Dataskyddsombudet

Bakgrund

Den allmänna dataskyddsförordningen (GDPR) gäller för den personuppgiftsbehandling som sker inom Stockholms universitets verksamhet. När universitetet bestämmer varför och hur personuppgifter ska behandlas, behöver universitetet följa GDPR och kunna visa på att lagen efterlevs. Om studenter inom ramen för en kurs, såsom en examensarbeteskurs, behandlar personuppgifter för att kunna genomföra ett kursmoment, innebär det ett ansvar för universitetet att efterleva GDPR i förhållande till de personuppgiftsbehandlingarna ((jfr samrådsyttrande från IMY, tidigare Datainspektionen 2005-02-25, dnr 919-2004). Detta ställer krav på universitetet att medvetandegöra för studenter vad som gäller enligt lagstiftningen när de ska behandla personuppgifter inom ramen för studier. Det ställer också krav på studenter att behandla personuppgifter i enlighet med gällande rätt.

Detta är en rekommendation från dataskyddsombudet vid Stockholms universitet som handlar om GDPR i förhållande till studentarbeten. Rekommendationen kan tjäna som rättslig vägledning för institutioner vid Stockholms universitet om det är aktuellt för studenter att behandla personuppgifter vid genomförande av utbildning.

Du kan läsa mer om personuppgifter och dataskydd på Stockholms universitets medarbetarwebb. Där hittar du bl.a. definitioner för vanliga begrepp och information om olika roller, t.ex. om rollen som personuppgiftsansvarig, dataskyddsombudet och Integritetsskyddsmyndigheten.

Ansvar

Stockholms universitet är personuppgiftsansvarig organisation för de personuppgifter som behandlas inom universitetets verksamhet. Ansvaret för det operativa genomförandet av dataskyddslagstiftningen inom Stockholms universitet bör därför följa de besluts- och delegationsordningar som gäller på universitetet. Studenter behöver inom ramen för sina studier sätta sig in i vad som gäller för att deras hantering av personuppgifter ska bli korrekt, men ansvaret för behandlingen vilar på lärosätet. Varje institution inom Stockholms universitet bör därför ha tydliga rutiner för hur arbetet med dataskydd ska organiseras, både generellt och när det gäller specifikt, såsom för studenters behandling av personuppgifter. Det kan t.ex. vara lämpligt att det vid varje institution utses en kontaktpunkt för arbete med dataskydd som kan samordna och administrera institutionens arbete med dataskydd. Det är också en god idé att institutionen ser till att handledare för examensarbeten har god kunskap om vilka krav dataskyddslagstiftningen ställer vid behandling av personuppgifter.

Insamling och bearbetning av personuppgifter

Personuppgiftsbehandling får bara ske för ett uttryckligt ändamål (såsom färdigställandet av en uppsats), personuppgifterna får inte sparas längre än nödvändigt och ska hanteras säkert, både genom säkra tekniska lösningar och genom regelverk och administrativa åtgärder. Desto fler uppgifter som hanteras och ju känsligare uppgifterna är, desto högre säkerhet krävs för uppgifterna ifråga. Fler uppgifter än de som är nödvändiga för genomförandet av arbetet får inte behandlas (uppgiftsminimering).
Redan när uppgifterna samlas in måste man veta vad de ska användas till. På så vis undviker man att samla in mer information än nödvändigt, och man har klart för sig av vilken anledning behandling av uppgifterna sker.
Exempel på när studenter behandlar personuppgifter i sina studier är när de:

• skriver en uppsats eller examensarbete som innehåller uppgifter om nu levande personer
• utför en uppgift som går ut på att de skickar ut och tar in svar från enkäter
• utför en uppgift som går ut på att de filmar, spelar in ljudfiler eller tar bilder av personer
• hämtar uppgifter om personer från webbplatser, databaser eller andra typer av register för att sedan använda dessa uppgifter i ett arbete som genomförs inom ramen för utbildningen

Rättslig grund

För varje personuppgiftsbehandling måste det finnas en rättslig grund, (ibland även kallad laglig grund). Denna rättsliga grund är fördefinierad i art. 6 GDPR och behöver i vissa fall kopplas till de lagar och regler som styr verksamheten ifråga.

Av artikel 6.1 (e) och artikel 6.3 GDPR följer att personuppgiftsbehandling är laglig om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som är fastställd i en medlemsstats nationella rätt. I svensk lagstiftning är det genom den kompletterande dataskyddslagen (2018:218), DL 2 kap. 2 § fastställt att personuppgifter får behandlas med stöd av artikel 6.1 (e) i GDPR, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning.

Stockholms universitets uppdrag utgår från högskolelagen (1992:1434), HL.

I 1 kap. 2 § HL stadgas att staten ska anordna högskolor för utbildning som vilar på vetenskaplig grund samt på beprövad erfarenhet. Av 1 kap. 7-9 §§ HL framgår sammanfattningsvis att utbildning ska ges på grundnivå, avancerad nivå och forskarnivå, att utbildningarna bl.a. ska utveckla studenternas förmågor att göra självständiga och kritiska bedömningar samt söka och värdera kunskaper på vetenskaplig nivå och att utbildning på avancerad nivå ska innebära fördjupning av kunskaper, färdigheter och förmågor i förhållande till utbildning på grundnivå.

