Personuppgifter behöver ibland behandlas för att utifrån en rimlig kostnad och arbetsinsats kunna uppnå en hög kvalitet i forskningen. Det är dock viktigt att redan i den inledande planeringsfasen göra en bedömning av vilka personuppgifter som kan komma att behöva behandlas, vilka integritetsrisker som behandlingen innebär, huruvida dessa risker står i proportion till syftet med behandlingen, samt vilka förutsättningar som måste vara uppfyllda enligt gällande reglering. Det bör därför göras en informationsklassning och en risk- och sårbarhetsanalys inför starten av varje forskningsprojekt.
Grundläggande krav för personuppgiftsbehandling för forskningsändamål
I dataskyddsförordningen anges vissa grundläggande villkor som måste vara uppfyllda för att behandling av personuppgifter överhuvudtaget ska vara laglig.
Rättslig grund
Listan över s.k. rättsliga grunder i artikel 6.1 är uttömmande, vilket innebär att man måste kunna hänvisa till minst en av dessa för att kunna visa att behandlingen i fråga är tillåten.
Den rättsliga grund som framför allt kan komma i fråga för den forskning som bedrivs vid Umeå universitet är artikel 6.1 e) - nödvändig behandling för att utföra en uppgift av allmänt intresse.
Grundläggande principer
Förutom att personuppgiftsbehandlingen måste vila på en rättslig grund gäller vissa grundläggande principer för själva behandlingen.
- Det finnas ett särskilt och uttryckligt angivet ändamål med behandlingen.
- Uppgifterna skall vara korrekta, adekvata, relevanta och ska inte vara för omfattande i förhållande till ändamålet med behandlingen.
- När personuppgifterna inte längre behövs för ändamålet ska dessa raderas eller avidentifieras. Det bör dock observeras att universitetet har en arkivskyldighet.
- Uppgifterna ska skyddas på ett bra sätt genom att vidta lämpliga säkerhetsåtgärder
Känsliga personuppgifter och lagöverträdelser
Forskning som innefattar behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. omfattas dessutom av ett krav på etikprövning enligt lag (2003:460) om etikprövning av forskning som avser människor.
Information till de registrerade
De registrerades rättigheter enligt förordningen måste också respekteras och de registrerade ska informeras om dessa rättigheter. De registrerade ska även informeras om själva behandlingen, vilket innebär att man redan i den inledande planeringsfasen måste ta hänsyn till behovet av vidare behandling för arkivändamål samt upprätta en datahanteringsplan av vilken det bland annat ska framgå hur materialet ska samlas in och lagras samt vem som ska ges tillgång till materialet i olika skeden av behandlingen. En mall har tagits fram som avser personuppgiftsbehandling inom forskningsprojekt. Denna mall är framtagen med utgångspunkt i Etikprövningsmyndighetens "stödmall forskningspersonsinformation" och har byggts på med de delar som krävs för att informationsplikten enligt GDPR ska vara uppfylld. Om du väljer att själv utforma informationen till de registrerade är det viktigt att du går igenom checklistan och stämmer av att all obligatorisk information finns med. Mall för information till de registrerade hittar du i högerspalten.
Konsekvensbedömning
Om det finns en hög risk för de registrerades fri- och rättigheter ska en konsekvensbedömning göras innan behandlingen påbörjas. En konsekvensbedömning ska exempelvis göras om känsliga personuppgifter i stor omfattning behandlas i forskningsprojektet eller om registeruppgifter med många registrerade samkörs på ett sätt som de registrerade inte kunnat förvänta sig. En konsekvensbedömning kan vidare också behöva göras om man i forskningsprojektet behandlar personuppgifter i stor omfattning om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara, till exempel barn, anställda, asylsökande, äldre och patienter. Kontakta pulo@umu.se för hjälp med att göra denna bedömning.
Anmäl till registerförteckning
All personuppgiftsbehandling i forskningsprojekt vid Umeå universitet ska tas upp i universitetets registerförteckning (anmälan initieras genom att kontakta pulo@umu.se).
Personuppgiftsbiträdesavtal
Om personuppgifter ska behandlas av någon utanför organisationen för Umeå universitets räkning ska ett personuppgiftsbiträdesavtal tecknas. Om personuppgifter ska lagras i molntjänster finns det särskilda regler att ta hänsyn till. Denna lathund ger viss vägledningen om hur digitala samarbetsverktyg och lagringsytor vid Umeå universitet kan nyttjas inom ramen för universitets verksamhet
Nödvändig behandling för att utföra en uppgift av allmänt intresse
För Umeå universitet (liksom för andra universitet och högskolor med staten som huvudman) är uppgiften att forska fastställd i nationell rätt genom bestämmelser i högskolelagen. Detta innebär att forskare vid Umeå universitet kan tillämpa den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen vid behandling av personuppgifter som är nödvändig för att utföra forskningen.
