Personuppgifter behöver ibland behandlas för att utifrån en rimlig kostnad och arbetsinsats kunna uppnå en hög kvalitet i forskningen. Det är dock viktigt att redan i den inledande planeringsfasen göra en bedömning av vilka personuppgifter som kan komma att behöva behandlas, vilka integritetsrisker som behandlingen innebär, huruvida dessa risker står i proportion till syftet med behandlingen, samt vilka förutsättningar som måste vara uppfyllda enligt gällande reglering. I denna anvisning tas några av de mest centrala frågorna upp. Vid osäkerhet ska alltid Stockholms universitets dataskyddsombud kontaktas.

Grundläggande krav för personuppgiftsbehandling för forskningsändamål

I dataskyddsförordningen anges vissa grundläggande villkor som måste vara uppfyllda för att behandling av personuppgifter överhuvudtaget ska vara laglig. Listan över s.k. rättsliga grunderi artikel 6.1 är uttömmande, vilket innebär att man måste kunna hänvisa till minst en av dessa för att kunna visa att behandlingen i fråga är tillåten. De rättsliga grunder som framför allt kan komma i fråga för den forskning som bedrivs vid Stockholms universitet är samtyckeenligt artikel 6.1 a och nödvändig behandling för att utföra en uppgift av allmänt intresseenligt artikel 6.1 e. Förutom att personuppgiftsbehandlingen måste vila på en rättslig grund gäller vissa grundläggande principer för själva behandlingen. Bland annat ska det finnas ett särskilt och uttryckligt angivet ändamålmed behandlingen och uppgifterna skall vara korrekta, adekvata, relevanta och inte alltför omfattande i förhållande till detta ändamål. Forskning som innefattar behandling av känsliga personuppgifteroch personuppgifter om lagöverträdelser m.m. omfattas dessutom av ett krav på etikprövningenligt Lag (2003:460) om etikprövning av forskning som avser människor. De registrerades rättigheterenligt förordningen måste också respekteras och de registrerade ska också informerasom dessa rättigheter. De registrerade ska även informeras om själva behandlingen, vilket innebär att man redan i den inledande planeringsfasen måste ta hänsyn till behovet av vidare behandling för arkivändamålsamt upprätta en datahanteringsplan av vilken det bland annat ska framgå hur materialet ska samlas in och lagras samt vem som ska ges tillgång till materialet i olika skeden av behandlingen. Om det finns en hög risk för integritetsintrång ska en konsekvensbedömninggöras innan behandlingen påbörjas. All personuppgiftsbehandling vid Stockholms universitet ska tas upp i universitetets registerförteckning. Om personuppgifter ska behandlas av någon utanför organisationen för Stockholms universitets räkning ska ett personuppgiftsbiträdesavtaltecknas. Om personuppgifter ska publiceras på webbeneller lagras i molntjänsterfinns det särskilda regler att ta hänsyn till. 

Samtycke

För att ett samtycke ska kunna utgöra en giltig rättslig grund krävs att det är frivilligt, specifikt, informerat, samt lämnat genom ett uttalandeeller en entydigt bekräftande handling. Är det fråga om behandling av känsliga personuppgifter måste samtycket dessutom vara uttryckligt. Det är viktigt att säkerställa att det inte råder någon form av beroendeförhållandemellan den registrerade och den personuppgiftsansvarige som gör att samtyckets frivillighet kan ifrågasättas. Begäran om samtycke måste enkelt kunna urskiljas från andra eventuella frågor som förekommer i samband med inhämtningen och det ska gälla tydligt avgränsade syften. Det är inte tillräckligt att ange ett generellt syfte som t ex. forskning inom ett visst område. Informationen om det aktuella forskningsprojektet bör vara så pass utförlig att den tillfrågade kan bilda sig en rimlig uppfattning om vad deltagande och därmed förknippad personuppgiftsbehandling innebär för dennes del. I den mån det är möjligt med hänsyn till behandlingens ändamål ska det gå att ge separata samtyckenför olika delar av behandlingen. Den registrerade ska få tydlig information om behandlingen och sina rättigheter och samtycket ska kunna återkallaslika lätt som det gavs. Den personuppgiftsansvarige ska kunna visa att giltigt samtycke finns, vilket innebär att det är viktigt att dokumentera, i registerförteckningen, inhämtade samtycken. 

