Juridik

Forskningsdata innehåller personuppgifter om det förekommer information som direkt eller indirekt kan kopplas till en nu levande person. I forskningsdata kan direkta personuppgifter vara till exempel namn på forskningspersoner eller personnummer. Indirekta personuppgifter, uppgifter som tillsammans med kompletterande information kan identifiera en person i datamaterialet, kan vara födelsedatum, bostadsort och yrke. Den kompletterande informationen kan exempelvis finnas i en annan myndighets handlingar, hos registerhållare, hos ett företag eller hos en privatperson. Även en kodnyckel utgör kompletterande information.

Notera att hur svårt det är att få tag på kompletterande information som kan identifiera en person inte har någon betydelse för om data innehåller personuppgifter eller inte.

När alla kopplingar till nu levande personer är borta.

Detta kan vara svårt att uppnå i efterhand när personuppgifter väl har samlats in. Bedömningen att forskningsdata inte längre utgör personuppgifter försvåras av att det skulle kunna finnas kompletterande information på annan plats som kan röja identiteter i forskningsdata. Det kan vara uppgifter som du eller din organisation inte själva bestämmer över (t.ex. en annan myndighets handlingar eller på internet). Lagstiftning och andra bestämmelser kan också kräva att handlingar som kan användas för att identifiera personer bevaras.

Anonymiserade data är data där alla personliga identifierare har tagits bort så att det inte längre är möjligt att koppla data till en specifik individ. Dessa data är därmed inte personuppgifter. 

Pseudonymiserade data, å andra sidan, innebär att direkt identifierande information i ett datamaterial har bytts ut mot en pseudonym eller kod som inte kan kopplas till en individ om man inte har tillgång till ytterligare information, till exempel en kodnyckel. Pseudonymiserade data betraktas fortfarande som personuppgifter eftersom det finns information som skulle kunna koppla ihop uppgifterna i datamaterialet med en specifik individ.

Pseudonymisering kan alltså minska risken för identifiering men forskningsdata betraktas som anonymiserade först när det inte längre går att återskapa kopplingar till individer, till exempel om kodnyckeln har tagits bort permanent. Även aggregering kan göra att pseudonymiserade forskningsdata kan klassas som anonymiserade om de kategorier som skapas är tillräckligt breda (t.ex. att specifika åldrar kodas om till tillräckligt breda ålderskategorier) så att kompletterande datakällor inte kan användas för att identifiera en enskild individ. 

Vad som betraktas som pseudonymiserade forskningsdata skiljer sig ofta åt beroende på om det rör sig om kvantitativa eller kvalitativa forskningsprojekt. I kvantitativa forskningsprojekt innebär pseudonymisering att man ersätter personliga uppgifter som namn och personnummer med koder eller löpnummer. Dessa koder kan endast kopplas till individerna genom en separat fil som hanteras och förvaras skild från datamängden. För kvalitativa data, som intervjuer, innebär pseudonymisering att man ersätter namn med pseudonymer och specifika yrkestitlar eller arbetsplatser med mer generella beskrivningar för att minska risken för identifiering. 

Notera att lagar och regler kan variera mellan olika länder och att det är viktigt att alltid beakta den juridiska och institutionella kontexten när man hanterar forskningsdata. Kontakta gärna stödfunktionerna vid ditt lärosäte för rådgivning kring hantering av personuppgifter i forskningsprojekt. 

Dataskyddsförordningen (GDPR) innehåller en princip som innebär att personuppgifter inte bör lagras längre än vad som krävs för att uppfylla de ursprungliga ändamålen som uppgifterna samlades in för. GDPR:s lagringsbegränsning menar alltså att när ändamålen har uppnåtts bör forskningsdata rensas från personuppgifter. I praktiken åsidosätts ofta detta eftersom arkivbestämmelser ställer krav på att data från offentligt finansierad forskning ska bevaras. Om du arbetar på ett lärosäte eller i en annan organisation som är en myndighet gäller arkivlagen för de handlingar som myndigheten hanterar. För att få radera insamlade data behövs då ett gallringsbeslut, som ofta har en frist på 10 år. Vissa forskningsdata behöver dessutom bevaras oförändrade för framtiden. Vad som ska bevaras och vad som kan gallras regleras bland annat genom Riksarkivets föreskrifter och allmänna råd om gallring av handlingar i statliga myndigheters forskningsverksamhet och av lokala tillämpningsbeslut som berättar hur din myndighet bedömer att olika handlingstyper ska hanteras. Ta kontakt med arkivfunktionen vid din organisation för att få veta vad som gäller för just dig och ditt material.  

