Behandling av personuppgifter inom forskning
Behandling av personuppgifter inom forskning regleras från och med 25 maj 2018 av dataskyddsförordningen. Detta betyder att personuppgiftslagen (PUL) är upphävd. En ny forskningsdatalag kommer också att reglera behandling av personuppgifter från och med detta datum, liksom i vissa delar även en ny dataskyddslag.
Etikprövning och Forskningsetiska rådet (FER)
Forskning regleras dessutom i lagen om etikprövning, som ställer krav på etikprövning i vissa fall. Bland annat vid behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser.
Etikprövning, Forskningsetiska rådets (FER:s) webbsida
Etikprövningsmyndighetens (EPM:s) webbsida
Behandlas personuppgifter i forskningsprojektet?
Personuppgifter är uppgifter som direkt eller indirekt kan kopplas till en levande fysisk person. Dit hör direkta uppgifter som till exempel namn, e-postadress och personnummer eller indirekta uppgifter som till exempel datorns ip-adress, mobilens platsdata eller kodade personuppgifter som har tillgång till nycklar. Även en bild eller en ljudinspelning kan vara en personuppgift. Avgörande är att uppgiften, ensam eller i kombination med andra uppgifter, kan knytas till en levande person.
Dataskyddsförordningen gäller när personuppgifter behandlas helt eller delvis automatiserat, eller manuellt men kopplat till ett sökbart exempelvis register och word. Fler exempel är vid användning av IT-system, databaser, webbenkäter, sociala medier eller ljud- och bildinspelningar. Deltagarna i studien har rätt att få information om behandlingen i enlighet med kraven i dataskyddsförordningen och personuppgifterna får bara användas för det ändamål som anges i informationen. Uppgifterna måste dessutom vara nödvändiga för ändamålet och får inte sparas längre tid än nödvändigt för att uppfylla syftet med studien. För forskningsdata är utgångspunkten bevarande, men data kan även gallras efter 10 år.
Om studien görs med anonyma uppgifter, där det inte på något sätt går att koppla informationen till person, omfattas den inte av dataskyddsförordningens krav. Observera att kodade eller pseudonymiserade personuppgifter är att se som personuppgifter så länge en kodnyckel finns kvar, och detta även om nyckeln förvaras av en annan myndighet.
Behandlas integritetskänsliga personuppgifter?
Som integritetskänsliga uppgifter räknas känsliga personuppgifter och extra skyddsvärda personuppgifter. Känsliga personuppgifter är uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, sexualliv eller sexuella läggning, genetiska uppgifter eller biometriska uppgifter. Extra skyddsvärda personuppgifter är till exempel personnummer, vissa uppgifter om lön, skyddade personuppgifter, sekretessbelagda uppgifter, uppgifter om lagöverträdelser (så som brott, domar, straff och frihetsberövanden), uppgifter som ligger nära den privata sfären, sociala förhållanden samt beskrivningar och värderingar av personliga egenskaper.
För att den typen av uppgifter ska få behandlas inom forskning krävs att det bedöms nödvändigt för studiens ändamål samt en godkänd etikprövning. Det ställs dessutom särskilt stränga krav på hanteringen av uppgifterna.
Grund för behandlingen
Forskning kan normalt grundas på samtycke eller att det är nödvändig behandling för att utföra en uppgift av allmänt intresse.
Samtycke
Det är viktigt att samtycket är frivilligt, och utan tvekan något den registrerade godkänt, efter att först ha fått tydlig information om vad behandlingen av personuppgifterna kommer innebära. Samtycket ska därmed vara utformat så att det även innebär samtycke till behandlingen av personuppgifter, inte bara samtycke till deltagande i studien. För att kunna bevisa ett samtycke ska det vara skriftligt. Samtycket kan när som helst tas tillbaka och inga fler uppgifter får då behandlas.
Information till deltagarna
Deltagarna har förutom information om studien rätt till information om vilka personuppgifter som kommer behandlas och hur. Följande måste enligt dataskyddsförordningen framgå av informationen till deltagarna:
- Ändamål med behandlingen (forskning),
- rättslig grund för behandlingen (normalt samtycke eller allmänt intresse),
- vilka som kommer kunna ta del av uppgifterna (till exempel forskaren, en forskargrupp och eventuell granskare).
- hur länge uppgifterna sparas (bevarande är utgångspunkten för forskningsdata, men gallring är möjlig efter 10 år),
- rätten för deltagare att få tillgång till uppgifterna och få fel rättade,
- rätten för deltagare att återkalla samtycke,
- att Högskolan Dalarna är personuppgiftsansvarig,
- kontaktuppgifter till dataskyddsombudet på högskolan,
- deltagarnas rätt att framföra klagomål till Integritetsskyddsmyndigheten, IMY.
