Personuppgifter. Behandling av personuppgifter



Relevanta dokument
Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Personuppgiftsbehandling i forskning

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Personuppgiftsbehandling för forskningsändamål

PERSONUPPGIFTSLAGEN (PUL)

Personuppgiftslagen (PuL) - En kort introduktion

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Personuppgiftslagen konsekvenser för mitt företag

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

Regler för behandling av personuppgifter vid Högskolan Dalarna

Svensk författningssamling

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

Personuppgiftslagen PUL

Regler för behandling av personuppgifter enligt personuppgiftslagen

Riktlinjer för hantering av personuppgifter

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Lathund Personuppgiftslagen (PuL)

Personuppgiftslagen 20 april 2010

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

Personuppgiftsbiträdesavtal

SKARPNÄCKS STADSDELSFÖRVALTNING

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter

Personuppgifter i forskningen vilka regler gäller?

Bilaga Personuppgiftsbiträdesavtal

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Svensk författningssamling

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Behandling av personuppgifter vid Göteborgs universitet

ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL)

Integritetspolicy Våra Gårdar

Information till registrerade enligt personuppgiftslagen

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Rutin för webbpublicering av personuppgifter

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

GDPR. Ulrika Harnesk 17 oktober 2018


Kerstin Wardman, 25 april 2018

Etikprövningslagen. Reglering efter 2:a världskriget. Lagar som reglerar forskning i Sverige.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Riktlinjer för behandling av personuppgifter inom skolans område

Dataskyddsförordningen GDPR

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Etikprövningslagen. Reglering efter 2:a världskriget. Lagar som reglerar forskning i Sverige. Nürnbergskoden 1947

Riktlinjer för behandling av personuppgifter

Anmälan om att en utbildningsanordnare brister i arbetet med aktiva åtgärder

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

BILAGA Personuppgiftsbiträdesavtal

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

Dataskyddsförordningen 2018

Dataskyddsförordningen

PERSONUPPGIFTER SOM BEHANDLAS

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Personuppgiftslag (1998:204)

Dataskyddsförordningen

Pass 6 Forskningsjuridik

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Svensk författningssamling

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Policy för hantering av personuppgifter

Anmälan om att en arbetsgivare brister i arbetet med aktiva åtgärder

Personuppgiftspolicy

Riktlinjer för webbpublicering enligt PuL

Dataskyddsförordningen 2018

Kanslichef - Tillsvidare

Tillsyn enligt personuppgiftslagen (1998:204)

Anmälan om att en arbetsgivare brister i det förebyggande och främjande arbetet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Tillsyn enligt personuppgiftslagen (1998:204)- två forskningsprojekt vid Bristol-Myers Squibb AB

Behandling av känsliga personuppgifter i forskningen DATAINSPEKTIONENS RAPPORT 2003:1

Papperskopia av dokumentet endast giltigt med röd stämpel: Registrerad kopia.

PuL och GDPR en översiktlig genomgång

Tillsyn enligt personuppgiftslagen (1998:204)- två forskningsprojekt vid Novartis Sverige AB

Den nya Dataskyddsförordningen

Information om personuppgiftslagens tillämpning i Riksbanken

Behandling av personuppgifter

Kvalitetsregisterdag

Riktlinjer för att tillvarata enskildas rättigheter

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Samtycke och dataskyddsförordningen (GDPR)

För att tillvarata medlemmarnas enskildas rättigheter

Integritet, personuppgifter

Transkript:

