Vanliga frågor och svar

Vilket ansvar har högskolan för studenters behandling av personuppgifter?

Högskolan är som huvudregel personuppgiftsansvarig för den behandling av personuppgifter som studenter utför inom ramen för utbildningen, till exempel i samband med uppsatser. Det innebär att kursansvarig ansvarar för att se till att behandlingen sker i enlighet med dataskyddsförordningens bestämmelser och att högskolan ansvarar för eventuella överträdelser av förordningen.

Till huvudregeln finns det ett undantag. Under verksamhetsförlagd utbildning är det praktikplatsen som är personuppgiftsansvarig för den behandling av personuppgifter som studenter utför inom ramen för arbetet, på samma sätt som praktikplatsen är personuppgiftsansvarig när dess anställda behandlar personuppgifter.

Vad är personuppgifter och vad menas egentligen med behandling?

Personuppgifter är alla uppgifter som ensamt, eller i kombination med andra uppgifter som du själv eller någon annan har tillgång till, direkt eller indirekt, kan knytas till en fysisk person som är i livet. Till exempel namn, e-postadress, IP-adress och olika slags elektroniska identiteter. Foto och film på personer, eller en persons röst, är exempel på andra vanliga personuppgifter.

Med behandling menas allt man kan göra med personuppgifter elektroniskt. Till exempel samla in, anteckna, fotografera, filma, streama, spela in, lagra, läsa, sammanställa, kopiera, överföra och publicera.

När får studenter behandla personuppgifter?

Enligt högskolans beslutade regler ska kursmoment som huvudregel utformas på ett sådant sätt att studenter inte behöver behandla personuppgifter för att uppnå kursmålen. Detta gäller även val av ämne för uppsatser och examensarbeten m.m.

I undantagsfall får studenter behandla personuppgifter, om det bedöms vara nödvändigt för att uppnå kursmålen. Kursansvarig ansvarar då för att lämna information och vägledning om hur behandlingen ska gå till.

Studenter får endast behandla personuppgifter om den vars personuppgifter ska behandlas samtycker till behandlingen. Studenters personuppgiftsbehandling kräver alltså alltid samtycke. Observera att ett samtycke alltid kan återkallas med följden att uppgifterna inte får behandlas, vilket kan resultera i att hela eller delar av studentens arbete går förlorat.

Studenter ska använda högskolans samtyckesmallar. Mallarna är riktad till kursansvarig och förutsätter att kursansvarig tar del av och, i förekommande fall, anpassar innehållet samt delar ut dem till de studenter som ska behandla personuppgifter.

Länk till mallar

Vilka slags personuppgifter får studenter behandla?

Studenter får aldrig, inom ramen för utbildningen, behandla personuppgifter som är känsliga i dataskyddsförordningens mening eller personuppgifter som annars är att anse som integritetskänsliga. Bakgrunden till det är bl.a. att lagstiftaren anser att det inte är rimligt att förvänta sig att studenter som genomgår utbildning på grundnivå eller avancerad nivå med säkerhet hunnit tillägna sig kunskaper och insikter i den omfattning som krävs för att hantera potentiellt integritetskänsliga uppgifter.

Med integritetskänsliga personuppgifter menas alla uppgifter som kan avslöja etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, genetiska uppgifter, biometriska uppgifter, medlemskap i fackförening, uppgifter om hälsa, sexualliv och sexuell läggning, samt sekretessbelagda uppgifter, skyddade uppgifter, uppgifter om lagöverträdelser, vissa uppgifter om ekonomiska förhållanden, samt beskrivningar och värderingar av personliga egenskaper och förhållanden, eller förhållanden som annars ligger nära den privata sfären.

Under verksamhetsförlagd utbildning får studenter behandla personuppgifter, även integritetskänsliga sådana, i den utsträckning som praktikplatsen tillåter behandlingen. I det fall studenter tillåts behandla integritetskänsliga personuppgifter på praktikplatsen, till exempel inom hälso- och sjukvården, får dessa inte ingå i en uppsats, redovisning eller dylikt som utförs inom ramen för utbildningen.

Har högskolan samtyckesmallar?

Ja, på högskolans webbplats finns mallar för inhämtande av samtycke. Det finns både en svensk och en engelsk version. Mallarna är riktade till kursansvarig och förutsätter att kursansvarig tar del av och, i förekommande fall, anpassar innehållet samt delar ut dem till de studenter som ska behandla personuppgifter.

Länk till mallar

Måste samtycke hämtas in i pappersform?

Under förutsättning att inga personuppgifter tas in i det färdiga arbetet som lämnas in till högskolan går det bra att hämta in samtycke elektroniskt. Det handlar alltså om arbeten där studenter genomför intervjuer, enkäter, observationer m.m., men där det inte finns något behov av att använda personuppgifter som framkommit under datainsamlingsfasen i det färdiga arbetet.

När samtycke ska hämtas in elektroniskt bör det ske genom att den som ska lämna samtycke skriver ut samtyckeshandlingen, skriver under, scannar in eller fotar handlingen med sin mobil, och mejlar tillbaka handlingen.

Ett samtycke bör vara egenhändigt undertecknat. Normalt är det därför inte lämpligt att den som lämnar samtycke gör det genom att mejla att hen ”samtycker till ovanstående”, ”samtycker till bifogat” eller dylikt.