Sammanfattningsvis betyder det att om du har samlat in personuppgifter i forskning kan data sällan göras anonyma i närtid, eftersom originaldata och eventuella kodnycklar i regel behöver sparas så länge det inte finns ett gallringsbeslut.

Det här är några av de lagar som reglerar behandling av personuppgifter: 

Dataskyddsförordningen (GDPR) reglerar all behandling av personuppgifter inom EU/EES. Behandling av personuppgifter i forskning kan vara allt från insamling, registrering, lagring och bearbetning till utlämning, spridning och radering av uppgifter. 

Dataskyddslagen (lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning) och förordning (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning kompletterar dataskyddsförordningen med anpassningar till svensk rätt.  

Tryckfrihetsförordningen (1949:105) gäller eftersom mycket forskning sker på lärosäten som är myndigheter, vilket innebär att data i regel är allmänna handlingar.  

Offentlighets- och sekretesslagen (2009:400) reglerar om forskningsdata omfattas av sekretess och därför inte får lämnas ut. Lagen gäller också för några andra forskande organisationer som inte är myndigheter (se Bilaga i slutet av lagtexten). 

Etikprövningslagen (lag (2003:460) om etikprövning av forskning som avser människor) gäller bland annat om forskning ska göras på känsliga personuppgifter och viss forskning som avser människor. 

Lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning innehåller bestämmelser om forskares och forskningshuvudmäns ansvar för att forskningen utförs i enlighet med god forskningssed.

Arkivlagen (1990:782) innebär att myndigheter är skyldiga att bevara sina allmänna handlingar även om de innehåller personuppgifter.

Läs mer om forskningsdata och GDPR.

Ja, forskningsdata är i regel alltid allmän handling, eller del av en allmän handling, om forskningen genomförs vid en svensk myndighet eller annan forskande organisation som omfattas av offentlighetsprincipen. Data blir allmän handling om de förvaras hos myndigheten och kommer in eller skickas ut eller (om de varken skickas ut eller kommer in) när de färdigställs vid myndigheten. Exempel på allmänna handlingar är inkomna svar från en enkätundersökning, ljudupptagningen från en intervjuperson, utmatningen från analysutrustning i ett laboratorium eller registerutdraget som levereras till dig från en registerhållare.  

Vad du får och inte får göra med forskningsdata i egenskap av allmän handling styrs av svenska lagar som offentlighets- och sekretesslagen, dataskyddslagen, arkivlagen och Riksarkivets författningssamling. Vägledningar för hur lagarna bör tolkas i din verksamhet brukar finnas i lokala styrdokument, till exempel den dokumenthanteringsplan för olika handlingstyper som gäller i din organisation.  

En utgångspunkt är alltså att rådata som samlas in av, uppkommer i eller levereras till ett svenskt forskningsprojekt behöver sparas eftersom de är allmänna handlingar. Det finns ytterligare lagkrav på att forskningsdata ska sparas för att till exempel vara tillgängliga för revision eller granskning i en oredlighetsutredning. Detta innebär också att insamlade personuppgifter och eventuella upprättade kodnycklar i allmänhet också behöver sparas. Se svaret på frågan ”Kan jag radera originaldata för att möjliggöra anonymisering?” ovan.  

Möjligheten att gallra forskningsdata som är allmänna handlingar uppstår först efter att gallringsfristen löpt ut. Ta kontakt med datastöds- och arkivfunktionen vid din organisation för att veta vad som gäller för just dig och ditt material.

Eftersom forskningsdata som är framtagna hos en myndighet i regel är allmän handling kan de begäras ut enligt offentlighetsprincipen. Detta innebär att oavsett vad som står i den information som lämnats till forskningspersonerna måste det göras en sekretessbedömning om någon begär att få ta del av forskningsdata. Forskningsdata som inte omfattas av en sekretessbestämmelse ska lämnas ut. Det går därför inte att lova forskningspersonerna att deras personuppgifter inte kommer att delas vidare. Offentlighetsprincipen är tvingande och går inte att förhandla bort.  

Det innebär inte att uppgifterna kommer att delas fritt eller öppet. Forskningsdata med personuppgifter omfattas ofta av sekretess i enlighet med offentlighets- och sekretesslagen och en eventuell utlämning behöver prövas innan handlingen kan lämnas ut. Forskaren eller den enskilde forskningspersonen kan däremot inte själva bestämma om handlingen omfattas av sekretess eller inte.

Det finns olika typer av samtycken som aktualiseras vid olika situationer i forskning. De fyller olika funktioner och därför är det är viktigt att veta vilken typ av samtycke som behöver hämtas in och vad det innebär om samtycket återkallas. 