Nödvändig behandling för att utföra en uppgift av allmänt intresse

För Stockholms universitet (liksom för andra universitet och högskolor med staten som huvudman) är uppgiften att forska fastställd i nationell rätt genom bestämmelser i högskolelagen. Detta innebär att forskare vid Stockholms universitet kan tillämpa den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen vid behandling av personuppgifter som är nödvändigför att utföra forskningen. Att behandlingen måste vara nödvändig för att utföra forskningen innebär inte att det måste vara helt omöjligt att utföra forskningen utan behandlingen. Det handlar snarare om att göra en rimlighetsbedömning av vilka alternativ som står till buds. En sådan bedömning bör ta hänsyn till tidsåtgång, arbetsinsats, kostnader, och huruvida behandlingen bidrar till en högre kvalitet och tillförlitlighet i forskningsresultatet. Om syftet med forskningen kan uppnås i stort sett lika väl, enkelt och billigt med anonyma uppgifter som med personuppgifter kan behandlingen inte rimligen anses vara nödvändig för utförandet av forskningen.

Skyddsåtgärder

All personuppgiftsbehandling för forskningsändamål ska enligt dataskyddsförordningen omfattas av lämpliga skyddsåtgärder, d.v.s. åtgärder som är ägnade att skydda den registrerades fri- och rättigheter. En typ av skyddsåtgärd som ofta är lämplig vid personuppgiftsbehandling för forskningsändamål och som därmed bör användas ärpseudonymisering. Detta innebär att personuppgifterna behandlas på ett sådant sätt att de inte kan knytas till en enskild individ utan att (separat förvarade) kompletterande uppgifter används, vilket kan uppnås tex. genom användning av kodnycklar eller särskilda algoritmer (s.k. ”hashfunktioner”). När det gäller behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. ställs det särskilda krav på skyddsåtgärder. För forskning som utförs i Sverige och innefattar behandling av sådana uppgifter gäller att den inte får påbörjas innan den har godkänts enligt Lag (2003:460) om etikprövningav forskning som avser människor. Vid frågor om etikprövning, kontakta Avdelningen för forskningsstöd vid Stockholms universitet, eller den regionala etikprövningsnämnden i Stockholm (från och med 1 januari 2019 Etikprövningsmyndigheten).

Vissa skyddsåtgärder är reglerade i nationell rätt, men det är den personuppgiftsansvariges ansvar att se till att förordningens krav avseende detta är uppfyllda vid varje enskild behandling. Exempelvis ska  (med vissa undantag) behandlingen av personuppgifterna upphöra om den registrerade motsätter sig behandlingen. Det är normalt inte heller tillåtet att använda personuppgifter som behandlas enbart för forskningsändamål för att vidta åtgärder gentemot den registrerade. Även tekniska och administrativa skyddsåtgärder bör övervägas och vidtas när det bedöms lämpligt, t ex. kryptering,åtkomststyrning, samt certifieringav personal. Om en personuppgiftsincidentinträffar, t ex. ett dataintrång, måste det anmälas inom 72 timmar till tillsynsmyndigheten. Detta innebär att du behöver kontakta universitetets dataskyddsombud omgående. 

God forskningssed

Förutom de krav som ställs i gällande dataskyddsreglering finns det även väl etablerade riktlinjer om god forskningssed att ta hänsyn till, exempelvis de som återges i Vetenskapsrådets skrift God forskningssed(2017) och på hemsidan CODEX. 

https://publikationer.vr.se/produkt/god-forskningssed/

CODEX: http://www.codex.vr.se/index.shtml

Dataskyddsombud

Kontakta alltid universitetets dataskyddsombud (dso@su.se) vid incidenter, samt vid behov av råd och stöd i frågor som rör personuppgiftsbehandling.