Hur länge får studenter spara insamlade personuppgifter?

En grundläggande princip i dataskyddsförordningen är att personuppgifter inte får sparas längre än vad som är nödvändigt för syftet med personuppgiftsbehandlingen. Studenter ska därför radera insamlade personuppgifter från alla lagringsplatser så snart uppgifterna inte längre är nödvändiga men senast vid betygsättning av uppgiften, under förutsättning att studenten får godkänt på uppgiften. Om studenten inte raderar personuppgifterna innebär det överträdelse av dataskyddsförordningen som högskolan är ansvarig för.

Får inlämningsuppgifter, examensarbeten m.m. innehålla personuppgifter?

Färdiga studentarbeten ska som huvudregel inte innehålla några andra personuppgifter än namn på de studenter som lämnat in uppgiften för bedömning. De arbeten som lämnas in blir nämligen allmänna handlingar och med det följer vissa skyldigheter för högskolan. Till exempel får arbetena endast gallras (raderas) enligt lag eller annan författning (normalt två år efter betygsättning). Högskolan är också skyldiga att lämna ut arbetena till den som begär det i enlighet med offentlighetsprincipen. Detta innebär bl.a. att om en person som ingår i studentens arbete skulle dra tillbaka sitt samtycke, så är det möjligt att högskolan inte kan radera personuppgifterna (arbetet) utan att bryta mot lag (till exempel om nämnda tvåårs gräns inte passerat ännu). Och om högskolan skulle fortsätta att spara uppgifterna bryter högskolan mot dataskyddsförordningen. Färdiga studentarbeten bör alltså inte innehålla några andra personuppgifter än namn på de studenter som utfört arbete, eftersom det annars kan uppstå konflikt mellan högskolans rättsliga skyldigheter och tvinga högskolan att bryta mot lag.

Det är också viktigt att komma ihåg att högskolan är personuppgiftsansvarig så länge personuppgiftsbehandlingen pågår, till exempel lagring i högskolans lärplattform eller publicering i DiVA. Ansvaret fortsätter även efter att studenterna avslutat sina studier. Det är därför viktigt att kursansvarig säkerställer att inhämtade samtycken bevaras och hålls ordnade samt att det finns tydliga rutiner för hur man ska hantera ett återkallat samtycke, kanske flera år efter arbetet lämnades in och studenten inte längre studerar vid högskolan.

Är inspelning av en intervju personuppgiftsbehandling?

Inspelning av en person med ljud och/eller bild är alltid personuppgiftsbehandling. Det gäller även om det inte nämns några namn eller andra personuppgifter på inspelningen, eftersom en persons röst eller bild i sig är att betrakta som personuppgifter. För att det ska vara tillåtet att spela in krävs det att kursansvarig anser det nödvändigt för att uppnå kursmålen. Därtill krävs intervjupersonens samtycke. Observera att den som ska intervjuas alltid har rätt att säga nej till inspelning. Inspelning får då inte ske.

Normalt används inspelningar av intervjuer som minnesstöd, istället för anteckningar under intervjutillfället. Ofta finns det inget behov av knyta de uppgifter som framkommit i intervjun till personen som intervjuats. I dessa fall bör inspelningen snarast transkriberas anonymt (personuppgifter utesluts i texten) och därefter raderas. Personuppgiftsbehandlingen upphör då varvid samtycket ska förstöras.

Får studenter genomföra intervjuer via videosamtal?

Ja, men tänk på att när intervjuer genomförs via videosamtal behandlas personuppgifter i form av bild och röst om deltagarna, även om det inte spelas in. Intervjuer via videosamtal kräver därför alltid samtycke.

Vid intervjuer via videosamtal ska Zoom användas. Det är inte tillåtet att använda andra videotelefoniprogram som Google Meet, Microsoft Teams, Skype, Slack, m.fl.

Vad gäller kring enkäter och personuppgifter?

Studenter som vill genomföra enkäter ska använda det webbaserade enkätverktyget Sunet Survey. Det är inte tillåtet att använda andra enkätverktyg som SurveyMonkey, Google Forms, Zoho Survey m.fl.

Det är inte tillåtet att samla in personuppgifter genom enkätfrågor i Sunet Survey. Enkätfrågorna ska därför utformas så att det inte samlas in några personuppgifter. Eftersom det då inte behandlas några personuppgifter behövs det inte heller samtycke till personuppgiftsbehandling.

Vid behov av att samla in personuppgifter genom enkätfrågor bör pappersbaserade enkäter användas. Då ska även samtycke till personuppgiftsbehandlingen hämtas in av de som ska besvara enkäten.

Distribution av webbenkäter

Högskolan kan vara behjälplig med att distribuera studentenkäter till andra studenter vid högskolan. Distributionen sker genom att en information om, och med en länk till, enkäten läggs ut i högskolans lärplattform.

Observera att det inte är tillåtet att studenterna själva distribuerar enkäter genom marknadsförings-plattformar och e-postmarknadsföringstjänster som innebär personuppgiftsbehandling, till exempel MailChimp, ActiveCampaign, GetResponse, m.fl.

Kontakta avdelning Akademistöd för hjälp med distribuering av enkäter.