Säkerhet, lagring och överföring
Vilken säkerhet som krävs beror på typen och mängden personuppgifter, samt hur de kommer att behandlas. Vid behandling av känsliga personuppgifter och extra skyddsvärda personuppgifter ställs till exempel högre krav, liksom om personuppgifterna behöver överföras via internet. Innan studien startar behöver därför en riskanalys göras och dokumenteras, till exempel i beskrivningen av metoden för studien.
Alla medarbetare har möjlighet att lagra insamlad data på högskolans centrala lagringssystem (det som kallas H- eller L-mapp). Detta rekommenderas särskilt vid behandling av känsliga personuppgifter. Där skyddas och säkerhetskopieras data regelbundet. Vid lagring lokalt på dator eller på mobila enheter som en mobiltelefon eller ett usb-minne måste forskaren själv säkerställa att personuppgifterna skyddas och säkerhetskopieras.
Läs mer om säkerhet, lagring och överföring
Kontakta dataskyddsombudet eller IT vid frågor kring detta.
Anmälan, ändring och avanmälan
Alla forskningsprojekt som behandlar personuppgifter ska anmäla detta till högskolans dataskyddsombud via avsedd digital blankett. Genom denna anmälan sker då också en diareföring.
Ändring eller avanmälan ska också göras via avsedd digital blankett.
Anledningen till anmälnings-/avanmälningskravet är att högskolan enligt dataskyddsförordningen är skyldig att föra ett register över alla pågående behandlingar på högskolan. För att kunna leva upp till detta behöver ombudet få in anmälan/avanmälan.
Anmälan av personuppgiftsbehandling i forskningsprojekt
Ändring eller avanmälan gällande behandlingen
Diarieföring och arkivering
Merparten av handlingarna i ett forskningsprojekt är allmänna handlingar och ska därför diarieföras. Som forskare ansvarar du själv för att diarieföra, gallra och arkivera de handlingar som är kopplade till din forskning.
När allmänna handlingar diarieförs arkiveras de automatiskt, men vissa typer av forskningsdata ska även överlämnas till arkivet i samband med projektavslut.
Information om allmänna handlingar, juridiskt stöd, forskningsdata och vetenskaplig publikation
Forskningsstöd
Högskolan Dalarnas forskningsstöd består av medarbetare från flera avdelningar inom verksamhetsstödet och inom en rad olika professioner. Avdelningen för stöd i utbildning och forskning samordnar arbetet, och bidrar till en systematisk kvalitetssäkring av högskolans forskningsverksamhet. I detta ingår även omställningen till ett öppet vetenskapssystem.
Högskolan Dalarnas forskningsstöd
Information om forskningsdata och personuppgifter
Forskningsdatastödet DAU (Data Access Unit)
Högskolans stöd kring hantering av forskningsdata består idag av kompetenser från bland annat arkiv och bibliotek. Dessa kompetenser finns samlade inom ramen för det högskolegemensamma forskningsstödet och arbetet sker inom gruppen forskningsdatastödet (Data Access Unit). Du kan vända dig dit om du till exempel har frågor om:
- upprättande av datahanteringsplaner,
- dokumentation av data under forskningsprocessen,
- val av lagringsplats för forskningsdata,
- val av filformat,
- arkivering av forskningsdata,
- publicering av forskningsdata,
- tillämpning av regelverk som rör hantering av forskningsdata.
Stöd och vägledning kring forskningsdata
Checklista och arbetsordning
Genom att gå igenom punkterna i den här checklistan kan du kontrollera om din studie lever upp till de krav som ställs vid behandling av personuppgifter. Har du därefter frågor kan du kontakta högskolans dataskyddsombud. Innan du använder checklistan bör du ta del av högskolans information på webben om behandling av personuppgifter.
- Personuppgifter: Kommer personuppgifter (uppgifter som på något sätt går att koppla till en person som är i livet) att behandlas helt eller delvis automatiserat, eller manuellt och sökbart via register?
Personuppgifter ska bara behandlas om det är nödvändigt för att utföra studien. Går det istället att använda anonyma uppgifter? Om uppgifterna är anonyma och inte på något sätt kan kopplas till en person omfattas inte uppgifterna av dataskyddsförordningen. I sådana fall behöver du inte använda dig av checklistan. Observera dock att kodade personuppgifter omfattas av dataskyddsförordningen så länge det finns en kodnyckel. - Känsliga personuppgifter och extra skyddsvärda personuppgifter: Kommer känsliga personuppgifter behandlas, det vill säga uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa, sexualliv eller sexuella läggning, genetiska uppgifter eller biometriska uppgifter? Kommer extra skyddsvärda personuppgifter behandlas, som till exempel personnummer, uppgifter om lön, skyddade personuppgifter, sekretessbelagda uppgifter, uppgifter om lagöverträdelser, uppgifter om sociala förhållanden och värderingar av personliga egenskaper behandlas?
