Behandling av personuppgifter i studentarbeten
Högskolan är personuppgiftsansvarig för studenters behandling av personuppgifter inom utbildningen, till exempel i samband med examensarbete eller praktikrapport. Det innebär att även sådan behandling måste följa dataskyddsförordningens krav.
I vissa fall ska även studentarbeten granskas av Forskningsetiska rådet (FER) vid högskolan. Läs mer om FER och ansökan om etisk prövning på högskolans webbsida.
Anmälan, ändring och avanmälan
Alla studentarbeten som behandlar personuppgifter ska anmäla detta till högskolans dataskyddsombud via avsedd digital blankett. Genom denna anmälan sker då också en diareföring.
Ändring eller avanmälan ska också göras via avsedd digital blankett.
Anledningen till anmälnings-/avanmälningskravet är att högskolan enligt dataskyddsförordningen är skyldig att föra ett register över alla pågående behandlingar på högskolan. För att kunna leva upp till detta behöver ombudet få in anmälan/avanmälan.
Anmälan av personuppgiftsbehandling i samband med studentarbeten
Ändring eller avanmälan gällande behandlingen
Radering och arkivering
Efter det att uppsatsen avslutats och har blivit examinerad bör du informera dina uppgiftslämnare om dina resultat. Du är skyldig att se till att eventuellt empiriskt material/källmaterial (såsom enkäter, ljudupptagningar, videofilmer) förstörs. Källmaterial för studentarbeten ska bevaras om uppsatsen ska omarbetas till en vetenskaplig publikation.
Checklista och arbetsordning
Genom att gå igenom punkterna i den här checklistan kan du kontrollera om din studie lever upp till de krav som ställs vid behandling av personuppgifter. Har du därefter frågor kan du kontakta din handledare eller högskolans dataskyddsombud. Innan du använder checklistan bör du ta del av högskolans information på webben om behandling av personuppgifter.
- Kommer personuppgifter att behandlas?
Det vill säga uppgifter som på något sätt går att koppla till en person som är i livet och som behandlas helt eller delvis automatiserat, eller manuellt och sökbart via register?
Personuppgifter ska bara behandlas om det är nödvändigt för att utföra uppgiften. Går det istället att använda anonyma uppgifter? Om uppgifterna är anonyma och inte på något sätt kan kopplas till person omfattas de inte av dataskyddsförordningen och du behöver inte använda dig av checklistan. Observera att kodade personuppgifter omfattas av dataskydds-förordningen så länge det finns en kodnyckel. - Kommer känsliga personuppgifter behandlas?
Det vill säga uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa, sexualliv eller sexuella läggning, genetiska uppgifter eller biometriska uppgifter? - Kommer extra skyddsvärda behandlas?
Det vill säga till exempel personnummer, vissa uppgifter om lön, skyddade personuppgifter, sekretessbelagda uppgifter, uppgifter om lagöverträdelser, sociala förhållanden, uppgifter som ligger nära den privata sfären och värderingar av personliga egenskaper?
För studentarbeten kräver detta i normalfallet samtycke. Går det istället att använda anonyma uppgifter? Läs mer under avsnitt "Samtycke".
-
Vilken rättslig grund kommer behandlingen baseras på?
För studentarbeten är den rättsliga grunden i normalfallet samtycke. -
Behandlas uppgifterna för särskilda, uttryckligt angivna och berättigade ändamål?
-
Är uppgifterna adekvata, relevanta och inte för omfattande i förhållande till ändamålet?
-
Hur länge ska uppgifterna lagras för ändamålet?
För studentarbeten gäller att insamlade uppgifter i normalfallet kan raderas efter att arbetet godkänts, om inte uppgifterna ska användas i fortsatta studier (vilket deltagarna i så fall ska ha samtyckt till).
- Är de registrerade informerade i enlighet med kraven i dataskyddsförordningen?
Följande ska framgå: Ändamål med behandlingen (till exempel examensarbete eller praktikrapport), rättslig grund för behandlingen (normalt samtycke), vilka som kommer kunna ta del av uppgifterna (till exempel handledare, examinator och studenterna som genomför studien), hur länge uppgifterna sparas (normalt tills studien godkänts), rätten för deltagare att få tillgång till uppgifterna och få fel rättade, rätten för deltagare att återkalla samtycke, att Högskolan Dalarna är personuppgiftsansvarig, kontaktuppgifter till dataskyddsombudet på högskolan (dataskydd@du.se), deltagarnas rätt att framföra klagomål till Integritetsskyddsmyndigheten, IMY.
- Kommer uppgifter överföras utanför EU/EES?
Det är bara tillåtet i vissa fall. Använd de IT-tjänster högskolan tillhandahåller. Andra tjänster kan innebära otillåten överföring av personuppgifter. Kontakta dataskyddsombudet vid osäkerhet (dataskydd@du.se). - Kommer tredje part att behandla personuppgifterna?
T.ex. en leverantör av en IT-tjänst?
Ett personuppgiftsbiträdesavtal behöver då upprättas. Använd de IT-tjänster högskolan tillhandahåller. Andra tjänster kan innebära att avtal behöver upprättas. Kontakta dataskyddsombudet vid osäkerhet (dataskydd@du.se). - Har riskanalys gjorts och dokumenterats?
Analysera riskerna med behandlingen och dokumentera dina slutsatser, till exempel i metodbeskrivningen. Kan studiens utformning förändras för att minska riskerna? Diskutera gärna med din handledare, som kan vända sig till dataskyddsombudet för råd och stöd. - Har nödvändiga säkerhetsåtgärder vidtagits baserat på riskanalysen, och har dessa åtgärder dokumenterats, till exempel i metodbeskrivningen? Åtgärder kan vara inlåsning, lösenord, kryptering, säkerhetskopiering med mera.
- Visar genomförd riskanalys att det behövs en konsekvensbedömning eller förhandssamråd på grund av särskilt allvarliga risker för registrerade?
Diskutera i så fall detta med din handledare, som kan vända sig till dataskyddsombudet för råd och stöd. I dessa fall bör studiens utformning ses över och förändras för att minska riskerna. Kontakta dataskyddsombudet vid osäkerhet (dataskydd@du.se).
- Är behandlingen av personuppgifter anmäld till högskolans dataskyddsombud via avsedd digital blankett ”Anmälan av personuppgiftsbehandling för studentarbeten”?
Den digitala blanketten återfinns på högskolan webb.
Anledningen till anmälningskravet är att högskolan enligt dataskyddsförordningen är skyldig att föra ett register över alla pågående behandlingar på högskolan. För att kunna leva upp till detta behöver ombudet få in anmälan.