Personuppgiftsbehandling i forskning

    När du ska behandla personuppgifter i ett forskningsprojekt behöver du redan i den inledande planeringsfasen göra en bedömning.

    Bedömningen ska ta hänsyn till vilka personuppgifter som behöver behandlas, vilka integritetsrisker som behandlingen innebär, om dessa risker står i proportion till syftet med behandlingen, samt vilka förutsättningar som måste vara uppfyllda enligt gällande reglering. Du bör därför göra en informationsklassning och en risk- och sårbarhetsanalys inför starten av varje forskningsprojekt.

    Gå direkt till: 

    Grundläggande krav för personuppgiftsbehandling för forskningsändamål

    Känsliga personuppgifter och lagöverträdelser

    Information till de registrerade

    Konsekvensbedömning

    Anmäl din personuppgiftsbehandling

    Personuppgiftsbiträdesavtal

    Nödvändig behandling för att utföra en uppgift av allmänt intresse

    Samtycke till personuppgiftsbehandling och samtycke till medverkan i forskning

    Skyddsåtgärder

    Anmälan om personuppgiftsincident

    God forskningssed

    Grundläggande krav för personuppgiftsbehandling för forskningsändamål


    I GDPR anges vissa grundläggande villkor som måste vara uppfyllda för att behandling av personuppgifter överhuvudtaget ska vara laglig.

    Rättslig grund

    Listan över s.k. rättsliga grunder i artikel 6.1 GDPR är uttömmande. Den rättsliga grund som huvudsakligen är aktuell för forskning är allmänt intresse. För Umeå universitet (liksom för andra universitet och högskolor med staten som huvudman) är uppgiften att forska fastställd i nationell rätt genom bestämmelser i högskolelagen.

    Detta innebär att forskare vid Umeå universitet kan tillämpa den rättsliga grunden "allmänt intresse" vid behandling av personuppgifter som är nödvändig för att utföra forskningen.

    Att behandla personuppgifter med samtycke enligt GDPR innebär risker för att samtycket återkallas och att forskningen därmed påverkas negativt. Observera att detta samtycke skiljer sig från samtycke att delta i forskningsprojekt enligt etikprövningslagen.

    Grundläggande principer

    Förutom att personuppgiftsbehandlingen måste vila på en rättslig grund gäller vissa grundläggande principer för själva behandlingen.

    • Det ska finnas ett särskilt och uttryckligt angivet ändamål med behandlingen.
    • Uppgifterna ska vara korrekta, adekvata, relevanta och ska inte vara för omfattande i förhållande till ändamålet med behandlingen.
    • När personuppgifterna inte längre behövs för ändamålet ska dessa raderas eller avidentifieras. Observera att universitetet har en arkivskyldighet vilket innebär att uppgifterna i de flesta fall ska sparas under en viss tid eller bevaras för framtiden.
    • Uppgifterna ska skyddas genom att vidta lämpliga säkerhetsåtgärder
    • Universitetet ska kunna visa att och hur myndigheten lever upp till kraven för en korrekt personuppgiftsbehandling. Det innebär att personuppgiftsbehandlingen måste dokumenteras.

    Känsliga personuppgifter och lagöverträdelser

    Forskning som innefattar behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. omfattas dessutom av ett krav på etikprövning enligt lag (2003:460) om etikprövning av forskning som avser människor. Vid frågor om etikprövning, kontakta Etikprövningsmyndigheten.

    Information till de registrerade

    GDPR ger de registrerade rättigheter som också måste respekteras och de registrerade ska informeras om dessa rättigheter. De registrerade ska även få information om själva behandlingen, vilket innebär att man redan i den inledande planeringsfasen måste ta hänsyn till behovet av vidare behandling för arkivändamål samt upprätta en datahanteringsplan av vilken det bland annat ska framgå hur materialet ska samlas in och lagras samt vem som ska ges tillgång till materialet i olika skeden av behandlingen.

    Universitetet har tagit fram en mall som avser information till deltagare i forskningsprojekt där personuppgifter behandlas. Denna mall är framtagen med utgångspunkt i Etikprövningsmyndighetens "stödmall forskningspersonsinformation" och har byggts på med de delar som krävs för att informationsplikten enligt GDPR ska vara uppfylld. Det finns också en checklista för den information som måste finnas med enligt kraven i GDPR. Checklistan och mallen hittar du under rubriken Informaation och mall på denna sida. Dessa dokument kan komma att uppdateras. Ta därför för vana att alltid hämta hem den senaste versionen som publicerats på medarbetarwebben.

    Konsekvensbedömning

    Om det finns en hög risk för de registrerades fri- och rättigheter ska en konsekvensbedömning göras innan behandlingen påbörjas. En konsekvensbedömning ska exempelvis göras om känsliga personuppgifter i stor omfattning behandlas i forskningsprojektet eller om registeruppgifter med många registrerade samkörs på ett sätt som de registrerade inte kunnat förvänta sig. En konsekvensbedömning kan vidare också behövas om forskningsprojektet behandlar personuppgifter i stor omfattning om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara, till exempel barn, anställda, asylsökande, äldre och patienter. Kontakta pulo@umu.se för hjälp med att göra denna bedömning.

