Forskningsdata med integritetskänsliga och vanliga personuppgifter

    Här presenteras typfall när forskare vid Umeå universitet behöver dela forskningsdata som innehåller integritetskänsliga personuppgifter eller vanliga personuppgifter som inte kräver etikrövning med andra forskare vid olika organisationer i Sverige eller utomlands.

    Vad är integritetskänsliga personuppgifter?

    Integritetskänsliga personuppgifter är personuppgifter som inte är känsliga personuppgifter men som anses vara särskilt skyddsvärda. Det kan till exempel vara fråga om löneuppgifter, värderande uppgifter som till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler, information som rör någons privata sfär eller uppgifter om sociala förhållanden. Personnummer anses vara särskilt skyddsvärda personuppgifter.

    Personuppgifter om lagöverträdelser anses också vara integritetskänsliga personuppgifter. Men eftersom dessa kräver etikprövning för att få behandlas i forskning tas de upp under avsnittet om delning av forskningsdata i etikprövad forskning.

    Vad är vanliga personuppgifter?

    Eftersom varje uppgift som direkt eller indirekt kan kopplas till en levande person anses vara en personuppgift används ofta begreppet vanliga personuppgifter för att beskriva sådana uppgifter som vare sig är känsliga eller integritetskänsliga personuppgifter.

    Typfall

    A) Samarbete med lärosäte eller annan offentlig aktör i Sverige.

    Fallbeskrivning
    En forskare vid Umeå universitet bedriver ett forskningsprojekt tillsammans med forskare (medforskare) vid ett annat lärosäte, myndighet, kommun eller region i Sverige. Umeå universitet är personuppgiftsansvarig och forskningshuvudman. Medforskaren är direkt involverad i projektet och behöver tillgång till rådata för exempelvis analys. Forskningsdata rör integritetskänsliga eller vanliga personuppgifter.

    Checklista
    Innan forskningsdata delas med samarbetspartner behöver forskare vid Umeå universitet stämma av följande:

    • Vilka personuppgifter som det är nödvändigt att dela.
    • Vilken rättslig grund som finns för behandlingen (delningen) av personuppgifterna.
    • Om det finns sekretess som skyddar uppgifterna hos Umeå universitet.
    • Vem som har personuppgiftsansvar och att detta är dokumenterat
    • Dokumentera de överväganden som gjorts i samband med delning av uppgifterna.

    Översikt
    Svenska kommuner, regioner och andra myndigheter omfattas av samma lagstiftning som Umeå universitet, till exempel GDPR och offentlighets- och sekretesslagen.

    I GDPR anges vissa grundläggande villkor som måste vara uppfyllda för att behandling av personuppgifter överhuvudtaget ska vara laglig. Bland annat ställer GDPR krav på att endast de personuppgifter som är nödvändiga får behandlas. Det är därför viktigt att begränsa delningen till de personuppgifter som samarbetspartnern faktiskt behöver för att kunna utföra sin del i projektet. Det behöver också finnas en rättslig grund för delningen av personuppgifterna. Läs mer om vad du behöver tänka på vid behandling av personuppgifter på sidorna om Personuppgiftsbehandling i forskning

    Sekretessbedömning

    Umeå universitet behöver dels utreda ifall universitetet har fått uppgifterna från en annan myndighet och den myndigheten vid utlämnandet har överfört "sin" sekretess till Umeå universitet. Dels behöver universitetet utreda om uppgifterna omfattas av någon annan sekretess.

    Läs mer om vilka överväganden som behöver göras gällande sekretess i vägledningens avsnitt om delning av forskningsdata med sekretess.

    Reglering av personuppgiftsansvaret
    I ett forskningssamarbete kan det finnas anledning att bedöma vem som har personuppgiftsansvar för uppgifterna. Agerar parterna med eget personuppgiftsansvar eller föreligger det ett gemensamt personuppgiftsansvar enligt art 26 GDPR? 

    Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

    Det för närvarande vanligaste synsättet när det gäller forskningssamarbeten är att parterna agerar under eget personuppgiftsansvar. Universitetsjuristerna har dock uppmärksammat att efterfrågan gällande avtal om gemensamt personuppgiftsansvar ökar.

