Verksamhet
Dataskydd Dataskydd på olika områden För personuppgiftsansvariga inom forskning Behandling av personuppgifter – för forskareBehandling av personuppgifter – för forskare
Den personuppgiftsansvariga kan i forskningssammanhang exempelvis vara ett universitet, en regionstyrelse, en kommunal nämnd eller en annan organisation såsom ett aktiebolag. Det är den personuppgiftsansvariga som har ansvaret att informera och instruera dig om hur du ska gå till väga vid behandling av personuppgifter i forskning.
Du kan läsa mer om personuppgiftsansvar nedan.
Med personuppgifter menas varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är om uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Här är några exempel på personuppgifter:
- namn
- adress
- personnummer
Även detta kan vara personuppgifter:
- bilder
- ljud- och filminspelningar
- GPS-positioner
- biometriska uppgifter, exempelvis uppgifter med fysiska eller beteendemässiga kännetecken, fingeravtryck och rörelsemönster.
Även om en viss uppgift inte enskilt kan knytas till en person, kan den vara en personuppgift om den i kombination med andra uppgifter kan knytas till en person. Därmed kan det exempelvis vara fråga om personuppgifter om det finns en kodnyckel som gör att någon kan identifieras.
Det kan vara svårt att avgöra om ett forskningsprojekt kommer att innebära att personuppgifter behandlas eller inte. Det är därför viktigt att den som är personuppgiftsansvarig gör noggranna överväganden innan ett forskningsprojekt påbörjas.
Om personuppgifter görs anonyma på ett sådant sätt att ingen direkt eller indirekt kan identifieras, kan det kallas ”anonymisering”. Dataskyddsförordningen (GDPR) som reglerar behandling av personuppgifter reglerar inte behandling av anonyma uppgifter.
Det kan vara mycket svårt att anonymisera uppgifter på ett sätt som gör att de inte längre är personuppgifter.
Känsliga personuppgifter är uppgifter om:
- etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i en fackförening
- hälsa
- sexualliv eller sexuell läggning
- genetiska uppgifter
- biometriska uppgifter som används för att entydigt identifiera en person.
Huvudregeln är att det är förbjudet att behandla känsliga personuppgifter, men det finns undantag i dataskyddsförordningen. Ett sådant undantag är bland annat om behandlingen är nödvändig för forskningsändamål. Det krävs dock att vissa förutsättningar är uppfyllda.
Precis som när det gäller all behandling av personuppgifter bör du som forskare vända dig till den personuppgiftsansvariga om du avser behandla känsliga personuppgifter.
Uppgifter om lagöverträdelser är inte känsliga personuppgifter i dataskyddsförordningens mening men har ett starkt skydd. Personuppgifter om lagöverträdelser är uppgifter om att någon har
- begått ett brott
- blivit fälld eller friad i domstol i ett brottmål
- blivit föremål för så kallade straffprocessuella tvångsmedel, till exempel häktning, reseförbud eller beslag
- misstänkts för ett konkret brott.
Som huvudregel får bara myndigheter behandla uppgifter om lagöverträdelser, men det finns vissa undantag. Precis som när det gäller all behandling av personuppgifter bör du som forskare vända dig till den personuppgiftsansvariga om du avser behandla personuppgifter om lagöverträdelser.
Personuppgiftsbehandling är allting som görs när personuppgifter hanteras, till exempel när personuppgifter:
- samlas in
- sparas
- delas/lämnas ut
- sorteras
- publiceras
- lagras
- raderas
Insamling av personuppgifter kan till exempel ske vid olika typer av enkät- eller intervjuundersökningar eller vid insamling av uppgifter från olika register.
Personuppgiftsansvarig
Personuppgiftsansvarig är som huvudregel den som bestämmer för vilka syften (ändamål) personuppgifter får hanteras och hur den hanteringen ska gå till (medel). Personuppgiftsansvarig kan till exempel vara ett aktiebolag, en stiftelse, en förening eller en statlig, regional eller kommunal myndighet.
För forskning vid universitet och högskolor är det oftast universitetet eller högskolan som är personuppgiftsansvarig och inte chefen eller rektorn på en arbetsplats eller en anställd forskare.
Endast i ett fåtal fall är en enskild forskare personuppgiftsansvarig, till exempel om personen bedriver forskning inom ramen för en enskild firma.
