Anvisningar om material- och dataskydd för handledare av kandidat- och magisterstuderande
Snabbanvisning: behandling av personuppgifter i lärdomsprov
- Väl av ämne
- Kontrollera med den studerande om materialet innehåller personuppgifter. → Om en person kan identifieras antingen direkt (namn) eller indirekt (ljudinspelning) är det fråga om -> I detta fall ska den studerande följa dataskyddsförordningen i behandlingen av materialet.
- Instruera den studerande att välja ett ämne som inte innefattar behandling av särskilda kategorier av personuppgifter (t.ex. sexuell läggning, barn).
- Dokument som behövs: Dataskyddsmeddelande, samtyckesblanketter och ´Ú´Ç°ù²õ°ì²Ô¾±²Ô²µ²õ³Ù¾±±ô±ô²õ³ÙÃ¥²Ô»å
- Om personuppgifter samlas in ska den studerande alltid göra ett dataskyddsmeddelande.
- I lärdomsprov på kandidat- och magisternivå utgörs den rättsliga grunden för behandlingen av personuppgifter vanligtvis av deltagarens samtycke, eftersom lärdomsprov på denna nivå sällan uppfyller kriterierna för vetenskaplig forskning.
- Därtill behövs deltagarnas samtycke till att delta i studien.
- Instruera den studerande att använda mallarna för (innehåller alla tre dokument).
- •Kontrollera om den studerande behöver ett ´Ú´Ç°ù²õ°ì²Ô¾±²Ô²µ²õ³Ù¾±±ô±ô²õ³ÙÃ¥²Ô»å frÃ¥n organisationen, t.ex. om deltagarna i studien utgörs av studerande vid Aalto-universitetet.
- Gå igenom med den studerande vilka roller, ansvar och uppgifter som gäller vid behandling av personuppgifter
- Insamling av material
- Kontrollera att materialinsamlingen görs med hjälp av program som har godkänts av Aalto-universitetets ±õ°Õ-³ÙÂáä²Ô²õ³Ù±ð°ù.
- Lagring och anonymisering/pseudonymisering av material
- Kontrollera att materialet lagras pÃ¥ ett ²õä°ì±ð°ù³Ù sätt (t.ex. Aaltos nätverk) och att Ã¥tkomsten är ²ú±ð²µ°ùä²Ô²õ²¹»å.
- Kontrollera att enskilda personer inte kan identifieras i det färdiga lärdomsprovet. Även om namnen har tagits bort kan analysen indirekt avslöja en persons identitet.→ Kontrollera att anonymisering/pseudonymisering används. -> Kontrollera ckså att bilagorna till lärdomsprovet inte innehåller personuppgifter, till exempel samtyckesblanketter.
- Ansvarig handledare
- Handledarens uppgift är att vägleda den studerande att hantera materialet på ett ansvarsfullt sätt och att vara den studerandes främsta stöd i frågor som gäller dataskydd. Handledaren kan vid behov be om råd från Aaltos studenttjänster, som hänvisar frågan till rätt instans: studerandeservice@aalto.fi
Begrepp relaterade till dataskydd
Personuppgifter är sådana uppgifter som gör det möjligt att identifiera en person. Exempel på sådana uppgifter är namn, personbeteckning, registernummer för bil, lokaliseringsuppgifter från appar eller enheter, fingeravtryck, röst o.s.v.
Vissa av dessa uppgifter, t.ex. namn eller fingeravtryck, gör det möjligt att identifiera en person direkt. Sådana uppgifter kallas direkta personuppgifter eller identifikationsuppgifter.
Ibland är det möjligt att identifiera en person genom att kombinera enskilda uppgifter med andra. Då är det fråga om indirekta personuppgifter. Exempel på sådana uppgifter är yrkestitel, kön och ort. En person kan inte nödvändigtvis identifieras genom en enskild indirekt personuppgift, men i kombination med andra personuppgifter kan det till och med vara ganska lätt att identifiera personen.
- Obs! Enligt Aalto-universitetets rekommendation ska särskilda personuppgifter inte behandlas i lärdomsprov på kandidatnivå, eftersom det inte görs någon forskningsetisk bedömning av dem. Vid behov kan en forskningsetisk bedömning göras av ett lärdomsprov på magisternivå, men inte heller i dessa lärdomsprov rekommenderas behandling av särskilda personuppgifter på grund av de forskningsetiska tilläggskraven.
- Särskilda kategorier av personuppgifter innehÃ¥ller °ìä²Ô²õ±ô¾±²µ²¹ uppgifter som avslöjar
- ras eller etniskt ursprung
- politisk åsikt
- religiös eller filosofisk övertygelse
- medlemskap i fackförbund
- ³óä±ô²õ´Ç¾±²Ô´Ú´Ç°ù³¾²¹³Ù¾±´Ç²Ô
- sexuellt beteende eller läggning
- genetiska och biometriska uppgifter som kan användas för att entydigt identifiera en person.
