Regler
Behandling av personuppgifter inom ramen för utbildningen, t.ex. inlämningsuppgifter, uppsatser och examensarbeten får bara ske i enlighet med dessa regler och på lärares instruktion.
Integritetskänsliga personuppgifter (d.v.s. såväl känsliga som extra skyddsvärda personuppgifter) får aldrig behandlas inom utbildning på grundnivå och avancerad nivå. Under verksamhetsförlagd utbildning, VFU, får dock sådana uppgifter behandlas om behandlingen inte ingår i en uppsats, redovisning eller dylikt, och VFU-placeringen tillåter behandlingen.
Samtycke
All insamling, lagring, spridning och övrig behandling av personuppgifter som görs av student i samband med utbildningen ska ske med samtycke från den vars personuppgifter ska behandlas. Behandling av minderårigas personuppgifter kräver samtycke från barnets vårdnadshavare.
Samtycke ska hämtas in innan behandlingen av personuppgifter påbörjas och vara skriftligt. Högskolans mallar för inhämtande av samtycke ska användas. Inhämtade samtycken ska lämnas till kursens utbildningsadministration.
Ange syfte och dokumentera
Innan personuppgifter börjar behandlas ska det vara tydligt hur behandlingen ska gå till. Behandlingen ska dokumenteras i högskolans mallar för inhämtande av samtycke, som utgör dels den information som den vars personuppgifter man vill behandla ska få och godkänna, dels ramarna för hur insamlade personuppgifter får behandlas. Av informationen ska det bl.a. framgå vad syftet med behandlingen är, hur personuppgifterna kommer att behandlas, vilka rättigheter de vars personuppgifter man vill behandla har, m.m. Informationen ska vara fullständig och så tydlig att den vars personuppgifter man vill behandla förstår vad personuppgiftsbehandlingen innebär.
En viktig fråga i förberedelserna av den planerade behandlingen av personuppgifter är vilka personuppgifter som behöver hämtas in och för vilket ändamål. Överväg därför vilka personuppgifter som är nödvändiga att hämta in för att kunna uppfylla ändamålet med arbetet. Kontakta din lärare eller handledare för samråd vid osäkerhet. Vid oenighet mellan lärare och student om behovet av behandling av personuppgifter gäller lärarens instruktioner.
Ny behandling kräver nytt samtycke
Ett samtycke ska alltid avse en eller flera specifika behandlingar av personuppgifter. I det fall någon annan behandling ska ske måste därför ett nytt samtycke hämtas in som avser den nya behandlingen. Nytt samtycke ska hämtas in före den nya behandlingen påbörjas.
Återkallat samtycke
Den vars personuppgifter behandlas har alltid rätt att ta tillbaka lämnat samtycke, varvid personuppgifterna ska raderas och inte behandlas ytterligare. Det innebär t.ex. att personuppgifterna inte får ingå i nya beräkningar, sammanställningar, samkörningar etc. Behandling som redan har skett innan samtycket återkallas, och eventuella resultat av den, påverkas dock inte. I det fall ett samtycke återkallas, kommer högskolan att kontakta dig kring radering av personuppgifterna.
Lagring av personuppgifter
Information som innehåller personuppgifter ska som huvudregel lagras i högskolans IT-system och lagringsutrymmen, exempelvis Canvas, den egna hemkatalogen i högskolans IT-miljö ("F:"), eller den egna Microsoft One Drive som tillhandahålls av högskolan, dvs. inte eventuell privat Microsoft One Drive.
Vid behov av att behandla personuppgifter utanför högskolan, t.ex. vid arbete med en uppsats hemma, vid fotografering/filmning i samband med VFU, eller vid intervjuer, får personuppgifter lagras tillfälligt på egna mobila enheter eller flyttbart lagringsmedia som USB-minne.
Radering av personuppgifter
Personuppgifter ska raderas från samtliga lagringsytor när uppgifterna inte längre är nödvändiga, men senast i samband med att uppgiften har godkänts, dvs. du har fått godkänt betyg på uppgiften. Detta gäller inte slutprodukter som färdiga inlämningsuppgifter, uppsatser, examensarbeten och dylikt.
Enligt dataskyddsförordningen får personuppgifter inte lagras längre än nödvändigt. Överväg därför när den tidpunkten infaller för de olika personuppgifterna som behandlas i det aktuella arbetet. Exempelvis kan det vara nödvändigt att spara vissa personuppgifter en längre tid för att kunna styrka slutsatserna i arbetet medan andra uppgifter kan raderas relativt omgående. Rådfråga din lärare eller handledare vid osäkerhet. Vid oenighet mellan lärare och student om behovet av behandling av personuppgifter gäller lärarens instruktioner.
Med radering menas här att personuppgifterna inte går att återskapa. Det kan ske på två sätt. För det första kan personuppgifter raderas genom att informationen som innehåller personuppgifter, t.ex. ett Word-dokument, tas bort helt. För det andra kan personuppgifter raderas genom att informationen som innehåller personuppgifter avidentifieras. Med detta menas att uppgifter som går att knyta till en individ tas bort ur informationen medan andra uppgifter behålls. Under förutsättning att kopplingen till individen bryts och det inte går att hitta tillbaka till denne anses personuppgifterna vara raderade.
Observera att personuppgifter som lagras på den egna hemkatalogen F: eller på Microsoft One Drive och som inte har raderats enligt ovan, kommer att raderas tillsammans med all annan information som lagras där i samband med att studierna vid högskolan avslutas.
Delning av personuppgifter
All överföring, delning eller spridning av personuppgifter till/med andra personer, t.ex. lärare, handledare eller studenter, kräver att den vars personuppgifter behandlas har samtyckt till detta. I den mån det är nödvändigt att dela personuppgifter med andra personer behöver därför detta anges i den information som lämnas till den registrerade när samtycke hämtas in.
Uppföljning
Högskolan ansvarar för, och ska kunna visa, att all behandling av personuppgifter sker på ett säkert och korrekt sätt i enlighet med dataskyddsförordningen. För att det ska vara möjligt krävs viss uppföljning av behandlingen av personuppgifter vid högskolan.
Vid användning av högskolans IT-system uppstår behandlingshistorik (”loggar”). Dessa loggar innehåller bl.a. uppgift om användarnamn, tidpunkt,vilka åtgärder som vidtagits, och om åtgärderna lyckades eller misslyckades. Loggarna analyseras regelbundet för att upptäcka, utreda, begränsa, rapportera och i övrigt hantera incidenter. I samband med misstänkta incidenter kan fler uppgifter behöva hämtas in.
Disciplinära åtgärder enligt 10 kap. högskoleförordningen kan komma att vidtas mot studenter som överträder dessa regler. Sådana åtgärder är varning eller avstängning.