Rollerna och ansvaren gällande behandling av personuppgifter inom vetenskaplig forskning
I forskningsprojektet kan det finnas olika instanser i olika roller. Studien kan omfatta en eller flera forskningsorganisationer, en person som ansvarar för studien, uppdragsgivare, forskare samt annan personal, som utför den faktiska insamlingen av personuppgifter för att genomföra studien. Olika aktörers roller gällande behandlingen av personuppgifter och ansvaret som faller på den personuppgiftsansvarige ska fastställas tydligt innan studien inleds.
Med personuppgiftsansvarig avses en person, ett företag, en myndighet eller ett samfund som fastställer syftet och metoderna för behandling av personuppgifter. Den personuppgiftsansvarige ansvarar för att behandlingen av personuppgifter är lagenlig under behandlingens hela livscykel. Med definitionen strävar man efter att rikta ansvaret för efterlevnad av dataskyddsbestämmelserna dit där man i verkligheten kan påverka behandlingen.
Den personuppgiftsansvariges definition i enskilda forskningsprojekt ska göras på basis av en bedömning från fall till fall. Den personuppgiftsansvarige kan vara till exempel en enskild forskare, en forskningsgrupp, en forskningsorganisation eller ovan nämnda instanser tillsammans i form av gemensamma personuppgiftsansvariga. Det väsentliga är att ansvaren gällande behandlingen av personuppgifter definieras tydligt från början till slut i studien. Alla som deltar i forskningsprojektet ska känna till sin uppgift. Beträffande behandlingen av personuppgifter får det inte kvarstå några frågetecken.
I bedömningen ska hänsyn tas till den personuppgiftsansvariges definition och även till om det i forskningsprojektet finns sådan lagstiftning, som påverkar den personuppgiftsansvariges definition gällande behandlingsåtgärderna. Till exempel har man till vissa statliga forskningsinstitut föreskrivit som lagstadgad uppgift att bedriva forskning och behandlingen av särskilda personuppgifter har separat lagstiftning, som möjliggör behandlingen. Vid internationell forskning är det bra att observera att den personuppgiftsansvariges definition även kan påverkas av nationell lagstiftning.
Faktorer som påverkar fördelningen av ansvaret gällande behandlingen av personuppgifter
1. Planeras forskningsprojektet och dess syfte av en eller flera aktörer?
- Den personuppgiftsansvarige definierar själv ändamålen och medlen för behandlingen av personuppgifterna.
- Om gemensamt personuppgiftsansvar är det fråga om när aktörerna tillsammans identifierar ändamålen och medlen för behandlingen av personuppgifter samt delar på den personuppgiftsansvariges ansvar. Den personuppgiftsansvarige ska i enlighet med artikel 26 i dataskyddsförordningen i inbördes ordning och transparent identifiera varje ansvarsområde för att uppfylla alla skyldigheter i dataskyddsförordningen. Uppgiftsfördelningen måste vara tydlig vad gäller användningen av den registrerades rättigheter och informering av den registrerade. Arrangemanget ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas faktiska roller och förhållanden gentemot de registrerade. Ansvarsfördelningens centrala delar ska finnas tillgängliga för den registrerade.
2. Vidtar genomföraren av studien själv alla behandlingsåtgärder gällande personuppgifter eller måste behandlingsåtgärder som krävs för att genomföra studien skaffas från någon annan instans?
- Den personuppgiftsansvarige kan anskaffa tjänster förknippade med behandlingen av personuppgifter också av personuppgiftsbiträdet. Ett personuppgiftsbiträde är en aktör som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde arbetar enligt den personuppgiftsansvariges anvisningar och under denne. Personuppgiftsbiträdet har självständig bestämmanderätt över de uppgifter som hen behandlar och får inte behandla de på annat sätt än enligt den personuppgiftsansvariges anvisningar. Den personuppgiftsansvarige definierar ändamålen och medlen för behandlingen av personuppgifter.
- Dataskyddsförordningen förutsätter att behandlingen som den som behandlar personuppgifterna utför ska fastställas med ett avtal eller med något annat juridiskt dokument, som förbinder personuppgiftsbiträdet i förhållande till den personuppgiftsansvarige. I avtalet eller det juridiska dokumentet ska definieras objektet och varaktigheten för behandlingen, behandlingens karaktär och syfte, typen av personuppgifter, de registrerades grupper samt den personuppgiftsansvariges skyldigheter och rättigheter. I artikel 28 i dataskyddsförordningen föreskrivs närmare om förhållandet mellan den personuppgiftsansvarige och personuppgiftsbiträdet samt om villkoren som ska ingå i avtalet.
Den personuppgiftsansvariges uppgifter i forskningsverksamheten
Det väsentliga är att den personuppgiftsansvarige består av en sådan instans, som har förmåga att ansvara för skyldigheter som fastställts för personuppgiftsansvariga och i praktiken påvisa efterlevnaden av dataskyddsbestämmelserna.
Den personuppgiftsansvariges uppgift är till exempel att säkerställa att
- dataskyddsprinciperna uppfylls inom forskningsprojektet och att dokumentationen i praktiken verifierar efterlevnaden av principerna under studiens hela livscykel
- den till behandlingen av personuppgifter förknippade risken har bedömts och att tekniska och organisatoriska åtgärder för att skydda personuppgifterna har vidtagits
- konsekvensbedömningen har gjorts, om studiens karaktär eller undantag från den registrerades rättigheter så kräver
- föregående samråd med dataombudsmannen görs om konsekvensbedömningen röjer en hög risk, som inte kan sänkas med hjälp av skyddsåtgärder
- man med personuppgiftsbiträden upprättar erforderliga avtal och de ges specifika anvisningar gällande behandlingen av personuppgifter
- man beslutar transparent om ansvaren för gemensamma personuppgiftsansvariga
- de registrerade informeras och utnyttjandet av rättigheterna underlättas
- eventuella begränsningar av den registrerades rättigheter är motiverade
- en beskrivning av behandlingsåtgärderna har upprättats
- man har utarbetat förfaringssätt i händelse av dataskyddsöverträdelser
- ett dataskyddsombud har utnämnts, om behandlingsåtgärderna i forskningsprojektet är sådana att de förutsätter att ett dataskyddsombud utnämns
- annan dokumentation i enlighet med ansvarsskyldighet finns och att den underhålls vid behov.