Personuppgiftsbehandling vid uppsatser

Den europeiska dataskyddsförordningen, tillsammans med ett antal svenska lagar, ställer hårda krav på att arbete med personuppgifter utförs korrekt. Här finns viktig information för dig som tänker använda personuppgifter för ditt självständiga arbete.

Att tänka på vid behandling av personuppgifter

Den här sidan ger en kort genomgång av de steg som är nödvändiga för att hanteringen av personuppgifter ska bli rätt.

Utöver de regler som gäller för personuppgifter kan det, beroende på vad du avser att behandla, finnas ytterligare regler att ta hänsyn till. Du bör därför ha en övergripande diskussion med din handledare om vilken information som ska hanteras och planera efter det.

Åtta steg att ta ställning till

Fundera igenom de åtta stegen nedan för att din behandling av personuppgifter ska bli så korrekt som möjligt.

Den första frågan är om det verkligen är nödvändigt att behandla personuppgifter? Den undersökning som ska göras kanske kan utföras utan att personuppgifter behandlas, och då är detta att föredra. Om du inte behandlar personuppgifter gäller inte kraven i dataskyddsförordningen, vilket underlättar arbetet.

Alla uppgifter som kan identifiera en person

Det är viktigt att komma ihåg att som personuppgift räknas all information som direkt eller indirekt kan knytas till en levande människa.

Det innebär att det inte bara är namn, personnummer, DNA eller porträttfoto som är en personuppgift, utan även en kombination av mer anonyma uppgifter som gör det möjligt att identifiera en enskild person.

Innan det praktiska arbetet börjar är det viktigt att göra klart vilka uppgifter som ska samlas in och varför. För dig som ska göra ett självständigt arbete är detta inte någon svår uppgift, utan syftet med behandlingen är helt enkelt att kunna utföra den undersökning som är nödvändig för att underbygga ditt arbete. Men det är viktigt att du tänker igenom och formulerar syftet så att du är klar över vilken information som är nödvändig för att nå det.

Undvik om möjligt att behandla känsliga personuppgifter, som:

  • etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i fackförening
  • genetiska och biometriska uppgifter
  • hälsa, sexualliv eller sexuella läggning

GIH har formellt ansvar för de personuppgiftsbehandlingar som utförs inom hela verksamheten och det gäller också självständiga arbeten. Därför måste GIH ha kännedom om vilka behandlingar som pågår. Det görs genom att du informerar din handledare om din behandling.

De uppgifter du ska lämna är:

  • kort beskrivning av syftet med behandlingen.
  • beskrivning av vilka personuppgifter som behandlas.
  • hur du informerar personerna och inhämtar samtycke.
  • var du kommer att förvara personuppgifter och samtycken under arbetet.

Insamlad information måste behandlas på ett säkert sätt. Att förvara insamlade personuppgifter i din hemkatalog är därför att rekommendera. Din hemkatalog är den mapp på datorn som är döpt till ditt namn och som ligger på en server hos GIH. Hemkatalogen har tillräcklig säkerhet även för känsliga personuppgifter.

Använd ej externa lagringstjänster

Externa lagringstjänster som inte tillhandahålls genom GIH får inte användas för personuppgifter. Det gäller exempelvis Dropbox, Google docs, OneDrive och iCloud. GIH saknar personuppgiftsbiträdesavtal med dessa tjänster och därför kan inte en säker lagring garanteras.

Personuppgifter får inte bevaras längre tid än vad som är nödvändigt och ska raderas när de inte längre behövs. Därför är huvudregeln att du ska radera personuppgifterna efter att ditt arbete är avslutat, registrerat i DiVA och du har fått ditt betyg registrerat. Samtidigt kan det finnas delar av informationen som bör bevaras.

Under arbetets gång kan det finnas anledning att ompröva den ursprungliga planen, men det är viktigt att det finns en grundläggande plan, inte minst för att kunna besvara frågor från de som registrerats (personerna vars uppgifter samlas in).

Personuppgifter får endast behandlas om det finns laglig grund för behandlingen. Dataskyddsförordningen anger ett antal grunder som betraktas som tillåtna, men för ett självständigt arbete är det i praktiken endast samtycke som kan komma ifråga.

Om det inte är möjligt att använda samtycke bör du ta upp detta med din handledare och dataskyddsombudet för att se om det finns en annan lösning.

Klargör vad samtycket innebär

Att använda samtycke som grund innebär att den registrerade ger sitt aktiva samtycke till behandlingen. Detta innebär att du talar om:

  • vilka uppgifter du samlar in.
  • vad de ska användas till och av vem eller vilka.
  • hur länge uppgifterna ska användas.
  • att det finns möjlighet att få se den insamlade informationen.
  • att det finns möjlighet att vända sig till GIH:s dataskyddsombud eller tillsynsmyndigheten med klagomål.

Efter det att den registrerade har tagit del av informationen kan hen ge sitt samtycke till behandlingen och det är då tillåtet att behandla uppgifterna. Om den registrerade har samtyckt till behandlingen får även känsliga uppgifter behandlas. Observera att känsliga uppgifter ställer stora krav på säkerheten i hanteringen.

Förvaring av samtycke

Samtycket förvarar du själv under arbetet, och det är viktigt att du förvarar det så att inte någon obehörig kommer åt det eller att det kommer bort. Den registrerade har rätt att när som helst återkalla sitt samtycke.

Skriftliga samtycken är att föredra

Det finns inga formkrav i regelverket på hur samtycken ska ges och hur underskrifter ska utformas. Däremot måste du kunna bevisa att ett samtycke har getts och att det varit tydligt informerat vad personen gett sitt samtycke till. Därför är det bra med skriftliga samtycken.

Vid en digital samtyckeshantering kan till exempel en kryssruta skapas i webbenkäten eller så kan en samtyckeshantering göras via mejlsvar.

Mall för samtycke

GIH har tagit fram en text för samtyckeshanteringen som du kan använda dig av i både pappersform och digitalt.

Om de tidigare stegen har utförts korrekt är detta formellt ett enkelt steg som inte kräver några ytterligare åtgärder. Samtidigt är detta i praktiken det huvudsakliga arbetet.

Efter att behandlingen är avslutad, uppsatsen är registrerad i DIVA och du har fått ditt betyg registrerat ska du radera personuppgiftsmaterialet inklusive samtyckesblanketterna. Endast undantagsvis ska materialet arkiveras vid GIH, enligt vad du kom fram till i Steg 5.

Radering eller eventuell arkiveringen ska ske senast en vecka efter att betyget är inregistrerat i LADOK.

Frågor?

Om du har frågor kring dina personuppgiftsbehandlingar vid uppsatsskrivandet kan du vända dig till din handledare. Du kan också vända dig till GIH:s dataskyddsgrupp på e-post GDPR@gih.se.

 

Kortadress till denna sida: www.gih.se/uppsats/gdpr

Hitta på sidan

Senast ändrad:27 Mar 2024