• Gå till sidans innehåll
  • Logga in
  • Translate
  • In English
  • Press
  • Webbkarta
  • Kontakt
Till Startsidan - Gymnastik och idrottshögskolan GIH-logotype Till Startsidan
Sök
  • Startsida
  • Utbildning
  • Forskning
  • Samverkan
  • Om GIH
  • Bibliotek
Ok
Bibliotek
  • Sök böcker
  • Sök artiklar i databaser
  • Sök tidskrifter
  • Uppslagsverk
  • Internetsökning
  • Skriva och referera
    • Referera
    • Plagiat
    • Bilder i uppsatsen
    • Personuppgiftsbehandling
    • Word-hjälp
    • Enkäter i uppsatsen
    • DiVA-registrering av uppsats
  • Biblioteket för forskare
  • Guide till infosökning
  • Om biblioteket
Du är här:
  1. Startsida
  2. Bibliotek
  3. Skriva och referera
  4. Personuppgiftsbehandling

Personuppgiftsbehandling vid uppsatser

Den europeiska dataskyddsförordningen tillsammans med ett antal svenska lagar kopplade till denna ställer hårda krav på att allt arbete med personuppgifter utförs korrekt. Om du som student tänker använda personuppgifter för ditt självständiga arbete finns det därför mycket att tänka på.

Denna text ger en kort genomgång av de steg som är nödvändiga för att hanteringen av personuppgifter ska bli korrekt. Utöver de regler som gäller för personuppgifter kan det, beroende på vad du avser att behandla, finnas ytterligare regler att ta hänsyn till och du bör därför ha en övergripande diskussion med din handledare om vilken information som ska hanteras och planera därefter.

Steg 1 - Måste personuppgifter behandlas?

Den första frågan är om det verkligen är nödvändigt att behandla personuppgifter? Den undersökning som ska göras kanske kan utföras utan att personuppgifter behandlas och då är detta att föredra. Om man inte behandlar personuppgifter gäller kraven i dataskyddsförordningen inte, vilket gör arbetet lättare.

Det är dock viktigt att komma ihåg att som personuppgift räknas all information som direkt eller indirekt kan knytas till en levande människa vilket gör att det inte bara är sådant som namn, personnummer, DNA eller porträttfoto som är en personuppgift utan det kan även vara en kombination av mer anonyma uppgifter som sammantaget gör det möjligt att identifiera en enskild person.

Steg 2 - Definiera syftet med behandlingen och vilka uppgifter som måste samlas in

Innan det praktiska arbetet börjar är det viktigt att göra klart vilka uppgifter som ska samlas in och varför. För dig som ska göra ett självständigt arbete är detta inte någon svår uppgift utan syftet med behandlingen är helt enkelt att kunna utföra den undersökning som är nödvändig för att underbygga ditt arbete, men det är viktigt att du tänker igenom och formulerar syftet såväl som att du är klar över vilken information som är nödvändig för att nå det.

Undvik om möjligt att behandla känsliga personuppgifter. Som känsliga personuppgifter räknas uppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska och biometriska uppgifter samt uppgifter om en persons hälsa, sexualliv eller sexuella läggning.

Steg 3 - Registrera behandlingen

GIH har formellt ansvar för de personuppgiftsbehandlingar som utförs inom hela verksamheten och det gäller också självständiga arbeten. Därför måste GIH ha kännedom om vilka behandlingar som pågår: Du ska därför meddela din handledare om din behandling. De uppgifter du ska lämna är kort syftet med behandlingen, beskrivning av vilka personuppgifter du kommer att behandla, hur du informerar personerna och inhämtar samtycke och var du kommer att förvara personuppgifterna och samtyckena under arbetet.

Steg 4 - Bestäm hur informationen ska förvaras och hanteras säkert under arbetet

Insamlad information måste behandlas på ett säkert sätt. Att förvara insamlade personuppgifter i din hemkatalog är därför att rekommendera. Hemkatalogen har tillräcklig säkerhet även för känsliga personuppgifter. GIH tillhandahåller även ett antal ytterligare tjänster som kan vara praktiska vid arbetet som exempelvis Box och GIH:s lärplattformar. Dessa får användas för personuppgifter som inte är känsliga.