    Gemensamt personuppgiftsansvar

    Ett eventuellt gemensamt personuppgiftsansvar ska dokumenteras. Det finns inga formkrav på hur denna dokumentation ska se ut. Det kan ske i avtalsform eller genom att på ett öppet sätt redovisa ansvarsfördelningen exempelvis genom att parterna formulerar en tydlig beskrivning av den gemensamma personuppgiftshanteringen i den informationsskrivelse som forskningspersonerna ska få enligt artiklarna 13-14 GDPR.

    Om det gemensamma personuppgiftsansvaret regleras i avtal är det universitetsdirektören som enligt delegationsordningen undertecknar avtalet.

    Behövs personuppgiftsbiträdesavtal? 

    När det är fråga om ett forskningssamarbete blir det sällan fråga om att ena parten är personuppgiftsbiträde till den andra parten. Ett forskningssamarbete är inte den typen av osjälvständig behandling av personuppgifter på annans uppdrag som kännetecknas av en biträdessituation. Att lämna uppgifter till tjänsteleverantör för t.ex. analys eller transkribering är typiska biträdessituationer. I biträdessituationer krävs ett skriftligt avtal om personuppgiftsbiträde. Kontakta universitetsjuristerna om du har behov av att upprätta ett personuppgiftsbiträdesavtal.

    Avtal som reglerar delning av forskningsdata.
    Universitetsjuristerna rekommenderar inte att avtal tecknas med svenska lärosäten, andra myndigheter, kommuner eller regioner om hur delade forskningsdata ska hanteras eftersom dessa omfattas av vissa lagar gällande offentlighet och arkivskyldighet. Till dessa bör information om överförd sekretess skickas med i stället.

    Biobanksprover utgör inte allmänna handlingar och omfattas därför inte av denna vägledning eller ställningstagandet gällande avtal.

    Om annan part i projektet tillhandahåller ett avtalsförslag bör universitetsjuristerna kontaktas så snart som möjligt. Det är vanligt att villkoren i ett sådant förslag behöver justeras i en förhandling mellan parterna. När du har behov av upprättande eller granskning av avtal fyller du i blanketten "Underlag för avtalsgranskning" och skickar den till universitetsjuristerna

    B) Samarbete med lärosäte eller annan offentlig aktör utanför Sverige men inom EU/EES

    Fallbeskrivning
    En forskare vid Umeå universitet bedriver ett forskningsprojekt tillsammans med forskare (medforskare) vid ett lärosäte, myndighet, kommun, region eller motsvarande offentligrättslig aktör utanför Sverige men inom EU/EES. Umeå universitet är personuppgiftsansvarig och forskningshuvudman. Medforskaren är direkt involverad i projektet och behöver tillgång till rådata för exempelvis analys. Forskningsdata rör integritetskänsliga eller vanliga personuppgifter.

    Checklista
    Innan forskningsdata delas med samarbetspartner behöver forskare vid Umeå universitet stämma av följande:

    • Vilka personuppgifter som det är nödvändigt att dela.
    • Vilken rättslig grund som finns för behandlingen (delningen) av personuppgifterna.
    • Om det finns någon sekretessbestämmelse som skyddar uppgifterna.
      • Utred om uppgifterna kan pseudonymiseras eller anonymiseras på ett sätt som möjliggör att forskningsdata kan delas.
    • Vem som har personuppgiftsansvar och att detta är dokumenterat
    • Om avtal om delning av forskningsdata behöver tecknas.
    • Dokumentera de överväganden som gjorts i samband med delning av uppgifterna.

    Översikt
    OSL är en nationell lagstiftning som inte gäller utanför Sverige. Utländska aktörer omfattas därför inte av det regelverk som ger skydd för vissa forskningsdata. Detta skapar hinder när det gäller delning av data till mottagare utanför Sverige.

    GDPR är en EU-förordning och gäller behandling av personuppgifter i samtliga medlemsstater inom EU/EES.
    I GDPR anges vissa grundläggande villkor som måste vara uppfyllda för att behandling av personuppgifter överhuvudtaget ska vara laglig. Bland annat ställer GDPR krav på att endast de personuppgifter som är nödvändiga får behandlas. Det är därför viktigt att begränsa delningen till de personuppgifter som samarbetspartnern faktiskt behöver för att kunna utföra sin del i projektet. Det behöver också finnas en rättslig grund för delningen av personuppgifterna. Läs mer om vad du behöver tänka på vid behandling av personuppgifter på sidorna om Personuppgiftsbehandling i forskning.

