GDPR för dig som skriver uppsats

Innehållsförteckning

Den europeiska dataskyddsförordningen (General Data Protection Regulation, GDPR) tillsammans med kompletterande svenska lagar ställer många och omfattande krav på att allt arbete med personuppgifter utförs på ett öppet, korrekt och säkert sätt. Om du som student tänker behandla personuppgifter i ditt självständiga arbete/examensarbete/ uppsatsarbete (nedan ”uppsatsarbete”) finns det därför mycket att tänka på innan du kan börja.

Här i del 1 och 2 ges en genomgång av de sju steg som måste vara uppfyllda för att hanteringen av personuppgifter ska vara tillåten. I del 3 ges en bakgrund och förklaring av lagen. Del 4 tar upp avidentifieringstekniker som anonymisering och pseudonymiserng. Del 5 innehåller en checklista över informationen som måste lämnas till den som får sina personuppgifter behandlade av högskolan. En mall för informations- och samtyckeblankett samt ett gallringsprotokoll finns också som bilaga till detta dokument.

Kraven som ställs innebär kortfattat att du ska:

1. Definiera syftet med studien och ändamålet med behandlingen av personuppgifter.

2. Utvärdera om det är nödvändigt att behandla personuppgifter.

3. Säkerställ att inga känsliga personuppgifter kommer behandlas.

4. Följ säkerhetsrekommendationer och dokumentera hur informationen ska förvaras och hanteras.

5. Informera och hämta in ett informerat samtycke.

6. Säkerställ att den registrerade underskriver informations- och samtyckesblanketten.

7. Gallra eller bevara personuppgifter efter slutförd examination.

Stäm av med din handledare vad som är lämpligt för just ditt uppsatsarbete och tänk på att din handledare måste vara involverad och känna till varje steg av processen. För att uppfylla kraven i dataskyddsförordningen måste alla de olika stegen bedömas och utföras på korrekt sätt.

Sju övergripande principer

Utöver detta omgärdas varje behandling av personuppgifter av mer specifika krav som framgår från sju övergripande principer. Dessa principer är likvärda och bör tillämpas till

varje hantering av personuppgifter. Principerna finns i paragrafen 3.3. nedan. Läs genom dem noggrant. I beskrivning till varje steg anges dock de viktigaste principerna för just detta steg som du bör ta särskilt hänsyn till.

2. ”7 steg – 7 principer – 1 rättslig grund”

Steg 1: Definiera syftet med studien och ändamålet med behandlingen av personuppgifter

A. Syftet med din studie och eventuell GDPR tillämpning

När du skriver en uppsats, bygger du uppsatsen på både teoretiskt och praktiskt arbete. Det praktiska arbetet innebär insamling av data, som kan vara av många olika former, t.ex. genom att analysera statistisk eller vetenskaplig litteratur eller genom att intervjua fysiska personer. I samband med intervjuer tillkommer behandlingen av personuppgifter, exempelvis, namn, e-postadress, telefonnummer eller olika slags känsliga uppgifter.

Den första frågan du måste fundera på är om du kommer i kontakt med personuppgifter och behandlingen. Här anges några definitioner från GDPR som skulle hjälpa dig att bestämma vad en personuppgift är och vad personuppgiftbehandlingen innebär. Om din studie omfattar empirisk forskning, är det mycket sannolikt att du kommer att behandla personuppgifter.

Du som använder sekundära resurser i din skrivprocess kommer förmodligen inte i kontakt med personuppgifter i meningen av GDPR (referenser/källor av sekundära resurser, t ex böcker, artiklar, osv, som du grundar din uppsats på räknas inte som personuppgifter i GDPR; dessa skyddas av upphovsrätt).

B. Personuppgifter som skyddas av GDPR

Det du behöver fundera på är om det verkligen är nödvändigt att behandla personuppgifter för att genomföra din uppsats. Om du inte behandlar personuppgifter så gäller inte dataskyddsförordningen, vilket förenklar ditt arbete.

Observera att det finns en särskild rutin för att behandla känsliga uppgifter och att det inte tillåtet att behandla integritetskänsliga personuppgifter als. Både kategorier anges nedan.

Personuppgifter

Som personuppgifter räknas all information som utifrån sammanhanget direkt eller indirekt kan kopplas till en levande person. Om det tex bara finns en person

som bor i postnummerområde 123 45 som är född 1 jan 2000 är den informationen tillsammans indirekta personuppgifter om den individen.

Även när du genomför en ”anonym” enkät behandlar du oftast personuppgifter utifrån GDPR:s definition. Data är endast anonym i den mån det är helt omöjligt för dig eller någon utomstående att koppla ihop ett informationen med en individ. Det räcker med att ditt enkätverktyg någonstans loggar IP-adressen eller sparar någon indirekt information om personen som besvarat enkäten (oavsett om du som skapat enkäten själv kan se den informationen), för att personuppgiftsreglerna ska gälla i situationen.

Dessutom innebär användandet av fritextsvar alltid att det finns en risk för att den som besvarar enkäten skriver in direkta eller indirekta personuppgifter om sig själv eller andra. Du bör utgå från att de flesta enkätundersökningar innebär att det samlas in personuppgifter i någon form, åtminstone under insamlingsfasen.

Tips: Södertörns högskola abonnerar på Survey & Report som är ett digitalt verktyg för att skapa enkäter. Där kan du skapa en öppen enkät med en offentlig länk som du kan dela ut till öppen eller till riktat till målgrupperna för din undersökning. När du använder den funktionen samlas färre personuppgifter in.

Nedan listas vanliga kategorier av personuppgifter som du kan behandla:

• kontaktuppgifter (namn, adress, telefon, e-post, osv)

• uppgifter för identifikation (IP-adress, inloggning, kundnummer, osv)

• andra uppgifter som avslöjar information om och identifierar enskilda personer.

Känsliga personuppgifter är särskilt skyddsvärda och får behandlas med godkännande från Dataskyddsombudet på högskolan.

