Personuppgifter i uppsatser
Om du som student tänker behandla personuppgifter i ditt självständiga arbete/examensarbete/uppsatsarbete (nedan ”uppsatsarbete”) finns det därför mycket att tänka på innan du kan börja.
Det är den europeiska dataskyddsförordningen (GDPR) tillsammans med kompletterande svenska lagar som ställer många och omfattande krav på att allt arbete med personuppgifter utförs på ett öppet, korrekt och säkert sätt.
Steg 1 - Måste personuppgifter behandlas?
Den första frågan du behöver ställa dig är om det är nödvändigt att behandla personuppgifter i uppsatsarbetet? Om du inte behandlar personuppgifter gäller inte kraven i dataskyddsförordningen, vilket gör ditt arbete mindre komplicerat att genomföra.
Det är dock viktigt att komma ihåg att som personuppgifter räknas all information som direkt eller indirekt kan knytas till en levande människa, vilket gör att det inte bara är sådant som namn, personnummer, IP-nummer och inspelade intervjuer (även om inga namn nämns) som är personuppgifter. Det kan även vara en kombination av mindre utpekande uppgifter som sammantaget gör det möjligt att identifiera en enskild person.
Steg 2 - Definiera syftet med studien (ändamålet med behandlingen)
Innan det praktiska arbetet börjar är det viktigt att tänka igenom och tydligt anteckna vilka typer av uppgifter som behöver samlas in och varför. För dig som ska skriva ett uppsatsarbete är detta inte någon svår uppgift utan ändamålet med behandlingen är helt enkelt att kunna utföra den undersökning som är nödvändig för att underbygga ditt arbete, men det är viktigt att du tänker igenom och formulerar syftet såväl som att du är klar över vilken information som är nödvändig för att nå det.
Observera att det aldrig är tillåtet att samla in och behandla fler personuppgifter än vad som är nödvändigt för att uppnå ändamålet.
Det är också viktigt att tänka på att personuppgifterna inte får spridas till fler personer än nödvändigt. Obehöriga personer ska inte kunna ta del av personuppgifterna, utan enbart den som behöver ha tillgång till uppgifterna för att uppsatsarbetet ska kunna genomföras och examineras får behandla personuppgifterna.
Steg 3 – Säkerställ att känsliga personuppgifter inte kommer att behandlas
Med känsliga personuppgifter menas enligt dataskyddsförordningen uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Även personuppgifter som t.ex. modersmål eller hemspråk kan vara känsliga personuppgifter då dessa i vissa fall indirekt kan härleda till etniskt ursprung.
Utgångspunkten i dataskyddsförordningen är att det är förbjudet att behandla känsliga personuppgifter. Enda undantaget från förbudet mot att behandla känsliga personuppgifter i uppsatsarbeten är när du som student skriver ditt uppsatsarbete inom ramen för ett forskningsprojekt som har fått ett etikgodkännande från en regional etikprövningsnämnd. Tillägg: Behandling av känsliga PU kräver särskilda säkerhetsåtgärder – all hantering måste ske på JU-system och JU-datorer, känsliga PU får ej lagras på privat dator eller eget lagringsmedium.
Steg 4 - Bestäm hur informationen ska förvaras och hanteras
Insamlad information måste behandlas på ett säkert sätt. Jönköping University tillhandahåller ett antal tjänster som kan vara praktiska vid arbetet.
Externa molntjänster (verktyg som inte tillhandahålls genom Jönköping University) bör inte användas för behandling av personuppgifter. Detta gäller exempelvis lagringstjänster som Dropbox, Google docs, iCloud m.m. Det är även olämpligt att du lagrar personuppgifter på okrypterade USB-minnen, samt smarta telefoner eller surfplattor (eftersom dessa kan ha bristande säkerhet och ofta är synkade mot molntjänster).
Steg 5 – Bestäm vilka delar av informationen som ska raderas respektive bevaras
Personuppgifter får inte bevaras längre tid än vad som är nödvändigt och ska raderas när de inte längre behövs. I vissa undantagssituationer kan det dock finnas personuppgifter som behöver bevaras viss tid för att kunna styrka slutsatserna i uppsatsarbetet eller för att de är nödvändiga för framtida behandlingar (t.ex. om du har för avsikt att publicera resultatet i vetenskapliga artiklar).
För artiklar samt artikelns underlag gäller arkivlagen och Riksarkivets föreskrifter, arkivering sker på JU genom funktionen för arkiv och registratur. Innan det praktiska arbetet startar är det därför viktigt att bestämma vad som ska hända med de insamlade personuppgifterna. Finns det några uppgifter som behöver lämnas in till Jönköping University för att bevaras under viss tid? Övriga personuppgifter ska raderas av studenten efter det att uppsatsarbetet har godkänts och betyget blivit registrerat i studieregistret Ladok.
Steg 6 – Skriv informationsbrev och samtyckesblankett
Personuppgifter får enligt dataskyddsförordningen endast behandlas om det finns en rättslig grund för behandlingen. För ett uppsatsarbete är det i praktiken endast samtycke från varje enskild person som kan komma i fråga. (Personuppgifter från existerande register kan ibland behandlas med annan rättslig grund?)
Du inhämtar ett samtycke genom att skriftligen informera de som ska delta i studien vad syftet är med studien, vilka personuppgifter du vill samla in, vad personuppgifterna ska användas till, och hur länge personuppgifterna kommer att sparas innan de raderas. Först efter det att den som ska delta i studien har tagit del av informationen kan han eller hon ge sitt samtycke till behandlingen.
Steg 7 - Efter det att du har slutfört din examination, radera eller arkivera personuppgiftsmaterialet
När du har fullgjort ditt uppsatsarbete, examinerats på momentet och ditt resultat har förts in i Ladok återstår ytterligare ett viktigt moment. Personuppgiftsmaterialet som har behandlats ska nu antingen raderas eller föras över för bevarande/arkivering enligt vad som beslutades i steg 5.