Valet av behandlingsgrund för personuppgifterna och säkerställande av dess lagenlighet inom vetenskaplig forskning
Den personuppgiftsansvarige kan i regel själv välja vilken behandlingsgrund som bäst lämpar sig för genomförandet av studien. Till behandlingen av särskilda personuppgifter måste det finnas en separat grund som berättigar till behandlingen.
Den personuppgiftsansvarige (t.ex. statliga forskningsinstitut) eller speciallagstiftning gällande forskningsprojektet (t.ex. kliniska läkemedelsstudier) kan minska möjligheterna förknippade med valet av behandlingsgrund.
När rätt behandlingsgrund väljs, lönar det sig att observera den registrerades rättigheter, som varierar mellan de olika behandlingsgrunderna. Den valda behandlingsgrunden kan till exempel göra det enklare att rekrytera undersökningsobjekt till forskningsprojektet, då man med transparensen och möjligheterna att påverka tryggar att undersökningsobjekten litar på att personuppgifterna behandlas på erforderligt sätt. Det finns även skäl att observera att flexibiliteten i fastställandet av forskningssyftet endast är möjlig när behandlingsgrunden för personuppgifterna i studien är samtycke.
När personuppgifter behandlas i vetenskapligt forskningssyfte, kan behandlingsgrunden väljas med direkt stöd av dataskyddsförordningen:
1. Den registrerades frivilliga, identifierade, medvetna och entydiga samtycke.
- I forskningsverksamhet bör observeras att samtycket inte kan tillämpas som behandlingsgrund om undersökningsobjektet befinner sig i en svagare ställning, till exempel på grund av sjukdom, ålderdom eller för att det är en minderårig.
- I studien är samtycket inte nödvändigtvis förknippat med personuppgifternas behandlingsgrund. Samtycket kan vara förknippat med
- studiens etiska krav (t.ex. samtycke till att delta i studien)
- någon annan förmån som ska skyddas (t.ex. förutsätter kränkning av undersökningsobjektets integritet, såsom blodprovtagning, i regel samtycke) eller
- skyddsåtgärder.
2. Realisering av personuppgiftsansvariges eller tredje parts berättigade intressen, om det enligt jämviktstestet är möjligt.
Behandlingsgrunden kan även väljas med stöd av EU eller internationell lagstiftning:
- En rättslig förpliktelse för den personuppgiftsansvarige.
- Gällande till exempel kliniska läkemedelsstudier har man föreskrivit en rättslig förpliktelse att arkivera den kliniska läkemedelsstudiens basdata i 25 år. I Europeiska dataskyddsstyrelsens utlåtande (på styrelsens webbplats) behandlas närmare vilka behandlingsgrunder som förknippas med kliniska läkemedelsstudier.
- Gällande till exempel kliniska läkemedelsstudier har man föreskrivit en rättslig förpliktelse att arkivera den kliniska läkemedelsstudiens basdata i 25 år. I Europeiska dataskyddsstyrelsens utlåtande (på styrelsens webbplats) behandlas närmare vilka behandlingsgrunder som förknippas med kliniska läkemedelsstudier.
- Utförande av uppgift gällande den personuppgiftsansvariges allmänna rätt
- Enligt dataskyddslagen är behandling av personuppgifter för historisk eller vetenskaplig forskning eller statistikföring möjlig när det är nödvändigt och står i proportion till det mål av allmänt intresse som eftersträvas (dataskyddslagen 4 §). Den personuppgiftsansvarige har ansvarsskyldighet för att behandlingen av personuppgifterna är nödvändig och proportionerligt. I detta sammanhang måste man fästa särskild uppmärksamhet vid att minimera uppgifterna samt principen om att begränsa förvaringen.
