Delning av forskningsdata i etikprövad forskning

    Här presenteras typfall när forskare vid Umeå universitet behöver dela forskningsdata som innehåller känsliga personuppgifter eller personuppgifter om lagöverträdelser med andra forskare vid olika organisationer i Sverige eller utomlands.

    Forskning på känsliga personuppgifter och personuppgifter om lagöverträdelser kräver etikprövningstillstånd. 

    Även om det framgår av forskningens etiktillstånd att parterna ska samarbeta och forskningsdata ska delas med den aktuella aktören måste Umeå universitet göra en sekretessprövning för de aktuella uppgifterna före delning. Universitetet måste också bedöma delningen av uppgifterna baserat på kraven i GDPR.

    Vad är känsliga personuppgifter?

    Med känsliga personuppgifter menas uppgifter om nu levande personer som avser:

    • etniskt ursprung
    • politiska åsikter
    • religiös eller filosofisk övertygelse
    • medlemskap i en fackförening
    • hälsa
    • en persons sexualliv eller sexuella läggning
    • genetiska uppgifter
    • biometriska uppgifter som används för att entydigt identifiera en person.

    Vad är personuppgifter om lagöverträdelser?

    Personuppgifter om lagöverträdelser innefattar uppgifter om brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Dessa ingår i den grupp personuppgifter som benämns integritetskänsliga personuppgifter. De utgör alltså inte känsliga personuppgifter enligt GDPR men behandlas på samma sätt som känsliga personuppgifter bland annat med avseende på etikprövning. Övervägandena i samband med delning och utlämnande av känsliga personuppgifter blir därför relevanta även för personuppgifter om lagöverträdelser.

    Forskning på känsliga personuppgifter och personuppgifter om lagövertädelser kräver etikprövningstillstånd.

    För att få behandla känsliga personuppgifter eller personuppgifter om lagöverträdelser i forskning krävs etiktillstånd enligt 3 § etikprövningslagen (2003:460).

    Nära sammankopplat med denna bestämmelse finns i 21 kap 7 § OSL ett sekretesskydd för personuppgifter. I 21 kap 7 § tredje punkten OSL anges att sekretess råder för personuppgifter om de efter ett utlämnande kommer att behandlas i strid med etikprövningslagen. Detta innebär att om mottagaren saknar etiktillstånd kan uppgifterna inte delas med denne.

    Typfall

    A) Samarbete med lärosäte eller annan offentlig aktör i Sverige.

    En forskare vid Umeå universitet bedriver ett forskningsprojekt tillsammans med forskare (medforskare) vid ett annat lärosäte, myndighet, kommun eller region i Sverige. Umeå universitet är personuppgiftsansvarig och forskningshuvudman. Medforskaren är direkt involverad i projektet och behöver tillgång till rådata för exempelvis analys. Forskningsdatat rör känsliga personuppgifter eller uppgifter om lagöverträdelser.

    Checklista

    Innan forskningsdata delas med samarbetspartner behöver forskare vid Umeå universitet stämma av följande:

    • Vilka personuppgifter som det är nödvändigt att dela.
    • Vilken rättslig grund som finns för behandlingen (delningen) av personuppgifterna.
    • Att projektet har etiktillstånd och att etiktillståndet omfattar delning i det tänkta samarbetet och samarbetspartnern.
      • Om etiktillstånd saknas eller inte omfattar delning i det tänkta samarbetet – Ansök om eller komplettera etikprövningstillståndet.
    • Om det finns sekretess som skyddar uppgifterna.
    • Vem som har personuppgiftsansvar och att detta är dokumenterat.
    • Dokumentera de överväganden som gjorts i samband med delning av uppgifterna.

    Översikt

    Svenska kommuner, regioner och andra myndigheter omfattas av samma lagstiftning som Umeå universitet, till exempel GDPR och offentlighets- och sekretesslagen.

    I GDPR anges vissa grundläggande villkor som måste vara uppfyllda för att behandling av personuppgifter överhuvudtaget ska vara laglig. Bland annat ställer GDPR krav på att endast de personuppgifter som är nödvändiga får behandlas. Det är därför viktigt att begränsa delningen till de personuppgifter som samarbetspartnern faktiskt behöver för att kunna utföra sin del i projektet. Det behöver också finnas en rättslig grund för delningen av personuppgifterna. Vid delning av känsliga personuppgifter och personuppgifter om lagöverträdelser är det viktigt att det framgår av etikprövningstillståndet att uppgifterna kommer att delas med den aktuella samarbetspartnern.

    Läs mer om vad du behöver tänka på vid behandling av personuppgifter på sidorna om personuppgiftsbehandling i forskning.

    Sekretessprövning

    Umeå universitet behöver dels utreda ifall universitetet har fått uppgifterna från en annan myndighet och den myndigheten vid utlämnandet har överfört "sin" sekretess till Umeå universitet. Dels behöver universitetet utreda om uppgifterna omfattas av någon annan sekretess. Känsliga personuppgifter är av sådant slag att det ofta finns sekretessbestämmelser som är tillämpliga.

