Stockholms universitet har av Utbildningsdepartementet ombetts att yttra sig över Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). Universitet har följande att anföra.

Sammanfattande bedömning

Stockholms universitet tillstyrker utredarens förslag om inrättandet av en forskningsdatalag. Universitetet delar bedömningen att underlåtelse att införa den typ av kompletterande nationell reglering som dataskyddsförordningen ger utrymme för skulle innebära att viss forskningsverksamhet skulle riskera att tvingas upphöra. Detta skulle få ytterst negativa konsekvenser för universitetets och många andra forskningsaktörers verksamhet. Den föreslagna regleringen framstår som ändamålsenlig och proportionerlig, liksom de förslagna anpassningarna av vissa registerförfattningar. Universitetet delar också bedömningen att det finns ett behov av att utreda möjligheterna att införa ett differentierat etikprövningsförfarande för vissa typer av personuppgiftsbehandlingar där risken för integritetsintrång typiskt sett är låg.

Stockholms universitet föreslår dock att åtgärder vidtas för att undvika att flera olika avgränsningar av forskningsbegreppet förekommer i regleringen som helhet. Universitetet vill också betona vikten av att frågan om ett mer ändamålsenligt etikprövningsförfarande analyseras och utreds vidare.  I det sammantagna utredningsarbetet kring dataskyddsreformen skulle universitetet vilja se en tydligare koppling till de krav som ställs på myndigheter enligt arkivlagen. Universitetet föreslår även att en redovisning görs av vilka behov som finns när det gäller riktlinjer och ansvarig organisation för rimlighetsbedömningar i samband med tillämpning av nödvändighetsrekvisitet. Analysen av förslagens ekonomiska konsekvenser för landets lärosäten bör också ses över i vissa avseenden. Dessa synpunkter utvecklas i det följande.

Kommentarer till enskilda förslag

Avsnitt 3.4.3 – Begreppet forskning

Som utredaren påpekar måste lagens materiella tillämpningsområde begränsas vilket medför ett behov av att ytterligare precisera vilken typ av vetenskapligt arbete som ska omfattas av forskningsbegreppet i detta sammanhang. Utredaren noterar att CEPN (Centrala etikprövningsnämnden) i en tidigare skrivelse till regeringen har föreslagit följande ändrade lydelse av definitionen av forskningsbegreppet i 2§ etikprövningslagen: ”empiriskt vetenskapligt arbete och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå […]”. Enligt utredarens bedömning kan det dock ifrågasättas om all behandling av personuppgifter för forskningsändamål som omfattas av dataskyddsförordningen också omfattas av begreppet empiriskt vetenskapligt arbete. Därför bör termen ”empiriskt” undvikas i avgränsningen.

Enligt utredaren bör forskningsbegreppet (inom forskningsdatalagens tillämpningsområde) istället avgränsas på följande vis: ”Vetenskapligt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller avancerad nivå.” (Tillägget av ”endast” har syftet att tydliggöra gränsdragningen mellan utbildning och forskning; Stockholms universitet har inga invändningar mot detta tillägg.) Utredaren konstaterar vidare att denna avgränsning redan följer av dataskyddsförordningens artikel 2.1, varför det inte finns något behov av att införa en definition av forskning i den föreslagna forskningsdatalagen.
Stockholms universitet instämmer i utredarens bedömning att CEPN:s föreslagna avgränsning inte självklart täcker dataskyddsförordningens tillämpningsområde, varför en modifierad version är att föredra i detta sammanhang. Den av utredaren föreslagna avgränsningen synes också vara en tillräcklig utgångspunkt för hur forskningsbegreppet ska tolkas när det gäller personuppgiftsbehandling för forskningsändamål. Det bör dock noteras att om CEPN:s förslag till ändrad lydelse av 2§ etikprövningslagen genomförs, finns det en risk att vissa aktiviteter kan komma att räknas som forskning enligt dataskyddsförordningen medan de däremot inte räknas som forskning enligt etikprövningslagen. Detta eftersom avgränsningen av forskningsbegreppet i den senare författningen i vissa relevanta avseenden skulle komma att bli snävare än motsvarande avgränsning i den förra.