Rättslig grund för studenters behandling av personuppgifter inom ramen för sina studier bör vara allmänt intresse jämlikt art. 6.1 (e) GDPR, 2 kap. 2 § DL och 1 kap. 2 § och 7-9 §§ HL. Det är dock alltid den personuppgiftsansvarige som har att bedöma vilken rättslig grund som ska tillämpas för en personuppgiftsbehandling. Om institutionen överväger annan rättslig grund för studenters behandling av personuppgifter kan dataskyddsombudet kontaktas för rådgivning.

Särskilt om samtycke

Stockholms universitet är en statlig myndighet och agerar som sådan utifrån sitt lagstadgade uppdrag (jfr ovan). Det är viktigt att skilja på samtycke som integritetsstärkande åtgärd (jfr nedan under Känsliga personuppgifter) och samtycke som rättslig grund för personuppgiftsbehandling. Samtycke som rättslig grund för personuppgiftsbehandling är omgärdat av strikta krav i GDPR och finns det annat rättsligt stöd för behandlingen bör det stödet användas för behandlingen. Ett samtycke kan t.ex. återkallas, vilket innebär att fortsatt behandling av uppgifterna inte är tillåten efter ett återkallande.

Den personuppgiftsansvarige ska vidare kunna visa att samtycke har lämnats, vilket bl.a. innebär administration kring inhämtande och lagring av samtycket. Det får inte heller råda något tvivel om att samtycket är frivilligt lämnat och samtycket får inte blandas ihop med annan information eller frågor. Därför är det också lämpligare att allmänt intresse i första hand används som rättslig grund när studenter behandlar personuppgifter inom ramen för sina studier.

Nödvändighetskriterium

En ytterligare förutsättning för personuppgiftsbehandlingen är att den ska vara nödvändig för att studenten ska kunna tillgodogöra sig sin utbildning. För att en personuppgiftsbehandling ska anses vara nödvändig behöver behandlingen vara ändamålsenlig, effektiv och proportionerlig. Behandlingen får inte innebära ett onödigt intrång i enskildas privatliv. Inför ett studentarbete behöver detta nödvändighetskriterium beaktas. Om arbetet kan genomföras med bibehållen kvalitet utan att personuppgifter behandlas är personuppgiftsbehandlingen inte nödvändig. Arbetet bör då genomföras på det sätt som innebär att personuppgifter inte behandlas.

Känsliga personuppgifter

Behandling av känsliga personuppgifter är som huvudregel inte tillåten enligt GDPR. För att kunna behandla känsliga personuppgifter måste den som vill göra så hitta ett stöd i något av undantagen i art. 9.2 GDPR. Ett sådant undantag är viktigt allmänt intresse i art. 9.2 (g) GDPR. Enligt denna bestämmelse måste det också finnas grund för sådan behandling i den nationella rätten. Regeringen har i förarbeten (prop. 2017/18:218 s. 54 och 128) konstaterat att utbildning rör ett viktigt allmänt intresse. Av DL 3 kap. 3 § p 3 framgår att känsliga personuppgifter får behandlas av en myndighet om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Detta innebär att om en student planerar att behandla känsliga personuppgifter i sitt studentarbete måste institutionen se till att detta sker på ett sätt som inte skadar de registrerades integritet på ett otillbörligt sätt. Att analysera vad, hur och varför studenterna ska genomföra arbetet samt fundera på hur personuppgifterna kan skyddas genom exempelvis behörighetshantering, lösenordsskydd och pseudonymisering är en bra start för att se till så att de registrerades integritet får ett tillräckligt skydd och inte skadas på ett otillbörligt sätt. Nödvändighetskriteriet (jfr ovan) ska särskilt beaktas, dvs personuppgiftsbehandlingen ska vara nödvändig för att studenten ska kunna tillgodogöra sig utbildningen och den aktuella behandlingen ska vara ändamålsenlig, effektiv och proportionerlig i förhållande till syftet med behandlingen.

Studenters behandling av känsliga personuppgifter står inte under kontroll av Etikprövningsmyndigheten på samma vis som forskning, där ansökan om etikprövning enligt 3 § Etikprövningslagen (2003:460), EPL behöver ske vid forskning som innebär behandling av känsliga personuppgifter. Det är istället universitetet som måste säkerställa att ett studentarbete kan genomföras under etiskt säkerställda och trygga former (jfr prop. 2007/08:44 s 20 f). Ett integritetsstärkande samtycke bör därför, när det är möjligt, inhämtas av studenter som planerar att behandla känsliga personuppgifter inom ramen för sina studier. När den rättsliga grunden för personuppgiftsbehandlingen är allmänt intresse så kan ett inhämtat samtycke innebära en säkerhetsåtgärd för behandlingen som stärker skyddet för de registrerade och deras integritet. Institutionen bör därför tillhandahålla stöd och rutiner till studenter som förväntas genomföra sådana studier för att säkerställa att behandlingen sker på ett lagligt och etiskt försvarbart sätt.