    Läs mer om vilka överväganden som behöver göras gällande sekretess i vägledningningens avsnitt om delning av forskningsdata med sekretess.

    Reglering av personuppgiftsansvaret

    I ett forskningssamarbete kan det finnas anledning att bedöma vem som har personuppgiftsansvar för uppgifterna. Agerar parterna med eget personuppgiftsansvar eller föreligger det ett gemensamt personuppgiftsansvar enligt art 26 GDPR? 

    Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

    Det för närvarande vanligaste synsättet när det gäller forskningssamarbeten är att parterna agerar under eget personuppgiftsansvar. Universitetsjuristerna har dock uppmärksammat att efterfrågan gällande avtal om gemensamt personuppgiftsansvar ökar.

    Gemensamt personuppgiftsansvar

    Ett eventuellt gemensamt personuppgiftsansvar ska dokumenteras. Det finns inga formkrav på hur denna dokumentation ska se ut. Det kan ske i avtalsform eller genom att på ett öppet sätt redovisa ansvarsfördelningen exempelvis genom att parterna formulerar en tydlig beskrivning av den gemensamma personuppgiftshanteringen i den informationsskrivelse som forskningspersonerna ska få enligt artiklarna 13-14 i GDPR.

    Om det gemensamma personuppgiftsansvaret regleras i avtal är det universitetsdirektören som enligt delegationsordningen undertecknar avtalet.

    Behövs personuppgiftsbiträdesavtal? 

    När det är fråga om ett forskningssamarbete blir det sällan fråga om att ena parten är personuppgiftsbiträde till den andra parten. Ett forskningssamarbete är inte den typen av osjälvständig behandling av personuppgifter på annans uppdrag som kännetecknas av en biträdessituation. Att lämna uppgifter till tjänsteleverantör för till exempel analys eller transkribering är typiska biträdessituationer som kräver skriftligt personuppgiftsbiträdesavtal.

    Avtal som reglerar delning av forskningsdata.

    Universitetsjuristerna rekommenderar inte att avtal tecknas med svenska lärosäten, andra myndigheter, kommuner eller regioner om hur delade forskningsdata ska hanteras eftersom dessa omfattas av vissa lagar gällande offentlighet och arkivskyldighet. Till dessa bör information om eventuellt överförd sekretess skickas med i stället.

    Biobanksprover utgör inte allmänna handlingar och omfattas därför inte av denna vägledning eller ställningstagandet gällande avtal. För dessa tillämpas regler i Biobankslagen (SFS 2023:38). 

    Om en annan part i projektet tillhandahåller ett avtalsförslag bör universitetsjuristerna kontaktas så snart som möjligt. Det är vanligt att villkoren i ett sådant förslag behöver justeras i en förhandling mellan parterna. När du har behov av upprättande eller granskning av avtal fyller du i formuläret "Underlag för avtalsgranskning" och skickar den till universitetsjuristerna.


    B) Samarbete med lärosäte eller annan offentlig aktör utanför Sverige men inom EU/EES. 

    Fallbeskrivning
    En forskare vid Umeå universitet bedriver ett forskningsprojekt tillsammans med forskare (medforskare) vid ett lärosäte, myndighet, kommun, region eller motsvarande offentligrättslig aktör utanför Sverige men inom EU/EES. Umeå universitet är personuppgiftsansvarig och forskningshuvudman. Medforskaren är direkt involverad i projektet och behöver tillgång till rådata för exempelvis analys. Forskningsdata rör känsliga personuppgifter eller personuppgifter om lagöverträdelser.

    Checklista

    Innan forskningsdata delas med samarbetspartner behöver forskare vid Umeå universitet stämma av följande:

    • Vilka personuppgifter som det är nödvändigt att dela.
    • Vilken rättslig grund som finns för behandlingen (delningen) av personuppgifterna.
    • Att projektet har etiktillstånd och att etiktillståndet omfattar det tänkta samarbetet och samarbetspartnern.
      • Om etiktillstånd saknas eller inte omfattar det tänkta samarbetet – Ansök om eller komplettera etikprövningstillstånd.
    • Om det finns någon sekretessbestämmelse som skyddar uppgifterna hos Umeå universitet.
    • Utred om uppgifterna kan pseudonymiseras eller anonymiseras på ett sätt som möjliggör att forskningsdata kan delas.
    • Vem som har personuppgiftsansvar och att detta är dokumenterat
    • Om avtal om delning av forskningsdata behöver tecknas.
    • Dokumentera de överväganden som gjorts i samband med delning av uppgifterna.

    Översikt

    OSL är en nationell lagstiftning som inte gäller utanför Sverige. Utländska aktörer omfattas därför inte av det regelverk som ger skydd för vissa forskningsdata. Detta skapar hinder när det gäller delning av data till mottagare utanför Sverige.

    GDPR är en EU-förordning och gäller behandling av personuppgifter i samtliga medlemsstater inom EU/EES. Personuppgiftsfrågorna hanteras därför på liknande sätt vid samarbete med samarbetspartners i andra EU/EES länder som vid samarbete med svenska organisationer.

