Öppna sök

Behandling av personuppgifter i lärdomsprov eller studieprestationer

När du samlar in uppgifter om människor ska du följa dataskyddslagen. Den här anvisningen hjälper dig att identifiera vad personuppgifter är, hur de behandlas på ett säkert sätt och vad du ska beakta i anslutning till studieprestationer.

|

Checklista innan du börjar behandla personuppgifter

  1. Diskutera med din handledare. Ta reda på om det är nödvändigt att behandla personuppgifter och hur det görs i enlighet med dataskyddslagstiftningen.
  2. Definiera syftet. Anteckna i lärdomsprovet eller forskningsplanen vilka uppgifter du samlar in och varför. Samla endast in nödvändiga uppgifter.
  3. Identifiera den personuppgiftsansvarige. Ta reda på om du själv ansvarar för behandlingen av personuppgifter eller om det är organisationen som du gör ditt lärdomsprov för.
  4. Planera hur du samlar in uppgifterna. Ta reda på var uppgifterna förvaras och vad som händer med dem när lärdomsprovet eller någon annan studieprestation är färdig.
  5. Välj på vilka grunder du behandlar personuppgifter. Behandlingen av personuppgifter kräver alltid en rättslig grund och du ska välja på vilken grund du behandlar personuppgifter innan du börjar samla in dem.
  6. Informera deltagarna. Berätta tydligt om behandlingen av personuppgifter för deltagarna och be om samtycke till behandlingen av uppgifterna.
  7. Behandla uppgifterna på ett datasäkert sätt. Använd universitetets godkända verktyg, såsom Webropol, för att göra enkäter. Se till att uppgifter inte överförs utanför EU/EES.
  8. Förstör materialet efter att du är klar med det. Radera uppgifterna på ett datasäkert sätt, till exempel i universitetets dataskyddsskräplåda eller från det elektroniska systemet.

Kontaktpersoner för frågor om behandling av personuppgifter

Din handledare för lärdomsprovet stöder dig också i dataskyddsfrågor som gäller ditt lärdomsprov och hen är din primära kontaktperson för frågor om behandling av personuppgifter.

Du kan också be om råd av Konstuniversitetets dataskyddsombud: tietosuoja@uniarts.fi

Vad är personuppgifter?

Personuppgifter är alla uppgifter där en person kan identifieras direkt eller indirekt. Sådana uppgifter är till exempel:

  • namn
  • hemadress
  • e-postadress
  • IP-adress (webbadress)
  • telefonnummer
  • fotografi eller videoinspelning, om personen kan identifieras på dem
  • röst, om personen kan identifieras utifrån rösten
  • studerandenummer

Även indirekta uppgifter, såsom en sällsynt yrkesbeteckning eller ett smeknamn, kan vara personuppgifter om personen kan identifieras utifrån dem. Läs mer om definitionen av personuppgifter (tietosuoja.fi).

Sätt att behandla personuppgifter

Med behandling av personuppgifter avses alla sätt på vilka personuppgifterna används. Detta kan till exempel vara insamling, granskning, förvaring, redigering eller radering av uppgifter.

Om ditt lärdomsprov omfattar levande personer behandlar du sannolikt personuppgifter. Behandling av personuppgifter sker till exempel genom att samla in uppgifter genom enkäter, intervjuer, observationer eller videoinspelningar. När du behandlar personuppgifter ska du följa dataskyddslagstiftningen.

Pseudonymisering innebär att personens identifieringsuppgifter tas bort, men personen kan identifieras med hjälp av tilläggsuppgifter. Pseudonymiserade uppgifter är fortfarande personuppgifter. Vid anonymisering ändras uppgifterna så att personen inte längre kan identifieras. Anonymiserade uppgifter är inte längre personuppgifter och därför gäller GDPR:s krav inte anonymiserade uppgifter. Pseudonymisering och anonymisering är också behandling av personuppgifter.  Läs mer om behandling av personuppgifter (tietosuoja.fi)

Undvik behandling av känsliga personuppgifter

Med känsliga personuppgifter avses uppgifter som hör till särskilda kategorier av personuppgifter och vars behandling kan äventyra personens rättigheter. Till dessa uppgifter hör till exempel etniskt ursprung, politiska åsikter, religion, medlemskap i fackförening, hälsouppgifter, sexuell läggning samt genetiska och biometriska uppgifter. Behandlingen av dessa uppgifter är i regel förbjuden, men kan vara tillåten i vissa situationer, till exempel när man tydligt samtycker till det eller när uppgifterna hänför sig till vetenskaplig forskning.

Studerande ska undvika att behandla sådana uppgifter i sina lärdomsprov, om det inte är nödvändigt. Om behandling av sådana uppgifter är nödvändig är det viktigt att bedöma om uppgifterna kan behandlas på ett säkert sätt och skaffa det samtycke som behövs. Om man i lärdomsprovet i stor utsträckning behandlar känsliga uppgifter kan det också behövas en konsekvensbedömning av dataskyddet, där man utreder hur behandlingen av personuppgifter påverkar deltagarna. Det lönar sig att använda sig av en förhandsbedömning av dataskyddet för att bedöma behovet.

