Personuppgifter inom studierna

Inled med att bestämma syftet med arbetet du ska genomföra – det är detta som är ändamålet med din behandling av personuppgifter.

Fundera på om det är lämpligt och nödvändigt att behandla personuppgifter för att uppnå syftet eller om du kan uppnå samma syfte utan att behandla personuppgifter. Om det är nödvändigt, försök att avgränsa din behandling till så få personuppgifter som möjligt.

Tillsammans med din handledare eller kursansvariga lärare ska du även bedöma lämpligheten i det tilltänka arbetet. Är arbetet något som ryms inom din utbildning? Kan det utföras så att integriteten för de personer vars personuppgifter som ska behandlas inte påverkas negativt? Hur denna bedömning ska göras kan du läsa mer om på sidan Säkerhetsåtgärder. 

Lämplighets- och nödvändighetsbedömningen ska göras oavsett om du ska behandla känsliga eller ”vanliga” personuppgifter. 

Bedöm vilka typer av personuppgifter som är nödvändiga att behandla inom ramen för ditt arbete. Skriv även ner ditt ändamål/syfte med behandlingen så kortfattat som möjligt.

Bestäm tillsammans med din handledare eller kursansvariga lärare hur du ska samla in, lagra och på annat sätt behandla personuppgifter.

Kom ihåg att enbart använda de verktyg och tjänster som tillhandahålls av universitetet. Det är inte tillåtet att använda sig av gratistjänster som du har tillgång till fritt på internet. De verktyg som tillhandahålls via universitetet hittar du på följande sidor: 

Digitala verktyg
Andra digitala verktyg och programvaror

Du behöver också använda relevanta säkerhetsåtgärder (exempelvis kodade uppgifter istället för utskrivna namn). Läs mer på sidan Säkerhetsåtgärder.

Du har bara rätt att behandla personuppgifter så länge som det är nödvändigt för att du ska kunna genomföra ditt arbete. Efter avslutat arbete ska personuppgifterna raderas.

Om du planerar att samla in personuppgifter direkt från den registrerade personen, oavsett om det handlar om "vanliga" personuppgifter eller känsliga personuppgifter, ska den registrerade personen lämna sitt samtycke till att delta i ditt arbete. Du ska i samband med att du får samtycket också informera om hur personuppgiftsbehandlingen går till. 

Universitetet har en mall som kan användas, du hittar den under "Mallar" på denna sida. 

Om du har hämtat in uppgifterna från en annan än direkt från den registrerade personen är det i många fall omöjligt att inhämta ett samtycke och informera om behandlingen utan att behöva samla in kontaktinformation från annan källa. Du ska då inte gå till ett annat register (exempelvis folkbokföringen) för att kunna kontakta den registrerade angående behandlingen som utförs av dig.

Var noggrann och behandla bara uppgifterna på det sätt som du informerat om. Ändras ändamålet eller sättet du behandlar uppgifterna på, behöver du upprepa de steg i listan ovan som påverkas av förändringen. När du är klar (examinerad) raderar du de uppgifter som inte längre behövs.

När du skriver akademiska arbeten behöver du ofta göra hänvisningar och referenser till tidigare verk på området. Detta beror bland annat på att upphovsrättslagen anger att upphovspersonen ska namnges i samband med att verket referats.

Du kan därför utgå ifrån att du får göra personuppgiftsbehandlingar i form av citat, referenser och hänvisningar till andra verk när du skriver ditt arbete utan att ytterligare behöva ta hänsyn till GDPR. Du behöver därför inte gå igenom checklistan om du enbart behandlar personuppgifter i form av citat och referenser.

Det förekommer ofta, exempelvis i metodkurser, att man får en uppgift att göra en viss typ av undersökning, till exempel en enkätundersökning. Läraren kan då också ha angett vad det är som ska undersökas och vad frågorna ska handla om. I dessa fall behöver du inte fundera närmare på steg 1-3 i checklistan ovan eftersom läraren redan angett hur ditt arbete ska gå till.  