    I GDPR anges vissa grundläggande villkor som måste vara uppfyllda för att behandling av personuppgifter överhuvudtaget ska vara laglig. Bland annat ställer GDPR krav på att endast de personuppgifter som är nödvändiga får behandlas. Det är därför viktigt att begränsa delningen till de personuppgifter som samarbetspartnern faktiskt behöver för att kunna utföra sin del i projektet. Det behöver också finnas en rättslig grund för delningen av personuppgifterna.

    Vid delning av känsliga personuppgifter och personuppgifter om lagöverträdelser är det viktigt att det framgår av etikprövningstillståndet att uppgifterna kommer att delas med den aktuella samarbetspartnern. Läs mer om vad du behöver tänka på vid behandling av personuppgifter på sidorna om personuppgiftsbehandling i forskning.

    Sekretessprövning

    Umeå universitet behöver dels utreda ifall universitetet har fått uppgifterna från en annan myndighet och den myndigheten vid utlämnandet har överfört "sin" sekretess till Umeå universitet. Dels behöver universitetet utreda om uppgifterna omfattas av någon annan sekretess. Känsliga personuppgifter är av sådant slag att det ofta finns sekretessbestämmelser som är tillämpliga. Om uppgifterna omfattas av sekretess kan forskningsdata som utgångspunkt inte delas med mottagare utanför Sverige.

    Läs mer om vilka överväganden som behöver göras gällande sekretess i vägledningens avsnitt om delning av forskningsdata med sekretess.

    Reglering av personuppgiftsansvaret

    I ett samarbeten kan det finnas anledning att bedöma vem som har personuppgiftsansvar för uppgifterna. Agerar parterna med eget personuppgiftsansvar eller föreligger det ett gemensamt personuppgiftsansvar enligt art 26 GDPR?

    Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

    Det för närvarande vanligaste synsättet när det gäller forskningssamarbeten är att parterna agerar under eget personuppgiftsansvar. Universitetsjuristerna har dock uppmärksammat att efterfrågan gällande avtal om gemensamt personuppgiftsansvar ökar.

    Gemensamt personuppgiftsansvar

    Ett eventuellt gemensamt personuppgiftsansvar ska dokumenteras. Det finns inga formkrav på hur denna dokumentation ska se ut. Det kan ske i avtalsform eller genom att på ett öppet sätt redovisa ansvarsfördelningen exempelvis genom att parterna formulerar en tydlig beskrivning av den gemensamma personuppgiftshanteringen i den informationsskrivelse som forskningspersonerna ska få enligt artiklarna 13-14 i GDPR.

    Om det gemensamma personuppgiftsansvaret regleras i avtal är det universitetsdirektören som enligt delegationsordningen undertecknar avtalet.

    Behövs personuppgiftsbiträdesavtal? 

    När det är fråga om ett forskningssamarbete blir det sällan fråga om att ena parten är personuppgiftsbiträde till den andra parten. Ett forskningssamarbete är inte den typen av osjälvständig behandling av personuppgifter på annans uppdrag som kännetecknas av en biträdessituation. Att lämna uppgifter till tjänsteleverantör för till exempel analys eller transkribering är typiska biträdessituationer som kräver skriftligt personuppgiftsbiträdesavtal.

    Avtal som reglerar delning av forskningsdata.

    När forskningsprojektet samarbetar med en aktör utanför Sverige skapar inte svensk lagstiftning sådana krav på offentlighet, sekretess och arkivfrågor som den gör för svenska aktörer. Avtal som reglerar hur data får användas kan därför behöva ingås. Ett sådant avtal bör reglera:

    • Att forskningsdata inte får användas i annat syfte än för det aktuella projektet.
    • Vad samarbetspartnern ska göra med forskningsdata efter projektets slut.
    • Att mottagaren ansvarar för att denna har erforderliga tillstånd enligt lagstiftningen i det land där mottagaren är verksam.

    Om en annan part i projektet tillhandahåller ett avtalsförslag bör universitetsjuristerna kontaktas så snart som möjligt. Det är vanligt att villkoren i ett sådant förslag behöver justeras i en förhandling mellan parterna. När du har behov av upprättande eller granskning av avtal fyller du i blanketten "Underlag för avtalsgranskning" och skickar den till universitetsjuristerna

    C) Samarbete med lärosäte eller annan offentlig aktör utanför EU/EES

    Fallbeskrivning
    En forskare vid Umeå universitet bedriver ett forskningsprojekt tillsammans med forskare (medforskare) vid ett lärosäte, myndighet, kommun, region eller motsvarande offentligrättslig aktör utanför EU/EES. Umeå universitet är personuppgiftsansvarig och forskningshuvudman. Medforskaren är direkt involverad i projektet och behöver tillgång till rådata för exempelvis analys. Forskningsdata rör känsliga personuppgifter eller personuppgifter om lagöverträdelser.

