Dataskydd i studieärenden

Om social interaktion är en väsentlig del av kursprestationen och bedömningen kan interaktionen vid behov ordnas genom videosamtal. Om du ordnar undervisning på distans med hjälp av videosamtal ska du använda de videokommunikationstjänster som universitetet erbjuder.

Utgångspunkten är att det ska vara frivilligt för studenten att ha på kameran under ett videosamtal. Om undervisningens karaktär emellertid kräver social interaktion under lektioner eller tentamina, trots att undervisningen ordnas på distans, ska studenterna informeras på förhand om att kamerorna kommer att hållas på under videosamtalet. Det är bra att påminna studenterna om hur de själva kan påverka sin integritet (t.ex. genom att justera kameravinkeln eller använda de bakgrundsbilder som erbjuds i tjänsterna).

Samma regler gäller för att spela in distansundervisning som för att spela in lektioner.

Studenten har rätt att få tillgång till uppgifter som rör hen, rätt att få uppgifterna rättade och i vissa fall raderade (om uppgifterna inte är nödvändiga eller inte behöver sparas enligt universitetets arkivbildningsplan eller lagstiftningen).

Studentens begäran om information eller en annan eventuell begäran som gäller personuppgifter ska besvaras inom 30 dygn.

Om begäran om information gäller uppgifter som finns i studieregistret kan studenten ta direkt kontakt med studieregistret (registrar@helsinki.fi).

Om du av en student eller någon annan får en förfrågan som rör studieuppgifter och du är osäker på hur förfrågan ska behandlas enligt lag, bör du kontakta juristen för studieärenden lakipalvelu-opintoasiat@helsinki.fi.

Kursanmälningar ska helst göras via Sisu. Det är i regel datasäkert att använda Sisu.

Om du skriver ut anmälningslistor från Sisu eller samlar in närvarolistor av studenterna under lektionerna, ska du se till att listorna förvaras på korrekt sätt och förstörs (använd insamlingskärl för dokument med personuppgifter) när det inte längre är nödvändigt att spara uppgifterna.

Om du på föreläsningar samlar in närvarolistor över studenterna, fundera vilka uppgifter som är nödvändiga att samla in. I exempelvis kursanmälningar och tentamensprestioner räcker det med studentnummer; personbeteckning behövs inte. Personbeteckningen ska överhuvudtaget inte antecknas i dokumenten i onödan.

I den mån det är möjligt ska man även se till att andra studenter inte kan koppla en students namn till ett visst studentnummer. Det är inte nödvändigt att anteckna studentnumret på seminariearbeten som delas ut till studenter eller på uppgifter som bedöms kollegialt och inte heller i samband med grupparbeten.

Närvarolistor ska förvaras korrekt samt förstöras när det inte längre är nödvändigt att förvara uppgifterna.

När en ny kurs börjar bör en ny Moodle-plattform skapas. Använd inte en gammal kursplattform eller den information som finns där.

Efter varje bedömt Moodle-kurs är det bra att radera alla personuppgifter som inte längre behövs och som inte längre nödvändigtvis ska sparas. Rent allmänt kan det vara bra att regelbundet radera sådana anteckningar om studenter som inte längre behöver sparas för verksamheten.

När du delar ut lärarrättigheter till en Moodle-kurs ska du komma ihåg att alla som får lärarrättigheter måste ha arbetsrelaterade skäl att ta del av deltagarinformation och studenternas uppgifter.

Om du från Moodle skriver ut listor som innehåller prestationer eller bedömningar och sparar dem i din egen dator och/eller vidarebefordrar dem till studieregistret, bör du läsa avsnittet om förvaringstider och förvaringssätt för studieprestationer.

Tentamensprestationer och seminariearbeten förvaras i enlighet med arkivbildningsplanen (ABP) i sex månader. Därefter ska studieprestationer i regel förstöras. Överlag ska personuppgifter inte lagras längre är vad som är nödvändigt med tanke på användningsändamålet, om en viss lagringstid för dem inte fastställts i Helsingfors universitets arkivbildningsplan eller i lagstiftningen.

Om lagringstiderna för undervisningsrelaterade dokument föreskrivs i arkivinstruktionen.