    Sekretessbedömning
    Umeå universitet behöver dels utreda ifall universitetet har fått uppgifterna från en annan myndighet och den myndigheten vid utlämnandet har överfört "sin" sekretess till Umeå universitet. Dels behöver universitetet utreda om uppgifterna omfattas av någon annan sekretess. Om uppgifterna omfattas av sekretess kan forskningsdata som utgångspunkt inte delas med mottagare utanför Sverige.

    Läs mer om vilka överväganden som behöver göras gällande sekretess i vägledningens avsnitt om delning av forskningsdata med sekretess.

    Reglering av personuppgiftsansvaret

    I ett forskningssamarbete kan det finnas anledning att bedöma vem som har personuppgiftsansvar för uppgifterna. Agerar parterna med eget personuppgiftsansvar eller föreligger det ett gemensamt personuppgiftsansvar enligt art 26 GDPR?

    Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

    Det för närvarande vanligaste synsättet när det gäller forskningssamarbeten är att parterna agerar under eget personuppgiftsansvar. Universitetsjuristerna har dock uppmärksammat att efterfrågan gällande avtal om gemensamt personuppgiftsansvar ökar.

    Gemensamt personuppgiftsansvar

    Ett eventuellt gemensamt personuppgiftsansvar ska dokumenteras. Det finns inga formkrav på hur denna dokumentation ska se ut. Det kan ske i avtalsform eller genom att på ett öppet sätt redovisa ansvarsfördelningen exempelvis genom att parterna formulerar en tydlig beskrivning av den gemensamma personuppgiftshanteringen i den informationsskrivelse som forskningspersonerna ska få enligt artiklarna 13-14 GDPR.

    Om det gemensamma personuppgiftsansvaret regleras i avtal är det universitetsdirektören som enligt delegationsordningen undertecknar avtalet.

    Behövs personuppgiftsbiträdesavtal?

    När det är fråga om ett forskningssamarbete blir det sällan fråga om att ena parten är personuppgiftsbiträde till den andra parten. Ett forskningssamarbete är inte den typen av osjälvständig behandling av personuppgifter på annans uppdrag som kännetecknas av en biträdessituation. Att lämna uppgifter till tjänsteleverantör för t.ex. analys eller transkribering är typiska biträdessituationer. I biträdessituationer krävs ett skriftligt avtal om personuppgiftsbiträde. Kontakta universitetsjuristerna om du har behov av att upprätta ett personuppgiftsbiträdesavtal.

    Avtal som reglerar delning av forskningsdata.

    När forskningsprojektet samarbetar med en aktör utanför Sverige skapar inte svensk lagstiftning sådana krav på offentlighet, sekretess och arkivfrågor som den gör för svenska aktörer. Avtal som reglerar hur data får användas kan därför behöva tecknas. Ett sådant avtal bör reglera:

    • Att forskningsdata inte får användas i annat syfte än för det aktuella projektet.
    • Vad samarbetspartnern ska göra med forskningsdata efter projektets slut.
    • Att mottagaren ansvarar för att denna har erforderliga tillstånd enligt lagstiftningen i det land där mottagaren är verksam

    Om annan part i projektet tillhandahåller ett avtalsförslag bör universitetsjuristerna kontaktas så snart som möjligt. Det är vanligt att villkoren i ett sådant förslag behöver justeras i en förhandling mellan parterna.

    När du har behov av upprättande eller granskning av avtal fyller du i blanketten "Underlag för avtalsgranskning" och skickar den till universitetsjuristerna.

    C) Samarbete med lärosäte eller annan offentlig aktör utanför EU/EES

    Fallbeskrivning
    En forskare vid Umeå universitet bedriver ett forskningsprojekt tillsammans med forskare (medforskare) vid ett lärosäte, myndighet, kommun, region eller motsvarande offentligrättslig aktör utanför EU/EES. Umeå universitet är personuppgiftsansvarig och forskningshuvudman. Medforskaren är direkt involverad i projektet och behöver tillgång till rådata för exempelvis analys. Forskningsdata rör integritetskänsliga personuppgifter eller vanliga personuppgifter.

