Lärare/Handledare
Om du är lärare/handledare vid universitetet är det viktigt att du kan vägleda dina studenter när de ska behandla personuppgifter. Uppsala universitet blir personuppgiftsansvarig för den behandling studenten gör inom ramen för sin utbildning. Läs därför gärna på hur ett samtycke ska utformas om studenten till exempel ska intervjua individer för ett arbete inom ramen för sina studier.
Det är också viktigt att du funderar över de personuppgiftsbehandling som du gör i din roll som lärare/handledare. Om du till exempel skickar runt en närvarolista där namnen på dina deltagande studenter finns med är det viktigt att du försöker minimera uppgifterna som de övriga kan ta del av. Det kan du göra genom att se till att personnumret inte finns med på listor. Personnummer ska endast behandlas när det är nödvändigt för att säkerställa identifieringen av en person, kan det göras genom att man endast använder namnet anses personnumret inte behöva behandlas i den situationen.
Personuppgifter
Personuppgifter är alla upplysningar som direkt eller indirekt kan identifiera en person, exempelvis namn, personnummer och e-postadress. Det gör att nästan allt som rör människor kan bli personuppgifter, om inte annat när flera uppgifter behandlas tillsammans. Det gäller även så kallade känsliga personuppgifter såsom genetiska uppgifter eller uppgifter om hälsa. Se mer om känsliga personuppgifter nedan.Enkelt uttryckt blir sedan allt du gör med personuppgifterna en behandling, till exempel insamlar, bearbetar och lagrar.
Känsliga personuppgifter
Så kallade känsliga personuppgifter är uppgifter som rör:- Ras eller etniskt ursprung
- Politiska åsikter
- Religiös eller filosofisk övertygelse
- Medlemskap i en fackförening
- Hälsa
- En persons sexualliv eller sexuella läggning
- Genetiska uppgifter
- Biometriska uppgifter som entydigt identifierar en person.
Som huvudregel får man inte behandla känsliga personuppgifter, men dataskyddsförordningen ger en del undantag. Ett sådant är samtycke.
Tänk gärna på att känsliga personuppgifter bland annat kan vara funktionsvariationer, studenters fysiska eller psykiska hälsa och religiösa övertygelse. Med det sagt rekommenderar Uppsala universitet inte att man använder e-posten för att kommunicera känsliga personuppgifter. Det får göras endast när det är absolut nödvändigt. Kom ihåg att telefonen kan vara ett mycket bra alternativ till ett e-postmeddelande.Allmänna principer
En personuppgiftsbehandling måste följa dataskyddsförordningens principer. Dessa ska alltid tas hänsyn till när man behandlar personuppgifter. De grundläggande principerna är:- Principen för laglighet, korrekthet och öppenhet
- Principen om ändamålsbegränsning
- Principen för uppgiftsminimering
- Principen om riktighet
- Principen om lagringsminimering, och
- Principen för integritet och konfidentialitet.
För att läsa mer om de grundläggande principerna, se dokumentet här.
Laglig grund
För att utföra en laglig behandling av personuppgifter krävs det att behandlingen stödjer sig på åtminstone en av sex möjliga lagliga grunder. Dessa är:- Samtycke
- Avtal
- Rättslig förpliktelse
- Skydd av intressen av grundläggande betydelse
- Nödvändig för utövande av uppgift av allmänt intresse eller myndighetsutövning
- Intresseavvägning (Berättigat intresse). Får dock inte användas av offentliga myndigheter när de fullgör sina uppgifter.)
Notera att det är mycket sällan som grunden samtycke kommer att användas vid Uppsala universitet. Innan du bestämmer dig för att din behandling har den lagliga grunden samtycke bör du läsa igenom alla grunder för att se om du kan finna någon som passar bättre. För att läsa mer om de lagliga grunderna och när vilken kan vara lämplig, läs mer här.
Studenters behandling
Studenter får behandla personuppgifter när det är nödvändigt, för ett tydligt ändamål och med en laglig grund. Vidare ska de beakta de allmänna principerna och informera de registrerade. Det är viktigt att även studenters behandlingar anmäls till den centrala registerförteckningen som finns vid universitetet. Det är viktigt att du som lärare/handledare informerar studenten om detta. Universitetets registerförteckningen hittar du här.
Registrerades rättigheter
De registrerade har rätt att veta att vi behandlar deras personuppgifter. För mer information om vilka rättigheter de registrerade kan utöva mot universitetet, läs vidare här.Konsekvensbedömning
Ibland kan man behöva göra en konsekvensbedömning innan man påbörjar behandlingen av personuppgifter. Om du/ni gör bedömningen att din students/doktorands etc. tänkta behandling kräver en konsekvensbedömning ska du ta kontakt med Dataskyddsombudet som sedan kommer att hjälpa dig/er vidare. När ni tar reda på om du behöver göra en konsekvensbedömning bör ni fråga er: Innebär behandlingen av personuppgifter:1. Att det föreligger en stor risk för att mänskliga fri- och rättigheter kan komma att kränkas?
2. Profilering vars resultat sedan används för att automatiskt kategorisera/värdera personer?
3. Omfattande känsliga personuppgifter och/eller uppgifter om kriminell belastning?
4. Omfattande inhämtning av personuppgifter.
Bedömningen kan utföras genom att överväga om:
- sättet behandlingen utförs på riskerar uppgifternas kvalitet, autenticitet eller integritet.
- metoden för kontinuerlig kontroll av behandlingen fungerar.
- identifierade risker med behandlingen kan motverkas.
- det finns rutiner för att anmäla personuppgiftsincidenter.
(Mänskliga fri- och rättigheter = rätten till liv, frihet och personlig säkerhet; förbud mot slaveri och träldom; förbud mot tortyr och grym, omänsklig eller förnedrande behandling; likhet inför lagen; rätten till opartisk domstolsprövning; förbud mot godtyckliga frihetsberövanden; rätten till skydd av privatliv och korrespondens; rätten till personlig rörelsefrihet; rätten till egendom; rätten till religionsfrihet, åsiktsfrihet och yttrandefrihet samt rätten till förenings- och församlingsfrihet.)
Informationssäkerhet
När du utför forskning ska du säkerställa att all informationshantering i din verksamhet svarar mot universitetets krav på god informationssäkerhet. System och lagringslösningar som används i sammanhanget behöver analyseras med avseende på säkerheten, så även handhavandet av dessa lösningar tillsammans med eventuell personlig utrustning som används i din egen informationshantering.
Grunden för en säker hantering av information läggs genom att en informationsklassificering genomförs – en aktivitet där informationens skyddsvärde avgörs med utgångspunkt från aspekterna konfidentialitet, riktighet och tillgänglighet. Resultatet från genomförda informationsklassificeringar används som underlag i ett efterföljande moment, benämnt kravanalys, där säkerheten i de system och lagringslösningar som används analyseras. Universitetets Rutiner för riskhantering (UFV 2018/211) med bilagor ger vägledning i genomförandet av momenten informationsklassificering och kravanalys.
Universitetets Rutiner för säker informationshantering (UFV 2018/668) ger vägledning i frågor som rör säker informationshantering i stort, men ger också specifik information om vad som gäller vid användningen av s.k. molntjänster.
Ovan nämnda rutiner hittar du i universitetets mål- och regelsamling, men de finns även på sidan https://mp.uu.se/web/info/stod/sakerhet/informationssakerhet tillsammans med ytterligare material med inriktning mot dataskyddsförordningen och informationssäkerhet. Behöver du hjälp med en säkerhetsklassificering, hör av dig till universitetets informationssäkerhetssamordnare här.