Här har vi samlat grundläggande fakta om vad det innebär att vara personuppgiftsansvarig för en verksamhet som bedriver forskning. Vi beskriver också vilken roll dataskyddsombudet har och vilka regler som gäller vid behandling av personuppgifter vid forskning.
Personuppgiftsansvarig är som huvudregel den som bestämmer för vilka ändamål personuppgifter får hanteras och hur den hanteringen ska gå till.
Är du forskare?
Här har vi samlat fakta som är bra för dig att känna till om behandling av personuppgifter.
Oftast är den personuppgiftsansvariga en juridisk person, till exempel ett aktiebolag, en stiftelse, en förening eller en statlig, regional eller kommunal myndighet. För forskning vid universitet och högskolor är det alltså oftast universitetet eller högskolan som är personuppgiftsansvarig och inte chefen på en arbetsplats eller en anställd forskare.
Endast i ett fåtal fall är en enskild forskare personuppgiftsansvarig, till exempel om personen bedriver forskning inom ramen för en enskild firma.
I vissa fall kan det finnas flera som är gemensamt personuppgiftsansvariga, det vill säga när flera bestämmer ändamål och medel för personuppgiftsbehandlingen gemensamt.
Vilket ansvar har den personuppgiftsansvariga?
Den som är personuppgiftsansvarig ansvarar för att regler om behandling av personuppgifter följs i de forskningsprojekt som verksamheten bedriver.
Den personuppgiftsansvariga måste se till att behandling av personuppgifter sker i enlighet med dataskyddsförordningen, GDPR. Det handlar till exempel om ändamålet med behandlingen, gallring och säkerhet. Den faktiska behandlingen av personuppgifter utförs ofta av anställda eller ett anlitat personuppgiftsbiträde, men personuppgiftsansvaret kan aldrig överlåtas.
Den som är personuppgiftsansvarig ansvarar för att lämna instruktioner till dem som kan komma att behandla personuppgifter i sin forskning, så att det är tydligt för anställda och personuppgiftsbiträden vad de får och ska göra.
Dataskyddsombudet kontrollerar, informerar och ger råd
Vissa personuppgiftsansvariga måste utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen genom att till exempel informera och utföra kontroller. Dataskyddsombudet ska också ge råd inom organisationen. Det kan därför vara bra att utse ett dataskyddsombud, även om det inte krävs enligt dataskyddsförordningen.
Dataskyddsombudet har inget eget ansvar för att organisationen följer dataskyddsförordningen. Det ansvaret ligger alltid hos den personuppgiftsansvariga. En personuppgiftsansvarig får heller inte bestraffa dataskyddsombudet för att ha utfört sina arbetsuppgifter.
Utöver de grundläggande principerna i dataskyddsförordningen finns ytterligare regler som ska följas för att behandlingen av personuppgifter ska vara tillåten.
All behandling av personuppgifter måste ha en rättslig grund enligt dataskyddsförordningen för att vara tillåten. Myndigheter och privata aktörer som bedriver forskning kan stödja sig på delvis olika rättsliga grunder.
Myndigheter kan, beroende på situation, stödja sig på någon av dessa rättsliga grunder vid forskning:
rättslig förpliktelse
uppgift av allmänt intresse
samtycke
För privata forskningsaktörer kan dessa rättsliga grunder bli aktuella:
rättslig förpliktelse
intresseavvägning
samtycke
Vilken rättslig grund som kan tillämpas behöver bedömas inför varje personuppgiftsbehandling. Inom ett forskningsprojekt kan flera behandlingar av personuppgifter bli aktuella och då krävs det att det finns en rättslig grund för varje behandling.
Möjligheten att stödja behandling på samtycke är i många fall starkt begränsad. Anledningen är att kraven i dataskyddsförordningen är att samtycke ska lämnas helt frivilligt och att den registrerade när som helst ska kunna ta tillbaka sitt samtycke.