Vissa personuppgifter till sin natur särskilt känsliga och har därför ett starkare skydd. Dataförordningen föreskriver en lista vilka personuppgifter är känsliga:

• ras eller etniskt ursprung

• politiska åsikter

• religiös eller filosofisk övertygelse

• medlemskap i fackförening

• genetiska uppgifter

• biometriska uppgifter

• uppgifter om hälsa

• uppgifter om en fysisk persons sexualliv eller sexuella läggning

Integritetskänsliga personuppgifter är ännu mer skyddsvärda och du som student får inte behandlas dessa als.

• löneuppgifter

• uppgifter om lagöverträdelser

• värderande uppgifter, till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler

• information som rör någons privata sfär

• uppgifter om sociala förhållanden.

Behandlingen av personuppgifter innebär en av de följande aktiviteter:

• insamling

• registrering

• organisering

• strukturering

• lagring

• bearbetning eller ändring

• framtagning

• läsning

• användning

• utlämning genom överföring

• spridning

• tillhandahållande på annat sätt

• justering eller sammanförande

• begränsning

• radering

• förstöring

C. Ändamål med behandlingen

Om du kommit fram till att du behöver samla in personuppgifter för att kunna genomföra din studie ska du börja formulera syftet med personuppgiftsbehandlingen. Detta är ett krav enligt EU:s personuppgiftslagstiftning.

Ändamålet med databehandlingen är att du ska samla in de uppgifter som behövs för att kunna utföra din undersökning. Din ändamålsbeskrivning behöver dock vara anpassad till vad du ska undersöka och varför. OBS Ditt ändamål för behandlingen av personuppgifter kan skilja sig lite från ändamålet för din studie.

T ex Du har bestämt att intervjua 10 personer för din studie om deras åsikter beträffande lokala tidningens innehåll. Personuppgifter här kan förmodligen bli namn, e-postadress, telefon, dvs kontaktuppgifter du behöver för att arrangera en intervju med varje person. Personens åsikter (om de inte tillhör en av känsliga personuppgifter), intervjuplats är inga personuppgifter som skyddas av GDPR.

Alltså formulerar du ditt ändamål och behandlingen på sådant sätt ”Jag behöver behandla följande personuppgifter [här anger du kategorier av personuppgifter som ovan] för att arrangera en intervju för min studie [beskriv ditt arbete och syfte med intervju] och bevisa mina slutsatser i mitt examenarbete.”

Du kommer troligen inte använda personuppgifter i själva arbete, dvs du kommer inte skriva om personuppgifter, utan personuppgifter används för att utföra din studie. Det här är bara ett exempel som kan skilja sig från fall till fall.

Det är viktigt att du tänker igenom och formulerar syftet/ändamålet på tydligt sätt och att du har klart för dig vilken information som behövs för att genomföra din undersökning. Det exemplet ovan är ingen mall, utan syftet med det är att visa hur personuppgifter kopplas till ditt studieändamål.

Det är inte tillåtet att samla in mer personuppgifter än vad som är nödvändigt för att uppnå syftet som du definierat. När du väl samlat in personuppgifter får du heller inte använda dessa till något annat syfte än vad du sa när du samlade in dem.

Viktiga grundläggande principer: Princip 1 (laglighet, korrekthet och öppenhet) och Princip 2 (ändamålsbegränsning)

Steg 2: Utvärdera om det är nödvändigt att behandla personuppgifter

Begreppet om nödvändighet förekommer som den röda tråden genom olika delar av dataskyddsförordningen. Det är en fråga som man ständigt måste ställa sig under hela processen av uppsatsskrivande.

I synlighet vid detta steg kan du fundera på två saker:

A. Minimering av personuppgifter, dvs du får inte begära hur många personuppgifter som helst, endast dem du verkligen behöver för ditt ändamål. Du får inte senare behandla dessa personuppgifter på ett sätt som är oförenligt med angivna ändamål. Du skulle också bestämma och begränsa kretsen av personer som behöver ha tillgång till dessa personuppgifter.

B. Lagringminimering, dvs du får inte spara personuppgifter på hur många enheter som helst och hur länger som helst. I princip, måste personuppgifter raderas så fort du inte behöver dem och förvaras endast på högskolans enheter.

Viktiga grundläggande principer: Princip 2 (ändamålsbegränsning), Princip 3 (uppgiftsminimering) och Princip 5 (lagringsminimering)

Steg 3: Säkerställ att inga känsliga personuppgifter kommer behandlas

Utgångspunkten i GDPR är att det är förbjudet att behandla känsliga personuppgifter och integritetskänsliga personuppgifter. Det rättsliga utrymmet för att behandla känsliga personuppgifter i uppsatsarbeten är begränsat.

Södertörns högskolas ambition är att kunna tillåta studenter att stödja sig på detta begränsade rättsliga utrymme för att hantera känsliga personuppgifter när det är motiverat. Det kommer att krävas ett tydligt syfte och goda skäl till att tillåta behandling av känsliga personuppgifter. För närvarande tillåts studenter inte behandla känsliga personuppgifter eftersom viktiga juridiska och tekniska frågor relaterat till detta fortfarande håller på att utredas. Dataskyddsombudet kan dock göra ett undantag i enskilda fall.

Steg 4: Följ säkerhetsrekommendationer och dokumentera hur informationen ska förvaras och hanteras

GDPR:s bestämmelser om säkerhet är tvingande och den som får sina personuppgifter behandlade kan inte samtycka till lägre säkerhet. Därmed är det studentens och högskolans ansvar att säkerställa att insamlade personuppgifter hanteras på ett säkert sätt. Säkerhetsnivån bestäms utifrån hur skyddsvärda personuppgifterna är. Som tumregel bevara personuppgifter i programvaror som tillhör högskolan.

Södertörns högskola erbjuder några verktyg som kan användas. Studenten har tillgång till Office 365 som inkluderar en mailbrevlåda och lagringsutrymme på Onedrive. Dessutom kan studenten efter ansökan från institutionen få tillgång till Sunet Survey som är ett enkätverktyg. Observera att studenter inte får behandla känsliga personuppgifter i Office 365 eller Sunet Survey.