Det är dock fortsatt viktigt att respondenterna, det vill säga de som svarar på exempelvis enkätundersökningen, får information om hur deras personuppgifter behandlas och får möjlighet att samtycka till att delta i arbetet. Om din lärare redan har tagit fram en information- och samtyckesformulering så är det den som ska användas, annars kan du använda mallen som finns på denna sida. 

Mallen för information och samtycke som finns på denna sida är granskad för att säkerställa att formuleringarna lever upp till GDPR:s krav. Det är därför lämpligt att du formulerar din information med hjälp av mallen.  

Om din lärare eller handledare anser att samtycket för deltagande bör formuleras annorlunda, till exempel på grund av etiska krav, så gäller din lärares eller handledares anvisningar. 

Det finns heller inga krav på att du måste inhämta ett skriftligt samtycke på papper. Om du och din lärare/handledare bedömer att det är mer lämpligt att inhämta samtycket muntligt, och göra en egen anteckning om att du ställt frågan, så räcker det.  

Deltagarna kan även lämna in sitt samtycke digitalt, till exempel via e-post.

Du kan också inhämta samtycket digitalt om du gör en enkätundersökning med hjälp av Microsoft Forms. Du kan då i början av din enkät publicera en PDF av din informationsblankett samt som första fråga i enkäten ha med den samtyckesformulering som finns i mallen på denna sida. 

SharePoint eller OneDrive är lämpligt att använda för lagring och redigering av dina dokument. Du kan även lagra bilder, filmer eller ljudfiler på dessa ytor. Tänk på att inte ge andra tillgång till ytor där du förvarar personuppgifter.  

Zoom kan du använda för digitala intervjuer. I Zoom finns möjlighet att slå på ”end-to-end kryptering” i samtalet, vilket är lämpligt om känsliga personuppgifter kan komma upp i samtalet.  

Forms kan användas för enkätundersökningar. Det är ett flexibelt verktyg där du själv kan göra många olika typer av inställningar.  

Det är viktigt är att du använder ditt studentkonto när du loggar in i verktygen. Du får inte använda privata inloggningsuppgifter eller tjänster som inte tillhandahålls av universitetet.

Nej, det räcker att deltagaren ger ett samtycke till arbetet som helhet. 

Vad är en personuppgift?

Personuppgifter är all slags information som kan knytas till en levande fysisk person. Typiska exempel är namn, adress och personnummer. Även foton på personer kan utgöra personuppgifter i de fall som personen på fotot kan identifieras. Registreringsnumret på en bil kan vara en personuppgift om det går att knyta uppgiften om bilen till en enskild fysisk person.

Känsliga personuppgifter

I GDPR görs skillnad mellan ”vanliga” personuppgifter och sådana uppgifter som benämns som känsliga. Känsliga personuppgifter anses behöva särskilt skydd. Utgångspunkten är att behandling av känsliga personuppgifter är förbjuden om det inte går att använda sig av något av undantagen i GDPR. Med känsliga personuppgifter avses uppgifter om:

• etniskt ursprung
• politiska åsikter
• religiös eller filosofisk övertygelse
• medlemskap i en fackförening
• hälsa
• en persons sexualliv eller sexuella läggning
• genetiska uppgifter
• biometriska uppgifter som används för att entydigt identifiera en person.

Extra skyddsvärda personuppgifter

Person- och samordningsnummer är inte känsliga personuppgifter. Däremot anses de extra skyddsvärda och ska därför behandlas särskilt varsamt.

Utöver person- och samordningsnummer är barns personuppgifter särskilt skyddsvärda. Detta beror på att barn inte anses kunna ta tillvara sina rättigheter på samma sätt som en vuxen och kan ha svårare att förutse konsekvenserna av behandlingen av deras personuppgifter.

Prata med din handledare om du har tänkt att behandla barns personuppgifter och om du i så fall behöver vidta några ytterligare åtgärder, som exempelvis mer och tydligare information till de registrerade. GDPR ställer till exempel krav på att information som ges till barn ska vara särskilt anpassat för deras ålder.

Vad är en behandling?

