Regler

Rätt till privatliv och skydd av personuppgifter är två grundläggande rättigheter. En säker och korrekt behandling av personuppgifter är därför viktig och ett krav. En felaktig behandling av personuppgifter kan skada enskilda individer, och leda till skadestånd, sanktionsavgifter och förtroendeskada för Högskolan i Borås.

Högskolans ansvar och studentens ansvar

Högskolan ansvarar för studenters behandling av personuppgifter inom ramen för sina studier. Detta innebär att du som student har en skyldighet att se till att den egna personuppgiftsbehandlingen sker enligt högskolans beslutade regler vid exempelvis arbete med uppsatser, inlämningsuppgifter och examensarbeten.

På underliggande webbsidor förklaras viktiga begrepp och gällande regler.

Frågor om behandling av personuppgifter hänvisas i första hand till kursansvarig lärare.

Regler i sex steg

Om du som student tänker behandla personuppgifter, till exempel inom ramen för inlämningsuppgifter eller för ett examensarbete, finns det en hel del att tänka på. Nedan beskrivs de 6 steg som måste vara uppfyllda för att hanteringen av personuppgifter ska vara tillåten.

Vad är en personuppgift?

Stäng Vad är en personuppgift?

Som personuppgift räknas varje uppgift som direkt eller indirekt kan knytas till en levande person. Vanliga personuppgifter är till exempel personnummer, namn, mejladress, telefonnummer, bilder av personer, ljudupptagningar av personer.

Det kan också röra sig om kombinationer av uppgifter som inte var och en för sig kan identifiera en levande människa men som sammantaget pekar ut en enskild. En sådan kombination kan vara ålder ihop med en arbetsplats.

Vad innebär behandling?

Stäng Vad innebär behandling?

Med ”behandling” menas alla åtgärder som kan vidtas med personuppgifter elektroniskt, t.ex. registrering, lagring, läsning, sammanställning, samkörning, utskrift av digitala dokument, ändring, överföring, spridning och radering. 

Steg 1 Måste måste personuppgifter behandlas?

Är det nödvändigt att behandla personuppgifter? Om den undersökning som ska göras kan utföras utan att personuppgifter behandlas så är det att föredra. Om du inte behandlar personuppgifter gäller inte kraven i dataskyddsförordningen GDPR, vilket gör ditt arbete lättare.

Stäm alltid av med din lärare huruvida det är lämpligt att uppgiften/arbetet medför behandling av personuppgifter. Vid oenighet mellan lärare och student gäller lärarens instruktioner.

Steg 2 Definiera syftet med behandlingen och vilka uppgifter som måste samlas in

Innan det praktiska arbetet börjar är det viktigt att göra klart för sig vilka personuppgifter som ska samlas in och varför. Fundera över vilka personuppgifter som är nödvändiga att hämta in för att kunna uppfylla ändamålet med arbetet och diskutera med din lärare.

Integritetskänsliga personuppgifter (d.v.s. såväl känsliga som extra skyddsvärda personuppgifter) får aldrig behandlas inom utbildning på grundnivå och avancerad nivå. Under verksamhetsförlagd utbildning, VFU, får dock sådana uppgifter behandlas om behandlingen inte ingår i en uppsats, redovisning eller dylikt, och VFU-placeringen tillåter behandlingen.  

Vad är integritetskänsliga personuppgifter?

Stäng Vad är integritetskänsliga personuppgifter?

Med ”integritetskänsliga personuppgifter” menas känsliga personuppgifter och extra skyddsvärda personuppgifter. Begreppet används alltså som en samlingsbeteckning för de båda kategorierna av personuppgifter.

Med ”känsliga personuppgifter” menas alla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, genetiska uppgifter, biometriska uppgifter, medlemskap i fackförening samt uppgifter om hälsa, sexualliv och sexuell läggning. 

Exempel på känsliga personuppgifter är uppgifter om sjukdomar eller annan fysisk eller psykisk ohälsa, uppgifter om funktionsvariationer, särskilda behov, allergier och hemland. Uppgifter som indirekt avslöjar känsliga uppgifter, är känsliga personuppgifter. Exempelvis kan matpreferenser avslöja religiös övertygelse. 

Med ”extra skyddsvärda personuppgifter” menas uppgifter som omfattas av sekretess eller tystnadsplikt, skyddade personuppgifter, uppgifter om lagöverträdelser, vissa uppgifter om ekonomiska förhållanden, samt beskrivningar och värderingar av personliga egenskaper och förhållanden eller andra förhållanden som ligger nära den privata sfären.

Steg 3 Bestäm hur personuppgifterna ska förvaras och hanteras säkert under arbetet

Den insamlade informationen måste behandlas säkert och på ett sådant sätt att obehöriga inte kan ta del av personuppgifterna. Information som innehåller personuppgifter ska som huvudregel lagras i högskolans IT-system och lagringsutrymmen, exem

pelvis Canvas, den egna hemkatalogen i högskolans IT-miljö ("F:"), eller den egna Microsoft One Drive som tillhandahålls av högskolan, dvs. inte eventuell privat Microsoft One Drive.

