Dataskyddsförordningen (GDPR) - undervisar och handleder

Steg 6 - Inhämta samtycke, informera de registrerade och samla in de nödvändiga personuppgifterna

Personuppgifter får endast behandlas om det finns laglig grund för behandlingen. Dataskyddsförordningen anger ett antal grunder som betraktas som tillåtna men för ett examensarbete är det i praktiken endast samtycke som kan komma ifråga (om det inte är möjligt att använda samtycke bör du ta upp detta med din handledare och dataskyddsombudet för att se om det går att finna en annan lösning). Att använda samtycke som grund innebär att den registrerade ger sitt aktiva samtycke till behandlingen. Detta innebär i praktiken att du, på ett tydligt och klart sätt talar om vilka uppgifter du vill samla in, vad de ska användas till och av vem/vilka, hur länge uppgifterna ska användas, att det finns möjlighet att begära att få se den insamlade informationen och att det finns möjlighet att vända sig till dataskyddsombudet eller Datainspektionen med klagomål. Efter det att den registrerade har tagit del av informationen kan han/hon ge sitt samtycke till behandlingen och det är då tillåtet att behandla uppgifterna. Viktigt att veta om samtycke är att det skall registreras och sparas så att det kan plockas fram vid behov och att den registrerade har rätt att när som helst återkalla sitt samtycke. Samtycket skall dokumenteras. Om den registrerade har samtyckt till behandlingen får även känsliga uppgifter behandlas (observera att känsliga uppgifter ställer stora krav på säkerheten i hanteringen).

Grund för behandling

Dataskyddsförordningen tillåter endast behandling av personuppgifter om det finns en tillåten grund för behandlingen. För studenters examensarbeten är normalt samtycke den lämpliga grunden. Samtycke innebär att den registrerade själv godkänner att uppgifterna hanteras (detta förutsätter att den registrerade är minst 13 år gammal annars krävs vårdnadshavarens samtycke) och för att detta ska kunna ske korrekt måste denne få en klar och tydlig information om vilka uppgifter som ska användas och för vad de ska användas. Ett samtycke måste vidare vara frivilligt och det ska göras på ett sådant sätt att det dokumenteras och kan visas fram vid behov. Malmö universitet har flera olika blanketter för samtycke som kan användas. Det är också viktigt att komma ihåg att ett samtycke kan återkallas när som helst av den registrerade och uppgifterna får då normalt inte längre behandlas. Undantag kan finnas om exempelvis materialet har publicerats, arkiverats eller kommit att behandlas med en annan rättslig grund. Vid osäkerhet bör lärosätets dataskyddsombud kontaktas.

Information till den registrerade

Vid insamlingstillfället ska den registrerade få information om vilka uppgifter som samlas in. Detta är enkelt i de fall man samlar in uppgifterna direkt från den registrerade men kravet gäller också normalt i de fall man hämtar uppgifterna från en annan källa (se avsnittet om undantag från informationsplikten nedan). Information skall lämnas om:

• ändamålet med behandlingen,
• vilken rättslig grund det finns för behandlingen (normalt samtycke),
• hur länge uppgifterna ska användas
• vem/vilka som ska använda uppgifterna,
• att Linnéuniversitetet är personuppgiftsansvarig,
• att den registrerade har rätt att få tillgång till uppgifterna och få fel rättade,
• att det finns ett dataskyddsombud som kan nås via dataskyddsombud@lnu.se och
• att man kan vända sig till Datainspektionen med eventuella klagomål om inte universitetet och den registrerade kan komma överens.

Ändamålet är enkelt uttryckt målet för arbetet och skall beskrivas på ett enkelt och lättillgängligt sätt (se steg 2 ovan). Det behöver inte vara någon längre förklaring utan det räcker med en kortfattad beskrivning av vad man avser att använda de insamlade uppgifterna till. Den registrerade har rätt att få veta vad de insamlade uppgifterna ska användas till och den som samlar in och behandlar personuppgifter har en skyldighet att på ett klart och tydligt sätt redogöra för ändamålet med arbetet.  Frågan om rättslig grund gäller vilken av grunderna som beskrivs i förordningens 6:e artikel och för examensarbeten kommer, som nämnts ovan, normalt inte någon annan grund än samtycke att vara tillämplig. Det krävs inga längre texter men informationen kring de olika punkterna skall framgå klart och tydligt.

Undantag från informationsplikten

Om personuppgifter som redan tidigare har samlats in ska behandlas, kan det vid två tillfällen vara möjlighet att slippa informera den registrerade. Det första tillfället är om den registrerade redan är informerad dvs om uppgifterna tidigare samlades in för vetenskaplig användning som ligger i linje med den behandling som ska utföras genom examensarbetet. Personuppgifter som har insamlats för vetenskaplig behandling vid lärosätet kan alltså återanvändas utan att den registrerade informeras vid varje ny användning så länge information om detta har gjorts vid den ursprungliga insamlingen.

Det andra tillfället är om det är omöjligt eller om det skulle medföra en oproportionell ansträngning att informera. Kanske finns personuppgifter som behövs för arbetet men kontaktuppgifter saknas.. Det kan då vara möjligt att behandla uppgifterna utan att informera den registrerade men här måste ske en balans mellan hur svårt det är att informera och hur stor risk man utsätter den registrerade för för att kunna avgöra vad som är en oproportionell ansträngning. Vid osäkerhet kan dataskyddsombudet kontaktas.

Även om det alltså kan finnas tillfällen då man inte behöver informera den registrerade gäller detta endast informationsplikten och övriga regler för behandlingen gäller.

Den registrerades rättigheter

Den vars uppgifter behandlas har ett antal rättigheter som det är viktigt att tänka på. Detta gäller som tidigare har nämnts rätten att få information om vad uppgifterna ska användas till (ändamålet med behandlingen), vilka uppgifter som samlas in, hur länge uppgifterna kommer att sparas (eller vad som avgör hur länge de ska sparas) och rätten att få tillgång till de uppgifter som finns registrerade om den egna personen. Vidare har den registrerade också rättighet att invända mot behandlingen, få felaktiga uppgifter rättade, återkalla samtycke (utan att behöva ange någon anledning) och den registrerade har också rätt att klaga till Integritetsskyddsmyndigheten om denne anser att behandlingen är felaktig.

Rätten att radera uppgifter eller begränsa en behandling är inte en absolut rättighet och det kan finnas anledning att inte tillmötesgå en sådan begäran. För ett examensarbete kan det exempelvis vara fallet då ett arbete har publicerats och uppgifterna arkiverats för framtida forskningsändamål som skulle kunna skadas om uppgifterna raderades. Vid oklarheter kring vad som ska raderas och vad som ska bevaras bör dataskyddsombudet kontaktas. Generellt kan sägas att behandlingen av personuppgifter bör vara öppen och tydlig gentemot den registrerade och om det är möjligt bör vi tillmötesgå den registrerades önskemål.