GDPR när studenter behandlar personuppgifter
När du som student behandlar personuppgifter under din tid vid Örebro universitet så ansvarar du personligen för att följa GDPR under ditt vardagliga arbete. När det är dags att skriva examensarbetet/uppsats så blir Örebro universitet personuppgiftsansvarig för de behandlingar som görs inom ramen för dina studier. Detta innebär att du behöver dokumentera/registrera på vilket sätt du följer GDPR. Det gör du bl.a. genom att fylla i GDPR registrering av studentarbete. (se länk i faktarutan). På dessa sidor finns instruktion om hur du följer GDPR och hur information/samtycke kan formuleras.
Dataskyddsförordningen (General Data Protection Regulation, ”GDPR”) syftar till att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Förenklat innebär GDPR att man, vid behandling av personuppgifter, bara får göra det som är uttryckligen tillåtet i lagstiftningen.
En personuppgift är varje uppgift som direkt eller indirekt kan kopplas till en levande person. Det kan vara allt från ett personnummer till IP-adresser och genetiska data. Det måste finnas ett juridiskt stöd för användning av personuppgifter. Det ställs dessutom en hel del krav; exempelvis att information ska ges, säkerhet ska upprätthållas och att den person vars information du använder (den registrerade) oftast har rätt att få insyn i hur informationen används och även har rätt att invända om denne anser att du gör något fel.
Den ”registrerade” är ett uttryck som används genomgående i informationen och betyder en identifierad eller identifierbar fysisk person vars information används i t.ex. ett uppsats- eller projektarbete.
GDPR
Bakgrund
2018 trädde GDPR i kraft, vars syfte är dels att stärka skyddet för den personliga integriteten och dels att skapa ett enhetligt regelverk för hela EU. Den tekniska utvecklingen och hanteringen av företag som Google och Facebook, vars affärsmodeller bygger på försäljning av personuppgifter och data, var starkt bidragande faktorer till EU:s införande av regelverket.
Den som behandlar personuppgifter om EU-medborgare ska, oavsett om själva personuppgifts-behandlingen sker inom eller utanför unionen, respektera människors grundläggande fri- och rättigheter och särskilt deras rätt till skydd av personuppgifter. Vad detta i praktiken innebär för dig som student ska denna text försöka förmedla.
GDPR gäller all hantering av personuppgifter som inte är rent privat och det är därför viktigt att du har förståelse för regelverket om du som student hanterar personuppgifter inom ramen för din utbildning. Detta för att du på ett korrekt sätt ska kunna hantera personuppgifter i ditt studiearbete men även för att i många fall få en förberedelse för vad som gäller i ditt framtida yrkesliv.
Termen den ”registrerade” används genomgående i materialet och betyder en identifierad eller identifierbar fysisk person vars information används i t.ex. ett uppsats- eller projektarbete.
Insamling och bearbetning av personuppgifter
Varje uppgift som direkt eller indirekt kan kopplas till en levande person är en personuppgift. Detta innebär att det inte bara är sådant som namn och personnummer som kan vara personuppgifter utan även användarnamn, e-post- eller IP-adresser, biometriska data, fysiologiska uppgifter och även exempelvis en röstinspelning. Även kombinationer av uppgifter omfattas så länge det genom uppgifterna är möjligt att koppla dessa till en fysisk person. För all användning av personuppgifter som inte är rent privat gäller att denna måste följa GDPR:s samtliga principer för behandling. Det innebär bl.a. att:
- behandlingen ska ske på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade,
- uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål,
- uppgifterna får inte vara för omfattande i förhållande till syftet de samlas in för,
- uppgifterna ska vara korrekta och uppdaterade,
- uppgifterna får inte förvaras i form av identifierbara personuppgifter längre än vad som krävs för behandlingen och att
- uppgifterna ska behandlas på ett säkert sätt.
Enligt GDPR måste man, redan när uppgifterna samlas in, veta vad de ska användas till. Detta för att inte samla in mer information än nödvändigt, för att bara samla till berättigade ändamål och för att man också måste veta hur länge uppgifterna ska användas (även om ett exakt slutdatum inte nödvändigtvis måste kunna ange). ”Bra-att-ha” är alltså inte ett godtagbart argument i sammanhanget.
Då Örebro universitet är personuppgiftsansvarig vid uppsatsskrivning så ska detta göras med programvaror och tjänster som tilldelas av universitetet. Exempelvis ska ORU Survey användas för enkäter. Tillåtna programvaror hittar du här.