Att denna risk måste beaktas i detta sammanhang blir tydligt mot bakgrund av följande: för det första kräver dataskyddsförordningen att vissa kategorier av personuppgiftsbehandling för forskningsändamål ska omfattas av fastställda, lämpliga och särskilda skyddsåtgärder; för det andra bedömer utredaren att etikprövning enligt etikprövningslagen utgör en sådan åtgärd. Stockholms universitet delar denna bedömning, men vill samtidigt framhålla att i den mån etikprövning ska fungera som skyddsåtgärd i enlighet med dataskyddsförordningens krav är det viktigt att säkerställa att allt som räknas som forskning enligt den avgränsning som följer av dataskyddsförordningen också räknas som forskning enligt motsvarande avgränsning i etikprövningslagen. Annars finns en risk att vissa personuppgiftsbehandlingar för forskningsändamål som enligt dataskyddsförordningen måste omfattas av sådan skyddsåtgärd för att få utföras faller utanför etikprövningslagens tillämpningsområde. Detta skulle innebära att dessa behandlingar inte skulle få utföras enligt dataskyddsförordningen (såvida de inte skulle omfattas av andra fastställda, lämpliga och särskilda skyddsåtgärder).

Stockholms universitet vill mot bakgrund av ovanstående framhålla vikten av att noga överväga riskerna med att införa lagstiftning som får till följd att den sammantagna regleringen av behandling av personuppgifter för forskningsändamål innefattar olika, ej materiellt ekvivalenta, avgränsningar av forskningsbegreppet. Det enklaste sättet att undvika problematiken torde vara att anpassa etikprövningslagen efter dataskyddsförordningen, genom att ändra lydelsen i 2§ i enlighet med den avgränsning av forskningsbegreppet som utredaren föreslår (d.v.s. att genomföra en modifierad version av CEPN:s förslag).

Avsnitt 3.4.4 – Begreppet

Av de formuleringar som används i betänkandet (s. 103) framgår att utredaren uppfattar personuppgiftsbehandling för forskningsändamål som något som per definition ingår i en forskningsprocess. Stockholms universitet vill i detta sammanhang lyfta fram att personuppgiftsbehandlingar kan utföras med hänvisning till forskningens behov utan att därmed ingå i någon forskningsprocess i egentlig mening. Ett exempel på detta är den personuppgiftsbehandling som utförs inom ramen för bevarande- och gallringsutredningar vars syfte är att bedöma vad som ska bevaras för forskningens behov enligt arkivlagen. Eftersom det är svårt att förutse hur och av vem de bevarade personuppgifterna ska användas, går det i allmänhet inte att knyta denna behandling till något specifik forskningsprocess. Därmed tycks denna typ av behandling inte omfattas av personuppgiftsbehandling för forskningsändamål såsom utredaren har valt att avgränsa detta begrepp.

I Forskningsdatautredningen har i samråd med Dataskyddsutredningen gjorts en uppdelning som innebär att samtliga frågor rörande behandling av personuppgifter för forskningsändamål ska behandlas av Forskningsdatautredningen. Denna uppdelning i kombination med ovan beskrivna avgränsning av begreppet forskningsändamål innebär en risk att arkivlagens bevarandekrav för forskningens behov faller mellan stolarna. Stockholms universitet föreslår därför att mått och steg vidtas för att undvika detta. Exempelvis finns det skäl att klargöra hur begreppet forskningsändamål relaterar till bevarande för forskningens behov enligt arkivlagen samt hur nödvändighetsrekvisitet i artikel 6.1 ska förstås i detta sammanhang (jfr avsnitt 5.2.2).

Detta exempel, liksom de som tas upp i följande synpunkter, knyter an till Stockholms universitets allmänna uppfattning att det i det samlade utredningsarbetet kring dataskyddsreformen bör finnas en tydligare koppling till de krav som ställs på myndigheter enligt arkivlagen (vilka utgår från ett bevarande utifrån allmänhetens rätt till insyn, rättskipningen och forskningens behov).