Juridiskt krävs att högskolan ingår avtal med varje leverantör av molntjänst eller programvara som ska användas för högskolans personuppgiftsbehandlingar. Avtalet har ett visst formkrav och måste innehålla vissa garantier. Därför är det inte tillåtet att använda externa molntjänster (tex Icloud, Google docs, Dropbox m.m.) som inte tillhandahålls av Södertörns högskola. Personliga konton för tjänster som högskolan abonnerar på tex Onedrive får inte heller användas, det måste alltid gå via högskolans avtal.

Vidare behöver du tänka på att det inte är lämpligt att lagra personuppgifter på okrypterade USB-minnen eller surfplattor och smarta telefoner eftersom dessa kan ha bristande säkerhet och ofta är synkroniserade mot icke tillåtna molntjänster. Se mer tips i del 4 och Bilaga 4.

Viktiga grundläggande principer: Princip 6 (integritet och konfidentialitet).

Xxxx 0: Informera och hämta in ett informerat samtycke

Dataskyddsförordningen ställer krav på att den som får sina personuppgifter behandlade av högskolan ska ha fått tillräcklig information och föreskriver vilken information den registrerade måste får. Du bör använda informations- och samtyckesblanketten med utgångspunkter som hjälper dig att navigera och formulera din efterlevnad av GDPR. OBS: Du får inte hoppa över paragrafer i blanketten, alla är likaviktiga.

Personuppgifter får bara behandlas om det finns en så kallad rättslig grund. I fallet med studentarbeten är det i princip bara individuellt samtycke från varje enskild person som är den rättsliga grunden som kan komma i fråga.

För att ett samtycke ska vara giltigt enligt GDPR måste det vara frivilligt, specifikt, informerat, ovillkorligt, dvs den som ska delta i studien måste ha sagt ja efter att ha fått tillräckligt med information. Det ska vara en otvetydig viljeyttring från personen som är ojämlik mot dig (han eller hon kommer inte utsättas för negativa konsekvenser om han eller hon tackar nej till att vara med i studien). Om personen inte kan göra ett informerat val om att delta i studien blir samtycket ogiltigt.

Det är därför viktigt att din informations- och samtyckesblanketten innehåller tillräckligt med information och korrekt återspeglar vad du ska göra med personuppgifterna. När du väl samlat in personuppgifterna får du heller inte använda dem till något annat utan att inhämta ett nytt uppdaterat samtycke. Det ska vara lika lätt för deltagarna i studien att återkalla sitt samtycke som att ge det. Studentens och handledarens kontaktuppgifter måste alltid finnas med i informations- och samtyckesblanketten.

Den som deltar i studien har rätt att få information om syftet med studien, vilka personuppgifter du vill samla in, vad personuppgifterna ska användas till och hur länge personuppgifterna kommer sparas innan de raderas och ytterligare några saker. Södertörns högskola har tagit fram en mall för informations- och samtyckesblanketten.

Förifyllda kryssrutor är inte tillåtna. Det är inte tillåtet att göra för bredda samtyckesbeskrivningar hellre.

Viktiga grundläggande principer: Princip 1 (laglighet, korrekthet och öppenhet), Princip 3 (uppgiftsminimering) och Princip 4 (korrekthet).

Steg 6: Säkerställ att den registrerade underskriver informations- och samtyckesblanketten.

Om allt gjorts korrekt i de tidigare stegen är detta steg som är formellt viktigt inte särskilt arbetsamt.

Det är viktigt att du håller reda på alla insamlade samtycken under hela processen. Det är den som samlar in personuppgifterna som har bevisbördan för att visa på att det finns ett dokumenterat och giltigt samtycke.

Viktiga grundläggande principer: Princip 1 (laglighet, korrekthet och öppenhet) och Princip 7 (ansvarsskyldighet).

Steg 7: Gallra eller bevara personuppgifter efter slutförd examination

När uppsatsen är färdig och du har examinerats på kursmomentet återstår det sista momentet. Personuppgiftsmaterialet ska gallras eller bevaras. Vid det steget måste du bestämma vilka delar av informationen som ska gallras respektive bevaras efter ditt examenarbete är godkänt.

Personuppgifter får inte bevaras längre än nödvändigt och ska tas bort när de inte längre behövs. Det kan dock finnas vissa situationer där personuppgifterna kan behöva sparas en viss tid. Exempelvis om uppgifterna behövs för att kunna styrka slutsatserna i uppsatsen eller om de är nödvändiga för framtida databehandlingar (tex för att resultatet ska publiceras i en vetenskaplig artikel) eller det finns ett kulturhistoriskt värde.

Innan arbetet med att samla in personuppgifterna påbörjas är det viktigt att bestämma vad som kommer hända med personuppgifterna. Finns det vissa uppgifter som behöver lämnas in till högskolan för bevarande en viss tid? Övriga personuppgifter ska makuleras av studenten så fort uppsatsen betygsatts. Studenten ska lämna en försäkran till examinator om att personuppgifterna gallrats innan betyget rapporteras till Ladok.

OBS Här måste du bestämma tillsammans med din handledare om personuppgifter kommer att raderas eller arkiveras.

Viktiga grundläggande principer: Princip 1 (laglighet, korrekthet och öppenhet)

, Princip 5 (lagringsminimering) och Princip 7 (ansvarsskyldighet).

Steg 7A: Gallra personuppgiftsmaterialet

När du har utfört gallringen av personuppgiftsmaterialet ska du lämna en försäkran om detta till examinator i form av Gallringprotokoll vilket ni underskriver tillsammans och bifogar till själva uppsatsen (Bilaga 3). Därefter rapporteras betyget till Ladok. Xxx handledare kommer att lämna uppsatsen med gallringprotokollet över till arkivet för bevaring.

Steg 7B: Bevara personuppgiftsmaterialet

Om din handledare bestämmer att personuppgifter som du samplat in innehåller ett kulturhistoriskt värde för framtida generationer som bör bevaras, måste du överlämna allt insamlade personuppgiftsmaterialet (t ex informations- och

samtyckesblanketter, ljudfiler, transkriptioner, namnlistor, osv) till din handledare som kommer i sin tur att lämna dem över till högskolans arkiv.