    Anmäl din personuppgiftsbehandling

    All personuppgiftsbehandling i forskningsprojekt vid Umeå universitet ska tas upp i universitetets registerförteckning (anmälan initieras genom att kontakta pulo@umu.se). Du hittar mer information om anmälan i vår FAQ om personuppgifter.

    Personuppgiftsbiträdesavtal

    Om någon utanför Umeå universitet ska behandla personuppgifter för Umeå universitets räkning ska ett personuppgiftsbiträdesavtal tecknas. Om personuppgifter ska lagras i molntjänster finns det särskilda regler att ta hänsyn till. Universitetet har tagit fram en lathund som ger viss vägledningen om hur digitala samarbetsverktyg och lagringsytor vid Umeå universitet kan nyttjas inom ramen för universitetets verksamhet

    Nödvändig behandling för att utföra en uppgift av allmänt intresse

    Att personuppgiftsbehandlingen måste vara nödvändig för att utföra en uppgift av allmänt intresse, det vill säga forskningen, innebär inte att det måste vara helt omöjligt att utföra forskningen utan behandlingen. Det handlar snarare om att göra en rimlighetsbedömning av vilka alternativ som står till buds. En sådan bedömning bör ta hänsyn till tidsåtgång, arbetsinsats, kostnader, och huruvida behandlingen bidrar till en högre kvalitet och tillförlitlighet i forskningsresultatet. Om syftet med forskningen kan uppnås i stort sett lika väl, enkelt och billigt med anonyma uppgifter som med personuppgifter kan behandlingen inte rimligen anses vara nödvändig för utförandet av forskningen.

    Samtycke till personuppgiftsbehandling och samtycke till medverkan i forskning

    Samtycke till behandling av personuppgifter är inte samma sak som ett samtycke enligt etikprövningslagen, vilket i stället reglerar medverkan i forskning.

    Eftersom universitetet som regel använder den rättsliga grunden "allmänt intresse" för personuppgiftsbehandling inom forskning ska grunden "samtycke" i GDPR:s mening inte användas. Samtycke enligt etikprövningslagen kan dock behöva samlas in. Samtycke till behandling av personuppgifter innebär alltså i sig inte samtycke till medverkan i forskning och samtycke till medverkan till forskning utgör inte en rättslig grund för personuppgiftsbehandling– det är två olika delar.

    Skyddsåtgärder

    All personuppgiftsbehandling för forskningsändamål ska enligt GDPR omfattas av lämpliga skyddsåtgärder, det vill säga åtgärder som är ägnade att skydda den registrerades fri- och rättigheter. Skyddsåtgärderna ska tillse att säkerheten, såväl tekniskt som behörighetsmässigt, är tillräcklig utifrån de personuppgifter som behandlas i projektet.

    Vilka tekniska och administrativa skyddsåtgärder som är nödvändiga ska övervägas och vidtas när det bedöms lämpligt, till exempel kryptering och åtkomststyrning. En skyddsåtgärd som ofta är lämplig vid personuppgiftsbehandling för forskningsändamål är pseudonymisering. Det innebär att personuppgifterna behandlas på ett sådant sätt att de inte kan knytas till en enskild individ utan att (separat förvarade) kompletterande uppgifter används, vilket kan uppnås tex. genom användning av kodnycklar.

    När det gäller behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. ställs det särskilda krav på skyddsåtgärder och det krävs även etiktillstånd för att forska på den typen av uppgifter. Många gånger är sådana uppgifter även sekretessbelagda och då måste även Offentlighets- och sekretesslagens regler om utlämnande iakttas.

    Anmälan om personuppgiftsincident

    Om en personuppgiftsincident inträffar, till exempel ett dataintrång, måste universitetets dataskyddsombud inom 72 timmar anmäla detta till tillsynsmyndigheten. Det är därför viktigt att du anmäler alla misstänkta personuppgiftsincidenter till abuse@umu.se omedelbart. 

    God forskningssed

    Förutom de krav som ställs i gällande dataskyddsreglering finns det även väl etablerade riktlinjer om god forskningssed att ta hänsyn till, exempelvis de som återges i Vetenskapsrådets skrift God forskningssed (2017) och på webbplatsen CODEX.

    Kontaktinformation

    Dataskyddsombud

    Marit Juselius
    Tobias Nyström

    E-post dataskyddsombud 

    E-post anmäla personuppgiftsincidenter 

    Checklista för forskningsprojekt

    Digitala Arbets och lagringsytor för personal vid UMU

    På sidan Infomationssäkerhet i inloggat läge finns information om de arbets- och lagringsytor som ska användas.

    Utbildningsmaterial för anställda

    2023-10-24