Behandling av sådana uppgifter inom forskning kan kräva att det bedöms nödvändigt för studiens ändamål samt en godkänd etikprövning. Går det istället att uppnå samma ändamål med anonyma uppgifter? Se ovan. - Rättslig grund: Vilken rättslig grund kommer behandlingen baseras på? För forskning är den rättsliga grunden i normalfallet allmänt intresse och samtycke.
- Information: Är de registrerade informerade i enlighet med kraven i dataskyddsförordningen?
Följande ska framgå: Ändamål med behandlingen (forskning), rättslig grund för behandlingen (normalt allmänt intresse och samtycke), vilka som kommer att kunna ta del av uppgifterna (till exempel forskaren, forskargruppen, extern granskare), hur länge uppgifterna sparas (bevarande är utgångspunkt, men gallring kan ske efter 10 år), rätten för deltagare att få tillgång till uppgifterna och få fel rättade, rätten för deltagare att återkalla samtycke, att Högskolan Dalarna är personuppgiftsansvarig, kontaktuppgifter till dataskyddsombudet på högskolan (dataskydd@du.se), deltagarnas rätt att framföra klagomål till Integritetsmyndigheten (IMY). - Ändamålsbegränsning: Behandlas uppgifterna för särskilda, uttryckligt angivna och berättigade ändamål?
- Uppgiftsminimering: Är uppgifterna adekvata, relevanta och inte för omfattande i förhållande till ändamålet?
- Lagringsminimering: Hur länge ska uppgifterna lagras för ändamålet?
För forskning är utgångspunkten att insamlade uppgifter ska bevaras, men de kan också gallras. Dock tidigast efter 10 år. Kontakta arkivfunktionen vid frågor om bevarande/gallring (arkivarie@du.se). - Överföring till tredje land: Kommer uppgifter överföras utanför EU/EES?
Det är bara tillåtet i vissa fall. Använd de IT-tjänster högskolan tillhandahåller. Andra tjänster kan innebära otillåten överföring av personuppgifter. Kontakta dataskyddsombudet vid osäkerhet (dataskydd@du.se). - Personuppgiftsbiträde: Kommer tredje part att behandla personuppgifterna? Till exempel en leverantör av en IT-tjänst eller en samarbetspart?
Ett personuppgiftsbiträdesavtal behöver då upprättas. Använd de IT-tjänster högskolan tillhandahåller. Andra tjänster kan innebära att avtal behöver upprättas. Kontakta dataskyddsombudet vid osäkerhet (dataskydd@du.se). - Riskanalys: Har riskanalys gjorts och dokumenterats?
Analysera riskerna med behandlingen och dokumentera dina slutsatser, till exempel i metodbeskrivningen. Kan studiens utformning förändras för att minska riskerna? - Säkerhetsåtgärder: Har nödvändiga säkerhetsåtgärder vidtagits baserat på riskanalysen, och har dessa åtgärder dokumenterats, till exempel i metodbeskrivningen? Åtgärder kan vara inlåsning, lösenord, kryptering, säkerhetskopiering med mera.
- Konsekvensbedömning och förhandssamråd: Visar genomförd riskanalys att det behövs en konsekvensbedömning eller förhandssamråd på grund av särskilt allvarliga risker för registrerade? Dataskyddsombudet finns i så fall tillgängligt för råd och stöd.
- Anmälan: Är behandlingen av personuppgifter anmäld till högskolans dataskyddsombud via avsedd digital blankett ”Anmälan av personuppgiftsbehandling i forskningsprojekt”? Den digitala blanketten återfinns på högskolan webb.
Anledningen till anmälningskravet är att högskolan enligt dataskyddsförordningen är skyldig att föra ett register över alla pågående behandlingar på högskolan. För att kunna leva upp till detta behöver ombudet få in anmälan.
- Korrekthet: Säkerställ att behandlade uppgifter är korrekta.
- Registrerades rättigheter: Hantera eventuell begäran från deltagare om att tillvarata sina rättigheter, t.ex. återtagande av samtycke. Kontakta dataskyddsombudet vid frågor eller om det gäller andra rättigheter, till exempel registerutdrag. (dataskydd@du.se).
- Personuppgiftsincidenter: Rapportera direkt eventuella personuppgiftsincidenter, till exemepl förlust av uppgifter eller risk för obehörig åtkomst till uppgifter, via högskolans webb utifrån avsett digitalt kontaktformulär för dataskydd.
Kontakta dataskyddsombudet vid osäkerhet (dataskydd@du.se)
- Avsluta behandling: Arkivera uppgifterna, eller lagra dem säkert fram tills de ska gallras. Läs mer om hantering av forskningsdata på forskningsstödets webbsidor via högskolans webb.
- Avanmälan: Meddela dataskyddsombudet när behandlingen upphör via avsedd digital blankett ”Ändring eller avanmälan gällande behandlingen”. Den digitala blanketten återfinns på högskolans webb.