Hoppa till innehåll på sidan

För personuppgiftsansvariga inom forskning

Här har vi samlat grundläggande fakta om vad det innebär att vara personuppgiftsansvarig för en verksamhet som bedriver forskning. Vi beskriver också vilken roll dataskyddsombudet har och vilka regler som gäller vid behandling av personuppgifter vid forskning.

Personuppgiftsansvarig är som huvudregel den som bestämmer för vilka ändamål personuppgifter får hanteras och hur den hanteringen ska gå till.

Är du forskare?

Här har vi samlat fakta som är bra för dig att känna till om behandling av personuppgifter.

Behandling av personuppgifter – för forskare

Processing of personal data – for researchers (In English)

 

Oftast är den personuppgiftsansvariga en juridisk person, till exempel ett aktiebolag, en stiftelse, en förening eller en statlig, regional eller kommunal myndighet. För forskning vid universitet och högskolor är det alltså oftast universitetet eller högskolan som är personuppgiftsansvarig och inte chefen på en arbetsplats eller en anställd forskare.

Endast i ett fåtal fall är en enskild forskare personuppgiftsansvarig, till exempel om personen bedriver forskning inom ramen för en enskild firma.

I vissa fall kan det finnas flera som är gemensamt personuppgiftsansvariga, det vill säga när flera bestämmer ändamål och medel för personuppgiftsbehandlingen gemensamt.

Vilket ansvar har den personuppgiftsansvariga?

Den som är personuppgiftsansvarig ansvarar för att regler om behandling av personuppgifter följs i de forskningsprojekt som verksamheten bedriver.

Den personuppgiftsansvariga måste se till att behandling av personuppgifter sker i enlighet med dataskyddsförordningen, GDPR. Det handlar till exempel om ändamålet med behandlingen, gallring och säkerhet. Den faktiska behandlingen av personuppgifter utförs ofta av anställda eller ett anlitat personuppgiftsbiträde, men personuppgiftsansvaret kan aldrig överlåtas.

Den som är personuppgiftsansvarig ansvarar för att lämna instruktioner till dem som kan komma att behandla personuppgifter i sin forskning, så att det är tydligt för anställda och personuppgiftsbiträden vad de får och ska göra.

Personuppgiftsansvariga och personuppgiftsbiträden

EEPB:s riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR (på engelska)

Dataskyddsombudet kontrollerar, informerar och ger råd

Vissa personuppgiftsansvariga måste utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen genom att till exempel informera och utföra kontroller. Dataskyddsombudet ska också ge råd inom organisationen. Det kan därför vara bra att utse ett dataskyddsombud, även om det inte krävs enligt dataskyddsförordningen.

Dataskyddsombudet har inget eget ansvar för att organisationen följer dataskyddsförordningen. Det ansvaret ligger alltid hos den personuppgiftsansvariga. En personuppgiftsansvarig får heller inte bestraffa dataskyddsombudet för att ha utfört sina arbetsuppgifter.

Måste ni utse ett dataskyddsombud?

Dataskyddsombud

Tillåten behandling av personuppgifter – vad gäller?

I dataskyddsförordningen finns ett antal grundläggande principer. De måste vara uppfyllda vid all personuppgiftsbehandling för forskningsändamål.

Grundläggande principer

Utöver de grundläggande principerna i dataskyddsförordningen finns ytterligare regler som ska följas för att behandlingen av personuppgifter ska vara tillåten.

All behandling av personuppgifter måste ha en rättslig grund enligt dataskyddsförordningen för att vara tillåten. Myndigheter och privata aktörer som bedriver forskning kan stödja sig på delvis olika rättsliga grunder.

Myndigheter kan, beroende på situation, stödja sig på någon av dessa rättsliga grunder vid forskning:

  • rättslig förpliktelse
  • uppgift av allmänt intresse
  • samtycke

För privata forskningsaktörer kan dessa rättsliga grunder bli aktuella:

  • rättslig förpliktelse
  • intresseavvägning
  • samtycke

Vilken rättslig grund som kan tillämpas behöver bedömas inför varje personuppgiftsbehandling. Inom ett forskningsprojekt kan flera behandlingar av personuppgifter bli aktuella och då krävs det att det finns en rättslig grund för varje behandling.

Rättslig grund

Möjligheten att stödja behandling på samtycke är i många fall starkt begränsad. Anledningen är att kraven i dataskyddsförordningen är att samtycke ska lämnas helt frivilligt och att den registrerade när som helst ska kunna ta tillbaka sitt samtycke.

Om man exempelvis vill använda en patients personuppgifter i forskning kan patienten anses vara i en beroendeställning gentemot den personuppgiftsansvariga. Ett samtycke kan därför inte anses vara lämnat helt frivilligt. I sådana fall är det oftast bättre att använda en annan rättslig grund.