Andra verktyg som används i nätundervisningen är till exempel Wiki, undervisningsvideon, OneNote och andra Office-verktyg. Vi rekommenderar att du använder universitetets system för undervisningen. Om du till exempel vill använda dig av sociala medier (t.ex. Whatsappgrupper, Facebookgrupper) ska du diskutera och komma överens om detta med studenterna.

se: ANDRA VERKTYG SOM STÖDER UNDERVISNING 

Om det samlas in personuppgifter om studenterna ska studenterna informeras om behandlingen av sina uppgifter. Största delen av de uppgifter som samlas in ingår i den normala undervisningsverksamheten, för vilken information ges i universitets dataskyddsmaddelande, och då behöver studenterna inte informeras separat. Om det samlas in sådana uppgifter om studenterna som avviker från de uppgifter som samlas in i den normala undervisningsverksamheten ska studenterna bland annat informeras om varför uppgifterna samlas in, vad man gör med uppgifterna, vad som är den rättsliga grunden för behandling av uppgifterna, vem uppgifterna kan lämnas ut till och hur länge de förvaras. Du kan ta hjälp av universitetets mall för dataskyddsmeddelanden (finns på Flamma), som innehåller alla nödvändiga uppgifter.

Det är i princip tillåtet att handleda och ge respons till studenter via e-post. Likaså får lärare i princip via e-post utbyta information i studentrelaterade ärenden. Om e-posten innehåller känsliga eller hemliga uppgifter måste man vara extra noggrann vid behandlingen av uppgifterna och vid behov använda en säker förbindelse. 

Personbeteckningar ska alltid krypteras när de skickas via e-post. Tentamensresultat och studentnummer kan skickas okrypterade via e-post, medan uppgifter om studentens hälsa eller personliga egenskaper ska krypteras. Även tentamensfrågor och tentamenssvar som skickas som e-post före tentamen ska krypteras. Detsamma gäller när studenternas tentamensresultat skickas som e-post.

Vad innebär krypterad eller skyddad e-post? Närmare instruktioner om datasäker hantering av e-post finns här: https://flamma.helsinki.fi/fi/HY336357

Säkerställ att kursen uppfyller kraven på datasäkerhet och dataskydd i samband med behandling av personuppgifter. Till exempel vid användning av Moodle kan man begränsa tillträdet till kursområdet så att endast deltagarna kommer in och man kan kräva en kursnyckel som är svår att gissa. Om känsligare material behandlas inom ramen för undervisningen måste man påminna studenterna om eventuell tystnadsplikt och ge dem anvisningar om hur de ska gå till väga när de tar del av och/eller behandlar konfidentiellt material. 

Om det inte är meningen att studenterna ska delge känsliga uppgifter ur sitt liv i kursuppgiften, kan detta nämnas i samband med uppgiftsinstruktionerna. Om du är osäker på dataskyddet i samband med kursen, kan du vid behov kontakta universitetets jurist.

Social- och hälsovårdsuppgifter i undervisningen

Om du använder kunduppgifter som har uppstått inom social- och hälsovården som undervisningsmaterial eller underlag för undervisningsmaterial, ska du beakta att du i enlighet med lagen om sekundär användning av personuppgifter inom social- och hälsovården behöver ett dataanvändningstillstånd. Du ska be den personuppgiftsansvariga som överlåter uppgifterna om ett dataanvändningstillstånd, eller så ska du vända dig till tillståndsmyndigheten Findata om det är fråga om flera personuppgiftsansvariga.

Kunduppgifter får efter beviljat dataanvändningstillstånd behandlas för att framställa undervisningsmaterial för undervisning av personer som studerar till en yrkesexamen inom social- och hälsovården, om det är nödvändigt för att syftet med undervisningen ska uppnås. Uppgifterna ska i första hand användas som anonyma. Identifierbara uppgifter får användas endast om undervisningen inte kan hållas anonym på grund av att fallet i fråga är sällsynt, på grund av undervisningens natur eller av något annat motsvarande skäl.

Bakom denna länk hittar du guiden Patient in Education (på finska).

Läraren kan spela in sin egen undervisning (ljudfil eller video) efter att ha informerat om inspelningen och dess syfte på förhand och om det inte krävs interaktion med studenterna under föreläsningen. Studenterna ska på förhand informeras om inspelningen och dess syfte, så att studenterna själv kan påverka om deras bild eller tal spelas in. Om en video spelas in ska bilden avgränsas så att studenterna inte syns i onödan.

Om undervisningen innehåller mycket diskussion och kräver att studenterna deltar eller om läraren av annan orsak vill spela in bild- eller ljudmaterial där studenterna deltar, ska läraren be var och en av studenterna om deras samtycke och studenterna ska informeras i enlighet med dataskyddsförordningen (läs mer under Att informera om behandlingen av uppgifter). Utgångspunkten är att samtycket ska ges fullständigt frivilligt, och det får inte ha negativa följder för studenten om hen inte ger sitt samtycke. Att delta på en video eller i en ljudfil får till exempel inte vara en förutsättning för att kunna delta på kursen, om det inte är nödvändigt att spela in på grund av kursens karaktär eller för att en kursprestation ska kunna bedömas.