3. Introduktion till dataskyddsförordningen

Alla människor har rätt till en fredad zon, ett privatliv, vilket garanteras av konventioner om mänskliga rättigheter och står inskrivet i grundlagen. EU:s dataskyddsförordning, GDPR1 som är en EU-lag innehåller de praktiska reglerna som ska garantera individen ett effektivt skydd för sitt privatliv och rätten till sin egen identitet i dagens digitala uppkopplade samhälle.

EU:s dataskyddsförordning ställer höga krav på att all hantering av individers personuppgifter sker öppet, säkert och korrekt. Södertörns högskola får bara samla in och behandla en individs personuppgifter när det finns en legitim anledning eller när personen av en egen fri vilja tex vill medverka i en studie.

När du som student skriver uppsats som en del av din utbildning är Södertörns högskola juridiskt ansvarig för de personuppgifter som du eventuellt behandlar. Dataskyddsförordningen likställer uppsatsskrivande studenter med högskolans anställda. Studenter och personal får som representanter för Södertörns högskola endast behandla personuppgifter i enlighet med lagen och högskolans instruktioner.

Syftet med detta dokument är att ge en kärnfull genomgång om vad du måste beakta för att din personuppgiftshantering ska vara laglig. Det är viktigt att du kommunicerar hur du behandlar personuppgifter med din handledare. Vid frågor eller funderingar kan även högskolans dataskyddsombud kontaktas.

Det lönar sig att göra ett bra grundarbete från början. En tumregel är att insamlade personuppgifter endast får användas för de syften som de samlades in för. Vidare har den som får sina personuppgifter behandlade av högskolan ofta rätt att bli informerad om behandlingen och kan kräva att högskolan vidtar vissa åtgärder. Alla insamlingar av personuppgifter ska också registreras i ett centralt register som förvaltas av högskolans dataskyddsombud. Dessutom kräver lagen att insamlade personuppgifter behandlas och förvaras på ett tryggt sätt.

1 GDPR är en förkortning för General Data Protection Regulation, den engelska benämningen på EU:s dataskyddsförordning.

3.1. Några viktiga begrepp

Personuppgift - Personuppgifter är all slags information som kan knytas till en levande person. Det kan röra sig om namn, epost, adress och personnummer, foton där ansiktet syns, ljudinspelningar där det inte nämns några namn men det går att identifiera talaren. Det avgörs av om det utifrån sammanhanget är möjligt att identifiera en person med hjälp av direkta eller indirekta uppgifter.

Den registrerade – En levande person som får sina personuppgifter behandlade av Södertörns högskola. I detta sammanhang en individ som svarar på en enkät, blir intervjuad eller på annat medverkar i din studie. Hela lagstiftningen bygger på att den registrerade har rättigheter som Södertörns högskola måste tillgodose.

Behandling av personuppgifter – I princip allt som görs digitalt med personuppgifter från att skriva in dem i datorn, scanna, fotografera, redigera, bearbeta, analysera, skriva ut, mejla virusscanna, göra backup, radera osv. räknas som behandling av personuppgifter. Syftet är att det ska vara en heltäckande definition av allt som någon kan tänkas göra med insamlade personuppgifter. Personuppgiftsreglerna ska ge ett effektivt skydd. Ibland räknas även manuella (handskrivna) anteckningar om de är tillräckligt strukturerade. Ljudinspelningar som är digitala räknas alltid in, men inte om det sker på en analog bandspelare utan att föras över till ett digitalt medium.

Personuppgiftsansvarig – Är den som enligt dataskyddsförordningen bestämmer ändamålen och medlen för behandlingen av personuppgifter, tex Södertörns högskola.

3.2. Vem är ansvarig för studentens behandling av personuppgifter?

Södertörns högskola är personuppgiftsansvarig när studenten behandlar personuppgifter som en del av sin utbildning. Högskolan ansvarar formellt för att studentens personuppgiftsbehandlingar är lagliga och att individens rättigheter respekteras. Studenten uppträder som representant för högskolan. Studenten ansvarar för att endast behandla personuppgifter enligt högskolans instruktioner, samarbeta med högskolans personal och ska på begäran lämna över insamlat material till högskolans personal.

Om studenten gör praktik är praktikplatsen normalt personuppgiftsansvarig för de databehandlingar som studenten utför på praktikplatsens uppdrag.

3.3. Grundläggande principer för behandlingen av personuppgifter

Varje behandling av personuppgifter måste uppfylla de sju grundläggande principerna som anges i dataskyddsförordningen (artikel 5 GDPR). Dessa principer utgör kärnan i förordningen och gäller för all personuppgiftsbehandling, och det är viktigt att du förstår och tillämpar dem.

Princip 1 Laglighet, korrekthet och öppenhet

Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den vars personuppgifter vi behandlar, dvs. den registrerade.

Informationsplikten och rättslig grund (samtycke för uppsatsskrivande) ligger nära till denna princip. Det ska vara klart och tydligt för de registrerade hur ni behandlar deras personuppgifter. De ska alltså veta att ni samlar in personuppgifter, varför ni samlar in dem och hur ni sedan använder dem. De registrerade ska också veta vad de har för rättigheter, till exempel hur de kan begära registerutdrag, hur de kan få fel rättade och hur de kan få personuppgifter raderade.

De registrerade måste därför få information om allt detta. Informationen ska vara lätt att hitta och den ska vara formulerad på ett sätt som är enkelt och begripligt.

Princip 2 Ändamålsbegränsning

Uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

Ändamålen måste vara specifika och konkreta, inte luddiga eller otydliga. Ni måste dokumentera vilka ändamål ni har med personuppgiftsbehandlingen. Det behöver ni för att kunna visa att ni uppfyller principen om ansvarsskyldighet.

De registrerade har rätt att känna till varför ni behandlar deras personuppgifter, vilka ändamålen är. Informera de registrerade när ni samlar in uppgifterna, och även om en registrerad person begär det.

Om ni däremot vill använda personuppgifterna på ett sätt som inte är förenligt med de ursprungliga ändamålen, är det fråga om en helt ny personuppgiftsbehandling. Ni måste då börja om från början och finna en rättslig grund för personuppgiftsbehandlingen, stämma av så att den sker i enlighet med de grundläggande principerna och så vidare.