    Checklista

    Innan forskningsdata delas med samarbetspartner behöver forskare vid Umeå universitet stämma av följande:

    • Vilka personuppgifter som det är nödvändigt att dela.
    • Vilken rättslig grund som finns för behandlingen av personuppgifterna.
    • Om det aktuella landet har så kallat adekvansbeslut eller om andra säkerhetsåtgärder behöver vidtas.
    • Att projektet har etiktillstånd och att etiktillståndet omfattar delning av personuppgifterna i det tänkta samarbetet och samarbetspartnern.
      • Om etiktillstånd saknas eller inte omfattar det tänkta samarbetet - Ansök om eller komplettera etikprövningstillståndet.
    • Om det finns någon sekretessbestämmelse som skyddar uppgifterna hos Umeå universitet.
      • Utred om personuppgifterna kan pseudonymiseras eller anonymiseras på ett sätt som möjliggör att forskningsdata kan delas.
    • Om avtal om delning av forskningsdata behöver tecknas.
    • Vem som har personuppgiftsansvar och att detta är dokumenterat.
    • Dokumentera de överväganden som gjorts i samband med delning av uppgifterna.

    Översikt

    OSL är en nationell lagstiftning som inte gäller utanför Sverige. Utländska aktörer omfattas därför inte av det regelverk som ger skydd för viss forskningsdata. Detta skapar hinder när det gäller delning av forskningsdata med sekretess till mottagare i utlandet.

    GDPR gäller endast behandling av personuppgifter inom EU/EES vilket skapar hinder för delning av personuppgifter till mottagare i andra länder. Delning av forskningsdata med personuppgifter med aktörer utanför EU/EES måste därför regleras på annat sätt för att upprätthålla skyddet för den personliga integriteteten. Kontakta universitetsjuristerna om du har behov av att föra över personuppgifter till ett land utanför EU/EES.

    I GDPR anges vissa grundläggande villkor som måste vara uppfyllda för att behandling av personuppgifter överhuvudtaget ska vara laglig. Bland annat ställer GDPR krav på att endast de personuppgifter som är nödvändiga får behandlas. Det är därför viktigt att begränsa delningen till de personuppgifter som samarbetspartnern faktiskt behöver för att kunna utföra sin del i projektet. Det behöver också finnas en rättslig grund för delningen av personuppgifterna.

    Vid delning av känsliga personuppgifter och personuppgifter om lagöverträdelser är det viktigt att det framgår av etikprövningstillståndet att uppgifterna kommer att delas med den aktuella samarbetspartnern. Läs mer om vad du behöver tänka på vid behandling av personuppgifter på sidorna om Personuppgiftsbehandling i forskning.

    Sekretessprövning

    Umeå universitet behöver dels utreda ifall universitetet har fått uppgifterna från en annan myndighet och den myndigheten vid utlämnandet har överfört "sin" sekretess till Umeå universitet. Dels behöver universitetet utreda om uppgifterna omfattas av någon annan sekretess. Känsliga personuppgifter är av sådant slag att det ofta finns sekretessbestämmelser som är tillämpliga. Om uppgifterna omfattas av sekretess kan forskningsdata som utgångspunkt inte delas med mottagare utanför Sverige.

    Reglering av personuppgiftsansvaret

    När det är fråga om att dela personuppgifter utanför EU/EES benämns detta som en tredjelandsöverföring. För vissa länder har EU-kommissionen fattat s.k. adekvansbeslut. Detta innebär att ländernas nationella lagsstiftning säkerställer en så kallad adekvat skyddsnivå för personuppgifter och personlig integritet. Dessa länder finns uppräknade på Integritetsskyddsmyndighetens hemsida. I dessa fall föreligger inte hinder enligt GDPR att dela uppgifterna.

    Om landet inte finns på ovannämnda lista måste andra lämpliga skyddsåtgärder för att säkerställa att den skyddsnivå som GDPR kräver kan uppnås. Den för universitetet vanligaste skyddsåtgärden är att teckna avtal med de standardavtalsklausuler som EU-kommissionen tagit fram. Universitetsjuristerna hjälper till att upprätta dessa avtal som sedan undertecknas av universitetsdirektören. I dessa fall är det viktigt att uppgifterna är pseudonymiserade, då detta inte bara många gånger möjliggör ett utlämnade enligt OSL, utan även anses vara en säkerhetsåtgärd enligt artikel 32 GDPR.

    De grundläggande villkor som måste vara uppfyllda för att behandling av personuppgifter överhuvudtaget ska vara laglig enligt GDPR måste också uppfyllas. Bland annat ställer GDPR krav på att endast de personuppgifter som är nödvändiga får behandlas. Det är därför viktigt att begränsa delningen till de personuppgifter som samarbetspartnern faktiskt behöver för att kunna utföra sin del i projektet. Det behöver också finnas en rättslig grund för delningen av personuppgifterna. Läs mer om vad du behöver tänka på vid behandling av personuppgifter på sidorna om personuppgiftsbehandling i forskning.

    Avtal som reglerar delning av forskningsdata.