Att den som deltar i ett forskningsprojekt samtycker till det är en grundläggande forskningsetisk princip som ingår i många centrala riktlinjer och rekommendationer om god forskningssed. Denna typ av samtycke behövs i de allra flesta fall när människor deltar som forskningspersoner i en studie. 

En annan typ av samtycke som kan bli aktuell är det informerade samtycke som krävs för viss forskning som omfattas av 4 § etikprövningslagen, klinisk läkemedelsprövning, klinisk prövning av medicintekniska produkter och behandling av biologiska prover enligt biobankslagen.  

Samtycke kan också vara den rättsliga grunden för behandling av personuppgifter enligt dataskyddsförordningen (GDPR). Den rättsliga grund som används för personuppgiftsbehandling i forskning är dock oftast allmänt intresse, inte samtycke. Därför behöver man sällan hämta in något samtycke för att få rätt att behandla personuppgifter utifrån bestämmelserna i GDPR. 

Läs mer om rättslig grund för personuppgiftsbehandling i forskning.

I många fall måste den personuppgiftsansvarige informera den registrerade (den vars uppgifter behandlas) om behandlingen av personuppgifter. Rätten till information är en viktig rättighet enligt GDPR. Av informationen ska det bland annat framgå vem som är personuppgiftsansvarig och vilken rättslig grund och vilket ändamål som behandlingen har. Det finns undantag från informationskravet, till exempel om det skulle visa sig omöjligt eller medföra en oproportionerlig ansträngning att informera om behandlingen av personuppgifter. Så kan situationen vara vid exempelvis registerforskning där forskaren endast har tillgång till pseudonymiserade personuppgifter och inte har möjlighet att kontakta de registrerade.

Innan du ska dela forskningsdata behöver du klargöra vad det är för delning du vill göra. Vill du dela forskningsdata utanför din organisation med en bestämd mottagare som du samarbetar med eller lämna ut data till ett repositorium? Beroende på vad delningen har för syfte görs olika bedömningar och generellt ska varje enskilt utlämnande prövas hos myndigheter i enlighet med offentlighets- och sekretesslagen.  

Lagstiftningen begränsar möjligheterna att publicera forskningsdata som innehåller personuppgifter som helt öppet tillgängliga data. Detta är endast möjligt i vissa undantagsfall. För att vara säker på att du delar data på ett korrekt sätt är det bra att ta kontakt med din lokala datastödsenhet, jurist eller dataskyddsombud vid din organisation. 

Läs mer om att dela forskningsdata med personuppgifter.

För att dela data med personuppgifter vidare till en tidskrift behöver utlämnandet prövas individuellt i enlighet med offentlighets- och sekretesslagen. Handläggningen bör göras på samma sätt som när vem som helst gör en förfrågan om utlämnande av en allmän handling. Registrator, lokal datastödsenhet, jurist eller dataskyddsfunktionen på din myndighet kan hjälpa dig med processen.

Läs mer om att dela forskningsdata med personuppgifter. 

Om du behöver dela data med personuppgifter med ett land utanför EU krävs samma bedömning enligt offentlighets- och sekretesslagen som för annan delning. Om data får delas, tänk på att själva överföringen av datafilerna måste ske på ett säkert sätt. Det är till exempel inte lämpligt att skicka filer med vanlig e-post. Exempel på överföring av personuppgifter till tredje land kan vara: 

• när du skickar dokument som innehåller personuppgifter per e-post till en mottagare i ett land utanför EU/EES
• när du anlitar ett personuppgiftsbiträde i ett land utanför EU/EES
• när du ger någon utanför EU/EES tillgång till, exempelvis läsbehörighet, personuppgifter som finns lagrade inom EU/EES
• när du lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES. 

Kapitel V i GDPR reglerar tredjelandsöverföringar. Ta hjälp av jurist för att reda ut vilka möjligheter som finns att dela data med tredje land.

GDPR gäller för alla personuppgifter som har samlats in utanför EU/EES om den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad inom EU/EES eller om de riktar sig till personer inom EU/EES.

Ja. När du behandlar personuppgifter för forskningsändamål regleras personuppgiftsbehandlingen med hänsyn till den enskilda forskningskontexten. Din forskning räknas alltså som en ny personuppgiftsbehandling och behöver bland annat ha en egen rättslig grund och ett specifikt angivet ändamål. Att forskningsdata redan är publicerade spelar alltså ingen roll.

Att ange upphovspersonerna till ett verk är en lagstadgad skyldighet enligt lag (1960:729) om upphovsrätt till litterära och konstnärliga verk. Därmed finns det alltså en rättslig grund (rättslig förpliktelse) och ett ändamål för den behandling som publiceringen av uppgifterna innebär och du kan publicera dem öppet.