Tentamensresultat, seminariepresentationer, övningsarbeten, esssäer, föreläsningsdagböcker och motsvarande arbeten förvaras i sex månader. Pro gradu-avhandlingar förvaras permanent, medan kandidatavhandlingar förvaras i fem år.

Information om förvaringstider för studieprestationer har samlats i arkivbildningsplanen – observera att om en uppgift sparas i studieregistret eller i bibliotekets samlingar behöver den inte sparas av utbildningsprogrammet eller av en enskild lärare.

När förvaringstiden har gått ut ska studieprestationerna raderas. Studieprestationer (förutom examensarbeten) är i regel sekretessbelagda dokument.

Förvara helst alla studierelaterade prestationer på Moodle och undvik att förvara dem i filer i din egen dator. Om du har sammanställt och sparat bedömningslistor, till exempel som tabeller i din dator, ska du regelbundet kontrollera att du inte sparar uppgifter längre än den föreskrivna förvaringstiden.

Information om förvaringstider för studieprestationer har samlats i arkivbildningsplanen – observera att om en uppgift sparas i studieregistret eller i bibliotekets samlingar behöver den inte sparas av utbildningsprogrammet eller av en enskild lärare.

Studieprestationers resultat

Studenten ska få information om sitt vitsord ur studieförvaltningssystemet. Om studieprestationerna inte registreras i studieförvaltningssystemet, är det rekommendabelt att meddela studentens vitsord endast till studenten själv. Om detta är en utmaning till exempel på grund av det stora antalet studenter, kan vitsorden meddelas enligt studentnummer i den digitala lärmiljön på så sätt att uppgifterna endast kan ses av de studenter som deltar i undervisningen eller studieavsnittet i fråga. Studenternas namn får inte meddelas i detta sammanhang.

Om minst fem studenter har genomfört samma studieprestation vid samma tillfälle ska läraren beräkna hur vitsorden har fördelats. Läraren får själv välja hur vitsordsfördelningen presenteras. Fördelningen kan till exempel presenteras som ett diagram eller en tabell. Informationen om vitsordsfördelningen får inte innehålla studentnummer, studenters namn eller andra identifikationsuppgifter.

Fundera alltid över vilket sätt som är tillräckligt för individualisering av studenter med tanke på principen om minimering av  personuppgifter. I exempelvis kursanmälningar och tentamensprestioner räcker det med studentnummer; personbeteckning behövs inte. Personbeteckningen ska överhuvudtaget inte antecknas i dokumenten i onödan.

Studentnumret används bland annat när vitsord för kurser och tentamina publiceras och det fungerar som identifikationskod då det inte är lämpligt att studenten kan identifieras direkt. Man ska i den mån det är möjligt se till att andra studenter inte kan koppla en students namn till ett visst studentnummer. Det är till exempel inte nödvändigt att anteckna studentnumret på seminariearbeten som delas ut till studenter eller på uppgifter som bedöms kollegialt, inte heller i samband med grupparbeten.

NOTERA! Användningen av ett studentnummer är inte ett helt tillförlitligt sätt att anonymisera eller pseudonymisera, eftersom studentnumret inte är hemlig information. Även med studentnummer ska till exempel inte i onödan publicera information om studenter utan deras medgivande.

Insamling av anonym studentrespons är i princip tillåtet (med hänsyn till forskningsetiska aspekter). Enkäterna ska planeras så att inga personuppgifter samlas in i onödan.

Om en lärare eller student kan identifieras i responsen, är det frågan om en personuppgift. Då ska man på förhand definiera och informera om vad materialet med personuppgifter används till.  

Uppgifterna får behandlas endast av personer vars arbete är förenat med rätt att behandla responsen och med ansvar för behandlingen.

Svaren kan förvaras så länge som det är nödvändigt för verksamheten. Efter det ska svaren förstöras på ett datasäkert sätt. Tänk på att det insamlade materialet kan innehålla sekretessbelagda uppgifter.

Om den insamlade responsen publiceras, får det inte i de uppgifter som publiceras synas uppgifter som kan kopplas till en viss person utan att personen har gett sitt tillstånd till det.

Ansökningar som gäller individual arrangemang med åtföljande hälsouppgifter är sekretessbelagda dokument och innehåller känsliga personuppgifter.

Känsliga och sekretessbelagda uppgifter om hälsa ska förvaras separat från andra personuppgifter. Om uppgifterna förvaras i pappersform, ska de förvaras i en separat mapp i ett låst skåp eller utrymme. Om uppgifterna förvaras i elektronisk form, ska de skyddas tillförlitligt med ett lösenord eller på något annat sätt så att de är tillgängliga endast för arbetstagare för vilka det har fastställts att arbetsuppgifterna inkluderar behandling av känsliga uppgifter. När uppgifter som innehåller hälsoinformation skickas per e-post ska meddelandet krypteras.