Reviderad maj 2003 POLICYDOKUMENT från arbetsgruppen för forskningsetik vid ämnesrådet för medicin Personuppgifter För forskning på människor finns en omfattande reglering av såväl nationell som internationell karaktär. I den mån personuppgifter behandlas inom ramen för ett forskningsprojekt måste dessutom personuppgiftslagen (1998:204) PuL beaktas. Lagens syfte är att ge ett skydd mot att enskildas personliga integritet kränks genom sådan behandling. PuL grundar sig på EGdirektivet 94/46/EG av den 24 oktober 1995. Därutöver gäller personuppgiftsförordningen (1998:1191) PuF och bindande föreskrifter från Datainspektionen (DI). Några viktiga begrepp I 3 PuL ges en rad definitioner av i lagen förekommande begrepp. Med personuppgift avses sålunda, all slags information som, direkt eller indirekt, kan hänföras till en fysisk person som är i livet (3 PuL). Detta innebär att uppgifter om avlidna, eller ännu inte födda personer, inte omfattas av lagen. Däremot omfattas kodade uppgifter så länge det finns en kodnyckel bevarad med vars hjälp det är möjligt att identifiera enskilda individer. Det saknar därvid betydelse var och hos vem kodnyckeln förvaras. Detsamma gäller krypterade uppgifter. Har kodnycklarna förstörts kan man som regel inte härleda uppgifterna till enskild person. Då betraktas det inte längre som personuppgifter i PuL:s mening och lagen är följaktligen inte tillämplig. Om uppgifterna, trots att kodnyckeln förstörts, ändå går att härleda, får uppgifterna betraktas som personuppgift i lagens mening. 1 Vissa personuppgifter är av särskilt ömtålig natur. Dessa benämns i lagen som känsliga personuppgifter (13 PuL). Det är fråga om uppgifter som är av den arten att de avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt sådana personuppgifter som rör hälsa eller sexualliv. Alla uppgifter som rör hälsa betraktas som känsliga i lagens mening, oavsett vad det är för slags sjukdom. 2 När man på något sätt hanterar personuppgifter, antingen det sker på automatisk väg eller manuellt, betraktas det som behandling av personuppgifter. Behandling i lagens mening är alltså alla åtgärder som kan vidtas med personuppgifterna, exempelvis insamling, registrering, organisering, lagring, bearbetning och utlämnande genom översändande av personuppgifter (3 PuL). När det gäller manuell behandling är lagen emellertid endast tillämplig om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Den person som personuppgifterna gäller benämns i lagen som den registrerade. Ansvar och tillsyn Enligt 3 PuL är den personuppgiftsansvarig som ensam, eller tillsammans med andra, bestämmer ändamålen med och medlen för personuppgiftsbehandlingen. Den personuppgiftsansvarige har ett skadeståndssanktionerat ansvar för att behandlingen av personuppgifterna sker i enlighet med lagen (48 PuL). Därför är det av stor vikt att man i varje forskningsprojekt klargör vem eller vilka som har ansvaret. Detta får bedömas i varje fall för sig utifrån vem/vilka som faktiskt har bestämt över personuppgiftsbehandlingen. Finns det ett personuppgiftsombud kan det vara lämpligt att denne bistår med hjälp i frågan. Som regel är den juridiska person, eller myndighet, som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter

Policydokument från arbetsgruppen för forskningsetik vid ämnesrådet för medicin 2 [5] som skall behandlas och för vilket ändamål, personuppgiftsansvarig. Undantagsvis kan en fysisk person vara personuppgiftsansvarig, t ex en enskild företagare. Det är den juridiska personen som sådan, eller myndigheten, som anses som ansvarig, även om verksamheten bedrivs i filialer eller andra organisatoriska enheter. Den personuppgiftsansvarige kan till sin hjälp ha ett personuppgiftsbiträde vilken är den som behandlar personuppgifterna för den ansvariges räkning. I vissa fall finns ett personuppgiftsombud som självständigt har att se till att den personuppgiftsansvarige behandlar personuppgifterna på ett lagligt och korrekt sätt och i enlighet med god sed. Ombudet har också att påpeka eventuella brister för den personuppgiftsansvarige samt att, under vissa förutsättningar, göra anmälan om missförhållanden till Datainspektionen som är tillsynsmyndighet. Tillåten behandling För att behandling av personuppgifter över huvud taget skall vara tillåten enligt PuL krävs, enligt 10, antingen att den registrerade har lämnat sitt samtycke till behandlingen eller att behandlingen är nödvändig för någon av de situationer som räknas upp i bestämmelsen. Behandling är sålunda tillåten utan samtycke om den är nödvändig för att: a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet, c) vitala intressen för den registrerade skall kunna skyddas, d) en arbetsuppgift av allmänt intresse skall kunna utföras, e) den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Uppräkningen i bestämmelsen är uttömmande. Är det fråga om behandling av känsliga personuppgifter krävs dessutom behandlingen är tilllåten enligt 13 22 PuL, varom mera i det följande. Den registrerade har rätt att när som helst återkalla ett lämnat samtycke (12 PuL). Ytterligare personuppgifter om den registrerade får därefter inte behandlas. Behandlingen av redan insamlade uppgifter får emellertid, trots återkallelsen, fortsätta i enlighet med det ursprungligen lämnade samtycket, men uppgifterna får inte t ex uppdateras eller kompletteras. 3 Förbud mot behandling Oftast är behandling av känsliga personuppgifter, t ex rörande den enskildes hälsa, en förutsättning för forskningen. Som huvudregel är det dock förbjudet att behandla sådana personuppgifter (13 PuL). Lagen innehåller emellertid en rad undantag (14-20 PuL). Sålunda får känsliga personuppgifter behandlas om den registrerade lämnat sitt uttryckliga samtycke till behandlingen (15 PuL), för hälso- och sjukvårdsändamål (18 PuL) och för forskning och statistik (19 PuL). I det följande fokuseras dock enbart på 15 och 19. med informerat samtycke Känsliga personuppgifter får behandlas om den enskilde lämnat sitt uttryckliga samtycke till behandlingen eller om hon/han på ett tydligt sätt offentliggjort uppgifterna (15 PuL). Samtycket kan när som helst återkallas (12 PuL). Ett samtycke är varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den enskilde, efter att ha fått information, godtar behandlingen av personuppgifterna. Att samtycket skall

