Personuppgiftsbehandling i forskning

Transkript

1 Personuppgiftsbehandling i forskning 4 mars 2014 Victoria Söderqvist, jurist Datainspektionen

2 Personuppgiftslagen Bygger på dataskyddsdirektivet Generell lag bestämmelser i annan lag eller förordning gäller i stället för personuppgiftslagen

3 Undantag från personuppgiftslagen Undantag från hela lagen behandling för privata ändamål tryckfrihetsförordningen yttrandefrihetsgrundlagen Undantag från allt i lagen utom från säkerhetsbestämmelserna journalistiskt ändamål konstnärligt eller litterärt skapande

4 Personuppgifter All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. kodade uppgifter är personuppgifter så länge nyckeln finns kvar om bakvägsidentifiering är möjlig är det personuppgifter

5 Behandling Varje åtgärd, t.ex: insamling registrering organisering lagring bearbetning ändring återvinning inhämtande användande utlämnande spridning sammanställning samkörning blockering utplåning förstöring

6 Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen. forskningshuvudmannen inte den enskilde forskaren så snart personuppgifter behandlas finns någon eller några som är personuppgiftsansvariga måste bestämmas i varje enskilt fall

7 Eget ansvar Den personuppgiftsansvarige ska själv tolka och följa reglerna i personuppgiftslagen Tillstånd från Datainspektionen krävs inte

8 Personuppgiftsansvaret innebär bl.a. Skadeståndsrättsligt ansvar för att behandlingen sker i enlighet med personuppgiftslagen Straffrättsligt ansvar för att behandling inte görs i strid med vissa bestämmelser i personuppgiftslagen Ansvar för säkerheten

9 Personuppgiftsbiträde Behandlar personuppgifter för den personuppgiftsansvariges räkning Får bara behandla i enlighet med instruktioner Avtal ska finnas

10 Grundläggande krav Behandlingen laglig korrekt och i enlighet med god sed Ändamålen särskilda, uttryckligt angivna och berättigade ej behandla för ändamål som är oförenligt med ursprungliga ändamålet - men om personuppgifter behandlas för vetenskapliga ändamål anses det inte oförenligt med det ursprungliga ändamålet

11 Grundläggande krav (forts) Uppgifterna ska vara adekvata, relevanta, riktiga och aktuella inte fler än nödvändigt får ej bevaras längre än nödvändigt längre för vetenskapliga ändamål

12 Tillåten behandling Samtycke eller nödvändigt för a) avtal b) rättslig skyldighet c) skydda vitala intressen för den registrerade d) arbetsuppgift av allmänt intresse e) myndighetsutövning eller efter en f) intresseavvägning

13 Samtycke Viljeyttring som ska vara frivillig särskild otvetydig Tillräcklig information krävs Skriftligt, muntligt eller i form av konkludent handlande spelar ingen roll

14 Känsliga uppgifter Uppgifter som avslöjar ras eller etniskt ursprung politiska åsikter samt religiösa eller filosofiska övertygelser medlemskap i fackförening Uppgifter som rör hälsa och sexualliv

15 Förbud mot behandling av känsliga uppgifter Undantag Uttryckligt samtycke Eget offentliggörande Nödvändigt för arbetsrätten skydda vitala intressen fastställa, göra gällande eller försvara rättsliga anspråk Ideella organisationer (politiskt, religiöst, filosofiskt eller fackligt syfte) Hälso- och sjukvård Forskning utan samtycke om det finns godkännande av etikprövningsnämnd

16 Uttryckligt samtycke Finns grundläggande forskningsetiska krav på hur informerat samtycke ska ske och vad informationen ska innefatta Personuppgiftslagens bestämmelser gäller dessutom

17 Information som ska lämnas före samtycke Den personuppgiftsansvariges identitet (med kontaktinformation) Ändamålen med behandlingen, Övrigt för att den registrerade ska kunna ta tillvara sina rättigheter t.ex. mottagare av uppgifter rätt att ansöka om info (registerutdrag) rätt till rättelse

18 Ändamålen med behandlingen I regel samma som ändamålen med projektet Kan annars vara att bearbeta resultaten etc...

19 Mottagare den till vilken personuppgifter lämnas ut personer och andra utanför den personuppgiftsansvariges organisation som kommer att ha tillgång till personuppgifterna

20 Information/registerutdrag Skriftlig ansökan Gratis en gång per år Besked om personuppgifter behandlas eller ej Om personuppgifter behandlas skall information lämnas om: vilka uppgifter som behandlas varifrån uppgifterna har hämtats ändamålen med behandlingen mottagare av uppgifterna

21 Rättelse På begäran av den registrerade ska felaktiga uppgifter rättas

22 Undantaget för forskning i 19 i personuppgiftslagen innebär att det under viss förutsättning är tillåtet att behandla känsliga personuppgifter utan samtycke

23 Forskning utan samtycke Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. Etikprövningsnämnden ska ha tagit ställning till och godkänt att de känsliga personuppgifterna får behandlas utan samtycke. Under vilka förutsättningar det är möjligt att fatta ett sådant beslut framgår av etikprövningslagen.

24 Informations- och samtyckesprojektet Tillsyn av behandling av känsliga personuppgifter för forskningsändamål med stöd av samtycke 20 tillsynsobjekt Ca 50 forskningsprojekt

25 Informations- och samtyckesprojektet (forts) Brister - vem som är personuppgiftsansvarig - rätten till registerutdrag - rätten till rättelse - uttryckligt samtycke till personuppgiftsbehandlingen - olika brister hos samma personuppgiftsansvarig - vet inte med vilket stöd uppgifterna behandlas

26 Informations- och samtyckesprojektet (forts) Positiva erfarenheter - egen rättelse - positiva reaktioner - diskussion om hur besluten ska efterlevas - spridning av besluten

27 Datainspektionen Adress: Box 8114, Stockholm Tel: Fax: E-post: Webbplats: