Minimering av personuppgifter i vetenskaplig forskning
Behovet av personuppgifter i vetenskaplig forskning måste bedömas i ett så tidigt skede som möjligt. Man ska sträva efter att minimera mängden personuppgifter som ska behandlas. I bedömningen ska man utöver mängden personuppgifter observera hurdana personuppgifter som behandlas i studien.
Dataskyddsförordningen (EUR-Lex) betonar minimeringen av uppgifterna särskilt när personuppgifterna behandlas i vetenskapliga forskningssyften. Personuppgifterna ska vara tillräckliga, väsentliga och oundvikliga med tanke på syftet med behandlingen.
Forskningen ska genomföras utan personuppgifter alltid då det är möjligt. När uppgifterna som behandlas i studien är anonyma, till exempel aggregerade statistiska data, tillämpas inte dataskyddsbestämmelserna. Målet med anonymiseringen är att göra uppgifterna oigenkännliga så att enskilda händelser inte kan identifieras. Identifiering måste förhindras på oåterkalleligt sätt och på så sätt att den personuppgiftsansvarige eller en utomstående aktör inte längre kan ändra tillbaka uppgifter som den innehar till identifierbar form.
När uppgifterna är anonyma, är behandlingen av dem friare och säkrare också ur synvinkeln för den som bedriver forskningen. Anonyma uppgifter gör det även enklare att bedriva internationellt samarbete, då skillnaderna mellan olika länders dataskyddsbestämmelser inte påverkar genomförandet av forskningen.
Exempel:
Namn- och adressuppgifter gällande personen som deltar i forskningen krävs för att kunna skicka och indriva frågebrev. När det sista indrivningsbrevet har skickats, svarstiden har löpt ut och forskningsmaterialet har sammanställts, kan namn- och adressuppgifterna raderas.
I vetenskaplig forskning genomförs minimering av uppgifter ofta genom pseudonymisering av uppgifter som är väsentliga för studien. Ofta kan pseudonymisering genomföras genast efter uppgifterna som krävs för studien har sammanställts. Med pseudonymisering avses behandling av personuppgifter på så sätt att personuppgifterna inte längre kan kopplas till en viss person utan kompletterande uppgifter. Till exempel kodning av personuppgifter är pseudonymisering. Innehavaren av kodnyckeln kan häva krypteringen av datamaterialet och enkelt på nytt identifiera varje registrerad person. Personuppgifter kan också skyddas med täcknamn. Till exempel i databaser är det möjligt att ersätta någon uppgift som gäller en person med en annan. Pseudonymiserade uppgifter är fortfarande personuppgifter och dataskyddsbestämmelserna ska tillämpas vid behandling av dessa.
Personuppgifterna kan minimeras också genom att ur materialet ta bort direkta identifikationer, såsom personernas namn och personbeteckningar. Det är viktigt att observera att borttagning av direkta identifikationer i vetenskaplig forskning ofta inte leder till att uppgifterna skulle bli anonyma. Det är möjligt att en person kan identifieras på basis av annat än namnet. Ett material som samlas in kan innehålla så detaljerad information (t.ex. en sällsynt sjukdom eller tillräckliga informationstyper), vilken gör att personen indirekt kan identifieras. Förutom forskningsvariabler ökar bakgrundsvariabler (såsom kön, civilstånd, födelseår, ålder och utbildning) som beskriver personen för sin del risken för att hen kan identifieras. Det kan vara enkelt att identifiera en person redan på basis av hens arbete (t.ex. president) och identifieringen blir enklare i led med att datatyperna läggs till sida vid sida (t.ex. födelsetid, land, årtal, när personen har innehaft uppgiften). När det finns tillräckligt med beskrivande datatyper, kan vem som helst identifieras med hjälp av dem. Inom forskning samlar man ofta in omfattande mängder uppgifter om enskilda personer som är föremål för studien, vilket innebär att identifiering många gånger är möjlig även utan direkta identifikationer.
Exempel:
I studien samlas uppgifter in om en lärare på ortens gymnasium som man i studien kallar för ett smeknamn i stället för hens riktiga namn. Smeknamnet används flitigt, vilket innebär att övriga uppgifter om läraren är enkla att känna igen, då de sammankopplas med hens smeknamn. Även om man i studien inte samlar in uppgifter med lärarens riktiga namn, så leder igenkänningen av orten och smeknamnet till att uppgifterna indirekt kan identifieras gälla en viss person.
Den personuppgiftsansvarige måste under hela studiens livscykel och särskilt då studien avslutas säkerställa att personuppgifterna inte behandlas i vidare utsträckning än vad som är nödvändigt i förhållande till de ursprungliga ändamålen. Förvaringstiden för personuppgifter ska vara så kort som möjligt.
Exempel:
Studieformulären bör planeras från början så att identifieringsuppgifterna för en person som deltar i studien kan avlägsnas från forskningsmaterialet som ska analyseras genast då de inte längre behövs för att sammankoppla uppgifterna. Personuppgifterna bör till exempel placeras i formuläret så att de enkelt kan klippas bort.
Anonymiseringen och pseudonymiseringen ska genomföras så snart det är möjligt, till exempel efter att uppgifterna har sammanförts. Om personuppgifter måste behandlas, ska personuppgiftsansvarige fastställa tidsfrister för periodiska granskningar av nödvändigheten för förvaringen av personuppgifterna.
Mer information om metoder för anonymisering av personuppgifter fås från WP29-dataskyddsarbetsgruppens (numera Europeiska dataskyddsstyrelsen) yttrande 5/2014 på dataskyddsstyrelsens webbplats.