Policydokument från arbetsgruppen för forskningsetik vid ämnesrådet för medicin 3 [5] vara särskilt innebär, att ett generellt samtycke till behandling av personuppgifter inte kan godtas. Den enskilde skall informeras om en eller flera behandlingar och därefter samtycka till dessa specificerade behandlingar. 4 Med otvetydig viljeyttring avses att ett s k tyst samtycke inte kan godtas. Eftersom samtycket skall vara uttryckligt är den personuppgiftsansvariges antagande om den enskildes inställning till behandlingen av personuppgifterna inte tillräcklig. Inte heller kan den personuppgiftsansvarige utgå från att om den enskilde inte uttryckligen motsätter sig behandlingen så samtycker hon/han. Vidare måste samtycket omfatta själva personuppgiftsbehandlingen. Det är inte tillräckligt att den registrerade samtycker enbart till att delta i forskningsstudien som sådan. utan samtycke Känsliga personuppgifter får behandlas för forskningsändamål under de förutsättningar som anges i 19 PuL. Med forskning avses i första hand den verksamhet som bedrivs vid etablerade institutioner, såsom universitet och högskolor, eller privata väletablerade forskningsinstitut. För att betraktas som forskning i lagens mening måste det finnas ett samhällsintresse av att forskningen bedrivs och den måste vara vetenskaplig i någon mening. Känsliga personuppgifter får behandlas för forskningsändamål, om behandlingen är nödvändig för det aktuella forskningsändamålet (jfr 10 PuL). Är behandlingen nödvändig krävs vidare att samhällsintresset av det forskningsprojekt där personuppgiftsbehandlingen ingår, klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Denna avvägningsnorm innebär, att olika faktorer kring forskningsprojektet måste vägas mot intrånget i den enskildes personliga integritet. Normen ger uttryck för en restriktiv tillämpning och betonar att behandlingen måste vara nödvändig samtidigt som en intresseavvägning skall göras. Vid avvägningen skall det göras en helhetsbedömning av samtliga omständigheter. Bland annat bör beaktas forskningsprojektets vikt, behovet av personuppgifter, säkerheten vid behandlingen, hur pass kostsamt och tidsödande det skulle vara att hämta in samtycke, i vad mån den enskilde skulle kunna skadas om man begärde samtycke och om en kontakt med den enskilde skulle kunna förrycka undersökningsresultatet. Vid intresseavvägningen bör också beaktas om information i någon form lämnas till de berörda, t ex via anslag eller annonser. I de allra flesta fall bör åtminstone sådan information kunna lämnas. Även frågan i vilken utsträckning den som begär det skall ha rätt att bli struken bör beaktas vid avvägningen och i viss mån, hur pass svårt det är att på grund av de behandlade uppgifterna identifiera enskilda personer. 5 Det är i första hand den personuppgiftsansvarige som har att på eget ansvar tillämpa avvägningsnormen. Har behandlingen av de känsliga personuppgifterna, alltså inte forskningsprojektet som sådant, godkänts av en forskningsetisk kommitté anses förutsättningarna i 19 första stycket uppfyllda och behandlingen är därmed tillåten enligt PuL. I sådana fall anses inte den personuppgiftsansvarige behöva göra någon egen avvägning enligt normen. Har den forskningsetiska kommittén villkorat sitt godkännande måste villkoren följas för att behandlingen skall vara tillåten. Om det inte finns något samtycke från den enskilde och om behandlingen av personuppgifterna inte heller godkänts av en forskningsetisk kommitté skall anmälan göras till Datainspektionen för förhandskontroll senast tre veckor i förväg (10 p 1 PuF). Lägg märke till, att en sådan anmälan alltid skall göras när det gäller behandling av personuppgifter om genetiska anlag (10 p 2 PuF). Det är rekommendabelt att den forskningsetiska kommittén uttryckligen tar ställning till personuppgiftsbehandlingen i de forskningsprojekt som granskas. 6 Information Initiativ från den personuppgiftsansvarige En förutsättning för att skyddet av den personliga integriteten skall kunna förverkligas är att den som uppgifterna gäller informeras om de

