Dataskyddshandbok för dig som handleder studentarbeten

Inledningsvis måste du och studenten bedöma i vilken utsträckning personuppgifter kommer att förekomma i arbetet. För att underlätta beskriver vi nedan tre centrala begrepp inom dataskyddslagstiftningen: behandling, personuppgift och känslig personuppgift.

1. Behandling

Behandling är ett begrepp som definieras i dataskyddsförordningen. Det fungerar som samlingsbegrepp för allt man gör med personuppgifter.

Så här definieras behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

En behandling är alltså i princip allt du kan göra med personuppgifter. Det är inte bara behandling i datorer som påverkas. Reglerna gäller även personuppgifter på papper.

2. Vad är en personuppgift?

Så här definieras personuppgift: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Begreppet personuppgift är alltså mycket brett. Det som avgör om något är en personuppgift är huruvida det går att knyta informationen till en enskild person. Det krävs inte ens att det är du som kan knyta informationen till en person. Så länge någon kan göra det är det en personuppgift.

Exempel på personuppgifter är adress, e-post och IP-adresser – inte förvånande. Men även registreringsnummer för bil, chipnummer för hundar och hästar, datummärkning eller loggnummer för ett vattenprov kan vara personuppgifter, om det går att komma fram till vem som tog provet vid den tidpunkten. Detta gör att även något som till en början inte verkar vara en personuppgift ofta är det.

Observera att detta inte bara gäller för uppgifter om till exempel deltagare i en studie eller liknande, utan även för uppgifter om de som utför arbetet.

Det är därför viktigt att "tänka utanför boxen" vad gäller om ni kommer att behandla personuppgifter. Om ni är osäkra, utgå från att det är personuppgifter och följ reglerna för dessa.

3. Behandlar jag känsliga personuppgifter?

Så här definieras känsliga personuppgifter: personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Huvudregeln är att sådana uppgifter inte får behandlas utan samtycke från den enskilda personen. Det gör att det är viktigt att ha koll på vilka sådana uppgifter som finns.

Om det visar sig att de enda personuppgifterna som kommer att finnas i arbetet är uppgifterna om studenten och dig som är handledare uppstår det i princip inga frågor vad gäller dataskydd. Ni vet vilka personuppgifter som behandlas, och eftersom det är ni tillsammans som utformar arbetet vet ni också hur de behandlas.

Om det däremot är så att studenten i sitt arbete behandlar personuppgifter i en större utsträckning än vad som nämns ovan är det relevant med en djupare genomgång. Anledningen är att ett studentarbete inte är en rent privat aktivitet – det är SLU som är ansvarigt för behandlingen.

Varje gång man behandlar personuppgifter behövs en rättslig grund för att göra det. När det gäller personuppgifter i ett studentarbete kan studenten med fördel använda sig av samtycke. Det innebär att i den mån arbetet behandlar personuppgifter om någon annan än studenten själv och dig som handledare måste denna person ge sitt tillstånd.

Varje behandling av personuppgifter måste ha ett ändamål som kräver att man behandlar personuppgifter. Hur ni beskriver detta varierar beroende på vilken typ av personuppgifter som studenten samlar in. Det är viktigt att ändamålet är specifikt och tydligt uttryckt.

Ett exempel på ändamålsbeskrivning: "Ändamålet med behandlingen av personuppgifter är att undersöka attityden till alternativa livsmedel, exempelvis insekter."

En insamling av personuppgifter kan ha flera ändamål. Förslagsvis beskriver ni syftet med arbetet. Utgångspunkten är att den vars information studenten samlar in ska kunna förstå hur informationen kommer att användas. Om det bara handlar om adressuppgifter till markägare kan det räcka med den informationen.

Studenten får då inte behandla personuppgifterna för ett annat ändamål som inte är förenligt med det första. Att använda personuppgifterna för vidare forskningsprojekt anses enligt lagen vara förenligt med det ursprungliga ändamålet.

De uppgifter studenten samlar in måste hålla vissa kvalitet för att få behandlas.

För det första måste uppgifterna vara relevanta för ändamålet. Om studenten undersöker attityden till insekter som mat är det till exempel inte relevant att samla in uppgifter om vad personerna har för favoritsport, eller om de har några kollegor/kursare som den inte tycker om. Man får heller inte samla in en för omfattande mängd uppgifter om en person. Uppgifterna måste också stämma överens med verkligheten, det vill säga vara korrekta.

Säkerhet i behandlingen

Om uppgifterna kan innebära en risk för den registrerades integritet ska de omfattas av lämpliga säkerhetsåtgärder. Framför allt innebär detta att uppgifterna inte ska spridas på ett sätt som gör att studenten vid behov inte kan få tillbaka dem. Ju större risker som följer med uppgifterna som studenten hanterar, desto säkrare ska de förvaras.

Omständigheter som gör att uppgifterna kan anses medföra risk är bland annat följande:

• Studenten behandlar en större mängd känsliga personuppgifter (se definitionen ovan).
• Studenten sammanställer och kopplar ihop olika uppsättningar data för att skapa ny information.
• Studenten överför personuppgifter till ett land utanför EU.
• Studenten kartlägger personer med hjälp av en stor mängd personuppgifter.

Om examensarbetet ska utföras på ett sätt som faller inom eller nära en eller flera av dessa omständigheter måste ni kontakta dataskydd@slu.se för en konsekvensbedömning.

Information till den registrerade

Den registrerade, alltså den person vars personuppgifter samlas in, måste även få information om att studenten behandlar dennas uppgifter.

För att se till att den registrerade får denna information bör studenten bara använda sig av uppgifter direkt från personer eller från offentligt tillgängliga databaser. När studenten samlar in uppgifter direkt från en person ska personen få viss information. Det finns en mall för information till den registrerade.

Det är viktigt att komma ihåg att personen måste få veta att uppgifterna kommer att lämnas ut till SLU vid ett senare tillfälle, för att publicera arbetet och för att SLU ska kunna sätta betyg på det.

Om studenten använder sig av en väldigt stor mängd personuppgifter, exempelvis från en databas, behöver studenten inte informera varje enskild person om detta eftersom det finns ett undantag från informationsplikten. Undantaget gäller bara i situationer där det vore omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats att informera varje person.

Den person vars uppgifter finns registrerade hos oss på SLU har vissa rättigheter gentemot SLU som personuppgiftsansvarig. Om den registrerade vänder sig till er med en begäran om att använda någon av sina rättigheter ska ni hänvisa dem till dataskydd@slu.se. 

Den registrerade har följande rättigheter:

• rätten till tillgång
• rätten till rättning
• rätten till radering
• rätten till dataportabilitet
• rätten till begränsning/blockering
• rätten att invända mot behandling.

Mer utförlig information om den registrerades rättigheter finns på medarbetarwebben.

Personuppgifter ska gallras så snart de inte längre behövs för att uppfylla det avsedda ändamålet. Huvudregeln för forskningsdata är dock att den inte ska gallras.

Om det finns gallringsföreskrifter som anger när personuppgifter ska gallras och arkiveras gäller dessa framför denna gallringsprincip.

Om lagstiftningen anger att behandlingen ska fortgå gäller även det framför denna princip.

Läs mer om informationshantering.