Att dela forskningsdata med personuppgifter

Mycket material som vi till vardags kanske inte tänker på som personuppgifter räknas i själva verket som personuppgifter i juridisk mening. Om personuppgifter finns bevarade på annan plats, som i rådata eller ett myndighetsregister, kan de i egenskap av kompletterande information potentiellt användas som kodnyckel för att identifiera personer i forskningsdata, till exempel i filer som du har försökt avidentifiera. Då innehåller filerna fortfarande personuppgifter. Det har inte någon betydelse för personuppgiftsstatusen om det är lätt eller svårt att få tag på den kompletterande informationen.  

Till detta kommer problematiken med bakvägsidentifiering, där det kan finnas tillräcklig kringinformation för att ringa in en individ i forskningsmaterialet så bra att personens identitet kan anses vara röjd. Det kan också handla om att individen löper en hög risk för att bli röjd, till exempel om forskningspersonen är en av fem möjliga individer i en kommun som har de beskrivna egenskaperna.

Anonymiserat eller inte?

Om data kan anses vara anonymiserade eller inte ur ett rättsligt perspektiv beror alltså på helhetsbilden med flera yttre omständigheter, inte enbart på vad du har gjort med en viss variant av ett dataset eller data som du själv förfogar över. Du behöver därför noga tänka igenom varifrån materialet kommer, hur det har hanterats och vilka andra informationskällor som finns i världen innan du kan bedöma om något ska anses vara personuppgifter eller inte. Kan det någonstans finnas kompletterande uppgifter som skulle kunna röja en persons identitet i materialet? I så fall innehåller materialet personuppgifter. 

Vilka data behöver du faktiskt samla in?

Om du redan i insamlingsfasen vet att du vill göra forskningsdata öppet tillgängliga bör du fundera noga kring vilka uppgifter som du planerar att samla in. Data med personuppgifter kan i de flesta fall inte tillgängliggöras öppet och möjligheterna att helt och hållet ta bort personuppgifter ur projektets handlingar är begränsade, till exempel av arkivlagen, Riksarkivets föreskrifter och forskningshuvudmannens lokala tillämpningsbeslut av Riksarkivets föreskrifter, som berättar hur föreskrifterna ska tillämpas lokalt. Oftast blir resultatet av detta att även bearbetade datafiler fortfarande måste anses vara personuppgifter och därmed bara kan tillgängliggöras med begränsad åtkomst, där varje utlämnande måste genomgå en sekretessprövning hos forskningshuvudmannen.

Eftersom forskningsdata i de allra flesta fall är allmän handling gäller offentlighetsprincipen när någon begär att få ta del av data. Därför behöver man göra en sekretessprövning innan forskningsdata lämnas ut. I vissa fall kan även, som en del av sekretessbedömningen, behöva göras en konsekvensbedömning av skada och men för den enskilde. Då granskar man hur personuppgifterna kommer att behandlas efter utlämnandet och hur det kan påverka de berörda individerna. Därför kan du eller någon annan på din myndighet behöva ta reda på vem som skall hantera materialet och på vilket sätt. Detta görs bland annat för att ta reda på hur det rättsliga skyddet för forskningspersonerna garanteras i den nya personuppgiftsbehandlingen.

Även om forskningshuvudmannen inte är en myndighet så är organisationen fortfarande personuppgiftsansvarig och behöver följa dataskyddsförordningen (GDPR) i all personuppgiftsbehandling. Det innebär till exempel att för varje enskilt utlämnande av data med personuppgifter behöver huvudmannen kunna åberopa en av de rättsliga grunderna som tillåter personuppgiftsbehandlingen. 

Observera att det också finns forskande organisationer som visserligen inte är myndigheter, men som har samma krav på sig som en myndighet vad gäller hantering av allmänna handlingar. Det gäller bland annat vissa stiftelsedrivna högskolor.

Forskningsdata kan ibland behöva delas över landsgränser. Det kan till exempel handla om forskningssamarbeten mellan lärosäten i olika länder eller att forskningsinfrastrukturer, laboratorier eller företag behöver få tillgång till forskningsdata för att kunna hjälpa till med analyser eller bearbetning. Enskilda forskare och andra intressenter från andra länder kan också be om tillgång till data. 

När forskningsdata med personuppgifter ska delas över landsgränser är det extra viktigt att se till att forskningspersonerna fortsatt får en nivå av integritetsskydd som är jämförbar med det skydd som ges av dataskyddsförordningen (GDPR) och relaterad lagstiftning. Därför kan det vara komplicerat att dela data med aktörer i så kallat tredje land, det vill säga länder utanför EU/EES, där den lokala lagstiftningen inte säkerställer att kraven i GDPR uppfylls. Om du ska dela forskningsdata med personuppgifter med en mottagare utanför EU/EES behöver du se till att villkoren för tredjelandsöverföring i GDPR är uppfyllda.

Synsättet på och definitionen av vad som är betraktas som personuppgifter skiljer sig mellan olika länder. Till exempel kan anonymitetsbegreppet innebära olika saker i olika länder. Det innebär att du kan få förfrågningar från tidskrifter eller andra forskare om att dela forskningsdata på sätt som inte är förenliga med svensk och europeisk lagstiftning, för att de själva är vana vid att det fungerar på ett annat sätt. Var noga med att ta reda på vad som gäller i ditt fall och låt dig inte stressas eller övertalas av aktörer som vant sig vid andra lagar och regler. 

Även om pseudonymiserade forskningsdata fortfarande anses vara personuppgifter rent juridiskt så kan de metoder som tas upp i denna handbok vara användbara som riskminimerande skyddsåtgärder för att förbereda data för en pågående eller framtida personuppgiftsbehandling.

Forskningsdata som delas via DORIS har olika tillgänglighetsnivåer. Tillgänglighetsnivåerna handlar om hur tillgängliga data är: antingen är data fritt tillgängliga eller så är tillgången begränsad. Tillgången till data kan vara begränsad på grund av olika restriktioner, till exempel för att data innehåller personuppgifter eller annan känslig information. Forskningshuvudmannen behöver då göra en sekretessprövning innan utlämning av data kan ske. Även om forskningsdata inte kan göras öppet tillgängliga kan det ändå vara fördelaktigt att beskriva data i DORIS och göra dem synliga i researchdata.se, dels för att medvetandegöra och öka intresset för forskningsdata, dels för att säkerställa att datasetet håller god kvalitet i form av FAIR-principerna (Findable, Accessible, Interoperable och Reusable).

Läs mer om att dela data med personuppgifter via SND.