GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Forskrift om vern av personopplysninger

Behandle personopplysninger for forskningsformål

Ved behandling av personopplysninger for forskningsformål må et selskap overholde spesifikke regler fastsatt i GDPR. Dette gjelder både for behandling av personopplysninger for vitenskapelige eller historiske forskningsformål. 

Skille mellom historiske forskningsformål og vitenskapelige forskningsformål

Formål med vitenskapelig forskning

Metodiske og systematiske studier designet for å utvikle ny forståelse eller kunnskap på bestemte områder.

Historiske forskningsformål

Forskning og beslektet arbeid som har til hensikt å forstå, bevare, analysere eller dokumentere historiske hendelser, personer, forhold, situasjoner og lignende som har skjedd tidligere.

Iverksette hensiktsmessige tekniske og organisatoriske sikkerhetstiltak

Bedrifter må beskytte personopplysningene som behandles ved å implementere passende tekniske og organisatoriske sikkerhetstiltak. Dette gjelder også når et selskap skal behandle personopplysninger for forskningsformål. Der det er mulig å oppnå samme resultat med anonyme data i stedet, bør personopplysningene anonymiseres.

Eksempler på tekniske sikkerhetsforanstaltninger:

  • Pseudonymisering eller anonymisering av personopplysninger. 
  • To-faktor autentisering (2FA) når du logger inn på personlige datasystemer. 
  • Antivirusbeskyttelse i enheter og programvare som behandler personopplysninger.

Eksempler på organisatoriske sikkerhetstiltak:

  • Avtaler om taushetsplikt med ansatte som behandler personopplysninger. 
  • Interne prosedyrer for behandling av personopplysninger og spesifikke situasjoner, for eksempel brudd på personopplysninger. 
  • Myndighetsstyring for å sikre at bare autoriserte brukere har tilgang til personopplysningene som behandles i et gitt system.

Felles med felles kontroll

Når det gjelder forskning, er det normalt at to eller flere institusjoner samarbeider. For eksempel samarbeider forskere fra en finsk institusjon med forskere fra en institusjon i England. I slike tilfeller er det viktig å skille rollene mellom partene. Felles kontroll er ikke uvanlig i forskning som involverer flere institusjoner. I tillegg kan det være et selvstendig behandlingsansvar for de respektive institusjonene, eller det kan være et databehandlerforhold mellom institusjonene. 

Er samtykke et felles rettslig grunnlag som skal brukes ved behandling av personopplysninger til forskningsformål?

Nei, samtykke er et komplekst rettslig grunnlag for å støtte behandlingen. På den annen side kan det i visse tilfeller være hensiktsmessig, som illustrert nedenfor i forhold til sensitive personopplysninger .  

Er det tillatt å behandle sensitive personopplysninger for forskningsformål?

Behandling av sensitive personopplysninger er ikke tillatt etter hovedregelen i artikkel 9 i GDPR. Det finnes imidlertid unntak. For å kunne behandle sensitive personopplysninger til forskningsformål må den aktøren som ønsker å gjennomføre behandlingen, finne et aktuelt unntak. For eksempel for å få uttrykkelig samtykke til behandling av sensitive personopplysninger fra den registrerte. I tillegg kan det være nasjonale lover som regulerer spesifikke unntak. Vær oppmerksom på at kravene til implementering av hensiktsmessige tekniske og organisatoriske sikkerhetstiltak er høyere når behandlingen gjelder sensitive personopplysninger. 

Behandle de samme personopplysningene på nytt for forskningsformål

Innen GDPR er den generelle regelen at enhver ny behandling krever et nytt rettslig grunnlag, selv om selskapet allerede behandler de samme personopplysningene. Det finnes imidlertid unntak. For eksempel er videre behandling uten ytterligere rettslig grunnlag tillatt for forskningsformål. Det gjelder med andre ord de samme reglene som for allmenne interessearkiver for videre behandling til forskningsformål. 

Det kan være flere nasjonale lover som må overholdes ved behandling for forskning

Mange EU-land har utfyllende nasjonale lover som regulerer behandling av personopplysninger for forskningsformål. Det er derfor viktig å kjenne de nasjonale lovene i landet der forskningen utføres for å overholde dem. 

GDPR – Forskrift om vern av personopplysninger

Behandling av personopplysninger i skolen

Skoler i EU/EØS, både private og offentlige, behandler personopplysninger i forbindelse med sin virksomhet og omfattes derfor av GDPR. I tillegg behandler de vanligvis personopplysninger om barn, som er en ekstra målgruppe verdig beskyttelse. Det er også vanlig å behandle sensitive personopplysninger, som mulige allergier og sykefravær hos ansatte og elever. Riktig rettslig grunnlag for bruk avhenger av behandlingen. Samtykke er vanligvis ikke hensiktsmessig fordi det er et ulikt maktforhold mellom studenter og skolen. Offentlige skoler kan ikke ha en legitim interesse i å behandle personopplysninger, da det er forbudt i henhold til GDPR. På den annen side kan det være tillatt for private skoler, men det er vanligvis upassende for dem også. 

Lyst til å lære mer?

Les mer
Skroll til toppen