Bakgrund

En del examens- och studentarbeten kan komma att behandla personuppgifter (som namn, personnummer, postadress, mejladress, användarnamn i sociala medier, eller dylikt). Om någon som helst behandling av personuppgifter sker inom ett examens- eller studentarbete så måste den ske i enlighet med relevant lagstiftning, däribland:

• dataskyddsförordningen (GDPR) (imy.se)
• offentlighets- och sekretesslagen (2009:400) (riksdagen.se)
• lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (riksdagen.se)
• lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (riksdagen.se)
• arkivlagen (1990:782) (riksdagen.se)

Vid Högskolan i Skövde finns även riktlinjer för behandling av personuppgifter (pdf), vilka alltid måste följas och som ligger till grund för all personuppgiftsbehandling som sker inom Högskolans verksamhet. Se också Högskolans riktlinjer för hantering av forskningsdata (pdf) samt riktlinjer för examensarbeten (pdf) för kompletterande information.

Extra försiktighet måste vidtas om ett examens- eller studentarbete dessutom behandlar känsliga personuppgifter (till exempel uppgifter om sjukdom eller hälsotillstånd, genetiska eller biometriska uppgifter, politiska eller religiösa övertygelser, etniskt ursprung, sexuell läggning, medlemskap i fackförening, eller dylikt). I de allra flesta fall bör minimeringsprincipen om personuppgifter tillämpas, och känsliga personuppgifter bör helt undvikas i examens- och studentarbeten där detta är möjligt.

Enligt GDPR är Högskolan personuppgiftsansvarig, med ett övergripande ansvar för att den personuppgiftsbehandling som sker inom verksamheten följer de lagar och föreskrifter som gäller. Den enskilda studenten, den som faktiskt behandlar personuppgifter inom ett examens- eller studentarbete i praktiken, är då att betrakta som personuppgiftsbiträde i GDPR:s bemärkelse, vilket betyder att hen måste följa de dokumenterade instruktioner som den personuppgiftsansvariga (Högskolan) tillhandahåller, alltså den information som ges här.

Notera att denna text gäller alla examens- och studentarbeten som – enligt lagen (2003:460) om etikprövning av forskning som avser människor – "utförs endast inom ramen för högskoleutbildning på grundnivå eller avancerad nivå".

Frågor att ställa inför uppstart av ett examens- eller studentarbete

1) Ska arbetet behandla personuppgifter?

a) Om svaret är Nej, fortsätt direkt till fråga 4.

b) Om svaret är Kanske, kontakta din lärare/handledare och Högskolans dataskyddsgrupp för att diskutera det potentiella behovet av personuppgiftsbehandling, och fortsätt till fråga 2.

c) Om svaret är Ja, kontakta din lärare/handledare och Högskolans dataskyddsombud för att diskutera lämpligt upplägg av personuppgiftsbehandlingen, och kontakta därefter den person på avdelningen/institutionen som är ansvarig för registrering av personuppgiftsbehandlingar inom verksamheten (och kontakta även dataskyddsgruppen om du är osäker på vem detta är, eller har andra frågor kring förfarandet). Fortsätt sedan till fråga 2.

2) Kan minimeringsprincipen tillämpas (behövs verkligen alla personuppgifter)?

a) Om det visar sig att arbetet helt kan och ska undvika alla personuppgifter, fortsätt då direkt till fråga 4.

b) Om det inte är möjligt att helt undvika personuppgifter, så bör alla involverade i arbetet (inklusive lärare/handledare), i samråd med dataskyddsombud och/eller dataskyddsgruppen, ställa sig frågan om alla personuppgifter man ämnar behandla verkligen behövs? Går det till exempel att undvika att samla in uppgifter som namn, ålder, kön, och så vidare? Efter all möjlig minimering skett, fortsätt till fråga 3.

3) Hur ska man behandla de personuppgifter som arbetet behöver?

a) Läs Högskolans riktlinjer för behandling av personuppgifter. Kontakta, med din lärare/handledare, dataskyddsombudet och/eller dataskyddsgruppen för eventuella frågor. Se även till att samtliga krav gällande till exempel samtycke, skyddsåtgärder, insamling, lagring, hantering och gallring av personuppgifter uppfylls och följs, samt att man är tydlig med vad den rättsliga grunden för personuppgiftsbehandlingen faktiskt är (vanligtvis att deltagarna ger sitt samtycke, som ska vara skriftligt, klart och tydligt, frivilligt samt möjligt att återta). Fortsätt sedan till fråga 4.

4) Måste man ansöka om etikprövning?

a) Enligt lagen (2003:460) om etikprövning av forskning som avser människor så gäller inte etikprövning för arbeten som "utförs endast inom ramen för högskoleutbildning på grundnivå eller avancerad nivå". För de allra flesta examens- och studentarbeten är svaret alltså Nej. Notera dock att det finns undantag – så här skriver Etikprövningsmyndigheten på sin webbsida: "För att undantaget från kravet på etik-prövning för studentarbeten ska gälla krävs att det enbart rör sig om ett moment i utbildningen. Arbetet får alltså inte ’överlappa’ med ett forskningsprojekt och det får inte finnas någon tanke om att arbetet kan komma att leda vidare i ett ’vanligt’ forskningsprojekt. Ser man redan från början i planeringen att man kommer att vilja publicera utfallet i en vetenskaplig tidskrift så är det en tydlig indikation på att det rör sig om sådan forskning som behöver etikprövas." Notera även att andra former av etikprövning (till exempel för forskning på djur) kan förekomma hos andra relevanta myndigheter.