Personuppgifter inom studierna

Inled med att bestämma syftet med arbetet du ska genomföra – det är detta som är ändamålet med din behandling av personuppgifter.

När du behandlar personuppgifter för att kunna tillgodogöra dig din utbildning är det allmänt intresse som används som rättslig grund.

Fundera på om det är lämpligt och nödvändigt att behandla personuppgifter för att uppnå syftet eller om du kan uppnå samma syfte utan att behandla personuppgifter. Om det är nödvändigt, försök att avgränsa din behandling till så få personuppgifter som möjligt.

Med din handledare ska du även bedöma lämpligheten i det tilltänka arbetet. Är arbetet något som ryms inom din utbildning? Kan det utföras så att integriteten för de personer vars personuppgifter som ska behandlas inte påverkas negativt? Hur denna bedömning ska göras kan du läsa mer om på sidan Känsliga personuppgifter. 

Lämplighets- och nödvändighetsbedömningen ska göras oavsett om du ska behandla känsliga eller ”vanliga” personuppgifter. 

Bedöm vilka typer av personuppgifter som är nödvändiga att behandla inom ramen för ditt arbete. Skriv även ner ditt ändamål/syfte med behandlingen så kortfattat som möjligt.

Bestäm hur du ska samla in, lagra och på annat sätt behandla personuppgifter.

Kom ihåg att enbart använda de verktyg och tjänster som tillhandahålls av universitetet. Det är inte tillåtet att använda sig av gratistjänster som du har tillgång till fritt på internet. De verktyg som tillhandahålls via universitetet hittar du på följande sidor: 

Digitala verktyg
Andra digitala verktyg och programvaror

Du behöver också använda relevanta säkerhetsåtgärder (exempelvis kodade uppgifter istället för utskrivna namn). Läs mer om säkerhetsåtgärder på sidan Känsliga personuppgifter.

Du har bara rätt att behandla personuppgifter så länge som det är nödvändigt för att du ska kunna genomföra ditt arbete. Efter avslutat arbete ska personuppgifterna raderas.

Om du planerar att samla in vanliga personuppgifter direkt från den registrerade personen ska denne informeras om hur personuppgiftsbehandlingen går till. Universitetet har en mall som ska användas, du hittar den under "Mallar" på denna sida. 

Du behöver inte få ett samtycke från den registrerade vid behandling av vanliga personuppgifter.

Om du planerar att samla in känsliga personuppgifter direkt från den registrerade personen ska denne även samtycka till behandlingen av personuppgifter. Du ska då i samband med att du får samtycket också informera om hur personuppgiftsbehandlingen går till. Universitetet har en mall som ska användas, du hittar den under "Mallar" på denna sida.  

Om du har hämtat in uppgifterna från en annan än direkt från den registrerade personen är det i många fall omöjligt att inhämta ett samtycke och informera om behandlingen utan att behöva samla in kontaktinformation från annan källa. Du ska då inte gå till ett annat register (exempelvis folkbokföringen) för att kunna kontakta den registrerade angående behandlingen som utförs av dig.

Som personuppgiftsansvarig är universitetet skyldigt att kunna visa att lagstiftningen följs. För att kunna ha kontroll över de behandlingar av personuppgifter som sker vid universitetet ställs det krav på en så kallad registerförteckning. Registret ska bland annat innehålla information om vilka personuppgifter som behandlas, ändamålet med behandlingen samt kontaktuppgifter till den som är ansvarig.

När du inom studierna behandlar personuppgifter är du som gör arbetet som är ansvarig för behandlingen och som därför är kontaktperson för de vars personuppgifter som behandlas. Universitetet är dock fortfarande personuppgiftsansvarig och är den organisation som hålls rättsligt ansvarig om behandlingen inte följer reglerna i GDPR.

Innan du påbörjar personuppgiftsinsamlingen ska du anmäla ditt arbete till universitetets register över behandlingar. Du anmäler i systemet DraftIT: 

Till formulär i DraftIT

När du loggat in i DraftIT ska du fylla i formuläret och svara på de frågor som finns där. Kom ihåg att slutföra registreringen helt innan du stänger ner formuläret.

Du får inte automatiskt någon återkoppling när registreringen i Draftit har hanteras, och utöver registreringen i systemet måste du också säkerställa med din handledare eller med kursansvarig lärare att tillvägagångssättet är korrekt inom ramen för utbildningen. 

Var noggrann och behandla bara uppgifterna på det sätt som du informerat om samt angett i anmälan till registret. Ändras ändamålet eller sättet du behandlar uppgifterna på, behöver du upprepa de steg i listan ovan som påverkas av förändringen. När du är klar (examinerad) raderar du de uppgifter som inte längre behövs.

Vad är en personuppgift?

Personuppgifter är all slags information som kan knytas till en levande fysisk person. Typiska exempel är namn, adress och personnummer. Även foton på personer kan utgöra personuppgifter i de fall som personen på fotot kan identifieras. Registreringsnumret på en bil kan vara en personuppgift om det går att knyta uppgiften om bilen till en enskild fysisk person.