Att behandlingen måste vara nödvändig för att utföra forskningen innebär inte att det måste vara helt omöjligt att utföra forskningen utan behandlingen. Det handlar snarare om att göra en rimlighetsbedömning av vilka alternativ som står till buds. En sådan bedömning bör ta hänsyn till tidsåtgång, arbetsinsats, kostnader, och huruvida behandlingen bidrar till en högre kvalitet och tillförlitlighet i forskningsresultatet. Om syftet med forskningen kan uppnås i stort sett lika väl, enkelt och billigt med anonyma uppgifter som med personuppgifter kan behandlingen inte rimligen anses vara nödvändig för utförandet av forskningen.
Samtycke till personuppgiftsbehandling och samtycke till medverkan i forskning
För att ett samtycke ska kunna utgöra en giltig rättslig grund för en personuppgiftsbehandling krävs att det är frivilligt, specifikt, informerat, samt lämnat genom ett uttalande eller en entydigt bekräftande handling. Är det fråga om behandling av känsliga personuppgifter måste samtycket dessutom vara uttryckligt.
Det är viktigt att säkerställa att det inte råder någon form av beroendeförhållande mellan den registrerade och den personuppgiftsansvarige som gör att samtyckets frivillighet kan ifrågasättas. Begäran om samtycke måste enkelt kunna urskiljas från andra eventuella frågor som förekommer i samband med inhämtningen och det ska gälla tydligt avgränsade syften. Det är inte tillräckligt att ange ett generellt syfte som t ex. forskning inom ett visst område.
Informationen om det aktuella forskningsprojektet bör vara så pass utförlig att den tillfrågade kan bilda sig en rimlig uppfattning om vad deltagande och därmed förknippad personuppgiftsbehandling innebär för dennes del. I den mån det är möjligt med hänsyn till behandlingens ändamål ska det gå att ge separata samtycken för olika delar av behandlingen. Den registrerade ska få tydlig information om behandlingen och sina rättigheter och samtycket ska kunna återkallas lika lätt som det gavs. Den personuppgiftsansvarige ska kunna visa att giltigt samtycke finns, vilket innebär att det är viktigt att dokumentera, i registerförteckningen, inhämtade samtycken.
När etikprövningslagen (2003:460) trädde i kraft år 2004 krävdes etikprövning enligt 3 § bara om forskningspersonen inte hade gett sitt uttryckliga samtycke till behandlingen av uppgifterna. Undantaget togs bort 2008. I förarbetena till ändringarna (prop. 2007/08:44) betonades att samtycke till behandling av personuppgifter inte är samma sak som ett samtycke enligt etikprövningslagen, vilket i stället reglerar medverkan i forskning. Samtycke till behandling av personuppgifter innebär alltså i sig inte samtycke till medverkan i forskning – det är två olika delar.
Skyddsåtgärder
All personuppgiftsbehandling för forskningsändamål ska enligt dataskyddsförordningen omfattas av lämpliga skyddsåtgärder, d.v.s. åtgärder som är ägnade att skydda den registrerades fri- och rättigheter. Skyddsåtgärderna ska tillse att säkerheten, såväl teknisk som behörighetsmässig, är tillräcklig utifrån de personuppgifter som behandlas i projektet.
Vilka tekniska och administrativa skyddsåtgärder som är nödvändiga ska övervägas och vidtas när det bedöms lämpligt, t ex. kryptering och åtkomststyrning En typ av skyddsåtgärd som ofta är lämplig vid personuppgiftsbehandling för forskningsändamål och som därmed bör användas är pseudonymisering. Detta innebär att personuppgifterna behandlas på ett sådant sätt att de inte kan knytas till en enskild individ utan att (separat förvarade) kompletterande uppgifter används, vilket kan uppnås tex. genom användning av kodnycklar.
När det gäller behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. ställs det särskilda krav på skyddsåtgärder. Många gånger är sådana uppgifter även sekretessbelagda och då måste även Offentlighets- och sekretesslagens regler om utlämnande iakttas.
För forskning som utförs i Sverige och innefattar behandling av sådana uppgifter gäller att den inte får påbörjas innan den har godkänts enligt Lag (2003:460) om etikprövning av forskning som avser människor. Vid frågor om etikprövning, kontakta Etikprövningsmyndigheten.
Anmälan om personuppgiftsincident
Om en personuppgiftsincident inträffar, t ex. ett dataintrång, måste universitetets dataskyddsombud inom 72 timmar anmäla detta till tillsynsmyndigheten. På sidan Anmäl personuppgiftsincidenter kan du läsa om hur du rapporterar.
God forskningssed
Förutom de krav som ställs i gällande dataskyddsreglering finns det även väl etablerade riktlinjer om god forskningssed att ta hänsyn till, exempelvis de som återges i Vetenskapsrådets skrift God forskningssed (2017) och på webbplatsen CODEX.