Frågor & svar från webbinariet Aktuellt från EDPB

Webbinariet går att se i efterhand på IMY Play.

Hur ser IMY på riskerna med att reversera anonymiserade personuppgifter med hjälp av AI-teknik i offentliggjord statistik? Vilka skyddsåtgärder anser ni är tillräckliga?

EDPB arbetar med att ta fram riktlinjer om anonymisering. Målsättningen är att dessa riktlinjer ska publiceras för offentligt samråd under 2026. Generellt ser vi att AI medför större möjligheter att identifiera personer och en bedömning ska ske med alla rimligen användbara medel, vilket följer av beaktandesats 26 i dataskyddsförordningen (GDPR).

AI har en statistisk förmåga att kunna härleda till synes anonym information till en individ, speciellt om man kan tillföra externa data. Det kan göra det möjligt att urskilja en unik individ bland en mängd andra, även om personens identitet inte kan säkerställas. Riktlinjerna kommer att innehålla metoder för att avgöra om data är anonym.

Kan ni säga något om undantagen från informationsplikten när det gäller forskning? Till exempel om en personuppgiftsansvarig inte samlat in uppgifter för forskning, men därefter använder uppgifterna i det syftet och det handlar om ett mycket stort antal registrerade (exempelvis 100 000 personer).

Om den personuppgiftsansvarige har kontaktuppgifter till de registrerade så ska de som huvudregel informeras. Om det rör sig om ett stort antal registrerade och kontaktuppgifter saknas och det skulle medföra en alltför stor ansträngning att samla in kontaktuppgifter så kan den personuppgiftsansvarige istället tillhandahålla offentlig information. Exempelvis kan informationen läggas ut på en webbplats, annonseras i lokalmedier (om personuppgiftsansvarig bedömer att sådan information får god spridning) eller anslås i lokaler där de registrerade ofta vistas (såsom väntrum på vårdinrättningar).

Om den personuppgiftsansvarige när denne samlar in personuppgifter vet att personuppgifterna kan komma att lämnas ut för forskning så behöver de registrerade informeras om detta i samband med insamlingen.

I lagen om forskningsdatabaser finns en möjlighet till "opt-out" som en säkerhetsåtgärd så att dennes personuppgifter inte längre behandlas i databasen. Är det möjligt för en personuppgiftsansvarig, som stödjer sin forskning på allmänt intresse, att utan stöd i författning tillämpa en sådan möjlighet till "opt-out" i ett enskilt forskningsprojekt?

Ja. Även om det inte finns något krav på en ovillkorlig rätt att invända (”opt-out”) i lagstiftning så kan den personuppgiftsansvarige alltid medge detta som en skyddsåtgärd, enligt artikel 89 i dataskyddsförordningen.

Ska även pseudonymiserade forskingsuppgifter inkluderas i rätten till radering?

Som huvudregel ja. Det kan dock finnas situationer när den personuppgiftsansvarige tagit emot pseudonymiserade personuppgifter från någon annan och inte med rimliga eller lagliga medel kan identifiera de registrerade. I dessa situationer faller behandlingen av de pseudonymiserade personuppgifterna utanför dataskyddsförordningens tillämpningsområde, varpå den registrerade inte kan begära rätt till radering.

Den registrerade kan dock vända sig till den som utförde pseudonymiseringen och begära tillgång till sin pseudonym eller en annan uppgift som gör det möjligt att identifiera personuppgifterna. Om den registrerade får tillgång till sådana uppgifter och en personuppgiftsansvarig som tagit emot pseudonymiserade personuppgifter kan använda uppgifterna för att tillmötesgå en begäran om radering så ska radering som huvudregel ske. Om den personuppgiftsansvarige kan visa att radering skulle göra det omöjligt eller avsevärt försvåra möjligheten att uppnå syftet med forskningen så behöver emellertid inte personuppgifterna raderas.

Har man funderat något på hur man praktiskt ska hantera begäran om radering av personuppgifter i forskning i de fall forskningen utförs av myndighet? Dessa måste ju förhålla sig till regler om allmänna handlingar och arkivering.

