Anvisning för personuppgiftsbehandling i forskning

Personuppgifter behöver ibland behandlas för att utifrån en rimlig kostnad och arbetsinsats kunna uppnå en hög kvalitet i forskningen.

Det är dock viktigt att redan i den inledande planeringsfasen göra en bedömning av vilka personuppgifter som kan komma att behöva behandlas, vilka integritetsrisker som behandlingen innebär, huruvida dessa risker står i proportion till syftet med behandlingen, samt vilka förutsättningar som måste vara uppfyllda enligt gällande reglering.

I denna anvisning tas några av de mest centrala frågorna upp. Vid osäkerhet kring dina skyldigheter enligt Dataskyddsförordningen kan Stockholms universitets dataskyddsombud kontaktas. För juridiska frågor kan juristerna vid Rättssekretariatet också kontaktas.

Grundläggande krav för personuppgiftsbehandling för forskningsändamål

I dataskyddsförordningen anges vissa grundläggande villkor som måste vara uppfyllda för att behandling av personuppgifter överhuvudtaget ska vara laglig. Listan över så kallade rättsliga grunder i artikel 6.1 är uttömmande, vilket innebär att man måste kunna hänvisa till minst en av dessa för att kunna visa att behandlingen i fråga är tillåten. Den rättsliga grund som framför allt kan komma i fråga för den forskning som bedrivs vid Stockholms universitet är nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e och i vissa fall, såsom ofta vid datainsamling i utlandet, samtycke enligt artikel 6.1 a. Du kan läsa mer om dessa rättsliga grunder längre ner.

Förutom att personuppgiftsbehandlingen måste vila på en rättslig grund gäller vissa grundläggande principer för själva behandlingen. Bland annat ska det finnas ett särskilt och uttryckligt angivet ändamål med behandlingen och uppgifterna skall vara korrekta, adekvata, relevanta och inte alltför omfattande i förhållande till detta ändamål. Den sistnämnda principen kallas för uppgiftsminimering, och betyder alltså att du behöver säkerställa att du inte samlar in, använder eller på andra sätt behandlar fler uppgifter än vad som krävs för att du ska kunna utföra din uppgift. Du hittar mer information om dessa principer här:

Personuppgifter och dataskydd

Forskning som innefattar behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. omfattas dessutom av ett krav på etikprövning enligt lag (2003:460) om etikprövning av forskning som avser människor (information om etikprövning av forskning som avser människor finns här).

De registrerades rättigheter enligt förordningen måste också respekteras och de registrerade ska också informeras om dessa rättigheter (mer information och mallar för informationsblad och samtyckes blanketter finns här). De registrerade ska även informeras om själva behandlingen, vilket innebär att man redan i den inledande planeringsfasen måste ta hänsyn till behovet av vidare behandling för arkivändamål samt upprätta en datahanteringsplan av vilken det bland annat ska framgå hur materialet ska samlas in och lagras samt vem som ska ges tillgång till materialet i olika skeden av behandlingen.

Om det finns en hög risk för integritetsintrång ska en konsekvensbedömning göras innan behandlingen påbörjas (se Integritetskyddsmyndighetens information). All personuppgiftsbehandling vid Stockholms universitet ska tas upp i universitetets registerförteckning.

Om personuppgifter ska behandlas av någon utanför organisationen för Stockholms universitets räkning ska ett personuppgiftsbiträdesavtal tecknas. Om personuppgifter ska publiceras på webben eller lagras i molntjänster finns det särskilda regler att ta hänsyn till. Om personuppgifter ska överföras till ett land utanför EU behöver du undersöka om detta är möjligt.

Nödvändig behandling för att utföra en uppgift av allmänt intresse

För Stockholms universitet (liksom för andra universitet och högskolor med staten som huvudman) är uppgiften att forska fastställd i nationell rätt genom bestämmelser i högskolelagen. Detta innebär att forskare vid Stockholms universitet kan tillämpa den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen vid behandling av personuppgifter som är nödvändig för att utföra forskningen. Att behandlingen måste vara nödvändig för att utföra forskningen innebär inte att det måste vara helt omöjligt att utföra forskningen utan behandlingen. Det handlar snarare om att göra en rimlighetsbedömning av vilka alternativ som står till buds. En sådan bedömning bör ta hänsyn till tidsåtgång, arbetsinsats, kostnader, och huruvida behandlingen bidrar till en högre kvalitet och tillförlitlighet i forskningsresultatet. Om syftet med forskningen kan uppnås i stort sett lika väl, enkelt och billigt med anonyma uppgifter som med personuppgifter kan behandlingen inte rimligen anses vara nödvändig för utförandet av forskningen.

Samtycke

För att ett samtycke ska kunna utgöra en giltig rättslig grund krävs att det är frivilligt, specifikt, informerat, samt lämnat genom ett uttalande eller en entydigt bekräftande handling. Är det fråga om behandling av känsliga personuppgifter måste samtycket dessutom vara uttryckligt. Det är viktigt att säkerställa att det inte råder någon form av beroendeförhållande mellan den registrerade och den personuppgiftsansvarige som gör att samtyckets frivillighet kan ifrågasättas. Begäran om samtycke måste enkelt kunna urskiljas från andra eventuella frågor som förekommer i samband med inhämtningen och det ska gälla tydligt avgränsade syften. Det är inte tillräckligt att ange ett generellt syfte som till exempel forskning inom ett visst område. Informationen om det aktuella forskningsprojektet bör vara så pass utförlig att den tillfrågade kan bilda sig en rimlig uppfattning om vad deltagande och därmed förknippad personuppgiftsbehandling innebär för dennes del. I den mån det är möjligt med hänsyn till behandlingens ändamål ska det gå att ge separata samtycken för olika delar av behandlingen. Den registrerade ska få tydlig information om behandlingen och sina rättigheter och samtycket ska kunna återkallas lika lätt som det gavs. Den personuppgiftsansvarige ska kunna visa att giltigt samtycke finns, vilket innebär att det är viktigt att dokumentera, i registerförteckningen, inhämtade samtycken. Ytterligare information om samtyckesinhämtning, inklusive mallar för informationsblad och samtyckesblanketter finns här.

Skyddsåtgärder

All personuppgiftsbehandling för forskningsändamål ska enligt dataskyddsförordningen omfattas av lämpliga skyddsåtgärder, d.v.s. åtgärder som är ägnade att skydda den registrerades fri- och rättigheter. En typ av skyddsåtgärd som ofta är lämplig vid personuppgiftsbehandling för forskningsändamål och som därmed bör användas är pseudonymisering. Detta innebär att personuppgifterna behandlas på ett sådant sätt att de inte kan knytas till en enskild individ utan att (separat förvarade) kompletterande uppgifter används, vilket kan uppnås tex. genom användning av kodnycklar eller särskilda algoritmer (s.k. ”hashfunktioner”). När det gäller behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. ställs det särskilda krav på skyddsåtgärder. För forskning som utförs i Sverige och innefattar behandling av sådana uppgifter gäller att den inte får påbörjas innan den har godkänts enligt Lag (2003:460) om etikprövning av forskning som avser människor (se information om etikprövning). Vid frågor om etikprövning, kontakta etikstödsfunktionen vid Avdelningen för forsknings- och samverkansstöd vid Stockholms universitet (etik@fs.su.se) eller Etikprövningsmyndigheten.

Vissa skyddsåtgärder är reglerade i nationell rätt, men det är den personuppgiftsansvariges ansvar att se till att förordningens krav avseende detta är uppfyllda vid varje enskild behandling. Exempelvis ska (med vissa undantag) behandlingen av personuppgifterna upphöra om den registrerade motsätter sig behandlingen. Det är normalt inte heller tillåtet att använda personuppgifter som behandlas enbart för forskningsändamål för att vidta åtgärder gentemot den registrerade. Även tekniska och administrativa skyddsåtgärder bör övervägas och vidtas när det bedöms lämpligt, t ex. kryptering, åtkomststyrning, samt certifiering av personal.

Om en personuppgiftsincident inträffar, till exempel ett dataintrång, måste det anmälas inom 72 timmar till tillsynsmyndigheten. Detta innebär att du behöver kontakta universitetets IT-avdelning omgående.

God forskningssed

Förutom de krav som ställs i gällande dataskyddsreglering finns det även väl etablerade riktlinjer om god forskningssed att ta hänsyn till, exempelvis de som återges i ALLEAs European Code of Conduct for Research Integrity, Vetenskapsrådets skrift God forskningssed (2017) och på webbplatsen CODEX.

Kontakt

Om en personuppgiftsincident inträffat ska du omgående kontakta IT-avdelningen.

Vid frågor som rör forskningsetik, kontakta etikstödsfunktionen vid Avdelningen för forsknings- och samverkansstöd: etik@fs.su.se.

Vid osäkerhet kring dina skyldigheter enligt Dataskyddsförordningen kan du kontakta Stockholms universitets dataskyddsombud: dso@su.se.

För juridiska frågor kan du även kontakta juristerna vid Rättssekretariatet.

Senast uppdaterad: 2024-04-19

Sidansvarig: Avdelningen för forsknings- och samverkansstöd