Undantag från den registrerades rättigheter i samband med vetenskaplig eller historisk forskning eller statistikföring
Bestämmelser om den registrerades rättigheter som tillämpas på behandling av personuppgifter finns i dataskyddsförordningens kapitel III. Rättigheter som den registrerade har till sitt förfogande fastställs enligt den grund som personuppgifter behandlas enligt dataskyddsförordningen. Under vissa förutsättningar kan undantag från dessa rättigheter göras i samband med vetenskaplig eller historisk forskning eller statistikföring med stöd av bestämmelserna i dataskyddsförordningen eller dataskyddslagen.
Undantag från den registrerades rättigheter kan göras
- med stöd av i 31 § i dataskyddslagen
- med stöd av artiklarna 14, 17 och 21 i dataskyddsförordningen
- med stöd av artikel 11 i dataskyddsförordningen
Läs mer om grunderna för behandling av personuppgifter
Undantag från den registrerades rättigheter med stöd av 31 § i dataskyddslagen
Under förutsättningarna enligt 31 § i dataskyddslagen kan undantag göras från den registrerades följande rättigheter:
- rätten till tillgång till uppgifter
- rätten att rätta uppgifter
- rätten att begränsa behandlingen av uppgifter
- rätten att göra invändning mot behandlingen av uppgifter
Vid behandling av särskilda personuppgifter eller personuppgifter som gäller domar i brottmål eller förseelser ska den personuppgiftsansvarige utföra en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen eller iaktta uppförandekoder enligt artikel 40 i dataskyddsförordningen där undantaget från den registrerades rättigheter har adekvat beaktats.
- Bestämmelser om konsekvensbedömningens innehåll finns i artikel 35 punkt 7 i dataskyddsförordningen. Konsekvensbedömningen ska innehålla en beskrivning av den planerade behandlingen och behandlingens syften, en bedömning av behovet av och proportionaliteten hos behandlingen, en bedömning av riskerna för den registrerade samt de åtgärder som planeras för att hantera riskerna.
Dataombudsmannens byrå har upprättat en anvisning till stöd av upprättande av konsekvensbedömningar. Anvisningen och verktyget kan också användas för bedömning av omfattningen av en konsekvensbedömning som upprättats tidigare.
Läs mer om upprättande av en konsekvensbedömning
Anvisning om konsekvensbedömning avseende dataskydd (pdf)
Excel-verktyg till stöd av upprättandet av en konsekvensbedömning (.xlsx-fil)
-
Ett undantag från den registrerades rättigheter är möjligt med stöd av 31 § i dataskyddslagen enbart då är nödvändigt. Grunderna för nödvändigheten av undantaget från den registrerades rättigheter ska framställas i konsekvensbedömningen. Den personuppgiftsansvarige ska också se till att de skyddsåtgärder som fastställts i 31 § i dataskyddslagen vidtas.
- Om den personuppgiftsansvarige överför personuppgifter till tredjeländer ska den bedöma om ytterligare skyddsåtgärder bör införas i samband med överföringen.
Mer information finns i Europeiska dataskyddsstyrelsens anvisning:
Rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter (pdf, på engelska) (se särskilt punkt 85).
Läs mer om överföring av personuppgifter till tredje land
- Konsekvensbedömningen ska skriftligen delges dataombudsmannens byrå innan behandlingen av personuppgifter inleds. Konsekvensbedömningen kan skickas till dataombudsmannens byrå per e-post till dataskydd(at)om.fi eller per post till Dataombudsmannens byrå, PB 800, 00531 Helsingfors, med hänvisningen ”Undantag från den registrerades rättigheter enligt 31 § i dataskyddslagen”. Vid behov kan konsekvensbedömningen skickas med krypterad e-post eller rekommenderat brev.
Kontaktuppgifter till dataombudsmannens byrå
- Behandlingen av personuppgifter kan inledas även om dataombudsmannens byrå ännu inte har svarat på den inlämnade konsekvensbedömningen.
- Konsekvensbedömningen och övrig dokumentation i enlighet med principen för ansvarsskyldighet ska hållas uppdaterade och tillgängliga för dataombudsmannen under hela den tid som personuppgifter behandlas.
Läs mer om ansvarsskyldigheten
Undantag från den registrerades rättigheter med stöd av artiklarna 14, 17 och 21 i dataskyddsförordningen
Under förutsättningar i enlighet med artikel 14 punkt 5 b, artikel 17 punkt 3 d och artikel 21 punkt 6 kan undantag göras från den registrerades följande rättigheter:
- rätten att få information om behandlingen av sina egna personuppgifter
- rätten att radera uppgifter
- rätten att invända mot behandling av personuppgifter
Om undantag från den registrerades rättigheter görs enbart med stöd av artiklarna 14, 17 och/eller 21 i dataskyddsförordningen, behöver man inte upprätta och lämna in en konsekvensbedömning på det sätt som förutsätts i 31 § i dataskyddslagen. Man kan dock behöva upprätta en konsekvensbedömning med stöd av artikel 35 i dataskyddsförordningen.
Undantag från den registrerades rättigheter med stöd av artikel 14 ingår i myndighetens förteckning över behandlingsåtgärder som omfattas av kravet på en konsekvensbedömning. En konsekvensbedömning ska upprättas till exempel när personuppgifter behandlas i stor omfattning.
Undantag från den registrerades rättigheter med stöd av artikel 11 i dataskyddsförordningen
Artikel 11 i dataskyddsförordningen föreskriver om personuppgiftsbehandling som inte kräver identifieringar. Under de förutsättningar som fastställs i bestämmelsen kan undantag göras från den registrerades följande rättigheter:
- rätten till tillgång till uppgifter
- rätten att rätta uppgifter
- rätten att radera uppgifter
- rätten att begränsa behandlingen av uppgifter
- rätten att flytta uppgifterna mellan system
För att den registeransvarige ska kunna göra ett undantag från rättigheterna ska hen kunna visa att hen inte är i stånd att identifiera den registrerade. Om den registrerade för utövande av sina rättigheter tillhandahåller ytterligare information som gör identifieringen möjlig, ska den registrerades rättigheter i regel tillgodoses.
Om undantag från den registrerades rättigheter görs enbart med stöd av artikel 11 i dataskyddsförordningen, behöver man inte upprätta och lämna in en konsekvensbedömning på det sätt som förutsätts i 31 § i dataskyddslagen. Man kan dock behöva upprätta en konsekvensbedömning med stöd av artikel 35 i dataskyddsförordningen.
Information om den registrerades rättigheter
De registrerade ska informeras om de rättigheter som de har till sitt förfogande samt till vilka delar utövandet av rättigheterna har begränsats. Undantag från förpliktelserna att informera de registrerade kan inte göras med stöd av 31 § i dataskyddslagen. Om undantag från förpliktelserna att informera de registrerade görs med stöd av artikel 14 punkt 5 b, ska informationen on informeringen göras allmänt tillgänglig, till exempel på den registeransvariges webbplats.
Läs mer om information till de registrerade
Mer information:
Den registrerades rättigheter i vetenskaplig forskning
Vetenskaplig forskning och dataskydd
Vanliga frågor om vetenskaplig forskning