    Checklista
    Innan forskningsdata delas med samarbetspartner behöver forskare vid Umeå universitet stämma av följande:

    • Vilka personuppgifter som kommer att behandlas.
    • Vilken rättslig grund som finns för behandlingen av personuppgifterna.
    • Om det aktuella landet har så kallat adekvansbeslut eller om andra säkerhetsåtgärder behöver vidtas.
    • Vem som har personuppgiftsansvar och att detta är dokumenterat
    • Om det finns någon sekretessbestämmelse som skyddar uppgifterna.
      • Utred om personuppgifterna kan pseudonymiseras eller anonymiseras på ett sätt som möjliggör att forskningsdata kan delas.
    • Om avtal om delning av forskningsdata behöver tecknas.
    • Dokumentera de överväganden som gjorts i samband med delning av uppgifterna.

    Översikt
    OSL är en nationell lagstiftning som inte gäller utanför Sverige. Utländska aktörer omfattas därför inte av det skydd offentlighets- och sekretesslagen ger viss forskningsdata. Detta skapar hinder när det gäller delning av data till sådan mottagare.

    GDPR gäller endast behandling av personuppgifter inom EU/EES vilket skapar hinder att föra över personuppgifter till aktörer utanför EU/EES, Delning av forskningsdata med personuppgifter måste i dessa fall därför regleras på annat sätt för att upprätthålla skyddet för den personliga integriteteten. Kontakta universitetsjuristerna om du har behov av att föra över personuppgifter till ett land utanför EU/EES.

    Sekretessbedömning
    Umeå universitet behöver dels utreda ifall universitetet har fått uppgifterna från en annan myndighet och den myndigheten vid utlämnandet har överfört "sin" sekretess till Umeå universitet. Dels behöver universitetet utreda om uppgifterna omfattas av någon annan sekretess. Om uppgifterna omfattas av sekretess kan forskningsdata som utgångspunkt inte delas med mottagare utanför Sverige.

    Läs mer om vilka överväganden som behöver göras gällande sekretess i vägledningens avsnitt om delning av forskningsdata med sekretess.

    Reglering av personuppgiftsansvaret
    När det är fråga om att dela personuppgifter utanför EU/EES benämns detta som en tredjelandsöverföring. För att en tredjelandsöverföring ska vara tillåten krävs att motsvarande skydd för den personliga integriteten som GDPR skapar kan upprätthållas. För vissa länder har EU-kommissionen fattat s.k. adekvansbeslut. Detta innebär att ländernas nationella lagsstiftning säkerställer en så kallad adekvat skyddsnivå för personuppgifter och personlig integritet. Dessa länder finns uppräknade på Integritetsskyddsmyndighetens hemsida. I dessa fall föreligger inte hinder enligt GDPR att dela uppgifterna

    Om landet inte finns på ovannämnda lista måste andra lämpliga skyddsåtgärder för att säkerställa att den skyddsnivå som GDPR kräver kan uppnås. Den för universitetet vanligaste skyddsåtgärden är att teckna avtal med de standardavtalsklausuler som EU-kommissionen tagit fram. Universitetsjuristerna hjälper till att upprätta dessa avtal som sedan undertecknas av universitetsdirektören. I dessa fall är det viktigt att uppgifterna är pseudonymiserade, då detta inte bara många gånger möjliggör ett utlämnade enligt OSL, men även anses vara en säkerhetsåtgärd enligt artikel 32 GDPR.

    Avtal som reglerar delning av forskningsdata.

    När forskningsprojektet samarbetar med en aktör utanför Sverige skapar inte svensk lagstiftning sådana krav på offentlighet, sekretess och arkivfrågor som den gör för svenska aktörer. Avtal som reglerar hur data får användas kan därför behöva tecknas. Ett sådant avtal bör reglera:

    • Att forskningsdata inte får användas i annat syfte än för det aktuella projektet.
    • Vad samarbetspartnern ska göra med forskningsdata efter projektets slut.
    • Att mottagaren ansvarar för att denna har erforderliga tillstånd enligt lagstiftningen i det land där mottagaren är verksam

    Om annan part i projektet tillhandahåller ett avtalsförslag bör universitetsjuristerna kontaktas så snart som möjligt. Det är vanligt att villkoren i ett sådant förslag behöver justeras i en förhandling mellan parterna.

