Dataskyddsförordningen (GDPR) - undervisar men handleder inte

Linnéuniversitetet är inte bara personuppgiftsansvarigt för de behandlingar som utförs inom administration och forskning utan också för studenternas behandlingar så länge dessa är en del av utbildningen. Detta innebär att om en student upprättar en behandling av personuppgifter så gäller samma regler som för lärosätets övriga behandlingar. Det måste finnas en grund för behandlingen, principerna måste följas (hanteringen skall vara laglig, öppen, korrekt, ändamålsenlig och uppgiftsminimerad), de registrerade måste informeras och behandlingen skall registreras i universitetets register över personuppgiftsbehandlingar.

Att studenter upprättar en personuppgiftsbehandling inom ramen för sin utbildning är något som kan ske exempelvis då de skriver examensarbeten. Det är därför viktigt att de som fungerar som handledare är väl medvetna om att reglerna för personuppgiftsbehandling också gäller för våra studenter och kan stödja dem. Universitetet har som hjälp och stöd tagit fram en informationsskrift, som ingår som en del av detta utbildningsmaterial, direkt riktad till studenter som skall behandla personuppgifter och som täcker de vanligaste frågorna. Ytterligare stöd finns genom dataskyddsombudet.

För studenternas arbeten kan det vara svårt att finna en grund för behandlingen utöver samtycke vilket gör det extra viktigt att man förstår vikten av att lämna korrekt information till de registrerade och att samla in och spara samtyckena. Självklart gäller detta bara behandlingar som omfattar personuppgifter och det kan vara lämpligt att inför examensarbetet fundera på om det är nödvändigt att arbetet verkligen innehåller personuppgifter eller om det skulle kunna lösas med anonyma uppgifter som inte omfattas av kraven. Viktigt här är att komma ihåg att kraven gäller inte bara det färdiga examensarbetet utan även vägen fram dit vilket innebär att om det färdiga arbetet inte innehåller personuppgifter men sådana har använts på vägen dit gäller kraven i enlighet med dataskyddsförordningen. Det är också viktigt att komma ihåg att pseudonymiserade uppgifter räknas som personuppgifter och det krävs alltså att det inte finns någon möjlighet att återskapa en koppling mellan uppgifterna och den fysiska personen för att de skall räknas som anonyma.

Vad en student får samla in med samtycke som grund för behandlingen är inte begränsat men uppgifterna får inte vara mer omfattande än nödvändigt och de ska samlas in för ett specifikt och uttryckligt angivet ändamål. Insamling, hantering och lagring måste ske på ett säkert sätt som motsvarar känsligheten hos uppgifterna och precis på samma sätt som för övriga behandlingar skall det göras en konsekvensbedömning om det är sannolikt att behandlingen kan leda till hög risk för de registrerades fri- och rättigheter. Vid vilka tillfällen det behövs en konsekvensbedömning, och för hjälp med själva bedömningen, kontakta dataskyddsombudet.

Det är särskilt viktigt för dig som fungerar som handledare att känna till att även studenternas behandlingar omfattas av lärosätets ansvar och regler samt att det finns en informationstext som vänder sig direkt till studenter som ska behandla personuppgifter.