Känsliga uppgifter ska raderas ur registret omedelbart efter att det inte längre finns någon lagstadgad grund för behandling av uppgifterna. Onödiga uppgifter ska förstöras på ett datasäkert sätt så att inte obehöriga kommer åt dem.

Anställda vid universitetet är behöriga att behandla endast sådana personuppgifter som de behöver för att utföra sina arbetsuppgifter.

Mer information här

Den personuppgiftsansvariga och ansvar i fråga om examensarbeten

Personuppgiftsansvarig är den som är ansvarig för behandling av personuppgifter. Den personuppgiftsansvariga definierar syftet med och metoderna för insamling och behandling av personuppgifter. I fråga om examensarbeten är den personuppgiftsansvariga i regel studenten i samarbete med universitetet. Behandlingen av personuppgifter i samband med examensarbeten sker för ändamål som i allmänhet har definierats av studenten, men eftersom examensarbeten görs i syfte av universitetsstudier, och i vissa fall handledaren för examenarbeten kan också påverka definitionen av de uppgifter och metoder som ska samlas in, studenten och universitetet är gemensamt ansvariga för personuppgifterna.

Trots att studenten i de flesta fallen uppfattas som personuppgiftsansvarig är det handledarens uppgift att stödja och handleda studenten i behandlingen av personuppgifter. Universitetet spelar en viktig roll för introduktionen av studenter i en ansvarsfull och lagenlig behandling av uppgifter. Därför bör handledaren gå igenom frågeställningar som rör behandlingen av personuppgifter med studenterna innan de börjar med sina examensarbeten.

En undantag från gemensamt personuppgiftansvarighetet är situation i vilken examensarbetet skrivs inom ramen för ett anställningsförhållande vid Helsingfors universitet och/eller som en del av ett forskningsprojekt vid Helsingfors universitet. Då är universitetet personuppgiftsansvarig. Efter övervägande från fall till fall är universitetet också personuppgiftsansvarig om forskaren genomför sin studie på annat sätt under nära handledning eller i nära relation till universitetet (universitetet har haft inflytande över behandlingen av personuppgifter).

Om det färdiga examensarbetet innehåller personuppgifter är Helsingfors universitet personuppgiftsansvarig för det färdiga examensarbetet efter att det har skickats till universitetet för bedömning och arkivering.

De viktigaste punkterna för att kunna följa lagen

Identifiera rollerna: Vem är personuppgiftsansvarig (oftast studenten och universitet gemensamt) och vilka är de registrerade?

Fastställ ändamålet för behandlingen av personuppgifter och de personuppgifter som behövs:

Vad har examensarbetet för ämne och varför behövs uppgifter om enskilda personer? Vilka uppgifter behövs: minimera mängden uppgifter som samlas in. Fastställ ändamålet för behandlingen i förväg: behöver det inkluderas personuppgifter i forskningsresultaten, det vill säga examensarbetet? Vill du använda materialet i fortsättningen till exempel för andra forskningsändamål? 

Fastställ den rättsliga grunden för behandlingen av personuppgifter:

Examensarbeten på magisternivå (som pro gradu-avhandlingar): allmänt intresse kan användas som grund för behandlingen av personuppgifter (”vetenskaplig forskning av allmänt intresse”).

Examensarbeten på lägre nivå: samtycke som grund för behandlingen (när uppgifter samlas in från försökspersoner) eller berättigade intressen (när uppgifter samlas in från en andra källa). Om rättsliga grunden är berättigade intressen, måste en intressevägning göras om hurdana fördelar forskning erhållas gentemot hurdana nackdelar deltagning i forskning förorsakas för försökspersoner.

Fundera över hur eventuella risker för forskningspersonerna kan minskas, till exempel: pseudonymisering av material, uppgiftsminimering, begränsning av lagringstider, användning av informationssäkra tjänster och system.  

Informera forskningspersonerna: länk till en mall för dataskyddsmeddelande finns i dataskyddsanvisningen för forskare (Flamma).

Användbara länkar:

• Dataskyddsanvisningar för forskare (Flamma)
• Etikprövningsnämnden
• Datahantering och dataskydd i avhandlingen (Grundläggande guide för datahantering) 

Ytterligare frågor kan du hitta från HYs Yammer/Tietosuoja-grupp (på finska).

Begär närmare information på adressen lakipalvelu-opintoasiat@helsinki.fi 

Universitetets personal får vid behov hjälp med forskningsrelaterade dataskyddsfrågor från Forskningsservicens juridiska service via adressen tutkimuksenjuristit@helsinki.fi eller från dataskyddsombudet via tietosuoja@helsinki.fi.