    När forskningsprojektet samarbetar med en aktör utanför Sverige skapar inte svensk lagstiftning sådana krav på offentlighet, sekretess och arkivfrågor som den gör för svenska aktörer. Avtal som reglerar hur data får användas kan därför behöva ingås. Ett sådant avtal bör reglera:

    • Att forskningsdata inte får användas i annat syfte än för det aktuella projektet.
    • Vad samarbetspartnern ska göra med forskningsdata efter projektets slut.
    • Att mottagaren ansvarar för att denna har erforderliga tillstånd enligt lagstiftningen i det land där mottagaren är verksam.

    Om en annan part i projektet tillhandahåller ett avtalsförslag bör universitetsjuristerna kontaktas så snart som möjligt. Det är vanligt att villkoren i ett sådant förslag behöver justeras i en förhandling mellan parterna.

    När du har behov av upprättande eller granskning av avtal fyller du i blanketten "Underlag för avtalsgranskning" och skickar den till universitetsjuristerna.

     

    D) Samarbete med privat företag, stiftelse, frivilligorganisation eller liknande i Sverige.

    Fallbeskrivning
    En forskare vid Umeå universitet bedriver ett forskningsprojekt tillsammans med forskare (medforskare) vid ett företag, stiftelse, frivilligorganisation eller annan privaträttslig aktör i Sverige. Umeå universitet är personuppgiftsansvarig och forskningshuvudman. Medforskaren är direkt involverad i projektet och behöver tillgång till rådata för exempelvis analys. Forskningsdata rör känsliga personuppgifter eller personuppgifter om lagöverträdelser.

    Checklista

    Innan forskningsdata delas med samarbetspartner behöver forskare vid Umeå universitet stämma av följande:

    • Vilka personuppgifter som det är nödvändigt att dela.
    • Vilken rättslig grund som finns för behandlingen av personuppgifterna.
    • Om det finns sekretess som skyddar uppgifterna.
      • Utred om sekretessbelagda uppgifter kan lämnas ut med förbehåll - Den som ansvarar för forskningsdata beslutar om förbehåll – kontakta universitetsjuristerna för stöd.
    • Att projektet har etiktillstånd och att etiktillståndet omfattar delning av personuppgifterna i det tänkta samarbetet och med samarbetspartnern.
      • Om etiktillstånd saknas eller omfattar inte delning i det tänkta samarbetet - Ansök om eller komplettera etikprövningstillstånd.
    • Vem som har personuppgiftsansvar och att detta dokumenteras.
    • Om avtal om delning av forskningsdata behöver tecknas.
    • Dokumentera de överväganden som gjorts i samband med delning av uppgifterna.

    Översikt

    Privata aktörer omfattas inte av offentlighets- och sekretesslagens tillämpningsområde. Det skydd som OSL ger vissa forskningsdata gäller därför inte hos dessa. Detta skapar hinder för delning av forskningsdata med sekretess till privata aktörer. Delning av forskningsdata som omfattas av sekretess kan i vissa fall möjliggöras genom förbehåll.

    GDPR gäller för privata aktörer i samtliga medlemsländer i EU/EES.

    I GDPR anges vissa grundläggande villkor som måste vara uppfyllda för att behandling av personuppgifter överhuvudtaget ska vara laglig. Bland annat ställer GDPR krav på att endast de personuppgifter som är nödvändiga får behandlas. Det är därför viktigt att begränsa delningen till de personuppgifter som samarbetspartnern faktiskt behöver för att kunna utföra sin del i projektet. Det behöver också finnas en rättslig grund för delningen av personuppgifterna.

    Vid delning av känsliga personuppgifter och personuppgifter om lagöverträdelser är det viktigt att det framgår av etikprövningstillståndet att uppgifterna kommer att delas med den aktuella samarbetspartnern. Läs mer om vad du behöver tänka på vid behandling av personuppgifter på sidorna om personuppgiftsbehandling i forskning.

    Sekretessprövning

    Känsliga personuppgifter är av sådant slag att det ofta finns sekretessbestämmelser som är tillämpliga. När det gäller utlämnande av forskningsdata till privata aktörer är sekretessprövningen av avgörande betydelse eftersom dessa inte omfattas av OSL och lagstadgat sekretesskydd för uppgifterna därmed saknas vilket gör att risken för skada eller men blir större än vid delning med offentliga aktörer som omfattas av sekretessbestämmelser.

    Läs mer om vilka överväganden som behöver göras gällande sekretess i vägledningens avsnitt om delning av forskningsdata med sekretess.

    Reglering av personuppgiftsansvaret
    I ett samarbeten kan det finnas anledning att bedöma vem som har personuppgiftsansvar för uppgifterna. Agerar parterna med eget personuppgiftsansvar eller föreligger det ett gemensamt personuppgiftsansvar enligt art 26 GDPR?

    Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

    Det för närvarande vanligaste synsättet när det gäller forskningssamarbeten är att parterna agerar under eget personuppgiftsansvar. Universitetsjuristerna har dock uppmärksammat att efterfrågan gällande avtal om gemensamt personuppgiftsansvar ökar.