Om den personuppgiftsansvarige kan visa att det finns en rättslig skyldighet i lagstiftning att behandla personuppgifter, exempelvis till följd av bestämmelserna i arkivlagstiftningen, så finns det ingen skyldighet att radera uppgifter.

Kan ni tipsa om resonemang kring förhållandet mellan forskningsbegreppet i dataskyddsförordningen (GDPR) och forskningsbegreppet i etikprövningslagen och andra svenska författningar där det förekommer?

Forskningsbegreppet i dataskyddsförordningen är ett EU-rättsligt begrepp och ska tolkas autonomt i förhållande till personuppgiftsbehandling enligt den förordningen. Forskningsbegreppet i dataskyddsförordningen behöver därför inte nödvändigtvis sammanfalla med hur forskningsbegreppet är definierat i annan lagstiftning eller ha samma tillämpningsområde.

Gällande radering av personuppgifter i forskningsprojektet undrar jag om de uppgifter som hanterats fram till radering får användas som underlag i forskningsprojektet, eller innebär radering att alla uppgifter ska bort för den personen?

Om en personuppgiftsansvarig tillmötesgår en begäran om radering så ska alla personuppgifter som den registrerade begär om raderas. Om den personuppgiftsansvarige kan visa att radering skulle göra det omöjligt eller avsevärt försvåra möjligheten att uppnå syftet med forskningen så behöver emellertid inte personuppgifterna raderas. Det kan exempelvis vara så att den personuppgiftsansvarige kan visa att endast vissa personuppgifter måste behandlas för att uppnå syftet med forskningen. I dessa fall så behöver den personuppgiftsansvarige endast radera de personuppgifter som inte är nödvändiga för att uppnå syftet med forskningen.

Om den rättsliga grunden samtycke kan användas inom ramen för klinisk forskning så finns det en påtaglig beroendeställning mellan patient/forskningsdeltagare och vårdgivaren? Hur ställer ni er till möjligheten att använda samtycke som rättslig grund med tanke på just den beroendeställningen?

Normalt sett behöver den personuppgiftsansvarige inte stödja sig på den rättsliga grunden samtycke för att genomföra klinisk forskning. Detta eftersom allmänt intresse eller intresseavvägning oftast kan utgöra rättsliga grunder för att behandla personuppgifter inom klinisk forskning. Däremot så är informerat samtycke till att delta i klinisk forskning ofta ett lagkrav (exempelvis enligt EU:s prövningsförordning (EU) 2014/536). Lagkrav på samtycke till att delta i forskning utgör en skyddsåtgärd enligt artikel 89 i dataskyddsförordningen.

Om det finns ett lagkrav på informerat samtycke och den personuppgiftsansvarige också stödjer personuppgiftsbehandlingen på samtycke som rättslig grund så måste samtycket uppfylla kraven i dataskyddsförordningen. Vad gäller frivilligheten så utgör den inte hinder för en patient att samtycka till personuppgiftsbehandlingen för forskningsändamål, om vården och forskningen är tätt sammanlänkad. Detta är normalt sett fallet inom klinisk forskning. En patient kan dock till följd av ett sjukdomstillstånd, som kan vara fysiskt eller psykiskt, vara oförmögen att ge ett giltigt samtycke. Ett exempel på en sådan situation kan vara en patient som har en svår neurologisk åkomma.

Skulle vara bra att kunna ta del av en transkribering av webbinariet, då det sägs mycket som inte finns med i presentationen.

Webbinariet är inspelat och finns tillgängligt på IMY Play.

Kan intresseavvägning användas som rättslig grund för forskning på högskolor?

Personuppgiftsbehandling inom forskningen som bedrivs på universitet och högskolor under statligt huvudmannaskap har stöd i högskolelagen (1992:1434). Dessa lärosäten behöver därmed inte stödja sig på intresseavvägning för personuppgiftsbehandling inom forskningen.

Privata universitet eller högskolor kan stödja sig på intresseavvägning som rättslig grund för att behandla personuppgifter inom forskningen. Som framgår av forskningsriktlinjerna så väger intresset av att bedriva forskning tungt i den intresseavvägning som den personuppgiftsansvarige måste göra. Om personuppgiftsbehandlingen inte kan stödja sig på intresseavvägning så kan det istället vara aktuellt att be om de registrerades samtycke som rättsligt stöd.
Det kan också finnas stöd i lagstiftning för privata universitet eller högskolor att behandla personuppgifter för forskningsändamål. Exempelvis kan en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå behandla personuppgifter för vissa forskningsändamål, enligt lagen (2024:1146) om vissa forskningsdatabaser.