I dessa situationer är det alltid bra att diskutera saken på förhand med handledaren för lärdomsprovet och följa anvisningarna för lärdomsprovet.

Diskutera behovet av att behandla personuppgifter med din handledare

Innan du inleder ett lärdomsprov eller en studieprestation ska du diskutera med din handledare om du överhuvudtaget behöver behandla personuppgifter i ditt lärdomsprov eller din studieprestation. Om behandling av personuppgifter är nödvändig, planera noggrant på förhand hur du ska behandla dem. På så sätt säkerställer du att bestämmelserna om dataskydd uppfylls under hela behandlingen.

Kom ihåg att även om du behandlar personuppgifter för lärdomsprovet får det slutliga arbetet inte innehålla personuppgifter.

Börja behandlingen av personuppgifter genom att definiera dess syfte

Definiera till exempel i lärdomsprovet eller forskningsplanen vilka personuppgifter du samlar in och syftet med behandlingen, dvs. varför du samlar in dem. När du planerar de uppgifter som ska samlas in ska du beakta principen om uppgiftsminimering och principen om ändamålsbundenhet som hör till de centrala principerna för dataskydd.

Enligt principen om uppgiftsminimering får personuppgifter behandlas endast när det är nödvändigt. Samla endast in uppgifter som är nödvändiga för ditt lärdomsprov eller någon annan studieprestation. Anonymisera eller pseudonymisera de personuppgifter du sparat när du inte längre har behov av att identifiera den registrerade.

Enligt principen om ändamålsbundenhet ska syftet med behandlingen av personuppgifter planeras tydligt innan behandlingen inleds. Du får inte senare behandla personuppgifter på ett sätt som är oförenligt med de ursprungliga ändamålen.

Fundera också på vilka verktyg och applikationer som är tillräckligt säkra för behandlingen av personuppgifter när du planerar behandlingen av personuppgifter.

Identifiera den personuppgiftsansvariga

Den personuppgiftsansvariga är den instans som bestämmer syftet och metoderna för behandlingen av personuppgifter.

Om det är fråga om ett självständigt lärdomsprov eller någon annan studieprestation är du själv personuppgiftsansvarig. Detta innebär att du som utförare av undersökningen ansvarar för att personuppgiftsbehandlingen är lagenlig och ändamålsenlig. Den personuppgiftsansvariga är bland annat skyldig att informera de registrerade. 

Universitetet är i allmänhet personuppgiftsansvarig om du gör ditt lärdomsprov inom ett universitetsprojekt och är anställd vid universitetet. Även då är det bra att informera handledaren. 

Om du tillsammans med någon annan (till exempel en annan studerande, ett universitet eller ett företag) fastställer målen och metoderna för behandlingen av personuppgifter är det fråga om gemensamt personuppgiftsansvar.

Om du gör ett lärdomsprov på uppdrag av ett företag eller en annan organisation kan den som beställer lärdomsprovet vara personuppgiftsansvarig (eller gemensam personuppgiftsansvarig) om den fastställer behandlingens syfte och metoder.

Med registrerad avses den person vars personuppgifter behandlas.

Planera livscykeln för behandlingen av personuppgifter

Beskriv till exempel livscykeln för behandlingen av personuppgifter i forskningsplanen. Planera hur du samlar in uppgifter, var uppgifterna förvaras och vad som händer med uppgifterna när lärdomsprovet eller någon annan studieprestation är färdig.

Kom ihåg att förvaringstiden för personuppgifter ska vara så kort som möjligt enligt principen om uppgiftsminimering.

Säkerställ att personuppgifter inte överförs utanför EU/EES-området

Säkerställ att personuppgifter inte överförs från din dator utanför EU/EES-området till exempel via molnlagring. Sådana överföringar omfattas av särskilda ytterligare krav som fastställs i lagstiftningen. Om du till exempel använder bildbehandlingsprogram eller gratis molntjänster på din egen mobila enhet eller dator kan uppgifterna överföras utanför EU/EES-området.

Välj på vilka grunder du behandlar personuppgifter

Det ska alltid finnas en GDPR-grund, dvs. lagenlig grund för behandling av personuppgifter, och den ska fastställas innan behandlingen inleds. Grunden kan inte ändras efter att du har börjat behandla personuppgifter.