Avsnitt 5.5.2 – Fastställande av den rättsliga grunden allmänt intresse

I kapitel 5 resonerar utredaren kring en något utvidgad definition av begreppet uppgift av allmänt intresse, mot bakgrund av dataskyddsförordningens begränsning för myndigheter att tillämpa såväl samtycke som intresseavvägning som rättsliga grunder för behandling av personuppgifter inom ramen för sin verksamhet. Utredaren bedömer att personuppgiftsbehandling inom ramen för offentliga (och vissa privata) aktörers forskningsverksamhet även fortsatt kommer att kunna utföras med hänvisning till att den är nödvändig för att utföra en uppgift av allmänt intresse (under förutsättning att uppgiften i fråga fastställs i författning). Stockholms universitet finner det dock oklart hur begreppet uppgift av allmänt intresse förhåller sig till bevarandet för forskningens behov enligt arkivlagen och anser att detta bör utredas ytterligare.
I samband med diskussionen av den rättsliga grunden allmänt intresse (avsnitt 5.2.2) bedömer utredaren att nödvändighetsrekvisitet i artikel 6.1 ska förstås så att personuppgiftsbehandlingen måste vara nödvändig för att forskningen ska kunna utföras. Detta utifrån en rimlighetsbedömning av vilka alternativa sätt att utföra forskningsuppgiften som är möjliga. En sådan rimlighetsbedömning bör enligt utredaren även kunna omfatta en värdering av huruvida användandet av personuppgifter kan medföra högre kvalitet och tillförlitlighet i forskningsresultaten. Stockholms universitet instämmer i detta resonemang, men föreslår att behovet av riktlinjer och ansvarig organisation för sådana rimlighetsbedömningar ses över ytterligare.

Avsnitt 6.2 – Samtycke och känsliga personuppgifter

Utredaren bedömer att artikel 9.2a i dataskyddsförordningen tillsammans med etikprövningslagen möjliggör behandling av känsliga personuppgifter för forskningsändamål med samtycke som rättslig grund. Utredaren anser att det visserligen kan råda sådan ojämlikhet mellan offentliga forskningsaktörer och forskningspersoner som enligt skäl 43 i dataskyddsförordningen förhindrar inhämtande av giltigt samtycke, men att det i många fall inte gör det. Det finns därmed i detta avseende inget generellt hinder för myndigheter att hantera känsliga personuppgifter för forskningsändamål med samtycke som rättslig grund. Stockholms universitet instämmer i denna bedömning när det gäller samtycken som ges i anslutning till ett forskningsprojekt, men ser samtidigt att det utifrån skäl 43 kommer att bli svårt för myndigheter att uppfylla arkivlagens krav på ett bevarande för forskningens behov. Universitetet ser därmed ett behov att denna fråga utreds vidare.

Avsnitt 10.3.2 – Artikel 16 – Rätt till rättelse

I Dataskyddsutredningen föreslås en bestämmelse som anger att en arkivmyndighet inte behöver rätta eller komplettera personuppgifter enligt artikel 16 när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten. Forskningsdatautredningen framhåller att material som har legat till grund för forskningsresultat som har publicerats eller som av annat skäl måste kunna verifieras, även lagras och behandlas i syfte att uppnå nya, framtida forskningsresultat. För att uppnå målet att verifiering ska vara möjlig och samtidigt säkerställa att ny forskning utgår från korrekt information bör den personuppgiftsansvarige se till att data lagras så att det exempelvis är möjligt att ta fram materialet så som det såg ut vid en viss tidpunkt, även om uppgifter har ändrats eller tillkommit vid ett senare tillfälle. Detta kan ske genom att en ändringshistorik för varje enskild uppgift lagras. Stockholms universitet instämmer i detta, men noterar samtidigt att detta kommer att kräva en infrastruktur som flertalet lärosäten inte äger i dagsläget. Universitetet anser att kostnaden för anskaffning av sådan infrastruktur bör beaktas i analysen av de ekonomiska konsekvenserna av utredarens förslag.

Stockholms universitet noterar vidare att motsvarande diskussion av rätten att bli raderad saknas i betänkandet. Det framstår dock som uppenbart att även rätten att bli raderad måste sättas i relation till behovet av att kunna verifiera forskningsresultat och att bevara material i syfte att uppnå nya, framtida forskningsresultat. Universitetet föreslår därför att sådana behov tydligt ska framhållas av lagstiftaren i förarbetena till och innehållet i den nationella lagstiftningen.

Avsnitt 10.3.2 – Förslag till skyddsåtgärder

Utredaren föreslår att den personuppgiftsansvarige ska åläggas att pseudonymisera eller på likvärdigt sätt skydda personuppgifter när de behandlas för forskningsändamål, förutsatt att ändamålet kan uppnås på det viset. Stockholms universitet tillstyrker detta, men noterar samtidigt att uppfyllandet av detta krav kommer att kräva en infrastruktur som flertalet lärosäten inte äger i dagsläget. Universitetet anser att också kostnaden för anskaffning av sådan infrastruktur bör beaktas i analysen av de ekonomiska konsekvenserna av utredarens förslag.

Avsnitt 14.4 – Tillämpningsområdet för kravet på etikprövning och Avsnitt 14.5 – Behov av fortsatt översyn

Utredningen konstaterar att kravet på etikprövning bör omfatta forskning som innefattar behandling av sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) och personuppgifter som lagöverträdelser som omfattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Utredningen finner dock att ett mer ändamålsenligt etikprövningsförfarande bör utredas vidare för sådan personuppgiftsbehandling som typiskt sett kan anses innebära en lägre risk för integritetsintrång. Stockholms universitet vill betona vikten av att denna fråga analyseras och utreds vidare i syfte att uppnå en mer differentierad etikprövning av personuppgiftsbehandling för forskningsändamål. I det följande utvecklas kortfattat skälen för detta.

Inom rättsvetenskaplig forskning används ofta material som myndigheter själva har publicerat, allmänna offentliga handlingar, exempelvis domar och beslut. Sådant materialanvänds bland annat i akademiska kommentarer och artiklar avseende aktuella rättsfall från de högsta domstolarna. Kommentarerna kan ha såväl rättsvetenskaplig som rättspolitisk och praktisk betydelse. Kommentarer av detta slag ingår som regel inte i något forskningsprojekt utan skrivs ad hoc när ett viktigt rättsfall publicerats. I sammanhanget är det också viktigt att framhålla att rättsfallskommentarer idag regelmässigt anonymiseras.
Krav på etikprövning för denna typ av forskning är inte rimligt och har därtill en synnerligen hämmande och avhållande effekt på den rättsvetenskapliga forskningen, utan att tillgodose något skyddsbehov. Det är svårt att förstå det uppställda kravet eftersom det handlar om kommentarer av material som myndigheter själva publicerar. Då sådant material redan är offentliggjort är det uppenbart att den extra integritetskränkning som kan uppkomma vid forskning är minimal, samtidigt som materialet har bedömts ha stort allmänt intresse. Offentlighetsprincipen skyddas av tryckfrihetsförordningen. Det kan starkt ifrågasättas varför en journalist i skydd av grundlagen får skriva artiklar om olika rättsfall medan en forskares behandling av exakt samma uppgifter skall genomgå en obligatorisk förhandsgranskning i etikprövningsförfarandet.

Enligt 6 § lagen (2003:460) om etikprövning av forskning som avser människor
(etikprövningslagen) skall godkännande sökas för ”ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning.” Mycket forskning, särskilt inom de humanvetenskapliga disciplinerna, bedrivs i form av artiklar som inte ingår i något avgränsat forskningsprojekt. För den enskilde forskaren är det betungande att för varje enskild artikel söka ett godkännande. När det gäller samtycke till personuppgiftsbehandling för forskningsändamål anger skäl 33 i dataskyddsförordningen att sådant samtycke kan innefatta avgränsade forskningsområden av bredare karaktär än enskilda projekt. I det sammanhanget har det alltså ansetts möjligt att definiera ändamålet bredare än ”projekt”. Det bör därför öppnas en möjlighet att söka tillstånd för forskningsområden som definieras på ett bredare sätt, särskilt om det rör sig om behandling av uppgifter där risken för integritetskränkning är obetydlig.

Ytterligare en fråga som bör utredas och klargöras är vem det är som enligt 38 § etikprövningslagen bär straffrättsligt ansvar om etikprövningslagens regler inte efterlevs. Är det den enskilde forskaren, forskningsledaren eller någon chef vid forskningshuvudmannen?