Är det endast forskningsinstitut som i princip får använda forskningsändamål som förklaring, eller kan även andra gör det, till exempel en myndighet eller en konsultfirma som anlitas för att utföra intervjuer och analysera svaren för att undersöka en viss fråga?

Det finns inga begränsningar i vilken typ av organisation som kan behandla personuppgifter för forskningsändamål. För att kunna visa att en personuppgiftsbehandling är motiverad av forskningsändamål så bör den personuppgiftsansvarige göra en helhetsbedömning, som väger in de sex nyckelindikatorer som redogörs för i forskningsriktlinjerna.

Också personuppgiftsbehandling som inte förekommer inom enskilda forskningsprojekt kan vara motiverad av forskningsändamål. Det kan exempelvis röra sig om personuppgiftsbehandling i forskningsdatabaser, insamling av kontaktuppgifter eller annan personuppgiftsbehandling som möjliggör framtida forskningsprojekt.

Hur förhåller sig breda samtycken till lagen om vissa forskningsdatabaser (2024:1146) som möjliggör forskningsdatabaser utan specifika ändamål och ska vara baserade på frivillig medverkan?

Lagen (2024:1146) om vissa forskningsdatabaser (forskningsdatabaslagen) ger i sig stöd för att behandla personuppgifter för lagens ändamål, bland annat att skapa underlag för flera framtida forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen.

Däremot ställer forskningsdatabaslagen krav på att de registrerade samtycker till att deras personuppgifter ska få ingå i databasen. Av lagen framgår att begreppet ”samtycke” ska ha samma betydelse som i dataskyddsförordningen. Det betyder att ett samtycke ska vara frivilligt, specifikt, informerat och otvetydigt.

Vad gäller kravet på att samtycket ska vara specifikt så möjliggör forskningsdatabaslagen behandling av personuppgifter i forskningsdatabaser inom vissa forskningsområden. Detta ligger i linje med hur brett samtycke ska förstås i forskningsriktlinjerna, det vill säga att en registrerad kan samtycka till att deras personuppgifter behandlas för forskningsändamål inom ett angivet forskningsområde. Samtycket enligt forskningsdatabaslagen utgör dock inte en rättslig grund för behandlingen av personuppgifter i forskningsdatabaser, utan är istället en skyddsåtgärd.

Skulle ytterligare behandling för forskningsändamål kunna inkludera delning av resultat till myndigheter som i sin tur använder resultaten i myndigheternas (offentliga) rapporter eller behöver dessa nya samtycken från forskningsstudiens respondenter om det ursprungliga samtycket inte inkluderade delning till myndigheter med viss återpublicering av dem?

Det får avgöras från fall till fall, men för det fallet forskningsdata delas med myndigheter i syfte att tillgängliggöra underlag för att utarbeta rapporter så torde det falla utanför begreppet forskningsändamål. I många fall bör det dock vara möjligt att dela forskningsdata som inte utgör personuppgifter, exempelvis personuppgifter som har anonymiserats.

Om en myndighet tar emot forskningsdata för att bedriva egen forskning så kan dock delningen av data utgöra ytterligare behandling för forskningsändamål för den som delar data.

EDPB tar fram mallar för konsekvensbedömningar (DPIA). Hur kommer denna förhålla sig gentemot er vägledning om konsekvensbedömningar och kommer mallarna vara användarvänliga?

EDPB har nyligen publicerat en mall för konsekvensbedömningar för offentligt samråd.

Dokumentet innehåller två delar, en mall och ett förklaringsdokument. Målsättningen är att mallen ska vara användbar och tillgänglig samt att varje fält är tydligt beskrivet i förklaringsdokumentet.

Dokumentet är öppet för offentligt samråd och det är möjligt att lämna synpunkter på dokumentet till och med 9 juni 2026. När mallen är slutligt antagen kommer vi att säkerställa att vår nationella vägledning förhåller sig korrekt gentemot EDPB:s mall. Det kan inte uteslutas att justeringar av vår nuvarande vägledning behöver göras.

