Forskningsdata och GDPR

Vad är GDPR?

EU:s allmänna dataskyddsförordning, eller GDPR, är en EU-förordning som reglerar all behandling av personuppgifter inom EU/EES. Den har till syfte att skydda individers grundläggande rättigheter och friheter, särskilt avseende integritet, och att upprätthålla en grundnivå av skydd som är densamma oavsett var inom EU/EES uppgifterna behandlas. Dataskyddsförordningen trädde i kraft 2018. 

Även om GDPR gäller likvärdigt inom EU/EES kan förordningen överlåta ytterligare reglering till nationell lagstiftning. Det innebär att reglerna kan se olika ut i olika länder och att olika länder har olika sätt att arbeta med behandling av personuppgifter som kompletterar GDPR, vilket kan bli aktuellt vid internationella samarbeten.

Ett exempel gäller behandling av känsliga personuppgifter för forskningsändamål. GDPR kräver att ”särskilda skyddsåtgärder” ska finnas enligt nationell rätt för behandling av känsliga personuppgifter, men anger inte exakt hur dessa åtgärder ska se ut. I Sverige är det till exempel obligatoriskt med godkänd etikprövning hos Etikprövningsmyndigheten för att få behandla känsliga personuppgifter för forskningsändamål. Det är den skyddsåtgärd som den svenska lagstiftningen kräver, men andra länder kan ha andra skyddsåtgärder.

När gäller GDPR?

GDPR gäller när du behandlar personuppgifter inom EU/EES, oavsett var själva personuppgifterna kommer ifrån.  

Behandling av personuppgifter för forskningsändamål anses ske inom den organisation där behandlingen utförs. Var personuppgifterna har samlats in spelar ingen roll – det kan till exempel handla om personuppgifter i forskningsdata som har samlats in i ett annat land. Den fysiska platsen som du för tillfället befinner dig på när du arbetar med personuppgifterna har inte heller någon betydelse för om behandlingen anses ske inom EU/EES eller inte.