Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Varför juridiska regelverk? Skapa rättssäkerhet Skapa förutsebarhet Behov av att balansera intressen 2013-10-14 2

Nationell lagstiftning Personuppgiftslagen (1998:204) Lagen om etikprövning av forskning som avser människor (2003:460) Offentlighets- och sekretesslagen (2009:400) 2013-10-14 3

Övrig rättslig reglering Europeiska statistikförordningen (Reg (EC) No 223/2009) 1 april 2009 (preambel 26): Forskarens tillgång till konfidentiella uppgifter i vetenskapligt syfte bör förbättras, men med bibehållen hög skyddsnivå för konfidentiella statistiska uppgifter Förordning om forskares tillgång till konfidentiella uppgifter för vetenskapliga syften (Reg No 831/2002) Europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (artikel 8) Dataskyddsdirektivet (95/46/EG)

Sekretess och integritetsfrågor Personuppgiftslagen och etikprövningslagen Reglerar när och hur personuppgifter får hanteras Innehåller vissa grundläggande bestämmelser om hanterandet Offentlighets- och sekretesslagen Det regelverk som styr om och hur uppgifter får lämnas ut

Vad är en personuppgift? All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. 2013-10-14 6

Ändamålet (9 ) Ändamålet Särskilt och uttryckligt angivet Bestäms vid insamlandet Avgränsar behandlingen Databaser med generella ändamål för framtida forskning inte möjliga 2013-10-14 7

Tillåten behandling (10 ) Samtycke eller nödvändigt för: - arbetsuppgift av allmänt intresse - efter intresseavvägning 2013-10-14 8

Känsliga personuppgifter (13 ) Uppgifter som avslöjar - ras eller etniskt ursprung - politiska, religiösa och filosofiska åsikter - medlemskap i fackförening Uppgifter som rör - hälsa och sexualliv Får endast behandlas för forskningsändamål efter godkännande av etkprövningsnmänd 2013-10-14 9

Samtycke (3 ) Viljeyttring som skall vara - frivillig - särskild - otvetydig - ges efter tillräcklig information - skriftligt eller muntligt Uttryckligt (om känsliga personuppgifter) 2013-10-14 10

Information ska lämnas självmant (23-24 ) När uppgifterna samlas in direkt från den registrerade När uppgifterna inte samlas in direkt från den registrerade - Undantag: - lagstadgad registrering - omöjligt eller oproportionerligt stor arbetsinsats 2013-10-14 11

Information ska lämnas efter ansökan (26 ) Registerutdrag Gratis en gång per kalenderår Information skall lämnas om: vilka uppgifter som behandlas varifrån uppgifterna har hämtats ändamålen med behandlingen mottagare av uppgifterna Den registrerade skall ansöka skriftligt hos den personuppgiftsansvarige 2013-10-14 12

Sanktioner (48-49 ) Skadestånd Straff (böter eller fängelse upp till 2 år) lämnar osann uppgift till registrerad eller DI behandlar känsliga uppgifter i strid mot lagen lämnar ut personuppgifter till tredje land i strid mot lagen underlåter att anmäla behandling till DI 2013-10-14 13

IT-säkerhet (31 ) Lämpliga tekniska och organisatoriska åtgärder tekniska möjligheter kostnad risker känslighet hos uppgifterna 2013-10-14 14

Sekretess För att hålla en allmän handling hemlig ska det finnas en utrycklig bestämmelse i offentlighets- och sekretesslagen eller en annan lag dit lagen hänvisar 2013-10-14

Sekretess Sekretess gäller normalt i en myndighets verksamhet Sekretessen följer inte med uppgifterna om det inte är särskilt föreskrivet i offentlighets- och sekretesslagen 2013-10-14

Överföring av sekretess Får myndighet i sin forskningsverksamhet från annan myndighet uppgift som är sekretessbelagd där gäller sekretessen också hos den mottagande myndigheten. 2013-10-14 17

Statistiksekretess Uppgifter som samlas in för statistikändamål är enligt huvudregeln hemliga/sekretessbelagda. Sekretessen gäller oavsett från vilken källa uppgifterna samlas in. 2013-10-14

24 kap. 8 offentlighets- och sekretesslagen Sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgifter som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde Uppgifter som behövs för forsknings- och statistikändamål och uppgifter som inte genom namn etc. (eller därmed jämförbara) är direkt hänförliga till den enskilde får lämnas ut om det står klart att uppgifterna kan röjas utan skada eller men 2013-10-14

Skada eller men Med skada avses ekonomisk skada och med men avses integritetskränkningar av olika slag 2013-10-14

Två saker att bedöma För det första Sannolikheten för att någon kan identifieras För det andra Om de uppgifter som kan hänföras till enskild kan medföra skada eller men 2013-10-14

Intressanta faktorer Detaljeringsgraden Typen av uppgifter Populationens sammansättning Populationens storlek Antalet observationer Tidsaspekter Geografiska förhållanden 2013-10-14 22

SCB:s policy I princip lämnas endast avidentifierade uppgifter ut för statistikframställan och forskning - för särskilda specificerade projekt - med begränsning till de variabler som behövs för det angivna projektet Avidentifierade uppgifter kan i vissa fall lämnas ut för utredningsändamål 2013-10-14 23

Här kan du läsa mer Broschyren Personuppgifter i forskningen vilka regler gäller? www.scb.se www.datainspektionen.se SCB:s sekretesspolicy www.scb.se 2013-10-14 24