Laglig grund
Förutom att personuppgiftsbehandlingen måste uppfylla de grundläggande principerna måste det också finnas laglig grund för behandlingen. Det finns sex tillåtna grunder och det räcker med att en av dem är uppfylld för att behandlingen ska vara tillåten. Det är givetvis även möjligt med en kombination av grunder.
Vid skivandet av studentarbete inhämtas oftast personuppgifter med samtycke och allmänt intresse.
- Samtycke – den registrerade har lämnat sitt informerade samtycke till behandlingen. Samtycket måste dokumenteras och kan när som helst återkallas.
- Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
- Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är delaktig i.
- Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, ex. lagar och myndighetsföreskrifter men även kollektivavtal omfattas.
- Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade, ex. hälsa och sjukvård.
- Behandlingen är nödvändig för tredje parts berättigade intressen (om inte den registrerades intressen, fri- eller rättigheter väger tyngre). Observera att möjligheten att använda denna grund är starkt begränsad för myndigheter och därigenom även för dig som student vid Örebro universitet.
För Örebro universitet är en stor del av verksamheten myndighetsutövning. Här ryms exempelvis allt som normalt hör till utbildning och examination. Vidare anses forskningen vid universitetet vara av allmänt intresse och grunden för detta finns i högskolelagen. De arbeten som våra studenter producerar når däremot sannolikt inte upp till allmänt intresse vilket innebär att om personuppgifter samlas in ska samtycke normalt sett först inhämtas från berörda personer.
Särskilda kategorier av personuppgifter även dagligt kallat för känsliga personuppgifter (artikel 9 GDPR). Det är i huvudregel förbjudet att behandla dessa uppgifter enligt dataskyddsförordningen, men det finns undantag. Det ställs dock alltid högre krav på tekniska och organisatoriska skyddsåtgärder när dessa uppgifter behandlas.
Integritetskänsliga personuppgifter även kallat extra skyddsvärda personuppgifter så som personnummer, samordningsnummer och uppgifter om lagöverträdelser anses vara integritetskänsliga personuppgifter. Andra exempel kan vara löneuppgifter, värderande uppgifter och information som rör någons privata sfär eller uppgifter om sociala förhållanden.
Vi rekommenderar att du inte behandlar känsliga personuppgifter i ditt studentarbete då det ställer högre krav på behandlingen, bl.a. vad gäller samtyckets tydlighet och säkerhetsnivåer. Om sådan behandling ändå utförs ska det ske i dialog med kursansvarig och handledare.
Informationsplikt
När vi samlar in personuppgifter har vi en skyldighet att lämna information till den registrerade som bl.a. ska innehålla:
- identitet och kontaktuppgifter för den personuppgiftsansvarige (mer om personuppgiftsansvarig nedan),
- kontaktuppgifter för dataskyddsombudet (mer om dataskyddsombud nedan),
- ändamålet med/anledningen till behandlingen samt stödet för denna,
- vem/vilka som kommer att ta del av uppgifterna samt
- eventuell överföring till länder utanför EU och information om skyddsnivån hos mottagaren.
För att underlätta utformningen av denna information finns det checklistor för vad denna information ska innehålla. Dessa checklistor finns med som en bilaga till detta dokument men ligger även på Blackboard i anslutning till de filmer och utbildningsmaterial som ligger där.
Informationsplikten gäller även om vi inte samlar in uppgifterna direkt från den registrerade. Det finns vissa utrymmen för undantag; om du vet att den registrerade sedan tidigare är informerad, om det är praktiskt omöjligt eller mycket svårt att informera eller om behandlingen är en skyldighet via lagstiftning. Praktiskt exempel: När en student begär ett datorkonto hos oss hämtar vi normalt uppgifter från Ladok. Vi är då skyldiga att informera studenten om att detta sker och vilka uppgifter det rör sig om i samband med att kontot begärs. Däremot behöver vi inte särskilt informera om att en students studieresultat skrivs in i Ladok eftersom det står i förordningen (1993:1153) om studieregistrering att detta ska göras.
Uppgifterna ska behandlas på ett korrekt och öppet sätt i förhållande till den registrerade. Om den registrerade har frågor eller vill använda sig av sina rättigheter i förhållande till behandlingen som vi utför är det vår skyldighet som del av Örebro universitet att hjälpa till. Detta gäller så länge som det inte finns hinder mot detta på grund av exempelvis sekretess- eller arkiveringsregler.