Externa lagringstjänster (verktyg som inte tillhandahålls genom GIH) får inte användas för personuppgifter. Detta gäller exempelvis Dropbox, Google docs och iCloud beroende på att GIH saknar personuppgiftsbiträdesavtal med dem och en säker lagring inte kan garanteras.

Steg 5 – Bestäm vilka delar av informationen som ska raderas respektive bevaras när arbetet är klart

Personuppgifter får inte bevaras längre tid än vad som är nödvändigt och ska raderas när de inte längre behövs. Därför är huvudregeln att du ska radera personuppgifterna efter att ditt arbete är avslutat och registrerat i DIVA och du har fått ditt betyg registrerat. Samtidigt kan det finnas delar av informationen som bör bevaras.

Under arbetets gång kan det finnas anledning att ompröva den ursprungliga planen men det är viktigt att det finns en grundläggande plan, inte minst för att kunna besvara frågor från de registrerade (personerna vars uppgifter samlas in).

Steg 6 - Inhämta samtycke, informera de registrerade och samla in de nödvändiga personuppgifterna

Personuppgifter får endast behandlas om det finns laglig grund för behandlingen. Dataskyddsförordningen anger ett antal grunder som betraktas som tillåtna men för ett självständigt arbete är det i praktiken endast samtycke som kan komma ifråga (om det inte är möjligt att använda samtycke bör du ta upp detta med din handledare och dataskyddsombudet för att se om det går att finna en annan lösning).

Att använda samtycke som grund innebär att den registrerade ger sitt aktiva samtycke till behandlingen. Detta innebär i praktiken att du, på ett tydligt och klart sätt talar om vilka uppgifter du vill samla in, vad de ska användas till och av vem/vilka, hur länge uppgifterna ska användas, att det finns möjlighet att begära att få se den insamlade informationen och att det finns möjlighet att vända sig till GIH:s dataskyddsombud eller tillsynsmyndigheten med klagomål. Efter det att den registrerade har tagit del av informationen kan han/hon ge sitt samtycke till behandlingen och det är då tillåtet att behandla uppgifterna. Om den registrerade har samtyckt till behandlingen får även känsliga uppgifter behandlas (observera att känsliga uppgifter ställer stora krav på säkerheten i hanteringen).

Samtycket förvarar du själv under arbetet och det är viktigt att det förvaras så det inte kommer obehöriga tillhanda eller förkommer. Den registrerade har rätt att när som helst återkalla sitt samtycke. Samtycket ska därför göras skriftligt (även digital signering går bra) och GIH har tagit fram en samtyckesblankett som kan användas

Steg 7 – Behandla det insamlade materialet

Under förutsättning att de tidigare stegen har utförts är detta ett formellt enkelt steg som inte kräver några ytterligare åtgärder. Samtidigt är detta i praktiken det huvudsakliga arbetet.

Steg 8 - Efter behandling, radera eller undantagsvis arkivera personuppgiftsmaterialet

Tillsammans med behandlingen är även detta ett enkelt steg då det praktiska arbetet nu är avslutat. Materialet som har behandlats inklusive samtyckesblanketterna ska efter att arbetet är godkänt och registrerat i DIVA samt betyget är registrerat raderas eller undantagsvis bevaras och arkiveras, enligt vad du beslutade i steg 5.

Adress till denna sida: www.gih.se/uppsats/gdpr  

  • Innehållsansvarig: Karin Jäppinen
  • Senast uppdaterad av: Karin Jäppinen 2020-04-21

Copyright © 2020

Gymnastik- och idrottshögskolan,
Lidingövägen 1, vid Stockholm Stadion
08-120 537 00  

  • Om webbplatsen
  • Personuppgifter
  • Cookies
  • Mejla registrator
  • Kontakta oss
  • Nödsituationer
  • GIH
  • GIH Biblioteket
  • GIH Friluftsliv
  • YouTube GIHuniversity