Nya dataskyddsförordningen – GDPR
2 min läsning

25 maj ersätts svenska personuppgiftslagen (PuL) med en gemensam lagstiftning om personuppgifter gällande hela EU. Dataskyddsförordningen, även kallad GDPR (General Data Protection Regulation), har stora likheter med den tidigare svenska personuppgiftslagen (PuL).

Vad är GDPR?

GDPR innebär förändringar eller framförallt förtydligande av hur behandling av personuppgifter och skärper skyldigheterna för den som behandlar personuppgifter.

Personuppgifter är all slags information som kan knytas till en fysisk person. Till exempel personnummer, namn och adress, men även fotografier och rörlig bild räknas som personuppgifter och berörs alltså av GDPR. PuL har främst gällt personregister, men nu ställs samma krav vid hantering av personuppgifter i t.ex. e-post, sociala medier eller ljud- och bildinspelningar.

GDPR innebär en del förändringar för de som behandlar personuppgifter, och stärkta rättigheter för den enskilde när det gäller personlig integritet. Det krävs rättslig grund för att hantera person-uppgifter. När det gäller Högskolan Dalarnas behandling av studenters personuppgifter är detta nödvändigt för vår myndighetsutövning, som är en typ av rättslig grund.

Hur påverkar det mig som student i mina studier?

Så länge som det inte handlar om behandling av personuppgifter så är det inga förändringar jämfört med tidigare. Det som har blivit tydligare är behandling av personuppgifter, t.ex. vid examensarbeten eller andra likande uppgifter. Då måste det ske en anmälan samt att det finnas rättslig grund. Rättslig grund kan vara t.ex. avtal, myndighetsutövning samtycke, m.m. Läs mer om rättslig grund.

När det gäller behandling av känsliga personuppgifter, som t.ex. etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, sexualliv eller sexuell läggning, genetiska uppgifter, biometriska uppgifter, skall detta som tidigare genomgå etisk prövning i FEN.

GDPR gäller när personuppgifter behandlas helt eller delvis automatiserat, eller manuellt men kopplat till ett sökbart register. T.ex. vid användning av databaser, webbenkäter, sociala medier eller ljud- och bildinspelningar. Deltagarna i studien har i dessa fall rätt att få information om behandlingen i enlighet med kraven i dataskyddsförordningen. Insamlade personuppgifter får bara användas för det ändamål som anges i informationen. Uppgifterna som samlas in måste vara nödvändiga för ändamålet med studien, och ska inte sparas längre än vad som är nödvändigt. För studentarbeten gäller därför att insamlade uppgifter i normalfallet kan raderas efter att arbetet godkänts, om inte uppgifterna planeras att användas i fortsatta studier (vilket deltagarna i så fall ska ha samtyckt till).

Anmäl behandling av personuppgifter

En behandling av personuppgifter skall dock alltid anmälas och detta gör man med hjälp av blanketten "Anmälan om behandling av personuppgifter" som skickas in med internpost eller mejlas till dataskydd@du.se. I samband med studentarbetet faller rättslig grund under samtycke.

Vad är samtycke?

Samtycke innebär att vi ber en person om att få registrera uppgifter om hen. Ett samtycke är enligt dataskyddsförordningen "varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne". De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Samtycke bör vara skriftligt.

GDPR innehåller en del skärpta krav på ett samtycke jämfört med personuppgiftslagen. Till exempel måste högskolan kunna visa att vi verkligen har fått den registrerades samtycke vid till exempel publicering av bilder.

När det gäller studentarbeten, som exempelvis uppsatsarbeten som kommer hantera personuppgifter, så kommer det behövas samtycke. Det måste alltså finnas en dokumentation arkiverat gällande samtycke hos högskolan från den behandlade.

Här kan du läsa mer om dataskyddsförordningen.