Dataskyddsförordningen utifrÄn ett forskningsperspektiv
Behandling av personuppgifter
All behandling och hantering av personuppgifter inom forsknings- och studentarbeten vid Mittuniversitetet måste finnas registrerat av lärosätet. Kontakta dataskyddsombudet för hjälp med registrering.
Ändamål med behandlingen
All behandling av personuppgifter ska ha ett särskilt, uttryckligt angivet och berättigat ändamål. Utgångspunkten är att personuppgifter som samlats in för ett särskilt ändamål inte senare får behandlas på ett sätt som är oförenligt med detta ändamål. I ett forskningsprojekt är ändamålet normalt att utföra den forskning som projektet avser att genomföra.
Genom ett undantag från huvudregeln är det dock möjligt att använda uppgifter som samlats in för ett specifikt forskningsprojekt i senare forskningsprojekt. När man använder personuppgifter för ett annat forskningsprojekt än det som uppgifterna ursprungligen samlades in för måste man fortfarande följa övriga bestämmelser i dataskyddsförordningen.
Vilka personuppgifter ska behandlas?
För att kunna ta ställning till om personuppgifter hanteras i enlighet med dataskyddsförordningen behöver du identifiera vilka personuppgifter som ska behandlas inom ramen för ditt forskningsprojekt.
Vilka uppgifter som behandlas och i vilken omfattning det sker kan få betydelse för senare bedömningar, till exempel för att avgöra vad som utgör ett lämplig skydd för uppgifterna.
Rättslig grund för behandlingen
Behandling av personuppgifter inom ramen för ett forskningsprojekt kan stödjas på någon av de rättsliga grunderna allmänt intresse eller samtycke.
Möjligheten att använda allmänt intresse som rättslig grund utgår ifrån det faktum att bedriva forskning är en del av universitetets uppdrag. För att ett samtycke ska kunna användas som rättslig grund, och anses vara giltigt, finns det en rad faktorer att beakta.
Kontakta gärna juristfunktionen om du behöver hjälp att avgöra vilken rättlig grund som är lämplig i det enskilda fallet eller om du behöver hjälp med granskning av en samtyckesformulering.
Särskilda regler för känsliga personuppgifter
Dataskyddsförordningen har särskilt strikta regler när det gäller hantering av känsliga personuppgifter. Känsliga personuppgifter är uppgifter som avslöjar en persons politiska åsikter, ras eller etniska ursprung, religiösa eller filosofiska övertygelse eller dennes medlemskap i fackförening. Genetiska och biometriska uppgifter, hälsouppgifter och uppgifter om en fysisk persons sexualliv eller sexuella läggning utgör också känsliga personuppgifter.
Utgångspunkten i dataskyddsförordningen är att behandling av känsliga personuppgifter är förbjuden och att det krävs en särskild grund utöver den rättsliga grunden för att det ska vara tillåtet att behandla sådana uppgifter. Vetenskapliga eller historiska forskningsändamål är en sådan särskild grund. Det är alltså tillåtet att behandla känsliga personuppgifter när det är nödvändigt för vetenskapliga eller historiska forskningsändamål, under förutsättning att forskningen har godkänts vid en etikprövning.
Forskning på känsliga personuppgifter får enligt etikprövningslagen utföras enbart om den har godkänts vid en etikprövning. Forskning som innefattar behandling av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden ska också etikprövas enligt etikprövningslagen. Detta gäller även om uppgifterna inte är känsliga i dataskyddsförordningens mening.
Information till de registrerade
Läs mer om vilken information som ska ges till de registrerade.
Här finns också en mall som kan nyttjas.
Dela uppgifter med någon utanför universitetet
Om forskningsprojektet kommer att dela uppgifter med någon utanför universitetet finns det anledning att ta ställning till om ett personuppgiftsbiträdesavtal behöver upprättas. Personuppgiftsbiträdesavtal är ett krav när någon utanför universitetets organisation behandlar personuppgifter för forskningsprojektets räkning.
Mall för personuppgiftsbiträdesavtal.
Personuppgifter får som utgångspunkt inte överföras till ett land utanför EU/EES. Om personuppgifter måste överföras till ett land utanför EU/EES är det viktigt att uppgifterna överförs på ett säkert sätt. En jurist bör kontaktas för rådgivning.
För överföringar av personuppgifter till USA gäller sedan juli 2023 EU-kommissionens beslut om att det är tillåtet att överföra uppgifter till mottagare i USA som är anslutna till EU-U.S. Data Privacy Framework (DPF). Beslutet innebär att dessa mottagare anses ha en tillräcklig skyddsnivå för personuppgifter enligt EU:s dataskyddsregler. För att kontrollera om en amerikansk organisation är ansluten till Data Privacy Framework, kan man använda den officiella sökfunktionen på följande webbplats:
Tänk på att vissa tidskrifter inte är registrerade med tidskriftens namn utan med namnet på det företag som äger tidskriften.
Lämpligt skydd för personuppgifterna
Vid behandling av personuppgifter i ett forskningsprojekt ska lämpliga skyddsåtgärder vidtas för uppgifterna. Vilka åtgärder som är lämpliga beror på den enskilda situationen, vilken kategori av uppgifter som behandlas och hur många uppgifter det handlar om. Använd informationsklassningen som grund för fastställande av skyddsåtgärder.
Regler kring arkivering och radering
Personuppgifter får enligt dataskyddsförordningen inte sparas under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in. Det är dock tillåtet att behandla personuppgifter längre för arkivändamål. Forskningsdata med personuppgifter ska arkiveras i enlighet med rutinerna för arkivering av forskningshandlingar.
Konsekvensbedömning enl. art 35
Om en behandling av personuppgifter sannolikt leder till en hög risk för fysiska personers rättigheter och friheter så är vi enligt dataskyddsförordningen skyldiga att göra en så kallad konsekvensbedömning.
Läs mer om när en konsekvensbedömning krävs för ett forskningsprojekt
Förteckning enl. art 30
När ett forskningsprojekt behandlar personuppgifter (t.ex. om deltagare, patienter, intervjupersoner eller kontaktpersoner) ska projektets personuppgiftsbehandling finnas dokumenterad i vår registerförteckning (artikel 30 GDPR).
Läs mer om hur du ska göra för att förteckna ditt forskningsprojekt enligt artikel 30
Läs mer på SND:s (Svensk Nationell Datatjänst)sida
Researchdata.se - Personuppgifter i forskning