Säkerhet
De insamlade uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder. Detta omfattar skydd mot obehörig eller otillåten behandling och skydd mot förlust, förstöring eller skada genom olyckshändelse. Detta innebär att du som student måste se till att endast behöriga personer har tillgång till uppgifterna och att eventuella databaser eller system omfattas av olika säkerhetsåtgärder (exempelvis att skydda datorn med lösenord).
Att besluta om, införa och övervaka lämpliga säkerhetsåtgärder såväl tekniska som administrativa är ett krav i GDPR och detta ska även dokumenteras. Detta informations- och utbildningsmaterial samt registrering av studentarbete (formuläret) är t.ex. en del av universitetets arbete med GDPR.
Vid behandling av känsliga personuppgifter och integritetskänsliga uppgifter så som exempelvis lagöverträdelser krävs det att arbetet även kan bedrivas under etiskt säkerställda och trygga former. Dessa ska endast behandlas i mindre omfattning och med tydliga syften. Adekvata skyddsåtgärder ska tillämpas så som exempelvis säkra lagringslösningar, pseudonymisering, kryptering och försiktighet vid användande av e-post och andra meddelandetjänster.
Som stöd vid lämplighetsbedömningen ska du och din handledare diskutera om projektet kan genomföras under etiskt godtagbara former med utgångspunkt i de allmänna forskningsetiska principerna, exempelvis Vetenskapsrådets rapport ”God forskningssed”. Personuppgifterna kan behandlas om de återges på ett återhållsamt sätt från exempelvis publicerade domar eller uppgifter i massmedia samt att förutsättningarna som beskrivs på denna sida kan uppfyllas.
Till rapporten God forskningssed
Roller och ansvar
För all personuppgiftshantering, från den enskilda studentens uppsatsarbete till forskningsprojekt och administrativa system, finns det en personuppgiftsansvarig och för den verksamhet som bedrivs inom lärosätet är detta Örebro universitet. Det är Örebro universitet som har det yttersta ansvaret för all behandling av personuppgifter som sker inom ramen för verksamheten.
Som enskild student som inom ramen för dina studier behöver hantera personuppgifter förväntas du sätta dig in i vad som gäller för att just din hantering av personuppgifter ska bli korrekt.
Vid lärosätet finns också ett dataskyddsombud som internt ska granska hanteringen men även fungera som hjälp och stöd för verksamheten. Dataskyddsombudet ska också vara tillgängligt för att kunna hantera frågor och klagomål från registrerade och kan nås via kontaktuppgifter på hemsidan.
Integritetsskyddsmyndigheten är tillsynsmyndighet för GDPR och har därmed ansvar för att granska universitets hantering av personuppgifter och hantera klagomål från registrerade.
Vid fel och brister i hanteringen kan både personuppgiftsansvarig och eventuella personuppgiftsbiträden drabbas av både sanktionsavgifter (böter) och skadestånd. Sanktionsavgifterna ska vara effektiva, proportionella samt avskräckande och kan bli mycket höga.
Fördjupad information om ansvarsfördelning för frågor om dataskydd m.m. vid Örebro universitet finns i dokumentet ”Riktlinje för Örebro universitets behandling av personuppgifter”, ärendenummer 2020/00050.
Den registrerades rättigheter
Genom GDPR har den registrerade en rad rättigheter som är till för att stärka skyddet för den personliga integriteten och positionen gentemot den som behandlar personuppgifter. Alla registrerade har rätt att i förväg få information på ett klart och tydligt sätt om den tänkta personuppgifts-behandlingen. Grundtanken är att den registrerade ska kunna förutse vad som kommer hända med den aktuella informationen.
Det finns också en rätt för den registrerade att ta del av vilka uppgifter som behandlas om denne. Den registrerade har också rätt att få felaktig information korrigerad utan onödigt dröjsmål samt rätt att få personlig information raderad, där så är juridiskt och praktiskt möjligt. Vidare har den registrerade också rätt att invända mot behandlingen, att återkalla eventuella samtycken och rätt att klaga till tillsynsmyndigheten om den registrerade anser att behandlingen är felaktig.
Andra lagar som också styr behandlingen av personuppgifter
GDPR styr inte ensamt hanteringen av personuppgifter utan kompletteras genom vissa lagar..
Här är relevant att nämna lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (”Dataskyddslagen”), tryckfrihetsförordningen och offentlighets- och sekretesslagen samt arkivlagen. Exempelvis ska kandidatuppsatser och uppsatser på avancerad nivå bevaras vid Örebro universitet. Det finns regler kring personuppgifter i många andra delar av vår lagstiftning men det är omöjligt att på ett pedagogiskt sätt samla alla i ett kort dokument.