Livscykeln för behandlingen av personuppgifter, dataskyddsprinciper och skydd av uppgifter inom vetenskaplig forskning
Om behandling av personuppgifter är nödvändig för genomförandet av studien, måste livscykeln för behandlingen av personuppgifterna planeras från början till slut. Den personuppgiftsansvarige måste säkerställa att dataskyddsprinciperna efterlevs och skydda personuppgifterna i enlighet med den risk som behandlingen av dem utgör.
Genomförandet av studien måste planeras så att dataskyddsprinciperna förverkligas på ett effektivt sätt.
Enligt dataskyddsprinciperna ska personuppgifter
- behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade
- insamlas och behandlas i ett visst, uttryckligt och lagligt syfte
- insalmas endast i den grad som de behövs med tanke på syftet med behandlingen av personuppgifter
- alltid uppdateras vid behov: inexakta och felaktiga personuppgifter ska raderas eller rättas utan drösjmål
- lagras i en form som möjliggör identifiering av den registrerade endast så länge som är nödvändigt för de syften för vilka personuppgifterna behandlas
- behandlas konfidentiellt och säkert.
Dataskyddsprinciperna ska observeras detaljerat redan i planeringsskedet. Personuppgiftsansvarige har även ansvarsskyldighet för effektivt genomförande av principerna. Det innebär att personuppgiftsansvarige måste dokumentera hur dataskyddsprinciperna efterlevs i praktiken i samband med genomförandet av studien. Forskningsplanen bör även utnyttjas som en del av genomförandet av ansvarsskyldigheten.
För den del som gäller behandlingen inom vetenskaplig forskning har man betonat vikten av att efterleva principen för minimering av uppgifterna. I studien får personuppgifter behandlas endast om genomförandet av studien inte är möjligt på något annat sätt. Ändamålet för användningen av personuppgifterna preciseras ofta via forskningsfrågan och de insamlade personuppgifternas nödvändighet måste bedömas gentemot detta. Minimering förutsätter en så kort förvaringstid som möjligt, vilket innebär att det är bra att definiera studiens varaktighet, behandlingen av materialet och kasseringen av den efter studien redan i forskningsplanen. I forskningsplanen ska även nämnas huruvida det är fråga om en engångsstudie eller uppföljningsstudie.
Riskbedömning och skyddsåtgärder
Ju större risk behandlingen av personuppgifterna kan innebära för individen, desto fler skyddsåtgärder ska vidtas i enlighet med dataskyddsbestämmelserna. I forskningsverksamhet betonas vikten av tekniska och organisatoriska åtgärder för att skydda personuppgifter. Den personuppgiftsansvarig ska alltid bedöma den risk som behandlingen av personuppgifter utgör för den registrerade och dimensionera skyddsåtgärderna i enlighet med risken. För att få en bild av nödvändiga skyddsåtgärder måste man identifiera i hurdan miljö forskningsmaterialet i praktiken behandlas (t.ex. teknisk plattform, lokaler, dataöverföringar) och vilka som behandlar materialet (personuppgiftsansvarig, gemensamma personuppgiftsansvariga, personuppgiftshandläggare, forskare och annan personal). Läs mer om riskbedömning
Exempel:
Forskningsmaterialet kan behandlas via fjärranslutning. Den personuppgiftsansvarige ska säkerställa att också distansmiljön uppfyller de dataskyddskrav som behandlingen av materialet ställer. Forskaren ska ges specifika instruktioner bland annat om den utrustning som ska användas, metoder för behandling av personuppgifter samt skydd och användning av materialet på erforderligt sätt. I distansmiljön kan det till exempel finnas en större risk för att utomstående får åtkomst till materialet.
En riskbedömning ska göras ur synvinkeln för personen som är föremål för studien, det vill säga den registrerade. Den personuppgiftsansvarige ska bedöma vilka skador och olägenheter som obehörig behandling av personuppgifterna kan medföra för den registrerade. Till exempel kan orättmätigt avslöjande av uppgifter gällande hälsotillstånd för en obehörig orsaka ångest och rädsla för att stämplas eller diskrimineras. Avslöjande av personbeteckning kan orsaka en risk för bedrägeri eller identitetsstöld.
I riskbedömningen ska observeras:
- karaktären av behandlingen av personuppgifter (t.ex. uppgifter förknippade med särskilda personuppgifter, personbeteckning och spärrmarkering)
- omfattningen (t.ex. antalet registrerade och förvaringstid)
- sammanhang (t.ex. den registrerades svagare ställning och tillförlitlighet)
- syften (t.ex. huruvida uppgifterna används för beslutsfattande eller om behandlingen har andra rättsföljder).
När de risker som behandlingen av personuppgifter orsakat för den registrerades rättigheter och friheter har identifierats, ska allvaret i risken, den olägenhet som följer av den och sannolikheten att den blir verklighet bedömas. Allvaret i olägenheten som orsakas den registrerade kan variera beroende på risken. Olägenheten kan till allvarligheten vara
- ringa (t.ex. tidsförlust eller tillfälligt förtret)
- begränsad (t.ex. en upplevelse av kränkning av integriteten utan oåterkallelig olägenhet)
- anmärkningsvärd (t.ex. en upplevelse av kränkning av grundläggande rättigheter, såsom diskriminering eller allvarlig psykisk olägenhet, såsom depression eller fobi)
- betydlig (t.ex. långvarig eller permanent fysisk eller psykisk olägenhet eller brutna familjeband).
Vid bedömning av sannolikheten övervägs hur stor möjligheten är att risken förverkligas. När skadan eller dess sannolikhet har identifierats, registreras en skyddsåtgärd med vilken man strävar efter att ingripa i risken.
Ju högre risk som ingår i behandlingen av personuppgifterna, desto mer måste den personuppgiftsansvarige genomföra skyddsåtgärder för att trygga personuppgifterna. Med skyddsåtgärderna strävar man efter att skydda personuppgifterna så att obehörig behandling av personuppgifter sker och skada inte orsakas till den vars personuppgifter behandlas.
Med skyddsåtgärderna förebyggs såväl interna hot inom forskningsprojektet (t.ex. hot från den egna personalen, handläggarna, anordningarna eller miljön som används för att behandla forskningsmaterialet) som externa hot (t.ex. obehörigas eller utomståendes åtkomst till forskningsmaterialet). Skyddsåtgärderna påverkas även av i vilket format forskningsmaterialet finns (frågeformulär på papper, inspelade eller videofilmade intervjuer, elektroniska tabeller, vävnadsprover tagna på laboratorium osv.).
Med skyddsåtgärderna kan man sträva efter att förebygga missbruk redan på förhand, till exempel genom att begränsa möjligheterna till åtkomst till materialet. Lagenligheten i behandlingen kan även säkerställas med åtgärder i efterhand, såsom genom insamling av loggdata, via vilka man kan utreda eventuella misstankar om missbruk.
I valet av skyddsåtgärder ska uppmärksamhet fästas vid de möjligheter som den senaste tekniken möjliggör samt kostnaderna för deras genomförande. Skyddsåtgärderna kan vara tekniska (t.ex. brandvägg, virusprogram, krypterade anslutningar vid överföring av uppgifter) eller organisatoriska (dataskyddsinstruktioner och -utbildning, sekretessförbindelser, användarbehörighet i enlighet med arbetsuppgift som ges till personalen som behandlar forskningsmaterialet).
Exempel:
Forskningsorganisationen förutsätter att forskarna genomgår en dataskyddskurs och förbinder sig till sekretess innan de behandlar personuppgifter. Med denna skyddsåtgärd strävar man efter att säkerställa att de personer som i studien behandlar personuppgifter är medvetna om personuppgifternas sekretess och sin tystnadsplikt samt vet hur man behandlar personuppgifter på ett korrekt och säkert sätt. Forskningsorganisationen har utöver denna tillgång till flera andra tekniska och organisatoriska skyddsåtgärder.
Konsekvensbedömning i vetenskaplig forskning
Inom forskningsverksamhet behandlas ofta flera olika datatyper (många gånger även särskilda personuppgifter) om varje deltagare i studien, vilket innebär att risken förknippad med behandlingen lätt blir stor. En konsekvensbedömning är obligatorisk då en planerad behandling kan orsaka en hög risk för människors rättigheter och friheter.
Inom vetenskaplig forskning är behandlingen ofta sådan att den innehåller en hög risk, vilket innebär att en konsekvensbedömning måste göras. En konsekvensbedömning måste till exempel göras när två eller flera av följande förutsättningar uppfylls:
- Behandlingen riktas till särskilda personuppgifter eller på annat sätt till mycket personliga uppgifter.
- Behandlingen av personuppgifter är omfattande.
- Datahelheter sammanförs.
- Behandlingen är riktad till personer i svagare ställning, såsom patienter, barn eller äldre.
- Behandlingen omfattar användning av nya tekniska eller organisatoriska lösningar eller innovationer.
- Behandlingen riktas till biometriska data.
- Behandlingen riktas till genetiska data.
- Behandlingen riktas till platsdata.
- Man vill göra ett undantag från information till en registrerad med stöd av artikel 14 punkt 5 b i dataskyddsförordningen.
- Man vill göra undantag från den registrerades övriga rättigheter.
Den personuppgiftsansvarige ska hålla ett föregående samråd med dataombudsmannen om konsekvensbedömningen visar att behandlingen skulle orsaka en hög risk för den registrerade, och den personuppgiftsansvarige inte med egna åtgärder kunnat sänka risken till en lägre nivå. Mer information om förhandssamråd
En begäran om föregående samråd kan skickas genom att använda webbformuläret för dataombudsmannens byrå.