Definiering av användningsändamålet för forskningsuppgiften och personuppgifterna
När personuppgifter behandlas i vetenskapligt forskningssyfte, måste behandlingen uppfylla kraven på bundenhet till användningsändamålet. För att behandlingen ska vara laglig, ska syftet med behandlingen av personuppgifter planeras och fastställas tydligt.
Kravet på bundenhet till användningsändamålet förutsätter att personuppgifterna samlas in för ett visst, uttryckligt och lagligt ändamål. Uppgifterna får inte senare behandlas på ett sätt som inte är kompatibelt med dessa syften. Till exempel anger inte uttrycken ”framtida vetenskaplig forskning” (future research) och ”personuppgifterna kan användas i forskningssyften” syftet med behandlingen av personuppgifterna tillräckligt tydligt.
En noggrannare definiering av användningsändamålet för vetenskaplig forskning anges ofta i forskningsplanen, där bland annat forskningsuppgiften, materialet och metoderna specificeras. Av forskningsplanen framgår även vilka uppgifter som behövs för forskningen och varför dessa är nödvändiga med tanke på att besvara forskningsfrågan. I forskningsplanen är det dessutom bra att definiera om det är fråga om en engångsundersökning eller en uppföljningsundersökning, där det kan finnas behov av att behandla personuppgifterna under en längre tid. Forskningsplanen kan även fungera som en del av genomförandet av ansvarsskyldigheten.
Flexibilitet i samtycket vid vetenskaplig forskning
Inom vetenskaplig forskning kan det förekomma situationer där ändamålet med behandlingen inte går att definiera exakt i det skede då uppgifterna samlas in. Om man som behandlingsgrund väljer samtycke och man i den vetenskapliga forskningen efterlever kända etiska standarder, kan den registrerade ge sitt samtycke till vissa forskningsområden eller delar av forskningsprojektet i den mån som det planerade ändamålet tillåter det. Autentiseringen av etiska standarder sker ofta via utlåtanden av etiska kommittéer.
Om man i studien behandlar särskilda personuppgifter, måste samtycket utöver att uppfylla kraven gällande samtycke (dataskyddsförordningen artikel 4 punkt 11, artikel 6 punkt 1 a och artikel 7) också vara uttryckligt (dataskyddsförordningen artikel 9 punkt 2 a). Det ifrågavarande kravet gör användningsmöjligheterna mindre flexibla.
Det är även viktigt att observera att flexibiliteten i samtycket inom vetenskaplig forskning inte utgör ett undantag för att endast ett specificerat samtycke kan utgöra en lagenlig behandlingsgrund. Därför förutsätter utnyttjande av flexibilitet att den personuppgiftsansvarige har andra metoder med vilka specificeringen av samtycket förverkligas.
Metoder för specificering av samtycke inom vetenskaplig forskning
- Om syftet med forskningen inte går att specificera fullständigt i det inledande skedet, kan man vid inledningen av forskningen begära ett mer allmänt samtycke för forskningsändamålet och för sådana skeden, som man känner till i början av forskningen. Samtycket till projektets senare skeden kan under forskningens framskridande skaffas innan de inleds.
- Definieringen av ändamålet kan göras med hjälp av transparent kommunikation. I takt med att forskningsprojektet framskrider lämnar den personuppgiftsansvarige regelbundet in information om utvecklingen av ändamålet, så att samtycket med tiden blir så specificerat som möjligt. Kommunikationen hjälper den registrerade att hålla sig uppdaterad om specificeringen av ändamålet. Den registrerade ska informeras om möjligheten att ångra samtycket när ändamålet med behandlingen av personuppgifterna preciseras.
- Att tillhandahålla de registrerade en omfattande forskningsplan eller någon annan utredning som tydligt och detaljerat beskriver forskningen hjälper till att kompensera bristen på exakthet i ändamålet med forskningen. Forskningsplanen ska finnas tillgänglig innan samtycket ges. I forskningsplanen ska de planerade forskningsfrågorna och arbetsmetoderna definieras så tydligt som möjligt.
Den personuppgiftsansvarige ska kunna visa till vilken behandling av personuppgifter den registrerade har gett sitt samtycke. Dessutom måste den personuppgiftsansvarige kunna autentisera de extra åtgärder med vilka man har säkerställt genomförandet av bundenheten till användningsändamålet och kriterierna för samtycket. Det är viktigt att komma ihåg att samtycket alltid även omfattar en möjlighet att ångra samtycket, om den registrerade inte längre vill att hens personuppgifter behandlas i vetenskapliga forskningssyften.
Läs mer om ansvarsskyldigheten
Kompatibilitet mellan vetenskaplig och historisk forskning och det ursprungliga ändamålet
I dataskyddsförordningen har man strävat efter att göra det enklare att få mångsidiga uppgifter till den vetenskapliga och historiska forskningen. Behandling av personuppgifter för ändamål förknippade med vetenskaplig och historisk forskning kan i vissa fall anses kompatibel med det ursprungliga användningsändamålet, om man i behandlingen efterlever erforderliga tekniska och organisatoriska skyddsåtgärder.
Fortsatt behandling i vetenskaplig forskning förutsätter prövning från fall till fall, där möjligheten till fortsatt behandling analyseras gentemot också andra dataskyddsprinciper och -bestämmelser. Med anledning av det kompatibla användningsändamålet kan den personuppgiftsansvariges behandling av personuppgifter även grundas i samma behandlingsgrund som den ursprungliga behandlingen och således inte kräva en ny behandlingsgrund. Behandlingen ska också vara lagenlig ur övriga dataskyddsbestämmelsers synvinkel; ett kompatibelt användningsändamål berättigar inte den personuppgiftsansvarige att avvika från övriga dataskyddsbestämmelser.
När en personuppgiftsansvarig avser behandla personuppgifter för ett annat än det ursprungliga användningsändamålet, ska den registrerade underrättas om detta innan behandlingen börjar. Detta krav gäller även de situationer där behandlingen är kompatibel med det ursprungliga användningsändamålet. Den registrerade ska underrättas om det nya användningsändamålet, den registrerades rättigheter och alla andra uppgifter som hör till ärendet, förutom om det finns en lagstadgad grund för avvikelse från informationsplikten.
Läs mer om kraven för informationspraxis för personuppgiftsansvariga
Om personuppgifter samlats in med ett samtycke, behövs ofta ett nytt samtycke också för kompatibla användningsändamål, så att lagenligheten och ändamålsenligheten i behandlingen av personuppgifter kan säkerställas. Också informationen om behandlingen av personuppgifter ska uppdateras, för att behandlingen av personuppgifter ska vara transparent.
Behandling av personuppgifter för ett nytt syfte som avviker från det ursprungliga användningsändamålet är möjligt då det planerade användningsändamålet är förenligt med dataskyddsbestämmelserna och
- samtycke av den registrerade fås för det nya användningsändamålet innan behandlingen inleds eller
- en tydlig behandlingsgrund för behandlingen finns i lagstiftningen.