Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet mats.gustavsson@ki.se tfn. 524 864 73, 070 568 64 73
Personuppgiftslagen (PuL) i kraft sedan 1998 Syfte: skydda människor mot att deras personliga integritet kränks vid behandling av personuppgifter Lagen bygger på gemensamma regler som har beslutats inom EU Dataskyddsdirektiv 95/46/EG 17 nov 2 2015
Definitioner Personuppgift all slags information som direkt eller indirekt kan hänföras till en person som är i livet; ex-vis namn, adress, personnummer, fotografi etc. OBS! Även kodade uppgifter är pu om nyckel finns någonstans. Behandling av personuppgift allt man gör med uppgifterna; ex-vis insamling, inhämtande, bearbetning, registrering, lagring, utlämnande, samkörning, radering, förstörande etc. Personuppgiftsansvarig den som ensam eller tillsammans med annan bestämmer hur pu behandlas, vanligtvis juridisk person. Mats Gustavsson 20 november 2015 3
Definitioner forts... Personuppgiftsbiträde den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsombud fysisk person som, efter förord- nande av den personuppgiftsansvarige, ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt. Tredje land ingår inte i EU eller är ansluten till EES Mats Gustavsson 20 november 2015 4
Grundläggande krav (9 PuL) När är behandling av pu tillåten? Pu får behandlas endast om det är lagligt ska behandlas korrekt och i enlighet med god sed får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål (ex LifeGene) får inte behandlas för något ändamål oförenligt med det för vilket de samlades in inte fler pu än som är nödvändigt med hänsyn till ändamålen med behandlingen inte sparas för längre tid än som är nödvändigt med hänsyn till ändamålen med behandlingen Från p. 3, 4 och 6 finns undantag gällande bl. a behandling för vetenskapliga ändamål Mats Gustavsson 20 november 2015 5
Tillåten behandling av pu (PuL 10 ) Personuppgift får behandlas bara om den registrerade lämnar sitt samtycke eller om det är nödvändigt för att den personuppgiftsansvarige a) fullgöra ett avtal med den registrerade b) fullgöra rättslig skyldighet c) skydda ett vitalt intresse för den registrerade d) utföra arbetsuppgift av allmänt intresse (t. ex forskning) e) utföra arbetsuppgift i samband med myndighetsutövning f) tillgodose ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige, om detta intresse efter avvägning väger tyngre än den registrerades intresse för skydd mot kränkning av dennes personliga integritet (t. ex forskning) Mats Gustavsson 20 november 2015 6
Förbud mot att behandla s k känsliga personuppgifter (PuL 13 ) Det är förbjudet att behandla personuppgifter som avslöjar - ras eller etniskt ursprung, - politiska åsikter, - religiös eller filosofisk övertygelse, eller - medlemskap i fackförening. Det är också förbjudet att behandla personuppgifter som rör hälsa eller sexualliv. dock Mats Gustavsson 20 november 2015 7
Känsliga personuppgifter får dock behandlas (PuL 15-22 ) - uttryckligt samtycke 15, - eget offentliggörande 15, - behandling inom arbetsrätten 16, - skydda vitala intressen 16, - försvara eller fastställa rättsliga anspråk 16, - hälso- och sjukvårdsändamål 18, - forsknings- och statistikändamål 19. Behandling i strid med 13-20 kan enl. 49 leda till böter eller t o m fängelse Mats Gustavsson 20 november 2015 8
Forskning utan samtycke (från forskningspersonen) (PuL 19 ) Personuppgifter får behandlas för forskningsändamål, om behandlingen av personuppgifterna anses nödvändig på sätt som sägs i PuL 10 och om samhällsintresset av det forskningsprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i den enskildes personliga integritet som behandlingen kan innebära. Har behandlingen av personuppgifterna godkänts av en Regional Etikprövningsnämnd anses dessa förutsättningar uppfyllda. Mats Gustavsson 20 november 2015 9
Samtycke Känsliga personuppgifter får behandlas, om den registrerade har lämnat sitt uttryckliga samtycke eller på ett tydligt sätt själv offentliggjort uppgifterna (PuL 15 ) Samtycket ska vara - en otvetydig viljeyttring, - frivilligt, - särskilt, dvs. individuellt, - informerat, dvs. ges efter att information har lämnats till den vars uppgifter ska registreras om att, hur, var osv. behandling av pu sker. Anhörig kan inte lämna samtycke för annan beslutsför vuxen Mats Gustavsson 20 november 2015 10
Information till den registrerade - Ändamålet/syftet med behandlingen av pu, - Frivilligt att deltaga + rätten av avbryta deltagande, - Explicit vem som är personuppgiftsansvarig (+ kontaktuppgifter), - Vilka pu som samlas in och hur länge de sparas, - Om uppgifter kodas, - Den registrerades rättigheter; utdrag, rättelse, utplåning m.m, - Ev. förvarig av prover i Biobank, - Sekretess (att pu är sekretesskyddade och inte lämnas ut till ngn obehörig), - Om pu skickas till samarbetspartner (till vem, hur, varför, vilka pu som skickas. Var noga med att ange detta om pu ska delas med mottagare i s k 3:e land). + givetvis hur forskningsstudien går till rent praktiskt osv. Mats Gustavsson 20 november 2015 11
Användande av personnummer (PuL 22 ) Samtycke eller om det är klart motiverat med hänsyn till - Ändamålet med behandlingen, - Vikten av säker ID, - Något annat beaktansvärt ändamål Mats Gustavsson 20 november 2015 12
Etikprövning Forskning som innebär behandling av känsliga pu ska alltid bedömas (och godkännas) av en Regional etikprövningsnämnd. Prövningen ska omfatta dels själva forskningsprojektet, dels behandlingen av personuppgifter enligt PuL. Notera att forskning som inte har påbörjats senast 2 år efter godkännande, upphör att gälla. Mats Gustavsson 20 november 2015 13
Checklista personuppgifter i forskningen - Är det personuppgifter som ska behandlas i studien? - Är behandlingen tillåten enligt PuL? - Vilken information ska lämnas till forskningspersonerna? - Finns samtycke till behandlingen enligt PuL? - Om känsliga pu ska behandlas godkännande från EPN - Anmäl pu-behandlingen till personuppgiftsombudet! Mats Gustavsson 20 november 2015 14