Om man exempelvis vill använda en patients personuppgifter i forskning kan patienten anses vara i en beroendeställning gentemot den personuppgiftsansvariga. Ett samtycke kan därför inte anses vara lämnat helt frivilligt. I sådana fall är det oftast bättre att använda en annan rättslig grund.
Huvudregeln är att det är förbjudet att behandla känsliga personuppgifter, men det finns undantag i dataskyddsförordningen. Ett sådant undantag är bland annat om behandlingen är nödvändig för forskningsändamål. Det krävs dock att vissa förutsättningar är uppfyllda.
Om känsliga personuppgifter behandlas för forskningsändamål måste den personuppgiftsansvariga bland annat vidta lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. En sådan skyddsåtgärd kan vara att den aktuella forskningen fått ett etikgodkännade enligt etikprövningslagen. Etikprövningsmyndigheten är den myndighet som gör etiska prövningar av forskning.
Uppgifter om lagöverträdelser är inte känsliga personuppgifter i dataskyddsförordningens mening men har ett starkt skydd. Personuppgifter om lagöverträdelser är uppgifter om att någon har
begått ett brott
blivit fälld eller friad i domstol i ett brottmål
blivit föremål för så kallade straffprocessuella tvångsmedel, till exempel häktning, reseförbud eller beslag
misstänkts för ett konkret brott.
Som huvudregel får bara myndigheter behandla uppgifter om lagöverträdelser, men det finns vissa undantag. Uppgifter om lagöverträdelser får behandlas om det finns en reglering som tillvaratar de registrerades rättigheter och friheter genom att lämpliga skyddsåtgärder har fastställts.
Ett exempel är att behandling av personuppgifter om lagöverträdelser har godkänts i samband med etikprövning enligt etikprövningslagen.
Den registrerade, det vill säga den vars personuppgifter behandlas, har ett antal rättigheter enligt dataskyddsförordningen. Den personuppgiftsansvariga ansvarar för att ha rutiner för att säkerställa att rättigheterna tillgodoses.
Den registrerade har bland annat rätt att få information när hens personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvariga både när uppgifterna samlas in och när den registrerade annars begär det.
När det är fråga om sådan personuppgiftsbehandling som kräver etikprövning finns det också vissa krav på information om själva forskningen i etikprövningslagen. Dessa krav gäller utöver dataskyddsförordningens krav på information.
Det är viktigt att vidta säkerhetsåtgärder för att skydda de personuppgifter som hanteras.
Alla organisationer som behandlar personuppgifter ansvarar för att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda uppgifterna. Vilka säkerhetsåtgärder som är lämpliga beror bland annat på hur känslig behandlingen är, vilka risker som finns för de registrerade och vilka tekniska lösningar som är tillgängliga.
Det finns också särskilda krav på att behandling för forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter i enlighet med dataskyddsförordningen. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering följs.
Inom Europeiska dataskyddsstyrelsen (EDPB) pågår ett arbete med att ta fram en vägledning om personuppgiftsbehandling för forskningsändamål.
Webbinarium om personuppgifter i forskning
Den 12 juni 2023 genomförde Etikprövningsmyndigheten ett webbinarium om personuppgifter i forskning, i samarbete med Integritetsskyddsmyndigheten och Överklagandenämnden för etikprövning. Uppsala universitet deltog som representant för en forskningshuvudman.
Syftet var att belysa vilka aspekter som är viktiga att tänka på när personuppgifter behandlas i forskning. Vilka skyddsåtgärder är nödvändiga och vilka regelverk gäller? Vem ansvarar för vad och vad kan göras för att minska riskerna för forskningspersonerna? Vilket stöd kan forskarna behöva för att kunna hantera personuppgifter i enlighet med de krav som gäller? Och vem avgör vad som är en känslig personuppgift?
Webbinariet spelades in och i filmen presenterar företrädare för respektive myndighet vilket uppdrag myndigheten har och vad regelverket innebär. Gemensamt förklaras hur ansvarsfördelningen ser ut.