Samtycke

Känsliga personuppgifter är uppgifter om:

  • etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i en fackförening
  • hälsa
  • sexualliv eller sexuell läggning
  • genetiska uppgifter
  • biometriska uppgifter som används för att entydigt identifiera en person

Ett exempel på en känslig personuppgift om hälsa är en uppgift om förvaltarskap enligt föräldrabalken.

IMY:s rättsliga ställningstagande om att uppgift om förvaltare utgör en känslig personuppgift

Huvudregeln är att det är förbjudet att behandla känsliga personuppgifter, men det finns undantag i dataskyddsförordningen. Ett sådant undantag är bland annat om behandlingen är nödvändig för forskningsändamål. Det krävs dock att vissa förutsättningar är uppfyllda.

Känsliga personuppgifter

Om känsliga personuppgifter behandlas för forskningsändamål måste den personuppgiftsansvariga bland annat vidta lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. En sådan skyddsåtgärd kan vara att den aktuella forskningen fått ett etikgodkännade enligt etikprövningslagen. Etikprövningsmyndigheten är den myndighet som gör etiska prövningar av forskning.

Etikprövningsmyndigheten

Etikprövningslagen (riksdagen.se)

Uppgifter om lagöverträdelser är inte känsliga personuppgifter i dataskyddsförordningens mening men har ett starkt skydd. Personuppgifter om lagöverträdelser är uppgifter om att någon har

  • begått ett brott
  • blivit fälld eller friad i domstol i ett brottmål
  • blivit föremål för så kallade straffprocessuella tvångsmedel, till exempel häktning, reseförbud eller beslag
  • misstänkts för ett konkret brott.

Som huvudregel får bara myndigheter behandla uppgifter om lagöverträdelser, men det finns vissa undantag. Uppgifter om lagöverträdelser får behandlas om det finns en reglering som tillvaratar de registrerades rättigheter och friheter genom att lämpliga skyddsåtgärder har fastställts.

Ett exempel är att behandling av personuppgifter om lagöverträdelser har godkänts i samband med etikprövning enligt etikprövningslagen.

Personuppgifter som rör lagöverträdelser

Den registrerade, det vill säga den vars personuppgifter behandlas, har ett antal rättigheter enligt dataskyddsförordningen. Den personuppgiftsansvariga ansvarar för att ha rutiner för att säkerställa att rättigheterna tillgodoses.

Den registrerade har bland annat rätt att få information när hens personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvariga både när uppgifterna samlas in och när den registrerade annars begär det.

De registrerades rättigheter

När det är fråga om sådan personuppgiftsbehandling som kräver etikprövning finns det också vissa krav på information om själva forskningen i etikprövningslagen. Dessa krav gäller utöver dataskyddsförordningens krav på information.

Det är viktigt att vidta säkerhetsåtgärder för att skydda de personuppgifter som hanteras.

Alla organisationer som behandlar personuppgifter ansvarar för att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda uppgifterna. Vilka säkerhetsåtgärder som är lämpliga beror bland annat på hur känslig behandlingen är, vilka risker som finns för de registrerade och vilka tekniska lösningar som är tillgängliga.

Det finns också särskilda krav på att behandling för forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter i enlighet med dataskyddsförordningen. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering följs.

Informationssäkerhet

IMY har fattat ett tillsynsbeslut om säkerhet i samband med forskning när det gäller behandling av personuppgifter på ett USB-minne.

Tillsynsbeslut om säkerhet i samband med forskning

 

EU-riktlinje om forskning på gång

Inom Europeiska dataskyddsstyrelsen (EDPB) pågår ett arbete med att ta fram en vägledning om personuppgiftsbehandling för forskningsändamål.

Vägledning om etikprövning av forskning

Etikprövningsmyndigheten har tagit fram en vägledning om etikprövning av forskning på människor. Vägledningen ska bland annat underlätta för forskare att bedöma när en ansökan om etikprövning behöver göras och hur en ansökan går till. 
 
Ta del av vägledningen: Utbildningsmaterial hos Etikprövningsmyndigheten

Kunskapsfilmer om GDPR

Vill du lära dig mer om GDPR? I våra kunskapsfilmer på IMY play får du en snabb genomgång av de viktigaste delarna i dataskyddsförordningen.

Till IMY play

Händer med mobil

Kunskapsfilmer om GDPR

Vill du lära dig mer om GDPR? I våra kunskapsfilmer på IMY play får du en snabb genomgång av de viktigaste delarna i dataskyddsförordningen.

Till IMY play

Senast uppdaterad: 9 juni 2023
Sidans etiketter Dataskydd, Forskning