I sammanhanget kan noteras att det finns möjlighet för institutionen att begära ett rådgivande yttrande från etikprövningsmyndigheten i enlighet med 4 a § förordning (2003:615) om etikprövning av forskning som avser människor, över arbeten eller studier som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.

Personuppgifter om lagöverträdelser

Studenter får behandla personuppgifter om lagöverträdelser när det är nödvändigt för att tillgodogöra sig utbildningen med stöd av den rättsliga grunden allmänt intresse (art. 6.1(e) GDPR jämlikt HL 1 kap. 2 § och 7-9 §§) och 3 kap 8 § DL, av vilken framgår att sådana uppgifter får behandlas av myndigheter. I likhet med studenters behandling av känsliga personuppgifter enligt ovan så gäller även för studenters behandling av personuppgifter om lagöverträdelser, att institutionen behöver tillhandahålla stöd och rutiner till studenter som förväntas genomföra sådana studier. Eftersom skyldighet att etikpröva sådan behandling inte gäller för studenter behöver institutionen också i dessa fall säkerställa att behandlingen sker på ett lagligt och etiskt försvarbart sätt.

Konsekvensbedömning

Om en personuppgiftsbehandling innebär ökad risk för de registrerade ställer GDPR krav på att den personuppgiftsansvarige genomför en särskild bedömning (konsekvensbedömning) av riskerna och analyserar samt dokumenterar vilka riskminimerande åtgärder som kan och ska vidtas i förhållande till personuppgiftsbehandlingen. Europeiska dataskyddsstyrelsen (EDPB) har tagit fram riktlinjer för när en konsekvensbedömning bör genomföras av den personuppgiftsansvarige. En konsekvensbedömning ska i enlighet med dessa kriterier bl.a. genomföras om känsliga personuppgifter behandlas i stor omfattning. Det bör vara mycket sällsynt att studenters behandlingar av personuppgifter innebär att en konsekvensbedömning av behandlingen krävs. Vid osäkerhet om en konsekvensbedömning behöver genomföras kan dataskyddsombudet vid universitetet kontaktas för rådgivning.

De registrerades rättigheter

Genom GDPR har den registrerade individen en rad rättigheter som är till för att individen inte ska förlora, och kunna utöva, kontroll över sina personuppgifter.

• Alla registrerade har rätt att i förväg få information på ett klart och tydligt sätt om den tänkta personuppgiftsbehandlingen. Tanken med denna information är att individen ska kunna förutse vad som kommer hända med de personuppgifter som behandlas.
• De registrerade har också rätt att få del av vilka uppgifter som behandlas (registerutdrag), att få felaktig information korrigerad utan onödigt dröjsmål och att få personlig information raderad, om det är juridiskt möjligt. Individerna har vidare rätt att invända mot behandlingen, att återkalla eventuella samtycken och att klaga till tillsynsmyndigheten IMY om de anser att behandlingen är felaktig.

Informationsplikt

Vid insamling av personuppgifter finns en skyldighet att lämna information till den registrerade som bl.a. ska innehålla:

• identitet och kontaktuppgifter för institutionen (personuppgiftsansvarig enligt delegation, jfr ovan)
• kontaktuppgifter till dataskyddsombudet: dso@su.se
• ändamålet med/anledningen till behandlingen samt det rättsliga stödet för denna
• mottagare av/vem som kommer att ta del av uppgifterna (om uppgifter hanteras i en molntjänst, är t.ex. tjänsteleverantören mottagare av uppgifter)
• eventuell överföring till länder utanför EU och information om skyddsnivån hos mottagaren
• hur de registrerade ska gå tillväga för att utverka sina rättigheter, såsom radering, rättelse eller registerutdrag

Uppgifterna ska behandlas på ett korrekt och öppet sätt i förhållande till den registrerade. Om den registrerade har frågor eller vill använda sig av sina rättigheter finns det en skyldighet att hjälpa till. Detta gäller så länge som det inte finns hinder mot detta på grund av exempelvis sekretess- eller arkiveringsregler.

Säkerhet

De insamlade uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av tekniska eller organisatoriska åtgärder. Detta omfattar skydd mot obehörig eller otillåten behandling och skydd mot förlust, förstöring eller skada genom olyckshändelse. Institutionen har ett ansvar för att se till att studenten vidtar säkerhetsåtgärder såsom kodning, kryptering, lösenordsskydd och allmän uppgiftsminimering (dvs att inte behandla fler uppgifter än vad som är absolut nödvändigt för studentarbetets genomförande) samt att uppmana studenterna att inte dela med sig av uppgifter till obehöriga.

Registerförteckning

Stockholms universitet är enligt GDPR skyldig att föra ett register över sina personuppgiftsbehandlingar. Registerförteckning är en förteckning över de personuppgiftsbehandlingar som sker inom ramen för Stockholms universitets verksamhet. Registerförteckningen är därmed strukturerad information om de personuppgiftsbehandlingar som förekommer vid universitetet, men innehåller inte personuppgifter i sig.