Personuppgiftsbehandling vid studentarbeten
Personuppgiftsbehandling
Denna text ger en kort genomgång av de steg som är nödvändiga för att hanteringen av personuppgifter ska bli rätt i ditt examensarbete.
Förutom de regler som gäller för personuppgifter kan det, beroende på vad ditt examensarbete handlar om, finnas ytterligare regler att ta hänsyn till. Du bör därför alltid ha en diskussion med din handledare om vilken information som ska hanteras och planera därefter.
Information om personuppgiftsbehandling vid BTH
Vid frågor om informationen: dataskyddsombud@bth.se
För registrering av behandling: anmälan av behandling
Steg 1 – Måste personuppgifter behandlas?
Den första frågan är om det verkligen är nödvändigt att behandla personuppgifter?
Den undersökning som ska göras kanske kan utföras utan att personuppgifter behandlas och då är detta att föredra. Om man inte behandlar personuppgifter gäller kraven i dataskyddsförordningen inte, vilket gör arbetet lättare. Det är dock viktigt att komma ihåg att som personuppgift räknas all information som direkt eller indirekt kan knytas till en levande människa vilket gör att det inte bara är sådant som namn, personnummer, inspelning av intervju eller porträttfoto som är en personuppgift utan det kan även vara en kombination av mer anonyma uppgifter som sammantaget gör det möjligt att identifiera en enskild person.
Steg 2 – Definiera syftet med behandlingen och vilka uppgifter som måste samlas in
Innan det praktiska arbetet börjar är det viktigt att göra klart vilka uppgifter som ska samlas in och varför. För dig som ska göra ett examensarbete är detta inte någon svår uppgift utan syftet med behandlingen är helt enkelt att kunna utföra den undersökning som är nödvändig för att underbygga ditt arbete, men det är viktigt att du tänker igenom och formulerar syftet såväl som att du är klar över vilken information som är nödvändig för att nå det.
Steg 3 – Registrera behandlingen
Varje behandling av personuppgifter ska registreras i BTH:s register över personuppgiftsbehandlingar.
Du anmäler behandling av personuppgifter via ett formulär där du kort fyller i syftet med behandlingen, vilka typer av uppgifter du tänker samla in och behandla, dina kontaktuppgifter, hur länge uppgifterna kommer att sparas (om det går), om någon annan part kommer att delta i arbetet med personuppgifterna och hur informationen kommer att skyddas. Registret skall inte innehålla några av de insamlade personuppgifterna utan bara en förteckning över vad som samlas in och behandlas så att högskolan har kontroll över vilka behandlingar som pågår. BTH har formellt ansvar för de personuppgiftsbehandlingar som utförs inom hela verksamheten och det gäller också examensarbeten.
Anmälan av behandling av personuppgifter – studentarbete
Steg 4 – Bestäm hur informationen skall förvaras och hanteras säkert under arbetet
Insamlad information måste behandlas på ett säkert sätt. Att förvara insamlade personuppgifter i din hemkatalog (J:) är att rekommendera. Hemkatalogen är tillgänglig för studenter via campusdatorerna.
Hemkatalogen har tillräcklig säkerhet även för känsliga personuppgifter (som känsliga personuppgifter räknas uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska och biometriska uppgifter samt uppgifter om en persons hälsa, sexualliv eller sexuella läggning).
BTH tillhandahåller även ett antal ytterligare tjänster som kan vara praktiska vid arbetet som exempelvis OneDrive. Dessa får användas för personuppgifter som inte är känsliga.
Externa lagringstjänster (verktyg som inte tillhandahålls genom högskolan) får inte användas för personuppgifter. Detta gäller exempelvis Dropbox, Google docs, iCloud med flera.
Steg 5 – Bestäm vilka delar av informationen som ska raderas respektive bevaras när arbetet är klart
Personuppgifter får inte bevaras längre tid än vad som är nödvändigt och ska raderas när de inte längre behövs.
Samtidigt kan det finnas delar av informationen som måste bevaras för att kunna styrka slutsatserna i examensarbetet eller för att de är nödvändiga för framtida behandlingar. Innan det praktiska arbetet startar är det därför viktigt att bestämma vad som ska hända med de insamlade personuppgifterna efteråt.
Vilka uppgifter ska bevaras respektive gallras? Under arbetets gång kan det finnas anledning att ompröva den ursprungliga planen men det är viktigt att det finns en grundläggande plan, inte minst för att kunna besvara frågor från de registrerade (personerna vars uppgifter samlas in).
Steg 6 – Inhämta samtycke, informera de registrerade och samla in de nödvändiga personuppgifterna
Personuppgifter får endast behandlas om det finns laglig grund för behandlingen.
Dataskyddsförordningen anger ett antal grunder som betraktas som tillåtna men för ett examensarbete är det i praktiken endast samtycke som kan komma ifråga (om det inte är möjligt att använda samtycke bör du ta upp detta med din handledare och dataskyddsombudet för att se om det går att finna en annan lösning). Att använda samtycke som grund innebär att den registrerade ger sitt aktiva samtycke till behandlingen.
Detta innebär i praktiken att du, på ett tydligt och klart sätt talar om vilka uppgifter du vill samla in, vad de ska användas till och av vem/vilka, hur länge uppgifterna ska användas, att det finns möjlighet att begära att få se den insamlade informationen och att det finns möjlighet att vända sig till dataskyddsombudet eller Integritetsskyddsmyndigheten med klagomål. Efter det att den registrerade har tagit del av informationen kan han/hon ge sitt samtycke till behandlingen och det är då tillåtet att behandla uppgifterna. Viktigt att veta om samtycke är att det skall registreras och sparas så att det kan plockas fram vid behov och att den registrerade har rätt att när som helst återkalla sitt samtycke.
Samtycket skall därför göras skriftligt (även digital signering går bra). Om den registrerade har samtyckt till behandlingen får även känsliga uppgifter behandlas (observera att känsliga uppgifter ställer stora krav på säkerheten i hanteringen).
Steg 7 – Behandla det insamlade materialet
Under förutsättning att de tidigare stegen har utförts är detta ett formellt enkelt steg som inte kräver några ytterligare åtgärder. Samtidigt är detta i praktiken det huvudsakliga arbetet.
Steg 8 – Efter behandling, radera eller arkivera personuppgiftsmaterialet efter behov
Tillsammans med behandlingen är även detta ett enkelt steg då nu det praktiska arbetet är avslutat. Materialet som har behandlats ska nu antingen föras över för bevarande/arkivering eller raderas enligt vad du beslutade i steg 5.
Kontakta högskolans dataskyddsombud och notera att behandlingen är avslutad.