Personuppgifter i självständiga studentarbeten

Innan jag påbörjar insamling eller användning av personuppgifter i mitt studentarbete har jag:

• Klarlagt mina faktiska behov av att samla in personuppgifter.
• Dokumenterat ändamålen för min personuppgiftsbehandling
• Stämt av behov av personuppgifter och ändamål med min handledare
• Läst in mig på de grundläggande principerna för personuppgiftsbehandling
• Genomfört lämplighetsprövning (gäller endast vid användning av känsliga personuppgifter)
• Säkerställt lagring av personuppgifter i lämpliga lagringstjänster
• Vidtagit lämpliga skyddsåtgärder.
• Bedömt och dokumenterad vad som behöver sparas respektive raderas efter att arbetet är genomfört.
  
• Justerat och anpassat samtyckesblankett med information
• Inhämtat samtycke genom användning av justerad samtyckesblankett från alla personer som omfattas av studentarbetet.
• När arbetet är färdigställt och betygsatt, kontakta kursansvarige och säkerställ att uppgifterna raderas om inte förutsättningar för att de ska arkiveras föreligger eller ska sparas inför en eventuell publikation eller liknande.

En persons ansikte kan lätt användas för att identifiera personen och är därmed en personuppgift. En röst utgör en personuppgift förutsatt att det går att identifiera personen med hjälp av rösten, Det går ofta inte att anonymisera den här typen av data utan mycket extra arbete och tekniska verktyg, Sådana data bör ändå pseudonymiseras i så stor omfattning som möjligt, genom att exempelvis ersätta namn på personer, datum, platser och liknande information med ID-nummer, löpnummer, pseudonymer eller mer generella termer.

I de fall när det genomförs en ”anonym” enkät behandlas dock oftast personuppgifter utifrån GDPR:s definition av vad som är en personuppgift. Data är endast anonym i den mån det är helt omöjligt för någon att koppla ihop informationen med en individ. Det räcker exempelvis med att enkät-verktyget någonstans loggar IP-adressen eller sparar någon indirekt information om personen som besvarat enkäten för att personuppgifts-reglerna ska gälla i situationen. Vidare innebär användande av fritextsvar alltid att det finns en risk för att den som besvarar enkäten skriver in direkta eller indirekta personuppgifter om sig själv eller andra. Man bör utgå från att de flesta enkätundersökningar innebär att det samlas in personuppgifter i någon form, åtminstone under insamlingsfasen.

Känsliga personuppgifter

Känsliga personuppgifter innebär information om hälsa, politiska åsikter, religion, etniskt ursprung, facklig tillhörighet, sexuell läggning, sexualliv samt genetiska och biometriska uppgifter och är som huvudregel förbjudet att behandla enligt GDPR.

Det rättsliga utrymmet för att behandla känsliga personuppgifter i självständiga studentarbeten är mycket begränsat. Ingår studentarbetet i ett befintligt forskningsprojekt hanteras det inom den processen. Undersök om det är möjligt att studentarbetet kan omfattas av ett forskningsprojekt.

Är det nödvändigt att samla in känsliga personuppgifter för utförandet av studentarbetet ska detta stämmas av och ske i dialog med handledare. Handledare ska också kontakta kursansvarig och examinator. Om studentarbetet ingår i ett forskningsprojekt måste förutsättningarna för projektet följas och projektet ska tidigare har fått tillstånd att samla in känsliga personuppgifter genom etikprövning. Är inte det möjligt krävs det utöver handledares godkännande en godkänd lämplighetsprövning, samtycken samt omfattande säkerhetsåtgärder.

Lämplighetsprövning

Lämplighetsprövning liknar den etiska prövning som krävs vid forskningsstudier som genomförs av Etikprövningsmyndigheten. Studentarbeten omfattas inte av Lag (2003:460) om etikprövning vilket är varför en lämplighetsprövning måste genomföras av studenten och bedöms sedan av handledaren i dialog med kursansvarige och examinator.

Beskrivning och genomförande av en lämplighetsprövning finns här

lämplighetsprövning Pdf, 152.5 kB.

Första steget är att identifiera om personuppgifter ska behandlas i studentarbetet. Om bedömningen är att personuppgifter behandlas ska steg 2–7 genomföras. Behandling av personuppgifter är i princip allt som går att göra med en personuppgift. Det kan till exempel vara att samla in, registrera, bearbeta, lagra, radera, samköra, läsa eller skriva ut uppgifterna. Om studentarbetet utföras med anonyma data behandlas inte heller personuppgifter. Anonymiserade uppgifter är sådana uppgifter som inte kan kopplas till enskild individ vare sig med de uppgifter Försvarshögskolan har tillgång till eller sådana uppgifter som kan fås från annat håll.