Princip 3 Uppgiftsminimering

Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

Ni ska aldrig behandla fler personuppgifter än vad som behövs, och de personuppgifter som behandlas ska vara tydligt kopplade till ändamålet. Det är med andra ord inte tillåtet att samla in personuppgifter för obestämda framtida behov, för att de kan vara "bra att ha".

Princip 4 Korrekthet

Uppgifterna ska vara korrekta och om nödvändigt uppdaterade.

Om personuppgifterna inte stämmer ska ni rätta eller radera dem.

Princip 5 Lagringsminimering

Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

I vissa fall måste ni spara handlingar med personuppgifter även efter att ni slutat använda dem. Lagra då handlingarna på ett sådant sätt att de inte längre är tillgängliga i den dagliga verksamheten (så kallad avskiljning). Det kan ni göra genom att separera handlingarna från till exempel ett ärendehanteringssystem eller genom att införa tekniska begränsningar av åtkomst och behörighet till samma system.

Det kan också vara tillåtet att lagra personuppgifter, efter att det ursprungliga ändamålet slutar att vara aktuellt, om det endast sker för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Princip 6 Integritet och konfidentialitet

Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna.

Ni måste skydda alla personuppgifter som ni behandlar, så att ingen obehörig kommer åt dem och så att de inte används på ett otillåtet sätt.

Ni måste därför införa lämpliga tekniska och organisatoriska säkerhetsåtgärder. Till tekniska åtgärder som ni måste säkerställa räknas till exempel brandväggar, kryptering, pseudonymisering, säkerhetskopiering och anti-virus-skydd. Organisatoriska åtgärder ligger i högskolans ansvar och handlar till exempel om interna rutiner, instruktioner och riktlinjer.

Princip 7 Ansvarsskyldighet

Vi skulle kunna bevisa att ovannämnda principer efterlevs.

Detta är grundprinciperna för all behandling av personuppgifter och alla aktiviteter ska ses mot bakgrund av ovanstående punkter. Mer information finns på Datainspektionens hemsida.

3.4. Studenters personuppgiftsbehandlingar kräver samtycke

Alla databehandlingar måste stödja sig på något som kallas för en rättslig grund. Det finns sex rättsliga grunder. Södertörns högskola anser att det i normalfallet endast är en av dessa som uppsatsskrivande studenter kan stödja sig på, individuellt samtycke från varje person som medverkar i studien. För specialfall där det inte är möjligt att inhämta samtycke för att studenten tex vill analysera vad jätte många personer skrivit på Twitter ska handledaren kontakta dataskyddsombudet i god tid för vägledning.

Utgångspunkten i dataskyddsförordningen kan sägas vara att varje person äger sina egna personuppgifter. De registrerade som ska delta i en studie måste därför själva få möjlighet att ta ställning till om personuppgifter som avser honom eller henne ska få behandlas. För att detta ska vara möjligt måste varje potentiell deltagare först få information om vad personuppgiftsbehandlingen innebär, och därefter ges möjlighet att ta ställning till om han eller hon samtycker till behandlingen. Det är alltså en förutsättning att deltagaren kunnat göra ett informerat val om att medverka eller inte för att ett samtycke ska anses vara giltigt. Vidare har deltagare rätt att när som helst återkalla sitt samtycke.

Mer information om samtycke finns på Datainspektionens hemsida. Längre ned finns också en checklista över den information som måste lämnas när personuppgifter samlas in.

3.5. Känsliga personuppgifter

Vissa typer av personuppgifter är till sin natur särskilt känsliga. Behandling av sådana personuppgifter omfattas av restriktioner och krav på högre säkerhet. Med känsliga personuppgifter menas uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Även personuppgifter som t.ex. modersmål eller hemspråk kan vara känsliga personuppgifter då dessa i vissa fall indirekt kan härledas till etniskt ursprung.

Huvudregeln säger att det är förbjudet att behandla känsliga personuppgifter, men detta kan vara tillåtet i vissa situationer och är komplicerat. Det finns exempel på lärosäten som inte tillåter studenter att behandla känsliga personuppgifter om det inte sker inom ramen för ett forskningsprojekt. Södertörns högskola ser dock att det kan finnas ett värde i att studenter på grund- och avancerad nivå i vissa fall tillåts att tex göra enkätundersökningar eller intervjuer med personer som har en normbrytande funktionalitet, HBTQ-personer, en viss politisk åsikt eller religiös övertygelse osv. Tyvärr måste tekniska och juridiska frågor som håller på att utredas lösas innan studenter kan tillåtas behandla känsliga personuppgifter. Därför kan studenter i dagsläget inte tillåtas behandla sådana uppgifter. Dataskyddsombudet kan dock göra ett undantag i enskilda fall.

4. Avidentifiering av personuppgifter

4.1. Pseudonymisering

Ett typiskt exempel på psedonymisering är när du avlägsnar all information som kan kopplas till en individ från dina insamlade uppgifter och ger den en pseduonym som du förvarar separat. Du kan exempelvis göra om personens namn eller e-postadress till en unik kod som respondent 11. Listan över koder och individens identitet ska förvaras separat från den insamlade datan. När du gör detta krävs även att du förvarar listan med en tillfredställande säkerhet, oavsett om det handlar om att skydda den digitalt eller om det är en fysisk lista som förvaras i ett kassaskåp.

Pseudonymisering innebär ur ett rättsligt perspektiv fortfarande att du behandlar personuppgifter. Det ska ses som en skyddsåtgärd som minskar möjligheten att koppla samman ett visst svar med individen som gav det. Pseudonymiersing innebär i juridisk mening fortfarande att du behandlar personuppgifter och att din behandling måste följa personuppgiftslagstiftningen.

