lämpligt för just ditt uppsatsarbete och tänk på att din handledare måste vara involverad och känna till varje steg av processen. För att uppfylla kraven i dataskyddsförordningen måste alla de olika stegen bedömas och utföras på korrekt sätt.
Steg 1 - Måste personuppgifter behandlas?
Den första frågan du behöver ställa dig är om det verkligen är nödvändigt att behandla personuppgifter i uppsatsarbetet? Om du inte behandlar personuppgifter gäller inte kraven i dataskyddsförordningen, vilket gör ditt arbete mindre komplicerat att genomföra.
Det är dock viktigt att komma ihåg att som personuppgifter räknas all information som direkt eller indirekt kan knytas till en levande människa, vilket gör att det inte bara är sådant som namn, personnummer, IP-nummer och inspelade intervjuer (även om inga namn nämns) som är personuppgifter. Det kan även vara en kombination av mindre utpekande uppgifter som sammantaget gör det möjligt att identifiera en enskild person.
Steg 2 - Definiera syftet med studien (ändamålet med behandlingen)
Innan det praktiska arbetet börjar är det viktigt att tänka igenom och tydligt anteckna vilka typer av uppgifter som behöver samlas in och varför. För dig som ska skriva ett uppsatsarbete är detta inte någon svår uppgift utan ändamålet med behandlingen är helt enkelt att kunna utföra den undersökning som är nödvändig för att underbygga ditt arbete, men det är viktigt att du tänker igenom och formulerar syftet såväl som att du är klar över vilken information som är nödvändig för att nå det.
Observera att det aldrig är tillåtet att samla in och behandla fler personuppgifter än vad som är nödvändigt för att uppnå ändamålet.
Det är också viktigt att tänka på att personuppgifterna inte får spridas till fler personer än nödvändigt. Obehöriga personer ska inte kunna ta del av personuppgifterna, utan enbart den som behöver ha tillgång till uppgifterna för att uppsatsarbetet ska kunna genomföras och examineras får behandla personuppgifterna.
Steg 3 – Säkerställ att känsliga personuppgifter inte kommer att behandlas
Med känsliga personuppgifter menas enligt dataskyddsförordningen uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Även personuppgifter som till exempel kost kan vara känsliga personuppgifter då dessa i vissa fall indirekt kan härleda till religiös övertygelse (till exempel Kosher eller Halal kost) eller hälsa (till exempel matallergier).
Utgångspunkten i dataskyddsförordningen är att det är förbjudet att behandla känsliga personuppgifter.
Observera att det vid Karlstads universitet därför inte är tillåtet för studenter att behandla känsliga personuppgifter i uppsatsarbeten.
Enda undantaget från förbudet mot att behandla känsliga personuppgifter i uppsatsarbeten är när du som student skriver ditt uppsatsarbete inom ramen för ett forskningsprojekt som har fått ett etikgodkännande från en regional etikprövningsnämnd.
Steg 4 - Bestäm hur informationen ska insamlas, behandlas och lagras
Insamlad information måste behandlas på ett säkert sätt. Karlstads universitet tillhandahåller ett antal tjänster som kan vara praktiska vid arbetet som exempelvis Sunet Survey. Du kan även lagra insamlade personuppgifter i din hemkatalog på universitetets datorer (den lagringsyta som finns under H:). Alla dessa tjänster är lämpliga att använda för behandling och lagring av personuppgifter i uppsatsarbeten.
Molntjänster som inte tillhandahålls genom Karlstads universitet, det vill säga, tjänster som du själv har startat, får inte användas för behandling av personuppgifter. Detta gäller exempelvis lagringstjänster som Dropbox, Google docs, iCloud m.m. När du loggar in på molntjänster ska det vara via Karlstads universitets inloggningssidor.
Det är även olämpligt att du lagrar personuppgifter på okrypterade USB-minnen, samt smarta telefoner eller surfplattor (eftersom dessa kan ha bristande säkerhet och ofta är synkade mot molntjänster och det då en finns risk att obehöriga får tillgång till informationen).
