Studentarbeten och behandling av personuppgifter

Är du i kontakt med studenter som ska göra studentarbeten? Då är det viktigt att du vet vad som gäller kring hur studenter får hantera personuppgifter i sina studentarbeten. Exempel på studentarbeten är examensarbeten, PM, uppsatser och inlämningsuppgifter.

Umeå universitet är ansvarig för den personuppgiftsbehandling som studenter gör inom ramen för sina studier, exempelvis när studenter behandlar personuppgifter i ett examensarbete. Därför är det viktigt att studentens hantering av personuppgifter sker på det sätt som dataskyddsförordningen (GDPR) kräver. Det finns en handläggningsordning som stöd för dig som handleder eller är lärare för en student som hanterar personuppgifter. Information till studenten finns även på studentsidorna på umu.se.

Läs regeln och handläggningsordningen.

Behandla personuppgifter i studentarbeten (umu.se/student)

Studentarbeten som är en del av ett forskningsprojekt vid Umu

När ett studentarbete utförs inom ett forskningsprojekt som bedrivs av Umeå universitet, ska studenterna följa samma riktlinjer för personuppgiftsbehandling som det aktuella forskningsprojektet.

Det är viktigt att studentens datahantering sker inom forskningsprojektets säkra lagringsytor och behörighetsstruktur.

Sekretessbelagda uppgifter omfattas av tystnadsplikt

När en student utför ett arbete inom ramen för ett forskningsprojekt på Umeå universitet omfattas studenten av den tystnadsplikt som gäller för anställda vid universitetet.

Självständiga studentarbeten

Ett självständigt studentarbete ingår inte som en del av ett forskningsprojekt. Här gäller delvis andra regler för hur en student får behandla personuppgifter.

Krav på samtycke och information

Behandling av både känsliga, integritetskänsliga och vanliga personuppgifter i självständiga studentarbeten kräver ett individuellt samtycke från varje person som medverkar i studien och vars personuppgifter som behandlas. Personen vars uppgifter som ska behandlas ska även få viss information innan den ger sitt samtycke om att delta i studien.

Studenten ska använda den mall som tagits fram för sådan information och när samtycken ska samlas in.

Mall för information och samtycke. (Svenska)

Mall för information och samtycke. (Engelska)

Användning av känsliga och integritetskänsliga personuppgifter bestäms av fakulteten 

Behandling av känsliga personuppgifter är som huvudregel förbjuden enligt GDPR. Lagen begränsar även möjligheten att behandla integritetskänsliga personuppgifter, till exempel lagöverträdelser. I ett självständigt studentarbete går det inte heller göra en etikprövning.

Det kan ändå finnas ett värde i att studenter på grundnivå och avancerad nivå i vissa fall tillåts att behandla känsliga eller integritetskänsliga personuppgifter i självständiga studentarbeten. Det rättsliga utrymmet för detta är dock mycket begränsat.

Även om universitet bedömt att det finns juridiska möjligheter för studenter att behandla integritetskänsliga och känsliga personuppgifter bör det observeras att de centrala tekniska lösningar som finns för att studenter ska kunna behandla denna typ av personuppgifter saknas i dagsläget. Om du har frågor kan du kontakta din fakultet.

  • För att det ska vara tillåtet att behandla känsliga eller integritetskänsliga personuppgifter i ett självständigt studentarbete måste det kunna säkerställas att projektet har genomförts under etiskt godtagbara former.
  • Inom ramen för regeln och handläggningsordningen har varje fakultet möjlighet att fastställa hur lämplighetsbedömningen sker. Denna bedömning bör utgå från en avvägning om de utbildningsmässiga behov som finns av en sådan behandling, samt risken för personens hälsa, säkerhet och personliga integritet som kan uppstå. Sådana riktlinjer ska ange vilken funktion som ska fatta beslut, och vilken funktion som ska säkerställa att grunderna för ett sådant beslut framgår och dokumenteras.
  • Det ska även framgå vilken funktion som ansvarar för den praktiska hanteringen av samtycken och information, samt att endast godkända IT-miljöer och verktyg används vid hanteringen av data i studentarbetet.

Det kan även finnas anledning att ange i vilka situationer det är lämpligt att söka ett rådgivande yttrande från Etikprövningsmyndigheten.

Inga sekretessbelagda uppgifter får användas i självständiga arbeten 

Inom ramen för ett självständigt studentarbete får studenten inte hantera sekretessbelagda uppgifter, exempelvis uppgifter som erhållits med sekretess från annan myndighet. Sådana uppgifter måste därför minst pseudonymiseras, helst anonymiseras, innan studenten får ta del av dem.

IT och digitala verktyg för behandling av personuppgifter

Studentens behandling av personuppgifter i studentarbeten, exempelvis insamlingen av data, bearbetning och lagring, ska ske under universitets kontroll. Det innebär att studenter ska använda de ytor och verktyg som universitetet rekommenderar.

Det är viktigt att i ett tidigt skede ta ställning till vilken typ av personuppgifter som behandlas i studentarbetet, känsliga, integritetskänsliga eller vanliga personuppgifter.

Beroende på vilken typ av personuppgifter som behandlas avgör bland annat uppgifternas skyddsvärde, hur de ska hanteras och vilka lagringsytor som ska väljas.
Läs mer om informationsklassning och vägledning för hur du genomför den.

När vanliga personuppgifter ska behandlas

Det är tillåtet att hantera vanliga personuppgifter i Office 365.

Om en student ska behandla vanliga personuppgifter ska dessa lagras på en Teamsyta. Kursansvarig institution ska skapa ett team i Teams, och för varje studentarbete kan institutionen skapa en kanal som enbart läraren, handledaren och studenten har tillgång till. Alternativt kan läraren eller handledaren skapa en privat kanal i ett team i Teams och bjuda in studenterna.  

All data ska samlas in, lagras och bearbetas på den skapade Teamsytan.

När betyget för ett självständigt studentarbete rapporterats i Ladok ska kursansvarig institution se till att personuppgifterna gallras och att studentens tillgång till Teamsytan tas bort.

Om ni har frågor kring skapandet av ett team kan du få hjälp från Servicedesk.

När känsliga och integritetskänsliga personuppgifter ska behandlas

För närvarande finns det inga verktyg eller ytor som studenter kan använda för att hantera sådana uppgifter. När det finns ytor eller tjänster som studenter kan använda för att hantera känsliga personuppgifter kommer dessa att förmedlas.

Det är inte tillåtet att lagra känsliga eller integritetskänsliga uppgifter i Office 365. Det är heller inte tillåtet för studenten att lagra känsliga eller integritetskänsliga uppgifter på sin egen dator.

Till dess att det finns verktyg eller ytor, fundera över om de känsliga uppgifterna är nödvändiga för att genomföra arbetet, eller om det går att genomföra arbetet med enbart vanliga personuppgifter.

Om något händer med personuppgifterna

En personuppgiftsincident är en säkerhetsincident som rör personuppgifter. Det kan exempelvis vara att personuppgifter har blivit förstörda, ändrade, gått förlorade eller kommit i orätta händer.

Alla anställda som får kännedom om en möjlig personuppgiftsincident för personuppgifter som Umeå universitetet är personuppgiftsansvarig för har skyldighet att rapportera.

Personuppgiftsincidenter rapporteras till abuse@umu.se.
Läs mer om personuppgiftsincidenter här.

Om en student upptäcker att något hänt med personuppgifterna i sitt studentarbete ska studenten uppmärksamma sin institution eller sin handledare som sen har skyldigheten att göra en anmälan om en personuppgiftsincident.

Maja Wik
2022-04-19