Personuppgiftsbehandling i forskning 4 mars 2014 Victoria Söderqvist, jurist Datainspektionen
Personuppgiftslagen Bygger på dataskyddsdirektivet Generell lag bestämmelser i annan lag eller förordning gäller i stället för personuppgiftslagen
Undantag från personuppgiftslagen Undantag från hela lagen behandling för privata ändamål tryckfrihetsförordningen yttrandefrihetsgrundlagen Undantag från allt i lagen utom från säkerhetsbestämmelserna journalistiskt ändamål konstnärligt eller litterärt skapande
Personuppgifter All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. kodade uppgifter är personuppgifter så länge nyckeln finns kvar om bakvägsidentifiering är möjlig är det personuppgifter
Behandling Varje åtgärd, t.ex: insamling registrering organisering lagring bearbetning ändring återvinning inhämtande användande utlämnande spridning sammanställning samkörning blockering utplåning förstöring
Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen. forskningshuvudmannen inte den enskilde forskaren så snart personuppgifter behandlas finns någon eller några som är personuppgiftsansvariga måste bestämmas i varje enskilt fall
Eget ansvar Den personuppgiftsansvarige ska själv tolka och följa reglerna i personuppgiftslagen Tillstånd från Datainspektionen krävs inte
Personuppgiftsansvaret innebär bl.a. Skadeståndsrättsligt ansvar för att behandlingen sker i enlighet med personuppgiftslagen Straffrättsligt ansvar för att behandling inte görs i strid med vissa bestämmelser i personuppgiftslagen Ansvar för säkerheten
Personuppgiftsbiträde Behandlar personuppgifter för den personuppgiftsansvariges räkning Får bara behandla i enlighet med instruktioner Avtal ska finnas
Grundläggande krav Behandlingen laglig korrekt och i enlighet med god sed Ändamålen särskilda, uttryckligt angivna och berättigade ej behandla för ändamål som är oförenligt med ursprungliga ändamålet - men om personuppgifter behandlas för vetenskapliga ändamål anses det inte oförenligt med det ursprungliga ändamålet
Grundläggande krav (forts) Uppgifterna ska vara adekvata, relevanta, riktiga och aktuella inte fler än nödvändigt får ej bevaras längre än nödvändigt längre för vetenskapliga ändamål
Tillåten behandling Samtycke eller nödvändigt för a) avtal b) rättslig skyldighet c) skydda vitala intressen för den registrerade d) arbetsuppgift av allmänt intresse e) myndighetsutövning eller efter en f) intresseavvägning
Samtycke Viljeyttring som ska vara frivillig särskild otvetydig Tillräcklig information krävs Skriftligt, muntligt eller i form av konkludent handlande spelar ingen roll
Känsliga uppgifter Uppgifter som avslöjar ras eller etniskt ursprung politiska åsikter samt religiösa eller filosofiska övertygelser medlemskap i fackförening Uppgifter som rör hälsa och sexualliv
Förbud mot behandling av känsliga uppgifter Undantag Uttryckligt samtycke Eget offentliggörande Nödvändigt för arbetsrätten skydda vitala intressen fastställa, göra gällande eller försvara rättsliga anspråk Ideella organisationer (politiskt, religiöst, filosofiskt eller fackligt syfte) Hälso- och sjukvård Forskning utan samtycke om det finns godkännande av etikprövningsnämnd
Uttryckligt samtycke Finns grundläggande forskningsetiska krav på hur informerat samtycke ska ske och vad informationen ska innefatta Personuppgiftslagens bestämmelser gäller dessutom
Information som ska lämnas före samtycke Den personuppgiftsansvariges identitet (med kontaktinformation) Ändamålen med behandlingen, Övrigt för att den registrerade ska kunna ta tillvara sina rättigheter t.ex. mottagare av uppgifter rätt att ansöka om info (registerutdrag) rätt till rättelse
Ändamålen med behandlingen I regel samma som ändamålen med projektet Kan annars vara att bearbeta resultaten etc...
Mottagare den till vilken personuppgifter lämnas ut personer och andra utanför den personuppgiftsansvariges organisation som kommer att ha tillgång till personuppgifterna
Information/registerutdrag Skriftlig ansökan Gratis en gång per år Besked om personuppgifter behandlas eller ej Om personuppgifter behandlas skall information lämnas om: vilka uppgifter som behandlas varifrån uppgifterna har hämtats ändamålen med behandlingen mottagare av uppgifterna
Rättelse På begäran av den registrerade ska felaktiga uppgifter rättas
Undantaget för forskning i 19 i personuppgiftslagen innebär att det under viss förutsättning är tillåtet att behandla känsliga personuppgifter utan samtycke
Forskning utan samtycke Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. Etikprövningsnämnden ska ha tagit ställning till och godkänt att de känsliga personuppgifterna får behandlas utan samtycke. Under vilka förutsättningar det är möjligt att fatta ett sådant beslut framgår av etikprövningslagen.
Informations- och samtyckesprojektet Tillsyn av behandling av känsliga personuppgifter för forskningsändamål med stöd av samtycke 20 tillsynsobjekt Ca 50 forskningsprojekt
Informations- och samtyckesprojektet (forts) Brister - vem som är personuppgiftsansvarig - rätten till registerutdrag - rätten till rättelse - uttryckligt samtycke till personuppgiftsbehandlingen - olika brister hos samma personuppgiftsansvarig - vet inte med vilket stöd uppgifterna behandlas
Informations- och samtyckesprojektet (forts) Positiva erfarenheter - egen rättelse - positiva reaktioner - diskussion om hur besluten ska efterlevas - spridning av besluten
Datainspektionen Adress: Box 8114, 104 20 Stockholm Tel: 08-657 61 00 Fax: 08-652 86 52 E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se