    När du har behov av upprättande eller granskning av avtal fyller du i blanketten "Underlag för avtalsgranskning" och skickar den till universitetsjuristerna.

    D) Samarbete med privat företag, stiftelse, frivilligorganisation eller liknande i Sverige.

    Fallbeskrivning
    En forskare vid Umeå universitet bedriver ett forskningsprojekt tillsammans med forskare (medforskare) vid ett företag, stiftelse, frivilligorganisation eller annan privaträttslig aktör i Sverige. Umeå universitet är personuppgiftsansvarig och forskningshuvudman. Medforskaren är direkt involverad i projektet och behöver tillgång till rådata för exempelvis analys. Forskningsdata rör integritetskänsliga personuppgifter.

    Checklista
    Innan forskningsdata delas med samarbetspartner behöver forskare vid Umeå universitet stämma av följande:

    • Vilka personuppgifter som kommer att behandlas.
    • Vilken rättslig grund som finns för behandlingen av personuppgifterna.
    • Om det finns sekretess som skyddar uppgifterna.
      • Utred om uppgifterna kan lämnas ut med förbehåll - Den som ansvarar för forskningsdata beslutar om förbehåll – kontakta universitetsjuristerna för stöd.
    • Vem som har personuppgiftsansvar och att detta är dokumenterat
    • Om avtal om delning av forskningsdata behöver tecknas.
    • Dokumentera de överväganden som gjorts i samband med delning av uppgifterna.

    Översikt
    Privata aktörer omfattas inte av offentlighets- och sekretesslagens tillämpningsområde. Det skydd som OSL ger vissa forskningsdata gäller därför inte hos dessa. Detta skapar hinder för delning av forskningsdata med sekretess till privata aktörer. Delning av forskningsdata som omfattas av sekretess kan i vissa fall möjliggöras genom förbehåll.

    GDPR gäller för privata aktörer i samtliga medlemsländer i EU/EES.

    Sekretessprövning
    När det gäller utlämnande av forskningsdata till privata aktörer är sekretessprövningen av avgörande betydelse eftersom dessa inte omfattas av OSL och lagstadgat sekretesskydd för uppgifterna därmed saknas vilket gör att risken för skada eller men blir större än vid delning med offentliga aktörer som omfattas av sekretessbestämmelser.

    I de fall uppgifterna omfattas av sekretess saknas möjlighet att överföra sekretess enligt 11 kap. 3 § OSL till privata aktörer. För att skydda de sekretessbelagda uppgifterna finns istället, vid delning inom Sverige, möjlighet att dela forskningsdata med ett sekretessförbehåll enligt 10 kap. 14 § OSL.

    Läs mer under vägledningens avsnitt om delning av forskningsdata med sekretess

    Reglering av personuppgiftsansvaret
    I ett forskningssamarbete kan det finnas anledning att bedöma vem som har personuppgiftsansvar för uppgifterna. Agerar parterna med eget personuppgiftsansvar eller föreligger det ett gemensamt personuppgiftsansvar enligt art 26 GDPR?

    Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

    Det för närvarande vanligaste synsättet när det gäller forskningssamarbeten är att parterna agerar under eget personuppgiftsansvar. Universitetsjuristerna har dock uppmärksammat att efterfrågan gällande avtal om gemensamt personuppgiftsansvar ökar.

    Gemensamt personuppgiftsansvar

    Ett eventuellt gemensamt personuppgiftsansvar ska dokumenteras. Det finns inga formkrav på hur denna dokumentation ska se ut. Det kan ske i avtalsform eller genom att på ett öppet sätt redovisa ansvarsfördelningen exempelvis genom att parterna formulerar en tydlig beskrivning av den gemensamma personuppgiftshanteringen i den informationsskrivelse som forskningspersonerna ska få enligt artiklarna 13-14 GDPR.

    Om det gemensamma personuppgiftsansvaret regleras i avtal är det universitetsdirektören som enligt delegationsordningen undertecknar avtalet.

    Behövs personuppgiftsbiträdesavtal?

