Regler för studenters behandling av personuppgifter

Här beskrivs de regler som gäller vid Högskolan Väst för hur du som student får behandla personuppgifter inom ramen för din utbildning. Här finns även mallar och annan praktisk information.

Dataskyddsförordningen är den lag som gäller för personuppgiftsbehandling och som infördes av samtliga medlemsländer i EU den 25 maj 2018. GDPR (General Data Protection Regulation) är den engelska förkortningen av lagen. Lagstiftningen innebär att all behandling av personuppgifter som genomförs måste uppfylla de grundläggande principer som dataskyddsförordningen anger.

Högskolans ansvar och studentens ansvar

Högskolan ansvarar för studenters behandling av personuppgifter inom ramen för sina studier, s.k. personuppgiftsansvarig. Detta innebär att du som student har en skyldighet att se till att den egna personuppgiftsbehandlingen sker enligt högskolans beslutade regler vid exempelvis arbete med uppsatser, inlämningsuppgifter och examensarbeten.

Studenters behandling av personuppgifter

Behandling av personuppgifter inom ramen för utbildningen får bara ske i enlighet med högskolans regler och riktlinjer och på lärares instruktion eller efter lärares/handledares godkännande. Behandling av personuppgifter är ett vitt begrepp och omfattar alla åtgärder som görs med personuppgifterna elektroniskt. Exempel på behandlingar är insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller att de tillhandahålls på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring av personuppgifter.

Integritetskänsliga personuppgifter (d.v.s såväl känsliga som extra skyddsvärda personuppgifter) får aldrig behandlas inom utbildning på grundnivå och avancerad nivå.

Personuppgifter

Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan identifiera en levande person. Exempel på personuppgifter är personnummer, namn, kontaktuppgifter som mejladress, elektroniska identiteter av olika slag som användarnamn på sociala medier, samt bild- och/eller ljudupptagningar. Dessa och andra personuppgifter som förekommer i intervjusvar, enkätsvar, bilder och annan inhämtad empiri omfattas av dessa regler.

Beakta att även om du som behandlar uppgifterna inte vet eller ens har möjlighet att ta reda på vilken person det gäller, så kan det vara behandling av personuppgifter. Det är tillräckligt att någon kan koppla uppgifterna till en fysisk person för att det ska räknas som personuppgifter. För att avgöra om en fysisk person är identifierbar måste du beakta möjligheten till kompletterande uppgifter, samt alla hjälpmedel som rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen.

Känsliga personuppgifter

Dataskyddsförordningen listar särskilda kategorier av personuppgifter som anses särskilt känsliga och därför har ett starkare skydd, s.k. känsliga personuppgifter. Känsliga personuppgifter får som huvudregel inte behandlas av studenter under utbildningen.

Undantag från detta är om ditt examensarbete är en del av ett större forskningsprojekt, vilket har ett etiskt godkännande från Etikprövningsmyndigheten. Du får även behandla känsliga och integritetskänsliga personuppgifter under verksamhetsförlagd utbildning, VFU, under förutsättning att VFU-placeringen tillåter det och att behandlingen inte ingår i en uppsats, redovisning eller dylikt.

Känsliga personuppgifter är personuppgifter som avslöjar:

Etniskt ursprung
Politiska åsikter
Religiös eller filosofisk övertygelse
Medlemskap i fackförening
Hälsa
Sexualliv eller sexuell läggning
Genetiska uppgifter
Biometriska uppgifter för att entydigt identifiera en fysisk person

Utöver de uppgifter som listas ovan finns ytterligare typer av personuppgifter som är särskilt skyddsvärda enligt IMY. Dessa kan till exempel vara:

Löneuppgifter
Uppgifter om lagöverträdelser
Värderande uppgifter, till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler
Information som rör någons privata sfär
Uppgifter om sociala förhållanden.

Checklista vid behandling av personuppgifter

Ange ändamål och dokumentera behandlingen

Börja alltid med att bestämma ändamålet (syftet) med arbetet du ska genomföra och vilka uppgifter som är nödvändiga att samla in och behandla för att uppnå ändamålet med arbetet.

Överväg alltid vilka personuppgifter som är nödvändiga att hämta in för att kunna uppfylla ändamålet med arbetet. Kontakta din lärare eller handledare för samråd vid osäkerhet. Vid oenighet mellan lärare och student om behovet av behandling av personuppgifter gäller lärarens instruktioner.

Tänk på att inga överflödiga personuppgifter får samlas in, utan personuppgifter som behandlas ska vara adekvata och relevanta för ändamålet med behandlingen. Personuppgifter som samlas in för studentarbete får enbart behandlas för det studentarbete de har samlats in för och inga andra ändamål eller syften.