Behandling definieras i GDPR som i stort sett alla åtgärder som kan vidtas med personuppgifter, oavsett om det sker elektroniskt eller inte. Exempel på behandlingar är att samla in, registrera, lagra, bearbeta, rätta, radera eller överföra. Det är dock bara behandlingar som helt eller delvis genomförs på automatiserad väg (det vill säga elektroniskt) eller sådana behandlingar som förekommer i manuella register (exempelvis listor) som omfattas av GDPR.

Rättsliga grunder för behandling

För att få behandla personuppgifter måste det finnas minst en rättslig grund för behandlingen. För behandling av personuppgifter inom ramen för en utbildning är det i första hand den rättsliga grunden allmänt intresse eller myndighetsutövning som används. 

• Allmänt intresse eller myndighetsutövning
  Ibland kan du behöva behandla personuppgifter för att kunna tillgodogöra dig utbildningen. Rättslig grund för behandlingen är då att den utgör ett nödvändigt allmänt intresse. Universitet kan tillämpa denna rättsliga grund för sina studenters räkning eftersom universitetet genom bestämmelser i högskolelag och högskoleförordning har fått i uppdrag att bedriva utbildning på grund- och avancerad nivå.
• Samtycke
  I undantagsfall kan den rättsliga grunden samtycke användas. Du kan behandla personuppgifter efter att ha inhämtat samtycke från den registrerade. Tänk på att ett återkallat samtycke ska respekteras om du använder dig av denna rättsliga grund. Om du och din handledare bedömer att samtycke är den bästa rättsliga grunden för ditt arbete, ta kontakt med dataskydd@gu.se. 

Behandling av olika typer av personuppgifter

Känsliga personuppgifter får som huvudregel inte behandlas, men det finns undantag. Eftersom känsliga personuppgifter anses ha ett större skyddsvärde än andra personuppgifter ställs det högre krav på att dessa uppgifter ges ett mer omfattande skydd.

Mer information om när du kan behandla känsliga personuppgifter hittar du på sidan Säkerhetsåtgärder. Diskutera med din handledare om hur du uppfyller förutsättningarna.

De extra skyddsvärda personuppgifterna, som person- och samordningsnummer, får behandlas med stöd av de registrerades samtycke. Utan samtycke får personnummer bara behandlas om det är klart motiverat med hänsyn till:

• ändamålet med behandlingen,
• vikten av en säker identifiering, eller
• något annat beaktansvärt skäl.

Det kan också finnas särskilda bestämmelser som ger möjlighet till att personnummer och samordningsnummer får behandlas.

Personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott får som huvudregel inte behandlas om det inte uttryckligen framgår av svensk eller europeisk rätt att man får behandla uppgifterna i sin verksamhet. De uppgifter som avses här kan vara allt ifrån målnummer till uppgifter som rör en eventuell häktningsframställan och fällande domar.

Mer information om när du kan behandla känsliga personuppgifter hittar du på sidan Känsliga personuppgifter. Diskutera med din handledare om hur du uppfyller förutsättningarna.

Grundläggande principer

I GDPR finns ett antal grundprinciper som alltid måste följas. Du måste tänka igenom hur du följer dessa principer när du behandlar personuppgifter inom ramen för dina studier:

• Personuppgiftsbehandlingen ska vara laglig, korrekt och öppen i förhållande till den registrerade.
• Personuppgifter får bara behandlas för särskilda, tydligt angivna och berättigade ändamål.
• Personuppgifterna ska vara relevanta men inte för omfattande i förhållande till ändamålet.
• Personuppgifterna ska vara korrekta och uppdaterade.
• Personuppgifterna får inte sparas längre än nödvändigt.
• Personuppgifterna ska ges tillräckligt skydd.
• Personuppgiftsansvarig (universitetet) ansvarar för och ska kunna visa att principerna följs. Göteborgs universitetet är alltså ansvarig för den personuppgiftsbehandling som du genomför som student.

De registrerades fri- och rättigheter

När du behandlar personuppgifter inom ramen för dina studier ska du, för Göteborgs universitets räkning, säkerställa att de registrerades rättigheter tillgodoses. På vår externa webb finns mer information om de registrerades rättigheter.