Rollerna och ansvaren gällande behandling av personuppgifter inom vetenskaplig forskning

I forskningsprojektet kan det finnas olika instanser i olika roller. Studien kan omfatta en eller flera forskningsorganisationer, en person som ansvarar för studien, uppdragsgivare, forskare samt annan personal, som utför den faktiska insamlingen av personuppgifter för att genomföra studien. Olika aktörers roller gällande behandlingen av personuppgifter och ansvaret som faller på den personuppgiftsansvarige ska fastställas tydligt innan studien inleds.

Med personuppgiftsansvarig avses en person, ett företag, en myndighet eller ett samfund som fastställer syftet och metoderna för behandling av personuppgifter. Den personuppgiftsansvarige ansvarar för att behandlingen av personuppgifter är lagenlig under behandlingens hela livscykel. Den personuppgiftsansvariges definition är funktionell; med den strävar man efter att rikta ansvaret för efterlevnad av dataskyddsbestämmelserna dit där man i verkligheten kan påverka behandlingen.

I bedömningen ska hänsyn tas till den personuppgiftsansvariges definition och även till om det i forskningsprojektet finns sådan lagstiftning, som påverkar den personuppgiftsansvariges definition gällande behandlingsåtgärderna. Till exempel har man till vissa statliga forskningsinstitut föreskrivit som lagstadgad uppgift att bedriva forskning och behandlingen av särskilda personuppgifter har separat lagstiftning, som möjliggör behandlingen. Vid internationell forskning är det bra att observera att den personuppgiftsansvariges definition även kan påverkas av nationell lagstiftning.

Den personuppgiftsansvariges definition i enskilda forskningsprojekt ska göras på basis av en bedömning från fall till fall. Den personuppgiftsansvarige kan vara till exempel en enskild forskare, en forskningsgrupp, en forskningsorganisation eller ovan nämnda instanser tillsammans i form av gemensamma personuppgiftsansvariga. Det väsentliga är att ansvaren gällande behandlingen av personuppgifter definieras tydligt från början till slut i studien. Alla som deltar i forskningsprojektet ska känna till sin uppgift. Beträffande behandlingen av personuppgifter får det inte kvarstå några frågetecken.

Faktorer som påverkar fördelningen av ansvaret gällande behandlingen av personuppgifter

1. Planeras forskningsprojektet och dess syfte av en eller flera aktörer?

  • Den personuppgiftsansvarige definierar själv ändamålen och medlen för behandlingen av personuppgifterna.
  • Om gemensamt personuppgiftsansvar är det fråga om när aktörerna tillsammans identifierar ändamålen och medlen för behandlingen av personuppgifter samt delar på den personuppgiftsansvariges ansvar. Den personuppgiftsansvarige ska i enlighet med artikel 26 i dataskyddsförordningen i inbördes ordning och transparent identifiera varje ansvarsområde för att uppfylla alla skyldigheter i dataskyddsförordningen. Uppgiftsfördelningen måste vara tydlig vad gäller användningen av den registrerades rättigheter och informering av den registrerade. Arrangemanget ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas faktiska roller och förhållanden gentemot de registrerade. Ansvarsfördelningens centrala delar ska finnas tillgängliga för den registrerade.

2. Vidtar genomföraren av studien själv alla behandlingsåtgärder gällande personuppgifter eller måste behandlingsåtgärder som krävs för att genomföra studien skaffas från någon annan instans?

  • Den personuppgiftsansvarige kan anskaffa tjänster förknippade med behandlingen av personuppgifter också av personuppgiftsbiträdet. Ett personuppgiftsbiträde är en aktör som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde arbetar enligt den personuppgiftsansvariges anvisningar och under denne. Personuppgiftsbiträdet har självständig bestämmanderätt över de uppgifter som hen behandlar och får inte behandla de på annat sätt än enligt den personuppgiftsansvariges anvisningar. Den personuppgiftsansvarige definierar ändamålen och medlen för behandlingen av personuppgifter.
  • Dataskyddsförordningen förutsätter att behandlingen som den som behandlar personuppgifterna utför ska fastställas med ett avtal eller med något annat juridiskt dokument, som förbinder personuppgiftsbiträdet i förhållande till den personuppgiftsansvarige. I avtalet eller det juridiska dokumentet ska definieras objektet och varaktigheten för behandlingen, behandlingens karaktär och syfte, typen av personuppgifter, de registrerades grupper samt den personuppgiftsansvariges skyldigheter och rättigheter. I artikel 28 i dataskyddsförordningen föreskrivs närmare om förhållandet mellan den personuppgiftsansvarige och personuppgiftsbiträdet samt om villkoren som ska ingå i avtalet.

Den personuppgiftsansvariges uppgifter i forskningsverksamheten

Det väsentliga är att den personuppgiftsansvarige består av en sådan instans, som har förmåga att ansvara för skyldigheter som fastställts för personuppgiftsansvariga och i praktiken påvisa efterlevnaden av dataskyddsbestämmelserna. 

Den personuppgiftsansvariges uppgift är till exempel att säkerställa att