Dataskydd och personuppgifter
Dataskyddsförordningen (GDPR) innebär att individens rättigheter stärks samtidigt som det ställs högre krav på de som samlar in och behandlar personuppgifter. Reformen är en modernisering av lagstiftningen som anpassats till ett mer digitalt samhälle.
Integritetspolicy
Du kan läsa om hur Jönköping University hanterar personuppgifter i integritetspolicyn Pdf, 501.7 kB, öppnas i nytt fönster..
Dataskyddsförordningens grunder
Dataskyddsförordningen gäller som lag i alla EU:s medlemsländer från och med den 25 maj 2018. Förordningen kommer att innebära en hel del förändringar för de som behandlar personuppgifter och stärkta rättigheter för den enskilde när det gäller personlig integritet.
All behandling av personuppgifter måste uppfylla de grundläggande principer som anges i dataskyddsförordningen. Principerna innebär förenklat att personuppgifter bara får samlas in för vissa berättigade ändamål, att inte fler uppgifter än nödvändigt får behandlas, och att uppgifterna inte får sparas längre tid än nödvändigt. Det är också viktigt att tänka på att personuppgifterna alltid måste hanteras på ett säkert sätt.
En övergripande tanke med de nya reglerna i dataskyddsförordningen är att betona att den som behandlar personuppgifter måste ta ansvar för att förordningens regler följs och att man även ska kunna visa detta genom skriftlig dokumentation. Det är därför mycket viktigt att du som student har en grundläggande kunskap om de regler som styr behandling av personuppgifter.
Några grundläggande begrepp
Personuppgifter
Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Typiska personuppgifter är personnummer, namn, adress och IP-nummer, men även flera uppgifter som gemensamt kan kopplas till en fysisk person räknas som personuppgifter.
Även om du som behandlar uppgifterna inte vet eller ens har möjlighet att ta reda på vilken personen det gäller kan det vara behandling av personuppgifter. För att avgöra om en fysisk person är identifierbar ska man beakta alla hjälpmedel som – antingen av den personuppgiftsansvarige eller av en annan juridisk eller fysisk person – rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. Så länge det t.ex. finns en kodnyckel sparad någonstans som gör att uppgifterna kan kopplas till en viss person är det personuppgifter.
Behandling av personuppgifter
Behandling av personuppgifter är ett mycket omfattande begrepp. Alla former av åtgärder med personuppgifter räknas som behandling av personuppgifter, från det att uppgifterna samlas in tills det att uppgifterna slutligt har raderats eller förstörts.
Exempel på behandling av personuppgifter är enligt definitionen i dataskyddsförordningen insamling, registrering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning, spridning och slutligen även själva raderingen eller förstöringen av personuppgifterna. Tänk på att t.ex. utskrift av personuppgifter på skrivare och skickande av e-post alltid innebär behandling av personuppgifter.
Personuppgiftsansvarig
Personuppgiftsansvarig är den som bestämmer ändamålen och medlen för behandlingen av personuppgifter.
Vem ansvarar för studenternas behandling av personuppgifter?
Respektive fackhögskola inom Jönköping University är personuppgiftsansvarig för den behandling av personuppgifter som sker inom respektive lärosätets verksamhet. Detta gäller inte bara den behandling som sker av lärare och administrativ personal, utan högskolan ansvarar som huvudregel även för den behandling av personuppgifter som studenterna utför inom ramen för utbildningen. Om en student t.ex. behandlar personuppgifter i sitt uppsatsarbete omfattas behandlingen därför av reglerna i dataskyddsförordningen och det är respektive fackhögskola inom Jönköping University som ansvar för att reglerna följs.
Det finns dock vissa undantagssituationer. Om en student t.ex. genomför verksamhetsförlagd utbildning (VFU) är det som huvudregel istället praktikplatsen som är personuppgiftsansvarig när studenten utför olika arbetsuppgifter inom exempelvis skola eller hälso- och sjukvården (på samma sätt som praktikplatsen är personuppgiftsansvarig när dess anställda behandlar personuppgifter).
Grundläggande principer för behandling av personuppgifter
Varje behandling av personuppgifter som utförs måste uppfylla de sex grundläggande principer som anges i dataskyddsförordningen (artikel 5 GDPR). När studenter vid Jönköping University behandlar personuppgifter måste högskolan därför säkerställa och kunna visa att behandlingen uppfyller nedanstående krav.
- Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den vars personuppgifter vi behandlar, dvs. den registrerade (laglighet, korrekthet och öppenhet).
- Uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning).
- Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
- Uppgifterna ska vara korrekta och om nödvändigt uppdaterade (korrekthet).
- Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (lagringsminimering).
- Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna (integritet och konfidentialitet).
Detta är grundprinciperna för all behandling av personuppgifter och alla aktiviteter ska ses mot bakgrund av ovanstående punkter.
Studenters behandling av personuppgifter kräver samtycke
Utgångspunkten i dataskyddsförordningen är att varje person äger sina egna personuppgifter. De personer som t.ex. ska delta i en studie måste därför själva få möjlighet att ta ställning till om personuppgifter som avser honom eller henne ska få behandlas.
För att detta ska vara möjligt måste varje enskild person först tillhandahållas information om vad personuppgiftsbehandlingen innebär, och därefter ges möjlighet att ta ställning till om han eller hon samtycker till behandlingen (informerat samtycke).
Känsliga personuppgifter
Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd i dataskyddsförordningen. Dessa kallas känsliga personuppgifter. Med känsliga personuppgifter menas uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Även personuppgifter som t.ex. modersmål eller hemspråk kan vara känsliga personuppgifter då dessa i vissa fall indirekt kan härleda till etniskt ursprung.
Utgångspunkten i dataskyddsförordningen är att det är förbjudet att behandla känsliga personuppgifter.
Behandling av känsliga personuppgifter i uppsatsarbeten
Det finns vissa undantag från förbudet att behandla känsliga personuppgifter i dataskyddsförordningen, men behandlingen måste alltid ske restriktivt och med höga krav på organisatoriska och tekniska säkerhetsåtgärder. De omfattande möjligheterna att behandla känsliga personuppgifter för forskningsändamål som ges i dataskyddsförordningen och etikprövningslagen är inte tillämpliga inom utbildning på grundnivå eller på avancerad nivå eftersom detta inte räknas som forskning.
Av prop. 2007/08:44 Vissa etikprövningsfrågor m.m. framgår också att ”regeringen menar att det inte är rimligt att förvänta sig att studenter som genomgår utbildning på grundnivå eller på avancerad nivå med säkerhet har hunnit tillägna sig kunskaper och insikter i den omfattning som krävs för att säkerställa skydd för de personer som medverkar i forskning. Studenterna bör därför inte åläggas det ansvar som det innebär att bedriva verksamhet där människor medverkar och där det finns risk att skada dessa människor fysiskt, psykiskt eller integritetsmässigt”.
Enda undantaget från denna regel är när studenter skriver sitt uppsatsarbete inom ramen för ett forskningsprojekt vid Jönköping University som har fått ett etikgodkännande från en regional etikprövningsnämnd.