Vanliga frågor om vetenskaplig forskning

Nej. Behandlingen av personuppgifter inom forskning kan även baseras på någon annan behandlingsgrund än samtycke. Grunden till behandlingen kan till exempel vara lagstiftning (t.ex. dataskyddslagen 4 § och 6 §) eller den personuppgiftsansvariges berättigade intresse.

Det är viktigt att observera att kravet på samtycke inom forskning även kan vara förknippat med någon annan faktor än behandlingen av personuppgifter. Samtycke från den som undersöks kan krävas till exempel för deltagande i undersökningen eller för blodprovtagning. Begäran om samtycke till exempel för blodprovtagning skyddar den undersöktas fysiska integritet, inte personuppgiftsskyddet. Kravet på medvetet samtycke i samband med medicinska och kliniska läkemedelsundersökningar är ett viktigt etiskt värde, men det är inte samma sak som behandlingsgrund för personuppgifter.

Det är viktigt att man identifierar betydelsen av samtycket tydligt, så att den undersökta inte får fel uppfattning om på vilka grunder och hur personuppgifterna kommer att behandlas i undersökningen.

Konsekvensbedömningen ska skickas till dataombudsmannens byrå i två fall, då det är fråga om vetenskaplig forskning.

Konsekvensbedömningen ska skickas till dataombudsmannens byrå när
1)    när man i den vetenskapliga eller historiska undersökningen avviker från den registrerades rättigheter och personuppgifterna som behandlas är särskilda personuppgifter
2)    föregående samråd måste hållas med dataombudsmannen. Föregående samråd med dataombudsmannen krävs när man i undersökningens konsekvensbedömning har identifierat en hög risk för att personuppgiftsansvarige inte har lyckats sänka risken med egna åtgärder.

Det är viktigt att inse att skyldigheten att göra en konsekvensbedömning är betydligt mer omfattande, men endast i ovan nämnda fall måste den personuppgiftsansvarige skicka konsekvensbedömningen till dataombudsmannens byrå.

Dataskyddsombudet ska vara oberoende och inte ha uppgifter som genererar intressekonflikter med dataskyddsombudets uppgifter.

Dataskyddsombudet kan inte ha en sådan ställning eller uppgift där han eller hon ska fastställa syftena och metoderna för behandlingen av personuppgifter. Definitionen av syftena och metoderna för behandlingen av uppgifterna är en uppgift som hör till den personuppgiftsansvarige. Intressekonflikter kan uppstå om till exempel ansvarspersonen för datasäkerhet eller en företrädare för den högsta ledningen utnämnts till dataskyddsombudet.

Eftersom varje organisation är unik, ska intressekonflikter granskas från fall till fall.

Om flera instanser deltar i forskningsprojektet, måste de olika aktörernas roller identifieras. Forskarens ställning som arbetstagare förhindrar inte att hen skulle kunna vara personuppgiftsansvarig. Den slutliga analysen av rollerna måste dock göras med utgångspunkt ur kännetecken från fall till fall och dataskyddsförordningens definition av personuppgiftsansvarig.

Med personuppgiftsansvarig avses en fysisk eller juridisk person, myndighet, ämbetsverk eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

Dataskyddsförordningen identifierar även gemensamma personuppgiftsansvariga. Om gemensamt personuppgiftsansvar är det fråga om när aktörerna tillsammans identifierar ändamålen och medlen för behandlingen av personuppgifter samt delar på personuppgiftsansvariges ansvar. I sådana fall ska den personuppgiftsansvarige i enlighet med artikel 26 i dataskyddsförordningen i inbördes ordning och transparent identifiera varje ansvarsområde för att uppfylla alla skyldigheter i dataskyddsförordningen.  Uppgiftsfördelningen måste vara tydlig vad gäller användningen av den registrerades rättigheter och informering av den registrerade. Arrangemanget ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas faktiska roller och förhållanden gentemot registrerade. Information om de gemensamt personuppgiftsansvarigas ansvar och annan viktig information ska ges till de registrerade, till exempel via webbplatsen för forskningsprojektet.

Även om uppgifterna som du samlar in för forskningssyften finns på nätet eller i någon annan offentlig källa, måste du ta hänsyn till dataskyddsbestämmelserna på samma sätt som annars vid behandling av personuppgifter.

När uppgifter lämnas ut från patientregistret för vetenskapliga forskningssyften, är användningsändamålet att bedriva forskning i stället för vård av patienten. De utlämnade uppgifterna utgör en individuell och separat helhet, separat från den ursprungliga datakällan. Användningsändamålet för personuppgifterna ändras och livscykeln för behandlingen av uppgifterna måste planeras från början till slut. I planen ska hänsyn tas till dataskyddsbestämmelserna för forskningssyftet.

Ett eget register för forskningen, vars användningsändamål är att bedriva forskning i enlighet med forskningsplanen, bildas för forskningens personuppgiftsansvarige (forskaren eller organisationen som bedriver forskningen).

Ja, det är de. Uppgifterna är personuppgifter så länge de med hjälp av extra uppgifter kan ändras tillbaka till att gälla en specifik person, även om personuppgiftsansvarige inte har åtkomst till en sådan uppgift.

I forskningsverksamhet skyddas uppgifterna ofta genom pseudonymisering och minimering av uppgifterna som behandlas.