Steg 5 – Bestäm vilka delar av informationen som ska raderas respektive bevaras
Personuppgifter får inte bevaras längre tid än vad som är nödvändigt och ska raderas när de inte längre behövs. I vissa undantagssituationer kan det dock finnas personuppgifter som behöver bevaras viss tid för att kunna styrka slutsatserna i uppsatsarbetet eller för att de är nödvändiga för framtida behandlingar (till exempel om du har för avsikt att publicera resultatet i vetenskapliga artiklar). Innan det praktiska arbetet startar är det därför viktigt att bestämma vad som ska hända med de insamlade personuppgifterna. Finns det några uppgifter som behöver lämnas in till Karlstads universitet för att bevaras under viss tid? Övriga personuppgifter ska raderas av studenten efter det att uppsatsarbetet har godkänts och betyget blivit registrerat i studieregistret Ladok.
Steg 6 – Skriv informationsbrev och samtyckesblankett
Personuppgifter får enligt dataskyddsförordningen endast behandlas om det finns en rättslig grund för behandlingen. Dataskyddsförordningen anger ett antal grunder som betraktas som tillåtna men för ett uppsatsarbete är det i praktiken endast samtycke från varje enskild person som kan komma i fråga.
Du inhämtar ett samtycke genom att skriftligen informera de som ska delta i studien vad syftet är med studien, vilka personuppgifter du vill samla in, vad personuppgifterna ska användas till, och hur länge personuppgifterna kommer att sparas innan de raderas. Först efter det att den som ska delta i studien har tagit del av informationen kan han eller hon ge sitt samtycke till behandlingen.
Observera att det ska vara lika enkelt att återkalla ett samtycke som det var att ge det. Kontaktuppgifter till uppsatsskrivande student och handledare måste därför alltid lämnas i informationsbrevet.
Karlstads universitet har tagit fram en mall för informationsbrev och samtyckesblankett som kan användas, se länk nedan.
- Mall för informationsbrev och samtyckesblankett.
Steg 7 – Fyll i blankett över behandlingen och registrering av uppsatsarbetet
Innan behandlingen av personuppgifter kan påbörjas måste alltid en blankett över behandlingen fyllas i och uppsatsarbetet registreras i Karlstads universitets register över personuppgiftsbehandling i uppsatsarbeten. Det är du som student som fyller i de uppgifter som efterfrågas, se länk till blanketten nedan.
När du har fyllt i alla uppgifter i blanketten och fått dem godkända av din handledare är det handledarens ansvar att se till att uppgifterna blir registrerade i Karlstads universitets register över personuppgiftsbehandling i uppsatsarbeten. Det är också handledaren som har huvudansvaret för att granska att blanketten över personuppgiftsbehandling, samt informationsbrevet och samtyckesblanketten till de registrerade uppfyller kraven i dataskyddsförordningen.
Registret över behandling av personuppgifter i uppsatsarbeten ska inte innehålla några av de insamlade personuppgifterna, utan är bara en förteckning över vad som kommer att samlas in och behandlas så att Karlstads universitet har kontroll över vilka behandlingar som pågår.
Steg 8 – Inhämta informerat samtycke, samt samla in och behandla uppgifterna
Under förutsättning att de tidigare stegen har utförts korrekt är detta ett formellt enkelt steg som inte kräver några ytterligare åtgärder. Samtidigt är detta i praktiken det huvudsakliga arbetet då du genomför den studie som uppsatsarbetet avser.
Om större förändringar görs i uppsatsarbetet upplägg, t.ex. att syftet med uppsatsen ändras, att andra kategorier av personuppgifter ska behandlas eller att någon utanför Karlstads universitet ska få tillgång till personuppgifterna, ska blanketten för ändringsanmälan fyllas i för att anmäla detta.
Steg 9 - Efter det att du har slutfört din examination, radera eller arkivera personuppgiftsmaterialet
När du har fullgjort ditt uppsatsarbete, examinerats på momentet och ditt resultat har förts in i Ladok återstår ytterligare ett viktigt moment. Personuppgiftsmaterialet – inklusive inhämtade samtycken – som har behandlats ska nu antingen raderas eller föras över för bevarande/arkivering enligt vad som beslutades i steg 5.
Det är du som student som ansvarar för att personuppgiftsmaterialet raderas när uppsatsarbetet är avslutat.