    Gemensamt personuppgiftsansvar

    Ett eventuellt gemensamt personuppgiftsansvar ska dokumenteras. Det finns inga formkrav på hur denna dokumentation ska se ut. Det kan ske i avtalsform eller genom att på ett öppet sätt redovisa ansvarsfördelningen exempelvis genom att parterna formulerar en tydlig beskrivning av den gemensamma personuppgiftshanteringen i den informationsskrivelse som forskningspersonerna ska få enligt artiklarna 13-14 i GDPR.

    Om det gemensamma personuppgiftsansvaret regleras i avtal är det universitetsdirektören som enligt delegationsordningen undertecknar avtalet.

    Behövs personuppgiftsbiträdesavtal? 

    När det är fråga om ett forskningssamarbete blir det sällan fråga om att ena parten är personuppgiftsbiträde till den andra parten. Ett forskningssamarbete är inte den typen av osjälvständig behandling av personuppgifter på annans uppdrag som kännetecknas av en biträdessituation. Att lämna uppgifter till tjänsteleverantör för till exempel analys eller transkribering är typiska biträdessituationer som kräver skriftligt personuppgiftsbiträdesavtal.

    Avtal som reglerar delning av forskningsdata.

    När forskningsprojektet samarbetar med en privaträttslig aktör  skapar inte svensk lagstiftning sådana krav på offentlighet, sekretess och arkivfrågor som den gör för offentliga aktörer. Avtal som reglerar hur data får användas kan därför behöva ingås. Ett sådant avtal bör reglera:

    • Att forskningsdata inte får användas i annat syfte än för det aktuella projektet.
    • Vad samarbetspartnern ska göra med forskningsdata efter projektets slut.

    Om en annan part i projektet tillhandahåller ett avtalsförslag bör universitetsjuristerna kontaktas så snart som möjligt. Det är vanligt att villkoren i ett sådant förslag behöver justeras i en förhandling mellan parterna.

    När du har behov av upprättande eller granskning av avtal fyller du i blanketten "Underlag för avtalsgranskning" och skickar den till universitetsjuristerna.

    E) Samarbete med privat företag, stiftelse, frivilligorganisation eller liknande inom EU/EES

    Fallbeskrivning
    En forskare vid Umeå universitet bedriver ett forskningsprojekt tillsammans med forskare (medforskare) vid ett företag, stiftelse, frivilligorganisation eller annan privaträttslig aktör utanför Sverige men inom EU/EES. Umeå universitet är personuppgiftsansvarig och forskningshuvudman. Medforskaren är direkt involverad i projektet och behöver tillgång till rådata för exempelvis analys. Forskningsdata rör känsliga personuppgifter eller personuppgifter om lagöverträdelser.

    Checklista

    Innan forskningsdata delas med samarbetspartner behöver forskare vid Umeå universitet stämma av följande:

    • Vilka personuppgifter som det är nödvändigt att dela.
    • Vilken rättslig grund som finns för behandlingen av personuppgifterna.
    • Vem som har personuppgiftsansvar och att detta är dokumenterat
    • Att projektet har etiktillstånd och att etiktillståndet omfattar delning av personuppgifterna i det tänkta samarbetet och med samarbetspartnern.
      • Om etiktillstånd saknas eller inte omfattar det tänkta samarbetet - ansök om eller komplettera etikprövningstillstånd.
    • Om det finns sekretessbestämmelser som skyddar uppgifterna.
    • Om avtal om delning av forskningsdata behöver tecknas.
    • Dokumentera de överväganden som gjorts i samband med delning av uppgifterna.

    Översikt

    OSL är en nationell lagstiftning som inte gäller utanför Sverige. Utländska aktörer omfattas därför inte av det regelverk som ger skydd för vissa forskningsdata. Detta skapar hinder när det gäller delning av data till mottagare utanför Sverige.

    GDPR är en EU-förordning och gäller behandling av personuppgifter i samtliga medlemsstater inom EU/EES. Personuppgiftsfrågorna hanteras därför på liknande sätt vid samarbete med samarbetspartners i andra EU/EES länder som vid samarbete med svenska organisationer.

    I GDPR anges vissa grundläggande villkor som måste vara uppfyllda för att behandling av personuppgifter överhuvudtaget ska vara laglig. Bland annat ställer GDPR krav på att endast de personuppgifter som är nödvändiga får behandlas. Det är därför viktigt att begränsa delningen till de personuppgifter som samarbetspartnern faktiskt behöver för att kunna utföra sin del i projektet. Det behöver också finnas en rättslig grund för delningen av personuppgifterna.

    Vid delning av känsliga personuppgifter och personuppgifter om lagöverträdelser är det viktigt att det framgår av etikprövningstillståndet att uppgifterna kommer att delas med den aktuella samarbetspartnern. Läs mer om vad du behöver tänka på vid behandling av personuppgifter på sidorna om personuppgiftsbehandling i forskning.