Känsliga personuppgifter

I GDPR görs skillnad mellan ”vanliga” personuppgifter och sådana uppgifter som benämns som känsliga. Känsliga personuppgifter anses behöva särskilt skydd. Utgångspunkten är att behandling av känsliga personuppgifter är förbjuden om det inte går att använda sig av något av undantagen i GDPR. Med känsliga personuppgifter avses uppgifter om:

• etniskt ursprung
• politiska åsikter
• religiös eller filosofisk övertygelse
• medlemskap i en fackförening
• hälsa
• en persons sexualliv eller sexuella läggning
• genetiska uppgifter
• biometriska uppgifter som används för att entydigt identifiera en person.

Extra skyddsvärda personuppgifter

Person- och samordningsnummer är inte känsliga personuppgifter. Däremot anses de extra skyddsvärda och ska därför behandlas särskilt varsamt.

Utöver person- och samordningsnummer är barns personuppgifter särskilt skyddsvärda. Detta beror på att barn inte anses kunna ta tillvara sina rättigheter på samma sätt som en vuxen och kan ha svårare att förutse konsekvenserna av behandlingen av deras personuppgifter.

Prata med din handledare om du har tänkt att behandla barns personuppgifter och om du i så fall behöver vidta några ytterligare åtgärder, som exempelvis mer och tydligare information till de registrerade. GDPR ställer till exempel krav på att information som ges till barn ska vara särskilt anpassat för deras ålder.

Vad är en behandling?

Behandling definieras i GDPR som i stort sett alla åtgärder som kan vidtas med personuppgifter, oavsett om det sker elektroniskt eller inte. Exempel på behandlingar är att samla in, registrera, lagra, bearbeta, rätta, radera eller överföra. Det är dock bara behandlingar som helt eller delvis genomförs på automatiserad väg (det vill säga elektroniskt) eller sådana behandlingar som förekommer i manuella register (exempelvis listor) som omfattas av GDPR.

Rättsliga grunder för behandling

För att få behandla personuppgifter måste det finnas minst en rättslig grund för behandlingen. För behandling av personuppgifter inom ramen för en utbildning är det i första hand den rättsliga grunden allmänt intresse eller myndighetsutövning som används. 

• Allmänt intresse eller myndighetsutövning
  Ibland kan du behöva behandla personuppgifter för att kunna tillgodogöra dig utbildningen. Rättslig grund för behandlingen är då att den utgör ett nödvändigt allmänt intresse. Universitet kan tillämpa denna rättsliga grund för sina studenters räkning eftersom universitetet genom bestämmelser i högskolelag och högskoleförordning har fått i uppdrag att bedriva utbildning på grund- och avancerad nivå.
• Samtycke
  I undantagsfall kan den rättsliga grunden samtycke användas. Du kan behandla personuppgifter efter att ha inhämtat samtycke från den registrerade. Tänk på att ett återkallat samtycke ska respekteras om du använder dig av denna rättsliga grund. Om du och din handledare bedömer att samtycke är den bästa rättsliga grunden för ditt arbete, ta kontakt med dataskydd@gu.se. 

Behandling av olika typer av personuppgifter

Känsliga personuppgifter får som huvudregel inte behandlas, men det finns undantag. Eftersom känsliga personuppgifter anses ha ett större skyddsvärde än andra personuppgifter ställs det högre krav på att dessa uppgifter ges ett mer omfattande skydd.

Mer information om när du kan behandla känsliga personuppgifter hittar du på sidan Känsliga personuppgifter. Diskutera med din handledare om hur du uppfyller förutsättningarna.

De extra skyddsvärda personuppgifterna, som person- och samordningsnummer, får behandlas med stöd av de registrerades samtycke. Utan samtycke får personnummer bara behandlas om det är klart motiverat med hänsyn till:

• ändamålet med behandlingen,
• vikten av en säker identifiering, eller
• något annat beaktansvärt skäl.

Det kan också finnas särskilda bestämmelser som ger möjlighet till att personnummer och samordningsnummer får behandlas.

Personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott får som huvudregel inte behandlas om det inte uttryckligen framgår av svensk eller europeisk rätt att man får behandla uppgifterna i sin verksamhet. De uppgifter som avses här kan vara allt ifrån målnummer till uppgifter som rör en eventuell häktningsframställan och fällande domar.

Mer information om när du kan behandla känsliga personuppgifter hittar du på sidan Känsliga personuppgifter. Diskutera med din handledare om hur du uppfyller förutsättningarna.

Grundläggande principer

I GDPR finns ett antal grundprinciper som alltid måste följas. Du måste tänka igenom hur du följer dessa principer när du behandlar personuppgifter inom ramen för dina studier:

• Personuppgiftsbehandlingen ska vara laglig, korrekt och öppen i förhållande till den registrerade.
• Personuppgifter får bara behandlas för särskilda, tydligt angivna och berättigade ändamål.
• Personuppgifterna ska vara relevanta men inte för omfattande i förhållande till ändamålet.
• Personuppgifterna ska vara korrekta och uppdaterade.
• Personuppgifterna får inte sparas längre än nödvändigt.
• Personuppgifterna ska ges tillräckligt skydd.
• Personuppgiftsansvarig (universitetet) ansvarar för och ska kunna visa att principerna följs. Göteborgs universitetet är alltså ansvarig för den personuppgiftsbehandling som du genomför som student.

De registrerades fri- och rättigheter

När du behandlar personuppgifter inom ramen för dina studier ska du, för Göteborgs universitets räkning, säkerställa att de registrerades rättigheter tillgodoses. På vår externa webb finns mer information om de registrerades rättigheter.