Behandla personuppgifter i studentarbeten

Illustrerar stöld av identifikation från en dator.

BildIllustration: Ida Åberg

Regeln om personuppgiftsbehandling måste följas när du som student behandlar personuppgifter i dina studier, det omfattar situationer eller arbeten som exempelvis examensarbeten, PM, uppsatser och inlämningsuppgifter.
Läs regeln och handläggningsordningen för behandling av personuppgifter i studentarbeten. 

Behandla personuppgifter

I princip allt som görs digitalt med personuppgifter räknas som behandling av personuppgifter. Allt från att skriva in uppgifterna i datorn, bevara, skanna, fotografera, redigera, bearbeta, analysera, skriva ut, mejla, virusskanna, göra backup och radera.

Vad är en vanlig personuppgift?

Varje uppgift som direkt eller indirekt kan kopplas till en levande person är en personuppgift. Detta innebär att det inte bara är namn och personnummer som kan vara personuppgifter utan även användarnamn, Umu-id, e-post- eller IP-adresser, biometriska data, fysiologiska uppgifter och även exempelvis en röstinspelning. Enkätsvar där man vet vem som har svarat utgör personuppgifter.

Även kombinationer av uppgifter kan utgöra personuppgifter om det genom uppgifterna är möjligt att koppla dessa till en fysisk person. Även om exempelvis namn, personnummer eller adress inte registreras kommer övriga uppgifter som registreras att utgöra personuppgifter om man med ledning av de övriga uppgifterna kan identifiera en särskild person.

Vad är en känslig och integritetskänslig personuppgift? 

Enligt GDPR är känsliga personuppgifter sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv, genetiska eller biometriska uppgifter. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.

Även om en uppgift inte klassas som en känslig uppgift kan den ändå vara en integritetskänslig/särskilt skyddsvärd personuppgift. Det kan till exempel vara fråga om löneuppgifter, uppgifter om lagöverträdelser, uppgifter om resultat från personlighetstester eller personlighetsprofiler, information som rör någons privata sfär eller uppgifter om sociala förhållanden. Personnummer anses vara särskilt skyddsvärda personuppgifter.

Ska du skriva ett studentarbete där du behandlar personuppgifter?

Det första du behöver göra är att informationsklassa de personuppgifter du vill behandla. Är det vanliga personuppgifter eller är det känsliga och integritetskänsliga personuppgifter?

Om du ska behandla vanliga personuppgifter

• Använd de verktyg som universitetet anvisar, i detta fall Office 365. Din institution eller handledare kommer att lägga till dig i ett team eller en kanal i Teams som du och din handledare kommer ha tillgång till. All data ska samlas in, lagras och bearbetas på den skapade Teams-ytan.
• För att behandla personuppgifter krävs ett individuellt samtycke från personen vars uppgifter ska hanteras. 
  Mall för samtycke. (Svenska)
  Consent form. (Engelska)

Om du ska behandla känsliga och integritetskänsliga personuppgifter

Behandling av känsliga och integritetskänsliga personuppgifter är som huvudregel förbjuden enligt GDPR. I vissa fall kan det finns ett värde i att studenter ska kunna få behandla känsliga och integritetskänsliga uppgifter. Det rättsliga utrymmet är dock mycket begränsat. 

• För att få behandla denna typ av uppgifter måste det säkerställas att projektet har genomförts under etiskt godtagbara former.
• Fakulteten för din institution har möjlighet att bestämma hur lämplig personuppgiftsbehandling är för dina utbildningsmässiga behov.
• Endast godkända IT-miljöer ska användas vid hanteringen av personuppgifter. 

Samarbetsyta för studentarbete som innehåller känsliga personuppgifter

Läs mer om hur du skapar en samarbetsyta för ett studentarbete som innehåller känsliga personuppgifter.