4.2. Om anonymisering av personuppgifter

Inledningsvis kan konstateras att anonymisering är en mycket komplex och svårbedömd åtgärd som sällan lämpar sig för ett studentarbete. Som uppsatsskrivande student uppmanas du att samla in de personuppgifter som behövs för att utföra arbetet, hantera dessa i enlighet med högskolans regler och instruktioner och sedan förstöra personuppgifterna. I de fall

personuppgifter inte anses vara anonymiserade är de istället pseduonymiserade2, vilket är ett mer realistiskt alternativ i vissa fall. Pseudonymisering har beskrivits i det föregående avsnittet. För att ge dig en helhetsbild kommer nedan en beskrivning av vad anonymisering är för något ur dataskyddsförordningens perspektiv.

Anonymisering är en process som gör att insamlade personuppgifter oåterkalleligt görs avidentifierade. När processen är klar ska det inte vara möjligt för dig som genomför enkätundersökningen eller för någon utomstående att bakvägen kunna återidentifiera individer genom att samköra ditt dataset med andra data3. Bedömningen ska ske utifrån alla rimliga hjälpmedel som det är tänkbart och rimligt att någon kan komma att använda för att återidentifiera individer. Bedömningen ska göras med hänsyn till vad som är tekniskt möjligt4. Detta kräver kunskaper i såväl dataskyddslagstifting samt att man är uppdaterad på den senaste forskningen rörande styrkorna och svagheterna i olika avdentifieringstekniker. Om man kan uppnå full anonymisering gäller inte längre personuppgiftsreglerna för den informationen man har vilket ger större frihet att göra vad man vill med informationen.

I praktiken är det mycket svårt att säkerställa att datan är anonymiserad och att den inte kan samköras med annan data för att få fram personuppgifter. Detta kan illusteras med exemplet Netflix som år 2006 offentliggjorde tio miljoner filmrankningar från 500 000 kunder och anonymiserade deras identitet genom att ersätta kundens namn med ett slumpmässigt nummer. Två forskare analyserade en delmängd av denna data och jämförde kundernas rankningar och tidsstämplar med offentlig information från en tjänst kallad Internet Movie Database, IMDb. Forskarna lyckades genom sin analys återidentifiera individerna som röstat och kunde även fastslå deras sexuella läggning och politiska uppfattning.5

Den som vill fördjupa sig i ämnet uppmanas att läsa ett yttrande från EU om avidentifieringstekniker. Den kan laddas ned från denna adress: xxxxx://xx.xxxxxx.xx/xxxxxxx/xxxxxxx-00/xxxxxxxxxxxxx/xxxxxxx- recommendation/files/2014/wp216_sv.pdf . Avsändaren är Artikel 29-gruppen i EU. Detta var en rådgivande arbetsgrupp på EU-nivå som bestod av alla EU-ländernas datainspektioner. Sedan den 25 maj 2018 har denna grupp fått kraftigt utökade befogenheter och bytt namn till Europeiska dataskyddsstyrelsen. I yttrandet diskuteras såväl de rättsliga förutsättningarna

2 Xxxxxxxxxx, Xxxxx, GDPR: juridik, organisation och säkerhet enligt dataskyddsförordningen, Upplaga 1, Stockholm, 2018 sid 281-282

3 Xxxxxxxxxx, Xxxxx, GDPR: juridik, organisation och säkerhet enligt dataskyddsförordningen, Upplaga 1, Stockholm, 2018 sid 282

4 xxxxx://xx.xxxxxx.xx/xxxxxxx/xxxxxxx-00/xxxxxxxxxxxxx/xxxxxxx-

recommendation/files/2014/wp216_sv.pdf sid 6-7

5 Xxxxxxxxxx, Xxxxx, GDPR: juridik, organisation och säkerhet enligt dataskyddsförordningen, Upplaga 1, Stockholm, 2018 sid 281-282

kring avidentifiering och anonymisering som fördelarna och nackdelarna med olika avidentifieringstekniker.

5. Checklista över information som ska lämnas

Enligt GDPR:s artikel 13 ska följande information finnas med när personuppgifterna inhämtas direkt från en individ, tex när den svarar på en enkät eller blir intervjuad. Södertörns högskola har tagit fram en mall för en informations- och samtyckesblankett (Bilaga 2). Den här informationen ska alltid anges till personson när personuppgifter hanteras inom ramen för självständiga arbeten/uppsatsarbeten som genomförs vid Södertörns högskola.

Informations- och samtyckesblanketten syftar till att fullgöra högskolans informationsskyldighet. Blanketten används också för att inhämta deltagarens godkännande av att få sina personuppgifter behandlade. Kom ihåg att du måste förvara informations- och samtyckesblanketten så att den inte tappas bort eftersom du måste kunna visa på att ett giltigt samtycke inhämtats.

Nedan kommer en checklista för att du ska kunna säkerställa att nödvändig information finns med om du inte använder högskolans mall. Om informationen lämnas i en intervjusituation så skriv ut informationen och ge personen denna informationen både muntligen och skriftligen. Du behöver också dokumentera individens samtycke till att medverka. Samtycket kan antingen vara skriftligt eller muntligt så länge det är inspelat.

Individen ska få följande information:

✓ Att högskolan är personuppgiftsansvarig tillsammans med nödvändig kontaktinformation:

Det är ett lagkrav på att det ska framgå att Södertörns högskola är personuppgiftsansvarig och högskolans officiella kontaktinformation ska framgå vilket är xxxxxxxxxxx@xx.xx samt växelns telefonnummer 00-000 00 00 tillsammans med postadressen

Södertörns högskola Xxxxxx Xxxxxx Allé 7 141 89 Huddinge

✓ Kontaktuppgifter till studenten och handledare: Denna information krävs inte enligt lagen men krävs enligt Södertörns högskolas riktlinjer. Deltagare i studien ska i första hand uppmuntras att kontakta studenten och handledaren.

✓ Kontaktuppgifter till högskolans dataskyddsombud: Alla som får sina personuppgifter behandlade av högskolan har rätt att veta att de alltid kan kontakta

dataskyddsombudet om de har frågor eller klagomål. Dataskyddsombudet nås via eposten xxxxxxxxx@xx.xx

✓ Rättslig grund: Individen ska informeras om att personuppgifterna samlas in med stöd av den rättsliga grunden, dvs samtycke. Det kan dock uttryckas på enklare svenska tex ”personuppgifterna samlas in och behandlas med ditt godkännande/samtycke”

✓ Mottagare av personuppgifterna: Om personuppgifterna ska lämnas till någon utanför högskolan ska det anges vilka externa parter personuppgifterna kan komma att lämnas ut till.

