Studentarbeten och personuppgiftshantering

Uppsala universitet är personuppgiftsansvarig för den behandling av personuppgifter som sker inom lärosätets verksamhet. Detta innebär att universitetet även ansvarar för den behandling av personuppgifter som studenterna genomför inom ramen för utbildningen.

Dataskyddsförordningen

Dataskyddsförordningen (GDPR) gäller som lag i EU:s medlemsländer sedan den 25 maj 2018. Förordningen syftar till att stärka rättigheterna för enskildas personliga integritet vid behandling av personuppgifter.

En personuppgift är varje upplysning som avser en identifierad eller identifierbar fysisk person. Denna person kallas för den registrerade. Alla uppgifter som direkt eller indirekt kan identifiera en person anses vara en personuppgift. Detta omfattar alla uppgifter som enskilt eller tillsammans med andra uppgifter kan knytas till en levande person. Exempelvis namn, personnummer, IP-adress, bilder, ljudinspelningar och e-postadresser.

För att avgöra om en fysisk person är identifierbar ska man beakta alla hjälpmedel som rimligen kan användas för att direkt eller indirekt identifiera personen. Finns det exempelvis en kodnyckel sparad som gör att uppgifterna kan kopplas till en person är det fråga om personuppgifter. Även om du som student inte vet vilken person uppgifterna gäller så utgör det en personuppgift. Det räcker att någon kan koppla ihop uppgiften till en fysisk person.

Är uppgifterna helt anonyma och inte går att koppla till en fysisk person faller uppgifterna utanför dataskyddsförordningens tillämpningsområde.

Känsliga personuppgifter

Vissa personuppgifter anses vara känsliga och har ett starkare skydd i dataskyddsförordningen. Detta är personuppgifter som gäller:

  • uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening.
  • uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
  • en behandling av genetiska och biometriska uppgifter för att identifiera en fysisk person.

Huvudregeln enligt dataskyddsförordningen är att behandling av känsliga personuppgifter är förbjuden. Det finns dock vissa undantag, exempelvis om den registrerade har samtyckt till behandlingen.

Korrekt personuppgiftshantering – steg för steg

Om du som student behandlar personuppgifter i ditt uppsatsarbete omfattas behandlingen av dataskyddsförordningen och det är Uppsala universitets ansvar att se till att reglerna följs.

Det första du ska göra är att fundera om det är nödvändigt för ditt arbete att personuppgifter behandlas. Fundera över vad syftet med arbetet är och om detta syfte går att uppnå utan en personuppgiftsbehandling. Om du bedömer att det är nödvändigt att behandla personuppgifter ska du även fundera över vilka personuppgifter och i vilken omfattning det är nödvändigt att behandla dem.

Formulera vad syftet med arbetet är och vad ändamålet med behandlingen av personuppgifterna är. Bestäm vad målet med arbetet och på vilket sätt personuppgifterna bidrar till att uppnå detta mål. Det räcker med en kortfattad beskrivning av vad personuppgifterna ska användas till och varför de behandlas. Det viktiga är att ändamålet är klart och tydligt. Det är inte tillåtet att behandla fler personuppgifter än vad som är nödvändigt för att uppnå ändamålet. Bestäm också vilka kategorier av personuppgifter som ska behandlas och om känsliga personuppgifter kommer behandlas. Exempel på kategorier är kontaktuppgifter, uppgifter om politisk åsikt etc.

Insamlade personuppgifter måste behandlas på ett säkert sätt. Det är viktigt att inte obehöriga får tillgång till personuppgifter.

Bestäm vad som ska hända med personuppgifterna när arbetet är slutfört. Personuppgifter får inte bevaras längre tid än vad som är nödvändigt och ska raderas när examensarbetet är redovisaat och betygssatt.

Varje personuppgiftsbehandling ska registreras av Uppsala universitet i egenskap av personuppgiftsansvarig. Syftet med registreringen är att den personuppgiftsansvarige ska kunna överblicka vilka behandlingar av personuppgifter som sker i verksamheten. I registret ska det finnas uppgifter om att en personuppgiftsbehandling sker, vad den går ut på och vem som utför det.

Rapportera personuppgiftsbehandling i det digitala formuläret.

Vid behandling av känsliga personuppgifter ska samtycke inhämtas innan behandlingen påbörjas. Är det inte fråga om känsliga personuppgifter krävs inget samtycke.

De registrerade ska informeras om:

  1. Vilka kategorier av uppgifter som samlas in
  2. Ändamålet med behandlingen
  3. Den lagliga grunden för behandlingen
  4. Hur länge uppgifterna ska användas
  5. Att det finns möjlighet att begära tillgång till personuppgifterna
  6. Att Uppsala universitet är personuppgiftsansvarig samt kontaktuppgifter
  7. Kontaktuppgifter till dataskyddsombudet
  8. Att det finns möjlighet att vända sig till dataskyddsombudet vid Uppsala universitet eller datainspektionen med klagomål

Grundar sig behandlingen på samtycke måste den registrerade få information om:

  • Att den registrerade kan återkalla sitt samtycke

Samtyckesblankett för deltagare (word) Word, 15 kB.

Detta steg utgör det praktiska arbetet i din studie.

När arbetet är slutfört ska personuppgifterna raderas i enlighet med vad som bestämts i steg 4.

Det här gäller enligt dataskydds­förordningen

All behandling av personuppgifter måste följa de grundläggande principerna som anges i dataskyddsförordningen.

Läs en introduktion till dataskyddsförordningen från Integritetsskyddsmyndigheten

Läs Integritetsskyddsmyndigheten information om de grundläggande principerna inom dataskyddsförordningen

Läs Uppsala universitets information om behandling av personuppgifter