Vid behov av att behandla personuppgifter utanför högskolan, t.ex. vid arbete med en uppsats hemma, vid fotografering/filmning i samband med VFU, eller vid intervjuer, får personuppgifter lagras tillfälligt på egna mobila enheter eller flyttbart lagringsmedia som USB-minne.

Observera att all överföring, delning eller spridning av personuppgifter till/med andra personer, t.ex. lärare, handledare eller studenter, kräver att den vars personuppgifter behandlas har samtyckt till detta. I den mån det är nödvändigt att dela personuppgifter med andra personer behöver därför detta anges i den information som lämnas till den registrerade när samtycke hämtas in. 

Steg 4 Inhämta samtycke och informera om behandlingen

Om du planerar att samla in personuppgifter direkt från den registrerade personen ska den denne lämna sitt samtycke till att delta i ditt arbete. Behandling av minderårigas personuppgifter kräver samtycke från barnets vårdnadshavare.Samtycke ska hämtas in innan behandlingen av personuppgifter påbörjas och vara skriftligt. I samtycket ska du informera deltagarna om syftet med behandlingen, vilka personuppgifter du vill samla in, vad personuppgifterna ska användas till och hur länge de kommer att hanteras innan de raderas. Informationen ska vara fullständig och så tydlig att den vars personuppgifter man vill behandla förstår vad personuppgiftsbehandlingen innebär.

Högskolans mallar för inhämtande av samtycke ska användas. Din lärare ger dig tillgång till dessa mallar. De ifyllda mallarna ska lämnas in till högskolan enligt överenskommelse med din lärare.

Ett samtycke ska alltid avse en eller flera specifika behandlingar av personuppgifter. I det fall någon annan behandling ska ske måste därför ett nytt samtycke hämtas in som avser den nya behandlingen. Nytt samtycke ska hämtas in före den nya behandlingen påbörjas.

Den vars personuppgifter behandlas har alltid rätt att ta tillbaka lämnat samtycke, varvid personuppgifterna ska raderas och inte behandlas ytterligare. Det innebär t.ex. att personuppgifterna inte får ingå i nya beräkningar, sammanställningar, samkörningar etc. Behandling som redan har skett innan samtycket återkallas, och eventuella resultat av den, påverkas dock inte. I det fall ett samtycke återkallas, kommer högskolan att kontakta dig kring radering av personuppgifterna.

Steg 5 Genomför undersökningen i enlighet med det som beslutades i steg 1-4 ovan

Var noggrann och behandla bara personuppgifter på det sätt som du har informerat de registrerade om.

Steg 6 Radera personuppgifterna

Personuppgifter ska raderas från samtliga lagringsytor när uppgifterna inte längre är nödvändiga, men senast i samband med att uppgiften har godkänts, dvs. du har fått godkänt betyg på uppgiften. Tänk på att inte inkludera personuppgifter i själva slutprodukten, det vill säga färdiga inlämningsuppgifter, uppsatser, examensarbeten och dylikt.

Enligt dataskyddsförordningen får personuppgifter inte lagras längre än nödvändigt. Överväg därför när den tidpunkten infaller för de olika personuppgifterna som behandlas i det aktuella arbetet. Exempelvis kan det vara nödvändigt att spara vissa personuppgifter en längre tid för att kunna styrka slutsatserna i arbetet medan andra uppgifter kan raderas relativt omgående. Rådfråga din lärare eller handledare vid osäkerhet. Vid oenighet mellan lärare och student om behovet av behandling av personuppgifter gäller lärarens instruktioner.

Med radering menas här att personuppgifterna inte går att återskapa. Det kan ske på två sätt. För det första kan personuppgifter raderas genom att informationen som innehåller personuppgifter, t.ex. ett Word-dokument, tas bort helt. För det andra kan personuppgifter raderas genom att informationen som innehåller personuppgifter avidentifieras. Med detta menas att uppgifter som går att knyta till en individ tas bort ur informationen medan andra uppgifter behålls. Under förutsättning att kopplingen till individen bryts och det inte går att hitta tillbaka till denne anses personuppgifterna vara raderade.

Observera att personuppgifter som lagras på den egna hemkatalogen F: eller på Microsoft One Drive och som inte har raderats enligt ovan, kommer att raderas tillsammans med all annan information som lagras där i samband med att studierna vid högskolan avslutas.

Uppföljning

Högskolan ansvarar för, och ska kunna visa, att all behandling av personuppgifter sker på ett säkert och korrekt sätt i enlighet med dataskyddsförordningen. För att det ska vara möjligt krävs viss uppföljning av behandlingen av personuppgifter vid högskolan.

Vid användning av högskolans IT-system uppstår behandlingshistorik (”loggar”). Dessa loggar innehåller bl.a. uppgift om användarnamn, tidpunkt,vilka åtgärder som vidtagits, och om åtgärderna lyckades eller misslyckades. Loggarna analyseras regelbundet för att upptäcka, utreda, begränsa, rapportera och i övrigt hantera incidenter. I samband med misstänkta incidenter kan fler uppgifter behöva hämtas in. 

Disciplinära åtgärder enligt 10 kap. högskoleförordningen kan komma att vidtas mot studenter som överträder dessa regler. Sådana åtgärder är varning eller avstängning.