    Sekretessprövning

    Umeå universitet behöver dels utreda ifall universitetet har fått uppgifterna från en annan myndighet och den myndigheten vid utlämnandet har överfört "sin" sekretess till Umeå universitet. Dels behöver universitetet utreda om uppgifterna omfattas av någon annan sekretess. Känsliga personuppgifter är av sådant slag att det ofta finns sekretessbestämmelser som är tillämpliga. Om uppgifterna omfattas av sekretess kan forskningsdata som utgångspunkt inte delas med mottagare utanför Sverige.

    Reglering av personuppgiftsansvaret

    I ett samarbete kan det finnas anledning att bedöma vem som har personuppgiftsansvar för uppgifterna. Agerar parterna med eget personuppgiftsansvar eller föreligger det ett gemensamt personuppgiftsansvar enligt art 26 GDPR?

    Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

    Det för närvarande vanligaste synsättet när det gäller forskningssamarbeten är att parterna agerar under eget personuppgiftsansvar. Universitetsjuristerna har dock uppmärksammat att avtal om gemensamt personuppgiftsansvar ökar.

    Gemensamt personuppgiftsansvar

    Ett eventuellt gemensamt personuppgiftsansvar ska dokumenteras. Det finns inga formkrav på hur denna dokumentation ska se ut. Det kan ske i avtalsform eller genom att på ett öppet sätt redovisa ansvarsfördelningen exempelvis genom att parterna formulerar en tydlig beskrivning av den gemensamma personuppgiftshanteringen i den informationsskrivelse som forskningspersonerna ska få enligt artiklarna 13-14 i GDPR.

    Om det gemensamma personuppgiftsansvaret regleras i avtal är det universitetsdirektören som enligt delegationsordningen undertecknar avtalet.

    Behövs personuppgiftsbiträdesavtal? 

    När det är fråga om ett forskningssamarbete blir det sällan fråga om att ena parten är personuppgiftsbiträde till den andra parten. Ett forskningssamarbete är inte den typen av osjälvständig behandling av personuppgifter på annans uppdrag som kännetecknas av en biträdessituation. Att lämna uppgifter till tjänsteleverantör för till exempel analys eller transkribering är typiska biträdessituationer som kräver skriftligt personuppgiftsbiträdesavtal.

    Avtal som reglerar delning av forskningsdata.

    När forskningsprojektet samarbetar med en aktör utanför Sverige skapar inte svensk lagstiftning sådana krav på offentlighet, sekretess och arkivfrågor som den gör för svenska aktörer. Avtal som reglerar hur data får användas kan därför behöva ingås. Ett sådant avtal bör reglera:

    • Att forskningsdata inte får användas i annat syfte än för det aktuella projektet.
    • Vad samarbetspartnern ska göra med forskningsdata efter projektets slut.
    • Att mottagaren ansvarar för att denna har erforderliga tillstånd enligt lagstiftningen i det land där mottagaren är verksam.

    Om en annan part i projektet tillhandahåller ett avtalsförslag bör universitetsjuristerna kontaktas så snart som möjligt. Det är vanligt att villkoren i ett sådant förslag behöver justeras i en förhandling mellan parterna. När du har behov av upprättande eller granskning av avtal fyller du i blanketten "Underlag för avtalsgranskning" och skickar den till universitetsjuristerna.

    F) Samarbete med privat företag, stiftelse, frivilligorganisation eller liknande utanför EU/EES

    Fallbeskrivning
    En forskare vid Umeå universitet bedriver ett forskningsprojekt tillsammans med forskare (medforskare) vid ett företag, stiftelse, frivilligorganisation eller annan privaträttslig aktör utanför Sverige men inom EU/EES. Umeå universitet är personuppgiftsansvarig och forskningshuvudman. Medforskaren är direkt involverad i projektet och behöver tillgång till rådata för exempelvis analys. Forskningsdata rör känsliga personuppgifter eller personuppgifter om lagöverträdelser.

    Checklista

    Innan forskningsdata delas med samarbetspartner behöver forskare vid Umeå universitet stämma av följande:

    • Vilka personuppgifter som är nödvändiga att dela.
    • Vilken rättslig grund som finns för behandlingen av personuppgifterna.
    • Vem som har personuppgiftsansvar och att detta är dokumenterat.
    • Utred om det finns sekretess som skyddar uppgifterna.
    • Att projektet har etiktillstånd och att etiktillståndet omfattar det tänkta samarbetet och samarbetspartnern.
      • Om etiktillstånd saknas eller inte omfattar det tänkta samarbetet- Ansök om eller komplettera etikprövningstillstånd.
    • Om det aktuella landet har så kallat adekvansbeslut eller om andra säkerhetsåtgärder behöver vidtas.
    • Om avtal om delning av forskningsdata behöver tecknas.
    • Dokumentera de överväganden som gjorts i samband med delning av uppgifterna.

    Översikt

    OSL är en nationell lagstiftning som inte gäller utanför Sverige. Utländska aktörer omfattas därför inte av det regelverk som ger skydd för viss forskningsdata. Detta skapar hinder när det gäller delning av forskningsdata med sekretess till mottagare i utlandet.