- Även uppgifter om brottmÃ¥lsdomar är i regel °ìä²Ô²õ±ô¾±²µ²¹.
- Vid behandling av särskilda personuppgifter ska en separat grund för behandlingen anges.
- I vardagligt tal används ofta uttrycket °ìä²Ô²õ±ô¾±²µ²¹ personuppgifter för att syfta pÃ¥ särskilda personuppgifter.
| Praktiskt tips: Vid intervjustudier kan deltagarna själva ta upp uppgifter som hör till särskilda kategorier av personuppgifter, även om forskningsämnet i sig inte är känsligt. SÃ¥dana situationer kan inte alltid förutses. Handla enligt principen om uppgiftsminimering: samla inte in onödig information, utan ta bort de °ìä²Ô²õ±ô¾±²µ²¹ delarna ur materialet sÃ¥ snart som möjligt innan analysen. |
Den personuppgiftsansvarige
- Person, högskola, företag, myndighet eller samfund.
- Fastställer varför och på vilket sätt personuppgifterna behandlas samt är ansvarig för behandlingen av personuppgifterna.
- I lärdomsprov på kandidat- och magisternivå är det i regel den studerande som är personuppgiftsansvarig. Den studerande bestämmer vilka personuppgifter hen samlar in och behandlar i sin studie.
- Ett undantag utgörs av studier som görs på uppdrag, i ett anställningsförhållande eller inom ramen för ett forskningsprojekt vid högskolan. I dessa fall bestämmer den studerande inte självständigt för vilket ändamål personuppgifterna samlas in och hur de behandlas.
- Om fler än en aktör fattar beslut om insamlingen av personuppgifter är det fråga om gemensamt personuppgiftsansvar.
±Ê±ð°ù²õ´Ç²Ô³Ü±è±è²µ¾±´Ú³Ù²õ²ú¾±³Ù°ùä»å±ð³Ù
- Behandlar personuppgifter för den personuppgiftsansvariges räkning i enlighet med den personuppgiftsansvariges anvisningar.
- Kan också vara en så kallad mottagare av personuppgifter, d.v.s. en aktör som personuppgifterna överförs eller lämnas ut till.
- Till exempel Webropol Oy är mottagare av personuppgifter när en enkät har gjorts med hjälp av Webropol.
- Aalto-universitetet rekommenderar att personuppgifter behandlas med hjälp av informationssäkra verktyg och system från leverantörer som universitetet har ingått avtal om behandling av personuppgifter med.
- Fall 1: Lärdomsprovet är den studerandes eget självständiga arbete. → Den studerande är själv personuppgiftsansvarig.
- Fall 2: Lärdomsprovet görs som en del av ett projekt i ett anställningsförhållande vid högskolan. → Högskolan är personuppgiftsansvarig.
- Fall 3: Lärdomsprovet anknyter till ett pågående projekt vid högskolan, men den studerande är inte anställd. → Den personuppgiftsansvarige fastställs från fall till fall.
- Fall 4: Lärdomsprovet görs som ett beställningsuppdrag. → Det företag som beställt undersökningen är personuppgiftsansvarig.
- Fall 5: Högskolan/handledaren ger den studerande tillgång till färdigt enkätmaterial.→ Högskolan eller handledaren är personuppgiftsansvarig för personuppgifterna i materialet. Även om materialet används för en ny studie som det ursprungligen inte samlats in för överförs inte rollen som personuppgiftsansvarig till den studerande. OBS! Organisationen eller handledaren ska dock ha bett om deltagarnas tillstånd för att materialet kan användas för annan forskning än den ursprungliga.
Olika roller vid behandling av personuppgifterVad avses med personuppgiftsbiträde och mottagare av personuppgifter i ett dataskyddsmeddelande? ±Ê±ð°ù²õ´Ç²Ô³Ü±è±è²µ¾±´Ú³Ù²õ²ú¾±³Ù°ùä»å±ð³Ù behandlar personuppgifter för den personuppgiftsansvariges räkning i enlighet med den personuppgiftsansvariges anvisningar. Till exempel ett företag som transkriberar material är personuppgiftsbiträde. Begreppet mottagare av personuppgifter är mer omfattande än personuppgiftsbiträde. Mottagaren kan vara en leverantör av en teknisk plattform eller molntjänst, till exempel Google eller Microsoft, som data lämnas ut/överförs till när det sparas. Tjänsteleverantören kan använda en underleverantör till exempel för att säkerhetskopiera data. |
- Det finns alltid risker med behandling av personuppgifter. Handledaren ska diskutera dessa risker med den studerande och tillsammans komma överens om hur de kan undvikas.