Är mallen för personuppgiftsincidentanmälan en uppdatering om vad som ska rapporteras till IMY, eller är det en mall för organisationen när den ska föra egen dokumentation?

EDPB:s mall rör personuppgiftsincidenter som ska rapporteras till respektive nationell dataskyddsmyndighet. Målet är att harmonisera mallarna i hela EU och att samma mall ska kunna användas i varje medlemsland. Mallarna kommer att publicerats för offentligt samråd på EDPB:s webbplats under 2026.

Vad är status för EDPB:s "Guidelines on Social Media Use by Public Bodies" som IMY tidigare hade ansvar för att leda. Vem leder nu arbetet och finns det någon tidsplan?

Tyvärr har riktlinjerna om myndigheters användning av sociala medier tagits bort från EDPB:s arbetsprogram och kommer, som det ser ut nu, inte att slutföras. Anledningen till det är att andra arbetsuppgifter och ämnen har behövts prioriteras och det därmed inte finns tillräckligt med resurser för att färdigställa riktlinjerna. Det kan inte uteslutas att arbetet kommer återupptas någon gång i framtiden, men det finns i nuläget ingen plan för att göra det.

Kan dere forklare hvordan EDPBs veiledninger generelt er juridiskt bindende? Det fremstår uklart, når dere videre sier at det i to tilfeller er uttrykkelig bindende. Det er ikke forskjell på 'skal' og 'skal' – er det ikke riktigere at generell veiledning er 'bør'? Håper dere kan tydeliggjøre, for dette var uklart.

EDPB:s riktlinjer är inte rättsligt bindande som lagstiftning eller rättspraxis. Det är dock en viktig rättskälla som också EU-domstolen hänvisar till. Viktigast är dock att riktlinjerna ger uttryck för hur tillsynsmyndigheterna inom EDPB anser att dataskyddsförordningen ska tolkas i olika frågor. Tillsynsmyndigheterna tillämpar därför riktlinjerna i sin verksamhet, vilket exempelvis kan få genomslag i en tillsynssituation. Detta bör personuppgiftsansvariga beakta när de organiserar sin personuppgiftsbehandling och gör de bedömningar som dataskyddsförordningen kräver.

Vi är nog många som är väldigt intresserade av hur vi kan använda SRB-domen för att förenkla delning av data för forskningsändamål. Tack för om ni kan kommentera det.

Praxisen från SRB-domen och andra domar där EU-domstolen avhandlat pseudonymisering gäller också när personuppgifter behandlas för forskningsändamål. Kortfattat innebär SRB-domen att en personuppgiftsansvarig som tar emot pseudonymiserade personuppgifter och som saknar rimliga eller lagliga medel för att identifiera de registrerade inte behöver tillämpa dataskyddsförordningen när denne behandlar uppgifterna. Det finns ett dock par viktiga saker som behöver beaktas när pseudonymiserade personuppgifter behandlas, också inom forskningen:

• En personuppgiftsansvarig som tillgängliggör pseudonymiserade personuppgifter måste fortfarande följa dataskyddsförordningen. Det betyder att den personuppgiftsansvarige måste vidta åtgärder för att skydda personuppgifterna också när de delas och vidarebehandlas. Den som tillgängliggör uppgifterna måste också informera de registrerade om behandlingen, inklusive syftet med att tillgängliggöra uppgifterna.
• Den som tar emot pseudonymiserade personuppgifter kan behöva vidta vissa skyddsåtgärder till följd av krav från den som tillgängliggör data, exempelvis avtalförpliktelser för att skydda uppgifterna eller att inte vidta åtgärder för att identifiera de registrerade.
• Om någon tar emot pseudonymiserade personuppgifter men saknar rimliga eller lagliga medel för att identifiera de registrerade och delar uppgifterna med en tredje part, så kan de pseudonymiserade personuppgifter falla tillbaka inom dataskyddsförordningens tillämpningsområde. Detta blir fallet om den tredje parten har rimliga eller lagliga medel för att identifiera de registrerade.