Hantering av forskningsdata

1. Personuppgiftsansvarige:

• När en kandidat-, magister- eller EMBA-studerande samlar in och behandlar personuppgifter självständigt för sin avhandling, betraktas hon eller han vara den personuppgiftsansvarige och är primärt ansvarig för efterlevnaden av dataskyddslagar under hela datalivscykeln. Eftersom avhandlingen utförs under handledningen är det dock handledarens uppgift att göra studenten medveten om de skyldigheter som är förknippade med hans/hennes roll som den personuppgiftsansvarige.

• Om en studerandes studie genomförs enligt ett anställningsavtal med Hanken eller som en del av ett Hankens forskningsprojekt är Hanken den personuppgiftsansvarige.

• Om studien beställs av ett företag eller en organisation är företaget eller organisationen i allmänhet den personuppgiftsansvarige.

• Det finns också fall där två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen av personuppgifter för en studerandes studier eller avhandling.

2. Rättsliga grunder för behandlingen av personuppgifter:

• Den rättslig grunden för behandling av personuppgifter för avhandling av en kandidat-, magister- eller EMBA-studerande är vanligtvis samtycke. När samtycke används som den rättsliga grunden behöver studenten få respondenternas samtycke till behandlingen av deras personuppgifter. Handledaren instruerar studerande att använda Hankens mall för Samtycke till behandlingen av personuppgifter i studien (på engelska, på finska, på svenska) för att få samtycke. 

• Om studenten är medlem i ett forskningsprojekt där det finns en eller flera forskare (på doktorsnivå och däröver), används vetenskaplig forskning som en uppgift av allmänt intresse som den rättslig grunden. Studenten behöver be om informerat samtycke från forskningsdeltagarna, vilket krävs av forskningsetik, t.ex. TENK:s anvisningar. Handledaren instruerar studenten att använda Hankens mall för informerat samtycke (på engelska, på finska, på svenska) för att få informerat samtycke. Detta samtycke (till att delta i forskningen, som krävs av etiska standarder) skiljer sig från samtycke (till behandlingen av personuppgifter, som en rättslig grund enligt GDPR).

3. Alla Hanken-studerande ska fylla i e-blanketten Studiens dataskyddsmeddelande (på engelska, på finska, på svenska) som också fungerar som Register över behandling (ansvarighet att föra register över samlingar och hanteringar av personuppgifter enligt GDPR (art. 30). När studerande fyller i blanketten får han/hon instruktioner om:

• Hur han/hon redigerar den nedladdade filen så att den kan passa hans/hennes respondenter.
• Att tillhandahålla all obligatorisk information i dataskyddsmeddelandet till respondenterna för att fullgöra skyldigheten att tillhandahålla nödvändig information enligt GDPR (art. 12-14). 
• På vilket sätt studerande lagrar data på ett säkert sätt. IT-system som tillhandahålls av Hanken (t.ex. OneDrive for Business, Office 365, Webropol, SPSS) användas. Om en student planerar att lagra data någon annanstans, ombeds han/hon att lämna in databehandlingsavtalet med tjänsteleverantören efter att saken har diskuterats med handledaren eller med Hankens dataskyddsombud (dpo@hanken.fi).
  • När det gäller direkta identifierare inklusive kontaktuppgifter behöver studerande känna till att dessa uppgifter inte lagras i samma fil som andra empiriska data.
• Att radera alla personuppgifter efter att avhandling har godkänts. Data i Webropol raderas av Datacentralen då studentens användar-id inaktiverats efter utexaminering.

4. Efter att studenten skickat in e-blanketten Studiens dataskyddsmeddelande får både studenten och handledaren en sammanfattande e-post. Den sammanfattande e-posten ska också användas som ett bevis på dataskyddsåtgärder som AoL-bedömningen av avhandlingen bygger på.

5. Om en studerandes studie är en av de sex typer som beskrivs i Etikprövning ska hen begära ett etikprövningsutlåtande av Hankens forskningsetiska kommitté. Handledaren och studerande ska fylla i blanketten tillsammans och vara medvetna om att behandlingen av ärendet kan ta minst två till tre veckor.

6. Att göra en konsekvensbedömning avseende dataskydd (DPIA) vid behov. Om studenten har valt direkta identifierare, uppgifter som erhållits i förtroende, särskilda kategorier av personuppgifter eller stora mängder data (t.ex. fler än 500 respondenter) behöver handledaren diskutera med studenten.

• Handledaren kollar tillsammans med studenten listorna i Gör en konsekvensbedömning avseende dataskydd (DPIA) vid behov för att avgöra om en DPIA ska genomföras av studenten med dpo@hanken.fi.

7. För kursuppgifter fyller läraren eller examinatorn i och skickar in en e-blankett som omfattar kursens alla studerande eller studentgrupper och deras data.

• Examinatorn ska informera studerande om e-blanketten, instruera dem att tillhandahålla dataskyddsmeddelandet till de respondenterna och vägleda dem att radera personuppgifterna inom 6 eller 12 månader efter kursen.
• Om studenterna samlar in särskilda kategorier av personuppgifter eller stora mängder data (t.ex. fler än 500 respondenter), eller om någon direkt identifierare samlas in och lagras av studenterna i samma fil som resten av forskningsdata, ska varje studerande/studentgrupp fylla i en egen e-blankett.