- Exempel på risker för deltagare:
- personuppgifter lämnas ut utan tillåtelse
- obehöriga personer får åtkomst till personuppgifter
- personuppgifter förstörs oavsiktligt
- personuppgifter ändras utan tillåtelse
- personuppgifter försvinner
-
Riskbedömningen görs ur den registrerades, d.v.s. deltagarens, perspektiv.
I samband med lärdomsprov och forskning väljs en av följande rättsliga grunder för behandlingen av personuppgifter:
- Den registrerades samtycke: Vid Aalto-universitetet används denna grund för behandling av personuppgifter i lärdomsprov på kandidat- och magisternivå, eftersom lärdomsprov i regel inte uppfyller kriterierna för vetenskaplig forskning. Visserligen är gränsen mellan ett lärdomsprov och självständig vetenskaplig forskning oklar. Läs mer om vad som krävs för att ett samtycke ska vara giltigt: .
- Allmänt intresse: Allmänt intresse kan utgöra grund för behandlingen om kriterierna för vetenskaplig forskning uppfylls.
- I vissa situationer kan det också vara möjligt att använda ett berättigat intresse som grund för behandlingen. I sådana fall krävs ett jämviktstest. Obs! Detta gäller inte lärdomsprov på kandidat- eller magisternivå. Se Dataombudsmannens byrå:
|
Olika typer av samtycke Beroende på den rättsliga grunden för behandlingen ska deltagaren ha gett sitt
Det är frivilligt att delta i en studie och deltagarna kan återkalla sitt samtycke när som helst utan påföljder. Praktiskt tips: Om det inte är möjligt att be om ett skriftligt samtycke till att delta i forskningen (etisk princip), kan deltagaren ge sitt samtycke muntligt i början av intervjun. Samtycket sparas då i intervjuinspelningen och kommer därmed även med i transkriberingen. Studenten ska dessutom själv anteckna från vem samtycket har erhållits och på vilket sätt. Det är också bra att ha en checklista för att dokumentera alla åtgärder som rör dataskydd, tillstånd m.m., inklusive vem som har gett sitt samtycke och på vilket sätt. I en webbenkät kan samtycke till att delta i forskningen ges genom att markera samtycket i början av enkätformuläret. |
- Dataskyddsmeddelandet är ett dokument där deltagarna får information om hur deras personuppgifter behandlas.
- Utarbetandet av ett dataskyddsmeddelande grundar sig på EU:s dataskyddslagstiftning (GDPR), vars syfte är att skydda människors integritet och rättigheter.
- Dataskyddsmeddelandet behövs alltid när personuppgifter behandlas, oberoende av grunden för behandlingen, även i lärdomsprov på kandidat- och magisternivå där behandlingen i regel grundar sig på samtycke.
- Dataskyddsmeddelandet ska skickas för kännedom till deltagarna i ett så tidigt skede som möjligt (gärna redan när kontakten etableras, till exempel i ett följebrev), innan de bestämmer huruvida de deltar i studien eller inte.
Behandling av personuppgifter i enlighet med principerna för dataskydd är en central del av forskningsetiken: deltagarna ska ge sitt samtycke till att delta i studien (etiskt samtycke), samtycke till behandling av personuppgifter (om behandlingen grundar sig på samtycke) och samtycke till eventuell fortsatt användning av materialet.
Forskningsetiken ska beaktas inom all forskning. Det är en oskiljaktig del av ansvarsfull vetenskap och god vetenskaplig praxis. Det går i praktiken inte att skilja mellan forskningsetik och god vetenskaplig praxis.
Forskningsetik innebär att ärlighet, omsorg och noggrannhet ska tillämpas i alla faser av forskningen och på många olika sätt beroende på forskningsämne. De etiska aspekterna är särskilt viktiga när forskningen gäller människor.
Dataskydd i olika stadier av lärdomsprovet
I denna anvisning behandlas dataskyddsfrågor som gäller de olika faserna av examensarbetet när personuppgifter behandlas. Sakerna presenteras i den ordning de vanligtvis uppträder i processen, men många aspekter måste beaktas under hela forskningsarbetets gång. Anvisningen är i första hand avsedd för handledare för för kandidat- och magisterstuderande.
Nyttiga länkar
Baseras på: Kanerva, P., Mure, L., Laine, K., Hyrkäs, E., Hynnä, N., Satama, M., Huuskonen, S., Päällysaho, S., & Marjamaa, M. (2024, June 12). Opinnäytetyön aineisto ja tietosuoja. Zenodo.