• Om personuppgifterna som behandlas inom ramen för studentarbetet endast utgörs av de namn som ingår i citat (gäller ej egna insamlade data), referenser och källhänvisningar är GDPR:s bestämmelser inte tillämpliga och dessa regler behöver då inte följas.
• Varje uppgift som direkt eller indirekt kan kopplas till en levande person är en personuppgift. Detta innebär att det inte bara är sådant som namn och personnummer som kan vara personuppgifter utan även röstinspelning, användarnamn, e-post- eller IP-adresser, biometriska data etc. Det kan även vara en kombination av mer anonyma uppgifter som sammantaget gör det möjligt att identifiera en enskild person.

Enligt GDPR måste man, redan när uppgifterna samlas in, veta vad de ska användas till. Detta för att inte samla in mer information än nödvändigt, för att bara samla till berättigade ändamål och för att man också måste veta hur länge uppgifterna ska användas (även om ett exakt slutdatum inte nödvändigtvis måste kunna ange). ”Bra-att-ha” är alltså inte ett godtagbart argument i sammanhanget. Definiera därför syftet med behandlingen och vilka uppgifter som måste samlas in.

Om du tillsammans med handledare kommit fram till att det är nödvändigt att samla in personuppgifter för att kunna genomföra undersökningen behöver syftet med behandlingen definieras. Detta är ett krav i dataskydds-förordningen. Ändamålet med databehandlingen är att samla in de uppgifter som behövs för att kunna utföra undersökningen. Ändamålet behöver dock vara anpassad till vad som ska undersöka och varför. Det är inte tillåtet att samla in mer personuppgifter än vad som är nödvändigt för att uppnå ändamålet och de får heller inte användas till något annat syfte än vad de samlades in för.

Insamlad information måste hanteras på ett säkert sätt med lämpliga skyddsåtgärder. Undvik externa lagringstjänster för lagring av känsliga personuppgifter. Använd om möjligt de verktyg och molntjänster som FHS erbjuder kring hantering och lagring av information.

Bestäm vilka delar av informationen som ska raderas respektive bevaras när arbetet är klart. Personuppgifter får inte sparas längre än nödvändigt och ska raderas när de inte längre behövs. Samtidigt kan det finnas delar av informationen som måste finnas kvar för att exempelvis kunna styrka slutsatserna i student-arbetet eller om de är nödvändiga för framtida databehandlingar (till exempel för att resultatet ska publiceras i en vetenskaplig artikel). I dessa fall ska materialet arkiveras.

Därför är det viktigt att innan arbetet med att samla in personuppgifterna påbörjas bestämma vad som kommer att hända med personuppgifterna. Under arbetets gång kan det finnas anledning att ompröva den ursprungliga planen men det är viktigt att det finns en grundläggande plan som är förankrad med handledaren, inte minst för att kunna besvara frågor från de registrerade (personerna vars uppgifter samlas in). Det är dock lämpligt att vänta med eventuell radering av information till dess att arbetet är slutfört. En bra riktlinje är att radera uppgifterna då betyget är satt och registrerat och därmed inte längre behövs för att styrka slutsatserna i det självständiga studentarbetet.

Inhämta samtycke, informera de registrerade och samla in nödvändiga personuppgifter. Personuppgifter får endast behandlas om det finns laglig grund för behandlingen. Dataskyddsförordningen anger ett antal grunder som betraktas som tillåtna men för ett studentarbete är det i praktiken endast samtycke som är aktuellt (om inte studentarbetet tillhör ett forskningsprojekt).

Samtycke

Kravet på att ett samtycke ska vara frivilligt förutsätter också att det inte följer några negativa konsekvenser om en person tackar nej till att vara med i studien. Det är därför viktigt att samtycket innehåller den information som GDPR kräver och korrekt återspeglar vad ska göras med personuppgifterna. Att inhämta ett samtycke innebär att på ett tydligt och klart sätt tala om vilka uppgifter som kommer samlas in, vad de ska användas till och av vem/vilka samt hur länge uppgifterna ska användas.

Samtycket ska även innehålla information om att det finns möjlighet att begära att få se den insamlade informationen samt att det finns möjlighet att vända sig till Försvarshögskolans dataskyddsombud eller Integritetsskydds-myndigheten med klagomål. Även studentens och kursansvarig institutions kontaktuppgifter måste finnas med i informationen. Efter att den registrerade tagit del av informationen kan hen ge sitt samtycke till behandlingen och det är då tillåtet att behandla uppgifterna. När personuppgifterna väl samlats in får dessa inte heller användas till något annat än det som deltagaren samtyckt till utan att ett nytt uppdaterat samtycke inhämtas.

Viktigt att veta om samtycke är att det ska sparas så att det kan plockas fram vid behov och att den registrerade har rätt att när som helst återkalla sitt samtycke, varvid personuppgifterna ska raderas och inte behandlas ytterligare. Det innebär t.ex. att personuppgifterna inte får ingå i nya beräkningar, sammanställningar, samkörningar etc. Behandling som redan har skett innan samtycket återkallas, och eventuella resultat av den, påverkas dock inte.