✓ Överföring av personuppgifter till land utanför EU/EES: Individen har rätt till att veta om personuppgifter överförs utanför EU. Man måste bara informera om detta när det förekommer. Så länge personuppgifter sparas på molntjänsterna Onedrive (via högskolans avtal) och Sunet Survey så förekommer inte detta. Observera dock att Microsoft överför personuppgifter till USA när man använder sitt personliga Onedrivekonto, vilket inte är tillåtet.

✓ Lagringstid: Individen har rätt att veta hur länge personuppgifterna kommer sparas. Om lagringstiden behöver förlängas i efterhand ska de berörda informeras om detta.

✓ Rättigheter: Individen ska informeras om sina rättigheter som tex innebär att den har rätt att begära få felaktiga uppgifter rättade, rätt att få kopia på sina personuppgifter, rätt att få sina personuppgifter raderade osv.

✓ Rätten att dra tillbaka sitt samtycke: Individen har rätt att få tydlig information om att den alltid har rätt att dra tillbaka sitt samtycke.

✓ Rätt att klaga till Datainspektionen: Individen ska informeras om att den alltid har rätt att lämna klagomål till Datainspektionen med en länk till deras hemsida: xxxxx://xxx.xxxxxxxxxxxxxxxx.xx och deras epost: xxxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxx.xx Om personuppgifter som redan samlats in ska användas för ett nytt ändamål har den enskilde rätt till information om det och samtycket måste uppdateras. Vid tveksamhet rekommenderas att ni kontaktar dataskyddsombudet så att det blir rätt.

Mallen för informations- och samtyckedblanketten är anpassade utifrån situationer där informationen hämtas direkt från personen. När personuppgifter inte hämtas direkt från personen själv tillkommer två informationspunkter som måste läggas till utöver kraven ovan

• Källan som ni hämtat personuppgifterna ifrån: Tex vilken hemsida, blogg, offentligt register osv.

• Vilken slags personuppgifter ni hämtat från källan: Tex namn, personnummer, epost, omdömen om personen, osv.

Bilaga 1: Processflöde

”7 STEG – 7 PRINCIPER – 1 RÄTTSLIG GRUND”

Ändamål?

Nödvändig?

Känsliga uppgifter?

Säkerhet?

Informera?

Inhämta samtycke?

Du får behandla PU

Använd Informations- och samtyckesblankett

Kontakta DSO

Varje person?

Xxxx 0

Registerförteckning

		Xxxx 0
Gallra eller Bevara?
Steg 7 A	Steg 7 B
Radera och redovisa till din handledare Bifoga Gallringsprotokoll till uppsatsen	Överlämna all PU- material till din handledare: • Samtyckesblanketter • Ljudfiler • Transkriptioner • Namnlistor

Bilaga 2: Mall för informations- och samtyckesblankett

Till studenter och handledare – den här blanketten ska alltid utföras i pappersformat i två kopior (en för personen, en för högskolan) och undertecknas personligen av den person vars personuppgifter ni hanterar inom ramen för självständiga arbeten/uppsatsarbeten vid Södertörns högskola.

Samtycke till behandling av personuppgifter enligt Art. 6.1 (a) Dataskyddsförordning (GDPR) i samband med uppsatsskrivande vid Södertörns högskola

Jag samtycker till att Södertörns högskola behandlar följande personuppgifter i studentarbete i enlighet med nedanstående beskrivningen.

Vilka personuppgifter kommer att behandlas?

• namn

• personnummer

• foto eller video

• telefonnummer

• adress

• e-postaddress

• IP-adress

• ett annat identitetstecke som direkt eller indirekt avslöjar personens identitet? Beskriv här

I detta projekt behandlar vi inte dina känsliga uppgifter. Vi kommer därför att undvika ställa frågor beträffande dina känsliga personuppgifter (etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, persons sexualliv eller sexuella läggning, genetiska uppgifter, biometriska uppgifter som används för att entydigt identifiera en person).

Vad är syftet med behandlingen av personuppgifter?

Ange ett specifikt syfte / ändamål med behandlingen av personuppgifterna (studiens syfte på ett tydligt och enkelt beskrivet sätt) och hur hantering av personuppgifter förenas med ändamålet

Hur kommer personuppgifterna att behandlas?

Rättslig grund: Personuppgifterna behandlas enligt ditt informerade samtycke. Deltagande i studien är helt frivilligt. Du kan när som helst återkalla ditt samtycke

utan att ange orsak, vilket dock inte påverkar den behandling som skett innan återkallandet.

Insamlingsformat: Beskriv i vilket format samlar ni in personuppgifter

Lagringsform och skyddsåtgärder: hur sparar ni personuppgifter (eg. i pappersform, elektoronisk och i så fall i vilka system, och vilka skyddsåtgeder tillämpar ni till att skydda personens integritet.

Tillgång: vilka personer (eller kategorier av personer) har tillgång till dessa personuppgifter och med vilket syfte

Lagringstid och gallring: Ange att personuppgifterna kommer bevaras till dess att uppsatsen är godkänd och kommer därefter att förstöras, om du inte kommit fram till att de ska bevaras längre än så. Ifall att de här personuppgifterna måste förvaras längre eller arkiveras, ange när personuppgifterna kommer att raderas eller gallras.

Mottagare av personuppgifter: Om personuppgifterna delas med någon utanför Södertörns högskola ska det redovisas. Annars kan du skriva ”Alla uppgifter som kommer oss till del kommer behandlas så att obehöriga inte kan ta del av dem”, men det är viktigt att informationen är korrekt och ger deltagaren en korrekt bild över hur personuppgifterna faktiskt kommer behandlas. Vid osäkerhet rådfråga dataskyddsombudet.

Överföring utanför EU: Om personuppgifterna överförs till tredje land (utanför EU och EES) ska detta anges, till exempel datalagring i molntjänster i USA.