Till stöd för bedömningen kan mallen för dokumentation av personuppgiftsbehandling i studentarbeten användas, se nedan.

Bestäm metod för insamling, behandling och lagring

Bestäm hur du ska samla in, lagra och på annat sätt behandla personuppgifterna.

Vid insamling får endast verktyg och tjänster som tillhandahålls av högskolan användas. Det är inte tillåtet att använda gratistjänster som du har tillgång till fritt på internet.

Tänk på att personuppgifter måste lagras och behandlas på ett säkert sätt för att skydda dem mot obehörig eller otillåten behandling, förlust eller förstöring. För att uppnå detta bör du följa åtminstone nedan punkter:

Vid insamling får endast verktyg och tjänster som tillhandahålls av högskolan användas. Det är inte tillåtet att använda gratistjänster som du har tillgång till fritt på internet.
Personuppgifterna ska lagras i högskolans IT-system och lagringsutrymme, exempelvis Canvas, din egna hemkatalog i högskolans IT-miljö eller din egna OneDrive som tillhandahålls av högskolan. Inga privata molnlagringar får användas.
Inga personuppgifter får lagras på privat dator, mobiltelefon, USB-minne eller andra privata enheter.
Om privata mobiltelefoner används för att spela in ljud eller video vid exemeplvis intervjuer så får inspelning och lagring inte ske direkt i mobiltelefonen. Istället ska studenterna spela in ljud och video via Microsoft 365, dvs. OneNote eller OneDrive, vilka kan laddas ner som en app till mobiltelefonen. Observera att du måste logga in med ditt studentkonto i apparna!
Fastställ och säkerställ att endast behöriga personer har åtkomst till personuppgifterna genom att ex. lösenordsskydda mappar för lagring.

Anmäl behandlingen till registret

Högskolan är skyldiga att föra ett register över sina personuppgiftsbehandlingar. Innan du påbörjar behandlingen av personuppgifterna ska du därför anmäla ditt arbete till högskolans register.

Fyll i formuläret här.

Inhämta samtycke och informera om behandlingen

Innan du påbörjar insamling eller behandling av personuppgifter måste du inhämta samtycke från den vars personuppgifter ska behandlas, s.k. registrerad. Behandling av minderårigas personuppgifter kräver samtycke från barnets vårdnadshavare.

Samtycke ska hämtas in innan behandlingen av personuppgifter påbörjas och vara skriftligt. Mallen för samtycke och information om behandling av personuppgifter i studentarbete ska användas. Blanketterna ska samlas in och lagras under den tid som behandlingen av personuppgifter pågår.

Den registrerade har alltid rätt att återkalla sitt samtycke. Om samtycket återkallas måste studenten omgående sluta behandla personuppgifterna, samt radera dessa.

Samla in personuppgifterna och genomför ditt arbete

När samtycke har inhämtats kan insamlingen av personuppgifterna påbörjas. All insamling ska ske på ett säkert sätt och vid digitala intervjuer, enkäter eller liknande ska alltid högskolans godkända system, programvaror och molntjänster användas. Öppna eller privata system, programvaror eller molntjänster får inte användas.

Insamling av personuppgifter får inte ske så att personuppgifter lagras på privat dator, mobiltelefon, USB-minne eller andra privata enheter. Används privata mobiltelefoner ska inspelning av ljud och video ske via appar för antingen OneNote eller OneDrive så att lagringen sker direkt i molnet under högskolans kontroll.

Tänk på att skydda personuppgifterna under hela arbetets gång så att ingen obehörig får tillgång till dem.

Avsluta behandlingen och radera personuppgifterna

Efter arbetet är slutfört ska anmälan om att behandling har upphört skickas till högskolans registerförteckning.

Personuppgifter ska raderas från samtliga lagringsytor när uppgifterna inte längre är nödvändiga, men senast i samband med att arbetet har godkänts. Detta gäller inte slutprodukter som färdiga inlämningsuppgifter, uppsatser, examensarbeten och dylikt. Med radering menas här att personuppgifterna inte går att återskapa.

Mallar och dokument

Regler för studenters behandling av personuppgifter

Högskolans ansvar och studentens ansvar

Studenters behandling av personuppgifter

Personuppgifter

Känsliga personuppgifter

Ange ändamål och dokumentera behandlingen expand_more

Bestäm metod för insamling, behandling och lagring expand_more

Anmäl behandlingen till registret expand_more

Inhämta samtycke och informera om behandlingen expand_more

Samla in personuppgifterna och genomför ditt arbete expand_more

Avsluta behandlingen och radera personuppgifterna expand_more