Om uppgifterna är anonymiserade tex vid använding av enkäter så att det inte är möjligt att se vem svaren tillhör och i det fallet inte heller går att dra tillbaka ett samtycke ska det tydligt framgå i informationen innan en deltagare besvarar enkäten.

Information

För enkätundersökningar kan det vara svårare att få ett skriftligt samtycke. Skapa en tydlig information på första sidan av enkäten och utskicket. Samtycket får anses vara inhämtat när de informerade väljer att delta genom att aktivt svara på frågorna i enkäten efter att ha läst informationstexten.

Om informationen lämnas i en intervjusituation kan informationen skrivas ut och lämnas både muntligen och skriftligen. Du behöver också dokumentera individens samtycke till att medverka. Samtycket kan antingen vara skriftligt eller muntligt. Om du väljer ett muntligt samtycke behöver det finnas inspelat och vara möjligt att radera om samtycket dras in.

Som stöd har FHS tagit fram en informations- och samtyckesblankett.

Samtycke- och informationsblankett Word, 103.1 kB.

Om allt gjorts korrekt i de tidigare stegen är detta steg, som är formellt viktigt, inte särskilt betungande.

Hämta in ett informerat samtycke, samla in och behandla personuppgifterna.

Det är den som samlar in personuppgifterna som har bevisbördan för att visa på att det finns ett dokumenterat och giltigt samtycke. Insamlade samtycken ska lagras på den yta där övrigt insamlat material lagras under hela processen.

När uppsatsen är färdig och examinationen på kursmomentet är genomförd återstår det sista momentet. Materialet som har behandlats ska nu antingen sparas för arkivering eller raderas enlig vad som bestämdes i steg 4. De eventuella samtycken som inhämtats för att kunna göra personuppgifts-behandlingen måste sparas lika länge som själva materialet, och raderas/kastas vid samma tidpunkt. Kontakta kursansvarig och stäm av så att kursansvarig kan avregistrera behandlingen från registerförteckningen över personuppgiftsbehandlingar.

Det är du som student som ansvarar för att materialet raderas då det inte längre behövs för att verifiera resultatet i rapporten eller i annat syfte. Tänk på att inte radera underlag innan slutligt betyg är satt på kursen. Rådgör med kursansvarig om det finns oklarheter kring vad som ska raderas och ifall något ska sparas inför en eventuell publikation eller liknande.

• Anonymisering - Om uppgifterna inte längre, varken direkt eller indirekt, går att koppla till en person är dessa anonymiserade och formellt sett inte längre personuppgifter (Dataskyddsförordningen gäller ej dessa). Om arbetet kan bedrivas på anonymiserade uppgifter skall detta ske.
• Pseudonymisering - Om uppgifterna som behandlas inte är direkt kopplade till en person utan det finns en separat nyckel som kopplar person till information är dessa pseudonymiserade. Uppgifterna räknas fortfarande formellt sett som personuppgifter men hanteringen sker med en större säkerhet.
• Kryptering och kodning - Att kryptera eller koda information är ett sätt att minimera skadorna vid dataläckage och är bra som tekniskt skydd.
• Mejlkontroll - Det rekommenderas att alltid kontrollera korrekta mottagare innan mejl skickas, undvika funktionen dold kopia (bcc) använda mejl restriktivt för att skicka personuppgifter och aldrig för känsliga personuppgifter.
• Lagring och verktyg - Använd verktyg och tjänster med lämpliga skyddsåtgärder såsom att obehöriga inte ska komma åt informationen, att den förloras eller förstörs. Gratistjänster är oftast inte gratis utan betalas med informationen som tillgängliggörs. Rekommendationen är att använda eventuella verktyg som FHS tillhandahåller.
• Känsliga personuppgifter – Kräver kryptering, backup, behörighetsstyrning, lösenordshantering med tvåfaktor. Kontakta FHS IT-support för mer information om korrekta åtgärder.
  
• Information och kunskap - Viktiga säkerhetsåtgärder som ofta glöms bort är information och kunskap. Att försäkra sig om att de som arbetar med personuppgifter också är medvetna om och följer de regler som finns för arbetet är viktigt.
• Backup - Att tekniskt skydda information från förlust vid olika typer av haverier är inte ett krav i Dataskyddsförordningen men kan vara nog så viktigt för den enskilde studenten. Ett absolut minimum är att se till att informationen lagras på ett sätt som omfattas av backup.
• Externa USB-minnen eller hårddiskar - Flyttbara media ska undvikas då de är särskilt sårbara för stöld och förlust. Bör alltid krypteras om dessa används och endast för tillfällig lagring/transport.