I fråga om lärdomsprov är behandlingsgrunden ofta den registrerades samtycke, eftersom lärdomsprov oftast inte anses uppfylla kriterierna för vetenskaplig forskning. Bekanta dig närmare med förutsättningarna för ett giltigt samtycke (tietosuoja.fi)

I vissa situationer kan det också vara möjligt att använda ett berättigat intresse som behandlingsgrund.Ett berättigat intresse kan lämpa sig i en situation där materialet samlas in någon annanstans än direkt från den registrerade. Då krävs ett balanstest. Med GDPR:s balanstest avses en bedömning där man utreder om personuppgiftsbehandlingen kan grunda sig på den personuppgiftsansvariges berättigade intresse. Detta test utförs för att säkerställa att den registrerades (dvs. den person vars uppgifter behandlas) rättigheter och friheter inte åsidosätts på grund av den personuppgiftsansvariges eller en tredje parts intresse. Mer information: Ett berättigat intresse hos den personuppgiftsansvarige (tietosuoja.fi).

I vetenskaplig forskning är den rättsliga behandlingsgrunden i allmänhet allmänt intresse (behandling behövs för vetenskaplig forskning). Om planen för lärdomsprovet uppfyller kriterierna för vetenskaplighet kan behandlingsgrunden vara ett allmänt intresse och du behöver inte använda till exempel samtycke från deltagare eller berättigat intresse som behandlingsgrund. Diskutera alltid först med din handledare om du anser att ditt lärdomsprov uppfyller kriterierna för vetenskaplig forskning.

Den valda behandlingsgrunden antecknas i dataskyddsmeddelandet (närmare nedan) och den beskrivs också i informationen till deltagarna.

Om uppgifter samlas in direkt från personer behöver du dock alltid också ett samtycke till att delta i forskningen, även om det är fråga om vetenskaplig forskning (samtycke till att delta i forskning är en annan sak än samtycke som rättslig grund för behandling av personuppgifter).  Samtycke till deltagande kan begäras antingen skriftligt, muntligt i början av intervjun eller som en punkt som ska kryssas i i en enkätundersökning efter att deltagaren har fått ett separat meddelande om undersökningen. Det rekommenderas att man ber om ett skriftligt samtycke.

Utarbeta ett dataskyddsmeddelande

Informera deltagarna genom att utarbeta ett dataskyddsmeddelande där du tydligt beskriver behandlingen av personuppgifter. I dataskyddsmeddelandet ska den registrerade dessutom informeras om bland annat den personuppgiftsansvariga, användningsändamålet för personuppgifterna och förvaringstiden. Läs mer om informationsskyldigheten (tietosuoja.fi).

Du kan göra upp ett dataskyddsmeddelande genom att använda Konstuniversitetets mall för dataskyddsmeddelanden, som du får av din handledare. Fyll i de uppgifter som behövs på blanketten och lämna meddelandet till den registrerade.

Om du samlar in personuppgifter från en annan källa än den registrerade själv, informera den registrerade inom skälig tid (senast inom en månad). Om personuppgifterna redan tidigare används för kommunikation om den registrerade eller lämnas ut till en tredje part/utomstående part, ska den registrerade informeras redan vid tidpunkten för kommunikationen eller utlämnandet.

Hur behandlar du personuppgifter på ett datasäkert sätt?

Personuppgifter som samlats in för ett lärdomsprov eller en annan studieprestation ska behandlas på ett datasäkert sätt. Läs mer om informationssäkerhet på Konstuniversitetets intranät Artsi för personalen (på finska eller engelska) eller be att få Konstuniversitetets anvisningar av din handledare eller lärare.

Den studerande ska behandla uppgifter som innehåller personuppgifter omsorgsfullt. Om personuppgifterna dock försvinner eller blir tillgängliga för utomstående är det fråga om en informationssäkerhetsincident eller en avvikelse i informationssäkerheten. Det är fråga om en informationssäkerhetsincident till exempel om din dator stjäls, uppgifter sparas i fel system eller om uppgifterna på annat sätt avslöjas för utomstående. Om du misstänker att något sådant har hänt, meddela detta omedelbart för att få ytterligare anvisningar: tietoturva@uniarts.fi. 

Om du gör en enkätundersökning, använd endast de elektroniska enkätverktyg som Konstuniversitetet anvisat för insamling. Konstuniversitetets verktyg är i första hand Webropol. Läs mer om Webropol-verktyget.

Behandling av personuppgifter när studieprestationen eller lärdomsprovet är färdigt

När ett lärdomsprov eller en studieprestation har färdigställts och godkänts ska material som innehåller personuppgifter i regel förstöras på ett datasäkert sätt så att materialet inte hamnar hos utomstående. Material i pappersform kan skickas till universitetets dataskyddsskräplåda, som du hittar i närheten av multifunktionsapparater. Elektroniskt material ska tas bort från förvaringsplatserna, såsom webbaserad datalagring och Webropol. Materialet kan ibland lagras anonymiserat i t.ex. Dataarkivet eller i Språkbanken efter avslutad forskning.

Kontrollera till sist att det färdiga lärdomsprovet eller studieprestationen inte innehåller personuppgifter och att en enskild person inte kan identifieras utan personens samtycke.

Behandla alltid personuppgifter anonymt när den registrerades identitet inte är nödvändig för att genomföra undersökningen.

Data­skydd vid Konstu­ni­ver­si­te­tet Dataombudsmannens byrå