Policydokument från arbetsgruppen för forskningsetik vid ämnesrådet för medicin 4 [5] behandlingar som utförs. Därför finns i lagen bestämmelser om när och vilken information som skall lämnas. Om uppgifterna samlas in direkt från den som deltar i forskningsprojektet har den personuppgiftsansvarige, enligt 23 PuL, skyldighet att självmant lämna information om behandlingen. Informationen skall lämnas i anslutning till insamlandet. Samlas uppgifterna in från någon annan källa (t ex från någon annan personuppgiftsansvarig genom samkörning av register eller muntligt, eller på något annat sätt såsom ur tidningar, från TV, radio eller Internet) är den personuppgiftsansvarige, som huvudregel, skyldig att självmant lämna information om behandlingen av uppgifterna när de registreras (24 ). Detta innebär i princip, att informationen skall lämnas i samband med att personuppgifterna matas in i en dator eller sorteras in i ett sådant manuellt register som omfattas av lagen. Kan det redan från början förutses att sådana uppgifter skall lämnas ut till tredje man skall den enskilde informeras då uppgifterna lämnas ut första gången. Den information som den personuppgiftsansvarige är skyldig att självmant tillhandahålla skall, enligt 25 PuL, omfatta: a) uppgift om den personuppgiftsansvariges identitet, b) uppgift om ändamålen med behandlingen, och c) all övrig information som behövs för att den registrerade skall kunna ta tillvara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information (26 PuL) och att få rättelse av felaktiga personuppgifter (28 PuL). Information om den personuppgiftsansvariges identitet bör innehålla uppgift om namn, adress, telefonnummer och i förekommande fall organisationsnummer och e-postadress. 7 Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål (9 c PuL). Ändamålen måste bestämmas redan när uppgifterna samlas in. Att ändamålen skall vara särskilda innebär att en alltför allmänt hållen ändamålsbestämning inte kan godtagas. 8 Mottagare är den till vilken personuppgifter lämnas ut (3 PuL). Därmed avses de personer och andra utanför den personuppgiftsansvariges organisation som kommer att ha tillgång till uppgifterna. Det är tillräckligt att ange vilka kategorier av mottagare som personuppgifterna lämnas ut till. 9 Det finns tre undantag från skyldigheten att självmant lämna information. Sålunda behöver information inte lämnas om sådant som den enskilde redan känner till (25 PuL). Har uppgifterna inhämtats från någon annan källa behöver information inte heller lämnas om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning eller om det visar sig vara omöjligt eller innebära en oproportionerligt stor arbetsinsats (24 PuL). För att garantera enskilda att man inte utsätts för åtgärder utan att man vet vilken uppgiftsbehandling som ligger bakom skall, oaktat nyss angivna undantag, information lämnas om uppgifterna skall användas för att vidta åtgärder som rör den registrerade. Informationen skall då lämnas senast i samband med åtgärden. Informationen kan lämnas muntligen eller skriftligen. Information efter ansökan från den registrerade Den personuppgiftsansvarige är skyldig att, efter ansökan, en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte (26 PuL). Behandlas personuppgifter skall skriftlig information lämnas också om: a) vilka uppgifter som behandlas, b) varifrån uppgifterna hämtats, c) ändamålen med behandlingen, och d) till vilka mottagare som uppgifterna lämnats ut. En ansökan om besked skall göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. Informationen skall lämnas inom en månad från det att ansökan gjordes. Finns särskilda skäl får informationen lämnas senast fyra månader efter ansökan.

Policydokument från arbetsgruppen för forskningsetik vid ämnesrådet för medicin 5 [5] 1 Se DI:s rapport 2002:4 s 6. 23 Se DI:s rapport 2002:4 s 9. 4 Regeringens proposition 1997/98:44 s 123. 5 Jfr DI-rapport 2002:4 s 12. 6 Regeringens proposition 1997/98:44 s 127. 8 DI allmänna råd om information till registrerade s 10. 9 DI-rapport 2002:4 s 16. 10 DI allmänna råd om information till registrerade s 10. 7 Datainspektionen har i rapport 2002:4, rörande personuppgifter i genforskning, konstaterat att det är sällan som etikkommittéerna uttryckligen tar ställning till personuppgiftsbehandlingen i de forskningsprojekt som granskas. Det framgår oftast inte heller om behandlingen av personuppgifter har omfattats av etikkommitténs bedömning. Detta innebär, att Datainspektionen i sina beslut förutsätter att behandlingen av personuppgifter inte har godkänts av den etiska kommittén. Datainspektionen menar, att om kommittén faktiskt tagit ställning till pers onuppgiftsbehandlingen, skulle det underlätta handläggningen om detta också framgick av beslutet. Eftersom en son uppgiftsbehandling som godkänts av en forskningsetisk kommitté utan vidare är tillåten enligt PuL skall Datainspektionen därför inte i samband med sin förhandskontroll göra en ny prövning enligt PuL. ARBETSGRUPPEN FÖR FORSKNINGSETIK VID ÄMNESRÅDET FÖR MEDICIN Arbetsgruppen för forskningsetik har till huvud uppgift att samordna arbetet i de regionala forsknings etikkommittéerna vid universitets sjukhusen, men fungerar också som policyorgan i forsknings etiska frågor. Mer information: www.vr.se/medicin

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss