Studentarbeten med personuppgifter
Om du har för avsikt att skriva ett studentarbete med personuppgifter, exempelvis där du ska intervjua personer eller studera domar, finns vissa saker du behöver tänka på. Du kommer nämligen att utföra en behandling av personuppgifter som universitet är personuppgiftsansvarig för och du behöver därför med stöd av din handledare se till att uppfylla krav enligt dataskyddsförordningen (GDPR) och förhålla dig till forskningsetiska riktlinjer.
Nedan ges närmar beskrivningar om vad du behöver tänka på och stöd i bedömningen av om du behandlar personuppgifter i ditt arbete.
Vad är en personuppgift?
Personuppgifter kan vara vitt skilda uppgifter som är hänförliga till en individ. Exempelvis namn, identifikationsnummer, lokaliseringsuppgift och karaktärsdrag. Exempel på personuppgifter är adress, e-post, IP-adresser, registreringsnummer för bil. En inspelning eller en intervju med en identifierbar individ anses alltid innehålla personuppgifter. Begreppet personuppgift är mycket brett.
Läs mer om personuppgifter på Integritetsskyddsmyndighetens webbplats
Vad är skillnaden mellan en personuppgift och en känslig personuppgift?
Med känsliga personuppgifter menas personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Även personuppgifter som till exempel modersmål eller hemspråk kan vara känsliga personuppgifter då dessa i vissa fall indirekt kan härleda till etniskt ursprung.
Läs mer om känsliga personuppgifter på Integritetsskyddsmyndighetens webbplats.
Behandling av känsliga personuppgifter
Utgångspunkten i dataskyddsförordningen är att det är förbjudet att behandla känsliga personuppgifter.
Ett undantag från förbudet mot att behandla känsliga personuppgifter i uppsatsarbeten är när studenten skriver sitt uppsatsarbete inom ramen för ett forskningsprojekt som har fått ett etikgodkännande från etikprövningsmyndigheten. Ett annat undantag är om deltagaren uttryckligen har lämnat sitt samtycke. För att ett samtycke ska vara giltigt måste det bl.a. vara frivilligt, utan villkor, möjligt att återkalla och det får inte vara ett ojämlikt maktförhållande i relation till den som ber om samtycket.
Huvudregeln är att studenter inte ska behandla känsliga personuppgifter i sina studentarbeten. En behandling av detta slag får därför aldrig påbörjas innan du har fått godkänt från din handledare/institution.
Behandling av känsliga personuppgifter måste alltid ske restriktivt och med höga krav på organisatoriska och tekniska säkerhetsåtgärder. Bland annat får den här typen av uppgifter inte mejlas och enbart lagras i studentanvändarens H:. Prata med din institution för att få råd och stöd.
Andra integritetskänsliga behandlingar
Förutom behandling av känsliga personuppgifter finns det andra typer av behandlingar som också anses medföra ökad risk för den personliga integriteten. Exempel på detta är:
- Behandling av en större mängd personuppgifter.
- Sammanställningar och sammankopplingar av olika uppsättningar data för att skapa ny information.
- Överföring av personuppgifter till ett land utanför EU.
- Behandling av en stor mängd personuppgifter om enstaka eller en grupp individer.
- Inspelningar av individer, värderande uppgifter, fullständiga personnummer, sociala förhållanden m.m.
Om ditt studentarbete medför någon av de uppräknade typerna av integritetskänsliga behandlingar ska handledaren uppmärksammas om detta särskilt.
Rekommenderade lagringsytor och programvaror
När du behandlar personuppgifter i ditt studentarbete är det viktigt att säkerheten för uppgifterna garanteras. För att en tjänst ska vara säker att använda krävs det att nödvändiga riskanalyser har gjorts och att avtal finns med tjänsten.
Universitetet rekommenderar att information som tas in lagras på din användare i H: eller OneDrive för att säkerställa skydd och backup. Känsliga personuppgifter får bara lagras på H:.
När det gäller insamling av uppgifter i formulär föreslås att Microsoft Forms eller LTU Survey används, eftersom universitetet har avtal med dessa. Även insamling via pappersformulär är ett alternativ. Prata med din institution om vad som är lämpligt i ditt fall.
Användning av andra lagringsytor, programvaror eller appar än de rekommenderade ska meddelas till handledaren.
Digitala intervjuer
När det gäller inspelning och eventuell transkribering föreslås att Teams eller Zoom används. Notera dock att i ett möte i Teams med enbart två deltagare kommer en videoinspelning av mötet att skapas automatiskt om transkribering väljs (det fungerar med ljudupptagning vid tre eller fler deltagare). Be deltagaren att stänga av kameran om videofunktionen måste användas. Fråga din handledare om hjälp och råd.
Grundläggande frågeställningar innan du börjar
När du har bestämt dig för att du vill göra ett studentarbete där du hanterar personuppgifter behöver du inledningsvis besvara följande frågor. Skriv ner svaren och spara dem tillsammans med övrigt material tillhörande arbetet. Din handledare kommer att behöva ta del av dina svar för att kunna stötta dig i hanteringen. Informationen behövs också för att fylla i ett register över universitetets behandlingar av personuppgifter. Dokumentationen är även viktig om det kommer följdfrågor från deltagare.
Frågor
För vilket ändamål samlas uppgifterna in? Det måste vara specifika, särskilt angivna och berättigade ändamål.
Vilka personuppgifter måste behandlas för att uppnå ändamålet? Hur känsliga är uppgifterna? Det är inte tillåtet att behandla fler personuppgifter än vad som behövs för ändamålet och ju känsligare uppgifter desto högre krav på säkerhetsåtgärder.
Hur länge ska du spara uppgifterna? De ska raderas när de inte längre behövs.
Vilka programvaror mm. avser du att använda? Specificera särskilt om det är något som avviker från lämnade rekommendationer och förklara varför just dessa programvaror behövs.
Hur ska du skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs? T ex. använda rekommenderade programvaror mm. och använda H: eller OneDrive för lagring med inkluderad backup.
Information till de som deltar
Alla som deltar i studien har rätt att få information för att förstå vad uppgifterna ska användas till, hur länge de ska sparas och hur de skyddas bland annat. Ett deltagande är alltid frivilligt och om någon hör av sig och meddelar att de inte vill delta i efterhand, tar vi bort uppgifterna om det är möjligt.
När informationen ska lämnas
Om du hämtar in uppgifter direkt från en deltagare ska informationen (den ifyllda informationsmallen) lämnas innan uppgifterna hämtas in. Detta för att den som deltar ska veta vad vi ska göra med uppgifterna och varför.
Om du hämtar uppgifterna från någon annan, exempelvis en myndighet, ska information lämnas inom en rimlig period efter det att du har fått personuppgifterna, dock senast inom en månad. Samma informationsmall används, med tillägget om varifrån uppgifterna har hämtats.
Om det är omöjligt att ge den registrerade information eller om det skulle medföra en oproportionell ansträngning, framför allt aktuellt vid användning av personuppgifter hämtade ur statistikdatabaser, behöver information inte lämnas.
Information om en studie, och svaret om att någon vill delta, kan oftast tas in digitalt. Om känsliga personuppgifter avslöjas genom deltagandet, exv. om intervjuer bara sker med personer som lider av viss sjukdom, ska hantering inte ske via mejl. I sådana fall kan telefon eller brev användas.
Vad gör jag om det kommer in känsligare information än jag hade förutsett?
Innan arbetet påbörjas behöver man alltid tänka igenom vilka frågor man vill få besvarade och vilka risker den informationen medför. För att undvika att du får in känsligare information än du avsett är det viktigt att du fundera över hur du ska ställa frågorna och om du behöver upplysa intervjupersonerna om att de ska tänka på att inte beröra vissa områden. Om det ändå sker behöver du upplysa intervjupersonen om att ni behöver hålla er till ämnet. Den informationen som har samlats in måste hanteras på ett tillräckligt säkert sätt. Ta hjälp av din handledare för att reda ut känsligheten av uppgifterna. Om du inte ska använda informationen i ditt arbete föreslås att den direkt tas bort.
Att skriva arbetet
Om du genomför ett studentarbete där du samlar in personuppgifter är det viktigt att du hanterar uppgifterna varsamt i den text du skapar. Rekommendationen är att inte skriva ut namn eller andra identifierande uppgifter i själva rapporten. Om det skulle vara absolut nödvändigt måste du först säkerställa med intervjupersonen att det är ok. Om direkt referens eller citering görs till namngiven person ska också intervjupersonen få möjlighet att godkänna texten innan publicering. Om du gör anteckningar eller transkriberingar av intervjuer, är rekommendationen att intervjupersonen ges möjlighet att ta del av dessa och verifiera innehållet.
Den registrerades rättigheter
Den person vars uppgifter samlas in har vissa rättigheter gentemot universitetet som personuppgiftsansvarig, såsom möjligheten att kostnadsfritt få ta del av de uppgifter som hanteras i studien och vid behov att få eventuella fel rättade. Deltagare kan också begära att få uppgifter raderade samt att behandlingen av personuppgifter begränsas. Se ytterligare om rättigheter här.
Om den registrerade vänder sig till dig som student, med en begäran om att använda någon av sina rättigheter, vänligen kontakta din handledare.
Radering av insamlade personuppgifter
Personuppgifter får bara sparas så länge som de behövs för att uppfylla syftet med insamlingen. Personuppgifter som du har samlat in enbart för användning i ditt studentarbete ska därför raderas när kursen har avslutats och betyg har lämnats. Notera att detta inte gäller om dina uppgifter ska användas i exempelvis ett kommande forskningsprojekt eller liknande. Stäm av med din handledare vad som gäller för aktuella uppgifter.
Uppdaterad:
Sidansvarig: Studentavdelningen