GDPR och personuppgifter

Forskningsdata med personuppgifter är forskningsdata som innehåller uppgifter som på något sätt, enskilt eller i kombination med andra uppgifter, kan hänföras till en levande person. All behandling av personuppgifter regleras i EU:s allmänna dataskyddsförordning (GDPR). På denna sida hittar du en sammanfattande introduktion med huvudsakliga begrepp. Mer konkreta råd och verktyg hittas i SND:s Praktisk handbok för data med personuppgifter.

Dataskyddsförordningen gäller i hela EU/EES, oavsett var personuppgifterna kommer ifrån, och syftar till att värna om individers fri- och rättigheter, framför allt vad gäller integritet. Vad som räknas som behandling av personuppgifter är allt från insamling, registrering, lagring och bearbetning till utlämning, spridning och radering. Även begreppet ”behandling” har en bred definition.

Som personuppgifter räknas dels direkta personuppgifter, som namn, personnummer, e-postadress eller ett foto som identifierar en person. Det kan även handla om indirekta personuppgifter som adress, IP-nummer, registreringsnummer på en bil eller annan information som kan härledas till en enskild och som i kombination med andra uppgifter kan identifiera en individ. Personuppgiftsbegreppet är mycket brett. Ju mer integritetskänsliga uppgifterna är, desto bättre skydd bör de ha. Vissa personuppgifter kategoriseras som känsliga, vilket innebär att de kräver särskilt skydd.

Om känsliga personuppgifter ska behandlas i ett forskningsprojekt krävs alltid godkänd etikprövning från Etikprövningsmyndigheten.

Rättslig grund 

All personuppgiftsbehandling måste enligt Dataskyddsförordningen ske på rättslig grund för att vara tillåten. Det finns sex rättsliga grunder enligt artikel 6 i lagtexten. Inom forskning är det framför allt allmänt intresse som är den rättsliga grunden, men personuppgiftsbehandling kan även ske mot grund av samtycke. När det gäller samtycke som rättslig grund för forskning behöver man vara försiktig. GDPR ställer höga krav på att samtycket ska vara giltigt. Det får inte råda något beroendeförhållande eller maktobalans mellan den som lämnar samtycket och den part som inhämtar samtycket. Det är till exempel svårt att inhämta ett giltigt samtycke enligt GPRR för en läkare som vill rekrytera en patient till ett forskningsprojekt. Det är också viktigt att inte blanda ihop samtycke som rättslig grund enligt GDPR med det informerade samtycke som inhämtas för att delta i själva forskningen. I exemplet ovan behöver patienten lämna sitt samtycke till att delta i forskningen men den rättsliga grunden enligt GDPR är allmänt intresse.

Grundläggande principer 

All personuppgiftsbehandling måste ske enligt de grundläggande principer som framgår av artikel 5 i dataskyddsförordningen. Följer man de grundläggande principerna har man kommit en bra bit på väg att behandla personuppgifter på ett sätt som är förenligt med GDPR.

Följande principer gäller:  

  • Principen om laglighet, korrekthet och öppenhet: att uppgifterna ska behandlas lagligt innebär att det ska finnas en rättslig grund för behandlingen. Att uppgifterna ska behandlas korrekt innebär att behandlingen ska vara proportionerlig; du får inte behandla fler uppgifter än du behöver och inte på fler sätt än vad som behövs för ditt ändamål. Att uppgifterna ska behandlas på ett öppet sätt innebär att du på ett klart och tydligt sätt ska informera om behandlingen (informationskravet).
  • Principen om ändamålsbegränsning: Uppgifterna får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får inte senare behandlas på ett sätt som är oförenligt med ändamålen.
  • Principen om uppgiftsminimering: Uppgifterna som ska behandlas är adekvata, relevanta och inte för omfattande i förhållande till ändamålet.  
  • Principen om riktighet: Uppgifterna som behandlas ska vara riktiga och aktuella. Uppgifter som är felaktiga för ändamålet måste kunna raderas eller korrigeras, vilket ställer krav på den teknik som används för bearbetning och lagring.  
  • Principen om lagringsminimering: Uppgifterna ska inte förvaras under längre tid än nödvändigt för ändamålet. Undantag görs för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål och statistiska ändamål.  
  • Principen om integritet och konfidentialitet: Uppgifterna ska behandlas på ett säkert sätt som skyddar mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada.  
  • Principen om ansvarsskyldighet: Det ska finnas en personuppgiftsansvarig som ansvarar för och kan visa att dessa principer efterlevs. Detta kan uppfyllas genom att till exempel upprätta en dataskyddspolicy, bygga in dataskydd i systemen, informera de registrerade och genom att utföra konsekvensbedömningar (en så kallad risk- och sårbarhetsanalys) vid särskilt riskfyllda behandlingar. 

När det gäller känsliga personuppgifter är utgångspunkten att all behandling är förbjuden. Behandlingen måste, utöver att ha stöd i en rättslig grund i artikel 6, även omfattas av någon av undantagssituationerna i artikel 9 för att vara tillåten. Du kan läsa mer om de grundläggande principerna på Integritetsskyddsmyndighetens webbplats.

Informationskravet 

En viktig del av dataskyddsförordningen är att forskningspersonerna, eller de registrerade, ska få information om hur deras uppgifter kommer att behandlas, det så kallade informationskravet. Informationen ska vara tydlig, lätt att förstå och lätt att hitta. Som minst behöver man berätta om vilken rättslig grund som behandlingen vilar på, vilket ändamål den har och vem som är personuppgiftsansvarig. Det är också viktigt att ange en kontaktperson och kontaktuppgifter till eventuellt dataskyddsombud, samt hur den registrerade går tillväga för att få sina uppgifter raderade. I vissa fall finns undantag från informationsplikten, till exempel om det skulle innebära en oproportionell ansträngning att informera de registrerade. Detta kan till exempel gälla vid registerforskning.
 

Viktiga termer

Dataskyddsombud

Kontrollerar att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. 

Personuppgiftsansvarig (PUA)

En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Den personuppgiftsansvarige ansvarar för hur forskningsdata med personuppgifter behandlas. I svensk statligt finansierad forskning är det nästan alltid forskningshuvudmannen, till exempel lärosätet, som är personuppgiftsansvarig. 

Gemensamt personuppgiftsansvarig

När två eller flera personuppgiftsansvariga bestämmer ändamål och medel gemensamt för en personuppgiftsbehandling är de gemensamt personuppgiftsansvariga enligt art. 26 GDPR.  

Personuppgiftsbiträde (PUB)

Behandlar forskningsdata med personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. Relationen mellan personuppgiftsansvarig och personuppgiftsbiträde ska alltid regleras av ett så kallat personuppgiftsbiträdesavtal. Ett personuppgiftsbiträde kan till exempel vara en annan aktör som hjälper till att samla in eller analysera data, som en forskningsinfrastruktur eller ett företag. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation och har ett uppdrag att behandla personuppgifter åt den organisation som är personuppgiftsansvarig. 

Personuppgiftsbiträdesavtal (PUB-avtal)

Ett avtal som tecknas mellan en personuppgiftsansvarig och ett personuppgiftsbiträde. Avtalet ska säkerställa att båda parter följer dataskyddsförordningen, är medvetna om sina åtaganden och skyldigheter mot varandra och de registrerade, samt att de dokumenterar och därmed kan visa att de följer reglerna (ansvarsskyldighet).