    GDPR gäller endast behandling av personuppgifter inom EU/EES vilket skapar hinder för delning av personuppgifter till mottagare i andra länder. Delning av forskningsdata med personuppgifter med aktörer utanför EU/EES måste därför regleras på annat sätt för att upprätthålla skyddet för den personliga integriteteten. Kontakta universitetsjuristerna om du har behov av att föra över personuppgifter till ett land utanför EU/EES.

    I GDPR anges vissa grundläggande villkor som måste vara uppfyllda för att behandling av personuppgifter överhuvudtaget ska vara laglig. Bland annat ställer GDPR krav på att endast de personuppgifter som är nödvändiga får behandlas. Det är därför viktigt att begränsa delningen till de personuppgifter som samarbetspartnern faktiskt behöver för att kunna utföra sin del i projektet. Det behöver också finnas en rättslig grund för delningen av personuppgifterna.

    Vid delning av känsliga personuppgifter och personuppgifter om lagöverträdelser är det viktigt att det framgår av etikprövningstillståndet att uppgifterna kommer att delas med den aktuella samarbetspartnern. Läs mer om vad du behöver tänka på vid behandling av personuppgifter på sidorna om Personuppgiftsbehandling i forskning.

    Umeå universitet behöver dels utreda ifall universitetet har fått uppgifterna från en annan myndighet och den myndigheten vid utlämnandet har överfört "sin" sekretess till Umeå universitet. Dels behöver universitetet utreda om uppgifterna omfattas av någon annan sekretess. Känsliga personuppgifter är av sådant slag att det ofta finns sekretessbestämmelser som är tillämpliga. Om uppgifterna omfattas av sekretess kan forskningsdata som utgångspunkt inte delas med mottagare utanför Sverige.

    Reglering av personuppgiftsansvaret

    När det är fråga om att dela personuppgifter utanför EU/EES benämns detta som en tredjelandsöverföring. För vissa länder har EU-kommissionen fattat s.k. adekvansbeslut. Detta innebär att ländernas nationella lagsstiftning säkerställer en så kallad adekvat skyddsnivå för personuppgifter och personlig integritet. Dessa länder finns uppräknade på Integritetsskyddsmyndighetens hemsida. I dessa fall föreligger inte hinder enligt GDPR att dela uppgifterna.

    Om landet inte finns på ovannämnda lista måste andra lämpliga skyddsåtgärder för att säkerställa att den skyddsnivå som GDPR kräver kan uppnås. Den för universitetet vanligaste skyddsåtgärden är att teckna avtal med de standardavtalsklausuler som EU-kommissionen tagit fram. Universitetsjuristerna hjälper till att upprätta dessa avtal som sedan undertecknas av universitetsdirektören. I dessa fall är det viktigt att uppgifterna är pseudonymiserade, då detta inte bara många gånger möjliggör ett utlämnade enligt OSL, utan även anses vara en säkerhetsåtgärd enligt artikel 32 GDPR.

    De grundläggande villkor som måste vara uppfyllda för att behandling av personuppgifter överhuvudtaget ska vara laglig enligt GDPR måste också uppfyllas. Bland annat ställer GDPR krav på att endast de personuppgifter som är nödvändiga får behandlas. Det är därför viktigt att begränsa delningen till de personuppgifter som samarbetspartnern faktiskt behöver för att kunna utföra sin del i projektet. Det behöver också finnas en rättslig grund för delningen av personuppgifterna. Läs mer om vad du behöver tänka på vid behandling av personuppgifter på sidorna om personuppgiftsbehandling i forskning.

    Avtal som reglerar delning av forskningsdata.

    När forskningsprojektet samarbetar med en aktör utanför Sverige skapar inte svensk lagstiftning sådana krav på offentlighet, sekretess och arkivfrågor som den gör för svenska aktörer. Avtal som reglerar hur data får användas kan därför behöva ingås. Ett sådant avtal bör reglera:

    • Att forskningsdata inte får användas i annat syfte än för det aktuella projektet.
    • Vad samarbetspartnern ska göra med forskningsdata efter projektets slut.
    • Att mottagaren ansvarar för att denna har erforderliga tillstånd enligt lagstiftningen i det land där mottagaren är verksam.

    Om en annan part i projektet tillhandahåller ett avtalsförslag bör universitetsjuristerna kontaktas så snart som möjligt. Det är vanligt att villkoren i ett sådant förslag behöver justeras i en förhandling mellan parterna.

    När du har behov av upprättande eller granskning av avtal fyller du i blanketten "Underlag för avtalsgranskning" och skickar den till universitetsjuristerna.

     

    Fördjupning

    Läs mer

    Avtal

    Personuppgiftsbehandling i forskning

    Överföring av personuppgifter utomlands 

    FAQ personuppgiftsbehandling

    Allmänna handlingar och sekretess

    Sekretess och tystnadsplikt

    Utlämnande av allmänna handlingar

    FAQ allmänna handlingar och sekretess

    Informationssäkerhet

    Kontakt

    E-post universitetsjuristerna 

    E-post Dataskyddsombud, frågor om personuppgiftshantering

    2024-01-15