All personuppgiftsbehandling måste följa dataskyddsförordningen. Som enskild forskare får du enbart behandla personuppgifter enligt de instruktioner du fått av den personuppgiftsansvariga. Du bör därför alltid vända dig till den personuppgiftsansvariga innan du börjar behandla personuppgifter.
Personuppgiftsansvariga och personuppgiftsbiträden
Dataskyddsombud
Den personuppgiftsansvariga måste i vissa fall utse ett dataskyddsombud. Det gäller bland annat alla offentliga organ, till exempel statliga universitet och högskolor. Dataskyddsombudets roll är att informera om dataskyddsförordningen, ge råd och kontrollera att alla inom organisationen följer den. Därför kan du vända dig till dataskyddsombudet när det uppstår frågor om personuppgiftsbehandling i din forskning.
Vilka regler gäller och vem gör vad?
Allmänna regler om personuppgiftsbehandling finns i dataskyddsförordningen (GDPR), som kompletteras av bestämmelser i bland annat dataskyddslagen och ett antal registerförfattningar som reglerar hur personuppgifter får hanteras i vissa verksamheter.
IMY är tillsynsmyndighet enligt bland annat dataskyddsförordningen och dataskyddslagen. Vi ska bland annat granska och verkställa tillämpningen av dataskyddsreglerna. Vi kan alltså granska behandling av personuppgifter inom forskning.
Ett exempel på när vi har gjort det är IMY:s tillsynsbeslut om säkerhet och behandling av personuppgifter i samband med forskning.
Det krävs ett godkännande av Etikprövningsmyndigheten för att få behandla känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden vid forskning.
Det finns också andra regelverk att förhålla sig till när det gäller viss forskning, exempelvis reglerna om kliniska läkemedelsprövningar.
Webbinarium om personuppgifter i forskning
Den 12 juni 2023 genomförde Etikprövningsmyndigheten ett webbinarium om personuppgifter i forskning, i samarbete med Integritetsskyddsmyndigheten och Överklagandenämnden för etikprövning. Uppsala universitet deltog som representant för en forskningshuvudman.
Syftet var att belysa vilka aspekter som är viktiga att tänka på när personuppgifter behandlas i forskning. Vilka skyddsåtgärder är nödvändiga och vilka regelverk gäller? Vem ansvarar för vad och vad kan göras för att minska riskerna för forskningspersonerna? Vilket stöd kan forskarna behöva för att kunna hantera personuppgifter i enlighet med de krav som gäller? Och vem avgör vad som är en känslig personuppgift?
Webbinariet spelades in och i filmen presenterar företrädare för respektive myndighet vilket uppdrag myndigheten har och vad regelverket innebär. Gemensamt förklaras hur ansvarsfördelningen ser ut.
Ta del av webbinariet: Utbildningsmaterial hos Etikprövningsmyndigheten
Frågor och svar
-
Dataskydd
, -
Dina rättigheter
Dataskyddsförordningen (GDPR) är till för att skydda grundläggande rättigheter och friheter, särskilt enskildas rätt till skydd av sina personuppgifter. Dataskyddsförordningen gäller i hela EU och har bland annat till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter, så att det fria flödet inom EU och EES inte hindras.
Dataskyddsförordningen grundar sig alltså i de mänskliga rättigheterna. Rätten till privatliv skyddas också av ett antal andra regelverk. Individens rätt till respekt för sitt privat- och familjeliv regleras bland annat i den Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Även EU har antagit en stadga om de grundläggande rättigheterna, där det bland annat regleras en rätt till skydd för personuppgifter. Ett skydd för den personliga integriteten finns också i svensk grundlag.
Vill du lära dig mer om GDPR? Se våra kunskapsfilmer på IMY play, den första filmen handlar bland annat om syftet med GDPR.
Kunskapsfilmer om GDPR
Vill du lära dig mer om GDPR? I våra kunskapsfilmer på IMY play får du en snabb genomgång av de viktigaste delarna i dataskyddsförordningen.
Till IMY play
Kunskapsfilmer om GDPR
Vill du lära dig mer om GDPR? I våra kunskapsfilmer på IMY play får du en snabb genomgång av de viktigaste delarna i dataskyddsförordningen.
Till IMY play