Om man efterlever erforderliga tekniska och organisatoriska skyddsåtgärder, kan behandlingen av personuppgifter för vetenskaplig och historisk forskning i vissa situationer anses vara kompatibel med det ursprungliga användningsändamålet. Med anledning av det kompatibla användningsändamålet kan den personuppgiftsansvariges behandling av personuppgifter även grundas i samma behandlingsgrund som den ursprungliga behandlingen och således inte kräva en ny behandlingsgrund. Behandlingen ska vara lagenlig även ur synvinkeln för andra dataskyddsbestämmelser. Ett kompatibelt användningsändamål berättigar inte den personuppgiftsansvarige att avvika från övriga dataskyddsbestämmelser. När en personuppgiftsansvarig avser behandla personuppgifter för ett annat än det ursprungliga användningsändamålet, ska den registrerade underrättas om detta innan behandlingen börjar.
Behandling av särskilda personuppgifter i forskningsverksamhet
Behandling av särskilda personuppgifter är i regel förbjudet. Uppgifter som hör till särskilda personuppgiftsgrupper är till exempel uppgifter som beskriver hälsotillståndet och genetiska uppgifter. Inom forskningsverksamhet kan särskilda personuppgifter behandlas endast då ett undantag från behandlingsförbudet har fastställts.
Om man i forskningsprojektet behandlar särskilda personuppgifter,
- måste samtycket som berättigar till behandlingen vara uttryckligt och dessutom uppfylla övriga krav förknippade med samtycket eller
- så måste det finnas någon annan lagstadgad grund för behandlingen av de särskilda personuppgifterna.
- Enligt dataskyddslagen är behandling av särskilda personuppgifter för vetenskaplig eller historisk forskning eller statistikföring möjlig om den registrerades rättigheter skyddas på erforderligt sätt (dataskyddslagen 6 § 1 mom. punkt 7).
- Om vissa nationella forskningsinstitut finns speciallagstiftning, som möjliggör behandling av särskilda personuppgifter för lagstadgade forskningsuppgifter.
Behandling av uppgifter som hör till särskilda personuppgiftsgrupper är dessutom möjligt endast om den personuppgiftsansvarige och handläggaren av personuppgifterna vidtar erforderliga och särskilda åtgärder för att skydda den registrerades rättigheter. Det viktiga är att man med skyddsåtgärderna får risken förknippad med behandlingen av personuppgifterna till en godtagbar nivå. Nödvändiga skyddsåtgärder ska skräddarsys på lämpligt sätt från fall till fall.
Exempel på skyddsåtgärder:
- Insamling och övervakning av loggdata
- Dataskyddsutbildningar för personalen
- Utnämning av dataskyddsombud
- Den personuppgiftsansvariges och handläggarens interna åtgärder, med vilka man förhindrar åtkomst till personuppgifterna
- Pseudonymisering av personuppgifterna
- Kryptering av personuppgifterna
- De åtgärder med vilka man garanterar fortlöpande konfidentialitet, integritet, användbarhet och feltolerans (inklusive förmåga att återhämta uppgifter och snabb tillgång till uppgifter efter fysiska eller tekniska fel) för personuppgifternas behandlingssystem och tjänster förknippade med behandling av personuppgifter.
- Regelbunden testning och bedömning av de tekniska och organisatoriska åtgärdernas effektivitet
- Särskilda förfaringssätt, med vilka man säkerställer genomförandet av dataskyddsbestämmelserna, då personuppgifterna överförs eller syftet med behandlingen ändras
- Konsekvensbedömning gällande dataskyddet i enlighet med artikel 35 i dataskyddsförordningen
I dataskyddslagen finns även separata bestämmelser för behandling av personuppgifter förknippade med brottmålsdomar och överträdelser i vetenskaplig eller historisk forskning (7 § 1 mom. punkt 2). Behandlingen av dessa uppgifter förutsätter förhöjda skyddsåtgärder, med vilka man tryggar den registrerades rättigheter.
Säkerställande av övrig lagenlighet
Den personuppgiftsansvarige ska säkerställa att uppgifterna i studien är lagenliga. Till exempel kan undersökningsobjektets samtycke, sekretessgrunder eller användningsvillkor i betydlig omfattning begränsa möjligheterna att behandla forskningsmaterialet.
I samband med behandlingen ska man även efterleva speciallagstiftning som styr behandlingen. Inom forskningsverksamhet finns det speciallagstiftning, som till exempel gäller läkemedelsstudier, kliniska läkemedelsstudier samt sekundär användning av social- och hälsouppgifter.