Dataskyddsförordningen
Behandla personuppgifter för forskningsändamål
När ett företag ska behandla personuppgifter för forskningsändamål, måste företaget följa särskilda regler i GDPR. Detta gäller både vid behandling av personuppgifter för vetenskapliga eller historiska forskningsändamål.
Skillnaden mellan historiska forskningsändamål och vetenskapliga forskningsändamål
Undersökningar som är metodiska och systematiska, som avser att utveckla ny förståelse eller kunskap inom vissa specifika områden.
Forskning och därtill hörande arbete, som avser att förstå, bevara, analysera eller dokumentera historiska händelser, personer, förhållanden, situationer och liknande som inträffat förr i tiden.
Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder
Företag måste skydda de personuppgifter som behandlas genom att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Detta gäller även när ett företag ska behandla personuppgifter för forskningsändamål. Om det är möjligt att uppnå samma resultat genom anonyma uppgifter istället, bör personuppgifterna anonymiseras.
Exempel på tekniska säkerhetsåtgärder:
- Pseudonymisering eller anonymisering av personuppgifter.
- Tvåfaktorautentisering (2FA) vid inloggning till system med personuppgifter.
- Antivirus-skydd i enheter och program som behandlar personuppgifter.
Exempel på organisatoriska säkerhetsåtgärder:
- Sekretessavtal med personal som behandlar personuppgifter.
- Interna rutiner om behandling av personuppgifter och specifika situationer, såsom personuppgiftsincidenter.
- Behörighetsstyrning för att säkerställa att endast behöriga användare får åtkomst till personuppgifterna som blir behandlade i ett visst system.
Vanligt med gemensamt personuppgiftsansvar
Vid forskning är det normalt för två eller flera institutioner att samarbeta. Till exempel forskare från en institution från Finland som samarbetar med forskare från en institution i England. Det är viktigt att vid sådana fall bena ut rollerna mellan parterna. Det är inte ovanligt att det råder ett gemensamt personuppgiftsansvar vid forskning där flera institutioner är involverade. Det kan också råda ett självständigt personuppgiftsansvar för respektive institut, alternativt föreligga ett personuppgiftsbiträdeförhållande mellan instituten.
Är samtycke en vanlig rättslig grund att använda vid behandling av personuppgifter för forskningsändamål?
Nej, det är en komplex rättslig grund att stödja behandlingen på. Däremot kan det vara lämpligt i vissa fall, såsom illustrerat nedan gällande känsliga personuppgifter.
Är det tillåtet att behandla känsliga personuppgifter för forskningsändamål?
Det är inte tillåtet att behandla känsliga personuppgifter enligt huvudregeln i artikel 9 i GDPR. Däremot finns det undantag. För att få behandla känsliga personuppgifter för forskningsändamål måste den aktör som vill utföra behandlingen hitta ett tillämpligt undantag. Exempelvis att få ett uttryckligt samtycke till behandlingen av de känsliga personuppgifterna från den registrerade. Dessutom kan det finnas nationella lagar som reglerar specifika undantag. Observera att kraven på implementering av lämpliga tekniska och organisatoriska säkerhetsåtgärder är högre när behandlingen avser känsliga personuppgifter.
Behandla samma personuppgifter igen för forskningsändamål
Inom GDPR är huvudregeln att varje ny behandling kräver en ny rättslig grund, även fast företaget redan behandlar samma personuppgifter. Däremot finns det undantag. Exempelvis är det tillåtet med vidarebehandling utan någon ytterligare rättslig grund när det kommer till forskningsändamål. Med andra ord gäller samma regler som för arkiv av allmänt intresse för vidarebehandling för forskningsändamål.
Det kan finnas fler nationella lagar som måste iakttas vid behandling för forskning
Många länder inom EU har kompletterande nationella lagar som reglerar behandling av personuppgifter för forskningsändamål. Det är därför viktigt att ha kännedom om de nationella lagarna i landet som forskningen utförs i, för att följa dem.
GDPR - Dataskyddsförordningen
Behandling av personuppgifter inom skolor
Skolor inom EU/EES-området, både privata och statliga, behandlar personuppgifter inom sin verksamhet och därmed omfattas de av GDPR. Dessutom brukar de behandla personuppgifter som tillhör barn, vilket är en extra skyddsvärd målgrupp. Det är också vanligt att behandla känsliga personuppgifter, såsom anställdas och elevers eventuella allergier och sjukfrånvaro. Den lämpliga rättsliga grunden att använda beror på behandlingen. Samtycke brukar inte vara lämpligt eftersom det råder ett ojämlikt maktförhållande mellan eleverna och skolan. Offentliga skolor kan inte ha ett berättigat intresse för att behandla personuppgifter, eftersom det är förbjudet enligt GDPR. Däremot kan det vara tillåtet för privata skolor, men det är oftast olämpligt för dem också.