Vilka är mina rättigheter?

Enligt EU:s dataskyddsförordning har du rätt att gratis få ta del av samtliga personuppgifter om dig som hanteras och vid behov få eventuella fel rättade. Du har även rätt att begära radering, begränsning eller att invända mot behandling av personuppgifter, samt rätt till dataportiabiltet, dvs rätt att överföra personuppgifter från en personuppgiftsansvarig till en annan ”utan att hindras”. Däremot kan du när som helst ångra ditt samtycke.

Vem ska jag vända till om uppgifter är felaktiga eller jag vill ångra mitt samtycke?

Behöver du få felaktiga uppgifter rättade, komplettera med saknade uppgifter (rättelse) eller ångrar du ditt samtycke (återkallelse) kan du kontakta först de studenterna som du har kontakt med eller deras handledare. Alternativt kan du vända dig till till Södertörns högskolans dataombud.

Personuppgiftsansvarig: Studentarbetet genomförs som en del av studenternas utbildning vid Södertörns högskola som är juridiskt ansvarig för studenternas personuppgiftsbehandlingar. Du kan alltid nå Södertörns högskola via epost xxxxxxxxxxx@xx.xx eller telefon 00 000 00 00.

Kontaktuppgifter till studenterna och handledaren: Ange inom vilken kurs och vid vilken institution studien bedrivs. Kontaktuppgifter till studenterna och handledaren ska finnas med; Namn, titel (för handledaren) och kontaktuppgifter där ni är nåbara (använd dock @xxxxxxx.xx.xx och @xx.xx och inte privata e-postadresser)

Dataskyddsombud: Har du funderingar eller klagomål kring hur dina personuppgifter behandlas kan du alltid vända dig till Södertörns högskolas dataskyddsombud via xxxxxxxxx@xx.xx. Dataskyddsombudet är expert på reglerna för personuppgifter och har rätt att granska hur högskolans studenter och personal behandlar personuppgifter.

Klagomål: Är du inte nöjd med högskolans hantering av dina personuppgifter har du alltid rätt att lämna klagomål till Datainspektionen. Du når dem via epost: xxxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxx.xx eller telefon 00-000 00 00.

…………………………………….

Genom undertecknande bekräftas att jag har tagit del av ovanstående information och är införstådd med hur mina personuppgifter kan komma att behandlas. Jag är medveten om att mitt deltagande är helt frivilligt och att jag kan avbryta mitt deltagande i studien utan att ange något skäl.

Datum och ort:

Underskrift:

Namnförtydligande:

Bilaga 3: Gallringsprotokoll

Bifogas till uppsatsen och

Sänds eller lämnas till högskolans

Gallringsprotokoll

Avdelning/institution/enhet

Handläggare/Kontaktperson (Underskrift av den som gallrat)

……………………..

Anvisningar:

Gallringsprotokoll fylls i av gallringsansvarig vid avdelning/institution/enhet och lämnas till arkivarien i samband med gallringsförfarandet. Ett exemplar av protokollet behålls vid avdelning/institution/enhet.

Dataskyddsförordningen Art. 5 (e)

Gallring på grund av att personuppgifter inte längre behövs och det finns ingen annan rättslig grund som till exempel rättslig förpliktelse eller allmän intresse för att bevara dessa uppgifter länge.

Handlingstyp: Uppsats [ange uppsatsnamn och referens till kurs, år]

(Diarienr) Tid …………………………..

Omfång ………………………………..

Medium ………………………………..

Studentens namn …………………………………………

Handledare namn …………………………………………

Bilaga 4: Exempel på skyddsåtgärder

Anonymisering – Om uppgifterna inte längre, varken direkt eller indirekt, går att koppla till en person är dessa anonymiserade och formellt sett inte längre personuppgifter (Dataskyddsförordningen gäller ej dessa). Om arbetet kan bedrivas på anonymiserade uppgifter skall detta ske.

Pseudonymisering - Om uppgifterna som behandlas inte är direkt kopplade till en person utan det finns en separat nyckel som kopplar person till information är dessa pseudonymiserade. Uppgifterna räknas fortfarande formellt sett som personuppgifter men hanteringen sker med en större säkerhet.

Kryptering och kodning – Att kryptera eller koda information är ett sätt att minimera skadorna vid dataläckage och är bra som tekniskt skydd.

Externa USB-minnen eller hårddiskar, bärbara datorer och mobiltelefoner ska undvikas. Flyttbara media är särskilt sårbara för stöld och förlust och bör alltid krypteras om dessa används.

Accesskontroll / behörighetsövervakning – Att sätta upp och dokumentera regler för vilka som ska ha åtkomst till den insamlade informationen är en administrativ skyddsåtgärd som bör användas. Här ingår också regelverket för vem som får lov att göra vad med informationen (vem får läsa, söka respektive ändra och i vilka delar av materialet?).

Mejlkontroll – det rekommenderas att alltid kontrollera korrekta mottagare innan mejl skickas, undvika funktionen dold kopia (bcc) och använda mejl som är skyddad med kryptering.

Fysiskt avskilda servar, backup etc. - Att tekniskt skydda information från förlust vid olika typer av haverier är inte ett krav i Dataskyddsförordningen men kan vara nog så viktigt för den enskilde forskaren eller studenten. Ett absolut minimum är att se till att informationen lagras på ett sätt som omfattas av backup.

Gallring och radering – Personuppgifter som inte längre behövs för behandling ska raderas.

Redigera känsligt innehåll med bortredigeringsverktygen. T ex du kan ha borttagningsmarkeringar som visas som färgade rutor eller så kan du lämna området tomt. Du kan ange att egen text eller bortredigeringskoder ska visas ovanpå bortredigeringsmarkeringarna.

Information och kunskap hos personalen är viktiga säkerhetsåtgärder som inte sällan försummas. Att försäkra sig om att de som arbetar med personuppgifter också är medvetna om och följer de regler som finns för arbetet är viktigt.

Document Metadata

Table of Contents

GDPR för dig som skriver uppsats

Document Metadata