GDPR Event Research Issues: Sensitive personal data PETER HÖGLUND

GDPR Event Research Issues: Sensitive personal data PETER HÖGLUND

Disclaimer observera Although the GDPR is already in force, much is still unclear Some of the statements of this presentation may be become invalid over time Trots att GDPR redan skall tillämpas är det fortfarande mycket som är oklart En del av det som sägs i den här presentationen kan komma att ändras med tiden

GDPR Special categories / särskilda kategorier eller känsliga personuppgifter Article 9 Processing of special categories of personal data 1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation shall be prohibited. 2. Paragraph 1 shall not apply if one of the following applies: (j) processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) based on Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject. Artikel 9 Behandling av särskilda kategorier av personuppgifter 1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. Punkt 1 ska inte tillämpas om något av följande gäller: j) Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

GDPR Scientific research / vetenskapliga forskningsändamål Article 89 Safeguards and derogations relating to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes 1. Processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, shall be subject to appropriate safeguards, in accordance with this Regulation, for the rights and freedoms of the data subject. Those safeguards shall ensure that technical and organisational measures are in place in particular in order to ensure respect for the principle of data minimisation. Those measures may include pseudonymisation provided that those purposes can be fulfilled in that manner. Where those purposes can be fulfilled by further processing which does not permit or no longer permits the identification of data subjects, those purposes shall be fulfilled in that manner. Artikel 89 Skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål 1. Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

Research forskning The Swedish Government has stated that research is a task of public interest, cf. Article 6.1 e processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller Regeringens bedömning är att forskning är en uppgift av allmänt intresse, jfr artikel 6.1 e Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning

Ethical vetting etikprövning The stipulations concerning ethical vetting on humans are to be found in The Act (2003:460) concerning the Ethical Review of Research Involving Humans» The Statute (2003:615) concerning the Ethical Review of Research Involving Humans» The Statute (2007:1069) with instructions for Regional Ethical Review Boards» The Statute (2007:1068) with instructions for the Central Ethical Review Board

The ethical review act etikprövningslagen The purpose of the act is to protect individuals and human dignity when research is conducted The law applies to research, carried out in Sweden, that includes e.g. Handling of sensitive personal data (e.g. health issues) Physical interventions (e.g. surgery, medicinal products) Biological material (e.g. from biobanks)

The ethical review act An important section of the act states that Research may only be approved if the risks to which the subject of the research is exposed are counterbalanced by its scientific value. Confer e.g. the Declaration of Helsinki, see www.wma.net

Ethical approval etikgodkännande Ethical approval after vetting according to the Ethical review act gives the necessary support in national law to allow for handling of sensitive personal data in research, cf. Article 6.1 e processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller Etikgodkännande enligt etikprövningslagen ger det stöd som krävs i nationell rätt för att behandling av känsliga personuppgifter skall vara tillåten, jfr artikel 6.1 e Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning

GDPR old informed consent / gammalt informerat samtycke (171) Directive 95/46/EC should be repealed by this Regulation. Processing already under way on the date of application of this Regulation should be brought into conformity with this Regulation within the period of two years after which this Regulation enters into force. Where processing is based on consent pursuant to Directive 95/46/EC, it is not necessary for the data subject to give his or her consent again if the manner in which the consent has been given is in line with the conditions of this Regulation, so as to allow the controller to continue such processing after the date of application of this Regulation. Commission decisions adopted and authorisations by supervisory authorities based on Directive 95/46/EC remain in force until amended, replaced or repealed. (171) Direktiv 95/46/EG bör upphävas genom denna förordning. Behandling som redan pågår den dag då denna förordning börjar tillämpas bör bringas i överensstämmelse med denna förordning inom en period av två år från det att denna förordning träder i kraft. Om behandlingen grundar sig på samtycke enligt direktiv 95/46/EG, är det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna fortsätta med behandlingen i fråga efter det att denna förordning börjar tillämpas, om det sätt på vilket samtycket gavs överensstämmer med villkoren i denna förordning. Beslut av kommissionen som antagits och tillstånd från tillsynsmyndigheterna som utfärdats på grundval av direktiv 95/46/EG ska fortsatt vara giltiga tills de ändras, ersätts eller upphävs.