    När det är fråga om ett forskningssamarbete blir det sällan fråga om att ena parten är personuppgiftsbiträde till den andra parten. Ett forskningssamarbete är inte den typen av osjälvständig behandling av personuppgifter på annans uppdrag som kännetecknas av en biträdessituation. Att lämna uppgifter till tjänsteleverantör för t.ex. analys eller transkribering är typiska biträdessituationer.

    I biträdessituationer krävs ett skriftligt avtal om personuppgiftsbiträde. Kontakta universitetsjuristerna om du har behov av att upprätta ett personuppgiftsbiträdesavtal.

    Avtal som reglerar delning av forskningsdata.
    När forskningsprojektet samarbetar med en privat aktör  skapar inte lagstiftning sådana krav på offentlighet, sekretess och arkivfrågor som den gör för svenska aktörer. Avtal som reglerar hur data får användas kan därför behöva tecknas. Ett sådant avtal bör reglera:

    • Att forskningsdata inte får användas i annat syfte än för det aktuella projektet.
    • Vad samarbetspartnern ska göra med forskningsdata efter projektets slut.

    Om annan part i projektet tillhandahåller ett avtalsförslag bör universitetsjuristerna kontaktas så snart som möjligt. Det är vanligt att villkoren i ett sådant förslag behöver justeras i en förhandling mellan parterna.

    När du har behov av upprättande eller granskning av avtal fyller du i blanketten "Underlag för avtalsgranskning" och skickar den till universitetsjuristerna.

    E) Samarbete med privat företag, stiftelse, frivilligorganisation eller liknande inom EU/EES

    Fallbeskrivning
    En forskare vid Umeå universitet bedriver ett forskningsprojekt tillsammans med forskare (medforskare) vid ett företag, stiftelse, frivilligorganisation eller annan privaträttslig aktör utanför Sverige men inom EU/EES. Umeå universitet är personuppgiftsansvarig och forskningshuvudman. Medforskaren är direkt involverad i projektet och behöver tillgång till rådata för exempelvis analys. Forskningsdata rör integritetskänsliga personuppgifter.

    Checklista
    Innan forskningsdata delas med samarbetspartner behöver forskare vid Umeå universitet stämma av följande:

    • Vilka personuppgifter som det är nödvändigt att dela.
    • Vilken rättslig grund som finns för behandlingen av personuppgifterna.
    • Vem som har personuppgiftsansvar och att detta är dokumenterat. 
      • Om det finns någon sekretessbestämmelse som skyddar uppgifterna hos Umeå universitet.
      • Utred om uppgifterna kan pseudonymiseras eller anonymiseras på ett sätt som möjliggör att forskningsdata kan delas.
    • Om avtal om delning av forskningsdata behöver tecknas.
    • Dokumentera de överväganden som gjorts i samband med delning av uppgifterna.

    Översikt

    OSL är en nationell lagstiftning som inte gäller utanför Sverige. Utländska aktörer omfattas därför inte av det regelverk som ger skydd för vissa forskningsdata. Detta skapar hinder när det gäller delning av data till mottagare utanför Sverige.

    GDPR är en EU-förordning och gäller behandling av personuppgifter i samtliga medlemsstater inom EU/EES.
    I GDPR anges vissa grundläggande villkor som måste vara uppfyllda för att behandling av personuppgifter överhuvudtaget ska vara laglig. Bland annat ställer GDPR krav på att endast de personuppgifter som är nödvändiga får behandlas. Det är därför viktigt att begränsa delningen till de personuppgifter som samarbetspartnern faktiskt behöver för att kunna utföra sin del i projektet. Det behöver också finnas en rättslig grund för delningen av personuppgifterna.

    Läs mer om vad du behöver tänka på vid behandling av personuppgifter på sidorna om personuppgiftsbehandling i forskning.

    Sekretessbedömning

    Umeå universitet behöver dels utreda ifall universitetet har fått uppgifterna från en annan myndighet och den myndigheten vid utlämnandet har överfört "sin" sekretess till Umeå universitet. Dels behöver universitetet utreda om uppgifterna omfattas av någon annan sekretess. Om uppgifterna omfattas av sekretess kan forskningsdata som utgångspunkt inte delas med mottagare utanför Sverige.

    Läs mer om vilka överväganden som behöver göras gällande sekretess i vägledningens avsnitt om delning av forskningsdata med sekretess.

    Reglering av personuppgiftsansvaret

    I ett forskningssamarbete kan det finnas anledning att bedöma vem som har personuppgiftsansvar för uppgifterna. Agerar parterna med eget personuppgiftsansvar eller föreligger det ett gemensamt personuppgiftsansvar enligt art 26 GDPR?

    Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

    Det för närvarande vanligaste synsättet när det gäller forskningssamarbeten är att parterna agerar under eget personuppgiftsansvar. Universitetsjuristerna har dock uppmärksammat att efterfrågan gällande avtal om gemensamt personuppgiftsansvar ökar.

    Gemensamt personuppgiftsansvar

    Ett eventuellt gemensamt personuppgiftsansvar ska dokumenteras. Det finns inga formkrav på hur denna dokumentation ska se ut. Det kan ske i avtalsform eller genom att på ett öppet sätt redovisa ansvarsfördelningen exempelvis genom att parterna formulerar en tydlig beskrivning av den gemensamma personuppgiftshanteringen i den informationsskrivelse som forskningspersonerna ska få enligt artiklarna 13-14 GDPR.

    Om det gemensamma personuppgiftsansvaret regleras i avtal är det universitetsdirektören som enligt delegationsordningen undertecknar avtalet.

    Behövs personuppgiftsbiträdesavtal?

    När det är fråga om ett forskningssamarbete blir det sällan fråga om att ena parten är personuppgiftsbiträde till den andra parten. Ett forskningssamarbete är inte den typen av osjälvständig behandling av personuppgifter på annans uppdrag som kännetecknas av en biträdessituation. Att lämna uppgifter till tjänsteleverantör för t.ex. analys eller transkribering är typiska biträdessituationer.

    I biträdessituationer krävs ett skriftligt avtal om personuppgiftsbiträde. Kontakta universitetsjuristerna om du har behov av att upprätta ett personuppgiftsbiträdesavtal.

    Avtal som reglerar delning av forskningsdata.

    När forskningsprojektet samarbetar med en aktör utanför Sverige skapar inte svensk lagstiftning sådana krav på offentlighet, sekretess och arkivfrågor som den gör för svenska aktörer. Avtal som reglerar hur data får användas kan därför behöva tecknas. Ett sådant avtal bör reglera:

    • Att forskningsdata inte får användas i annat syfte än för det aktuella projektet.
    • Vad samarbetspartnern ska göra med forskningsdata efter projektets slut.
    • Att mottagaren ansvarar för att denna har erforderliga tillstånd enligt lagstiftningen i det land där mottagaren är verksam.

    Om annan part i projektet tillhandahåller ett avtalsförslag bör universitetsjuristerna kontaktas så snart som möjligt. Det är vanligt att villkoren i ett sådant förslag behöver justeras i en förhandling mellan parterna.

    När du har behov av upprättande eller granskning av avtal fyller du i blanketten "Underlag för avtalsgranskning" och skickar den till universitetsjuristerna.

    F) Samarbete med privat företag, stiftelse, frivilligorganisation eller liknande utanför EU/EES

    Fallbeskrivning
    En forskare vid Umeå universitet bedriver ett forskningsprojekt tillsammans med forskare (medforskare) vid ett företag, stiftelse, frivilligorganisation eller annan privaträttslig aktör utanför Sverige men inom EU/EES. Umeå universitet är personuppgiftsansvarig och forskningshuvudman. Medforskaren är direkt involverad i projektet och behöver tillgång till rådata för exempelvis analys. Forskningsdata rör integritetskänsliga personuppgifter eller vanliga personuppgifter

    Checklista
    Innan forskningsdata delas med samarbetspartner behöver forskare vid Umeå universitet stämma av följande:

    • Vilka personuppgifter som det är nödvändigt att dela.
    • Vilken rättslig grund som finns för behandlingen av personuppgifterna.
    • Vem som har personuppgiftsansvar och att detta är dokumenterat.
    • Om det finns sekretess som skyddar uppgifterna.
    • Om det aktuella landet har så kallat adekvansbeslut eller om andra säkerhetsåtgärder behöver vidtas.
    • Om avtal om delning av forskningsdata behöver tecknas.
    • Dokumentera de överväganden som gjorts i samband med delning av uppgifterna.

    Översikt
    OSL är en nationell lagstiftning som inte gäller utanför Sverige. Utländska aktörer omfattas därför inte av det skydd offentlighets- och sekretesslagen ger viss forskningsdata. Detta skapar hinder när det gäller delning av data till sådan mottagare.

    GDPR gäller endast behandling av personuppgifter inom EU/EES vilket skapar hinder att föra över personuppgifter till aktörer utanför EU/EES, Delning av forskningsdata med personuppgifter måste i dessa fall därför regleras på annat sätt för att upprätthålla skyddet för den personliga integriteteten. Kontakta universitetsjuristerna om du har behov av att föra över personuppgifter till ett land utanför EU/EES.

    Sekretessprövning
    Umeå universitet behöver dels utreda ifall universitetet har fått uppgifterna från en annan myndighet och den myndigheten vid utlämnandet har överfört "sin" sekretess till Umeå universitet. Dels behöver universitetet utreda om uppgifterna omfattas av någon annan sekretess. Om uppgifterna omfattas av sekretess kan forskningsdata som utgångspunkt inte delas med mottagare utanför Sverige.

    Läs mer om vilka överväganden som behöver göras gällande sekretess i vägledningens avsnitt om delning av forskningsdata med sekretess.

    Reglering av personuppgiftsansvaret
    När det är fråga om att dela personuppgifter utanför EU/EES benämns detta som en tredjelandsöverföring. För att en tredjelandsöverföring ska vara tillåten krävs att motsvarande skydd för den personliga integriteten som GDPR skapar kan upprätthållas. För vissa länder har EU-kommissionen fattat s.k. adekvansbeslut. Detta innebär att ländernas nationella lagsstiftning säkerställer en så kallad adekvat skyddsnivå för personuppgifter och personlig integritet. Dessa länder finns uppräknade på Integritetsskyddsmyndighetens hemsida. I dessa fall föreligger inte hinder enligt GDPR att dela uppgifterna

    Om landet inte finns på ovannämnda lista måste andra lämpliga skyddsåtgärder för att säkerställa att den skyddsnivå som GDPR kräver kan uppnås. Den för universitetet vanligaste skyddsåtgärden är att teckna avtal med de standardavtalsklausuler som EU-kommissionen tagit fram. Universitetsjuristerna hjälper till att upprätta dessa avtal som sedan undertecknas av universitetsdirektören. I dessa fall är det viktigt att uppgifterna är pseudonymiserade, då detta inte bara många gånger möjliggör ett utlämnade enligt OSL, men även anses vara en säkerhetsåtgärd enligt artikel 32 GDPR.

    Avtal som reglerar delning av forskningsdata.

    När forskningsprojektet samarbetar med en aktör utanför Sverige skapar inte svensk lagstiftning sådana krav på offentlighet, sekretess och arkivfrågor som den gör för svenska aktörer. Avtal som reglerar hur data får användas kan därför behöva tecknas. Ett sådant avtal bör reglera:

    • Att forskningsdata inte får användas i annat syfte än för det aktuella projektet.
    • Vad samarbetspartnern ska göra med forskningsdata efter projektets slut.
    • Att mottagaren ansvarar för att denna har erforderliga tillstånd enligt lagstiftningen i det land där mottagaren är verksam.

    Om annan part i projektet tillhandahåller ett avtalsförslag bör universitetsjuristerna kontaktas så snart som möjligt. Det är vanligt att villkoren i ett sådant förslag behöver justeras i en förhandling mellan parterna.

    När du har behov av upprättande eller granskning av avtal fyller du i blanketten "Underlag för avtalsgranskning" och skickar den till universitetsjuristerna.

     

    Fördjupning

    Läs mer

    Avtal

    Personuppgiftsbehandling i forskning

    FAQ personuppgiftsbehandling

    Allmänna handlingar och sekretess

    Sekretess och tystnadsplikt

    Utlämnande av allmänna handlingar

    FAQ allmänna handlingar och sekretess

    Informationssäkerhet

    Kontakt

    E-post universitetsjuristerna 

    E-post Dataskyddsombud, frågor om personuppgiftshantering

    2023-11-17