Forskningsdata och GDPR
Vad är GDPR?
EU:s allmänna dataskyddsförordning, eller GDPR, är en EU-förordning som reglerar all behandling av personuppgifter inom EU/EES. Den har till syfte att skydda individers grundläggande rättigheter och friheter, särskilt avseende integritet, och att upprätthålla en grundnivå av skydd som är densamma oavsett var inom EU/EES uppgifterna behandlas. Dataskyddsförordningen trädde i kraft 2018.
Även om GDPR gäller likvärdigt inom EU/EES kan förordningen överlåta ytterligare reglering till nationell lagstiftning. Det innebär att reglerna kan se olika ut i olika länder och att olika länder har olika sätt att arbeta med behandling av personuppgifter som kompletterar GDPR, vilket kan bli aktuellt vid internationella samarbeten.
Ett exempel gäller behandling av känsliga personuppgifter för forskningsändamål. GDPR kräver att ”särskilda skyddsåtgärder” ska finnas enligt nationell rätt för behandling av känsliga personuppgifter, men anger inte exakt hur dessa åtgärder ska se ut. I Sverige är det till exempel obligatoriskt med godkänd etikprövning hos Etikprövningsmyndigheten för att få behandla känsliga personuppgifter för forskningsändamål. Det är den skyddsåtgärd som den svenska lagstiftningen kräver, men andra länder kan ha andra skyddsåtgärder.
När gäller GDPR?
GDPR gäller när du behandlar personuppgifter inom EU/EES, oavsett var själva personuppgifterna kommer ifrån.
Behandling av personuppgifter för forskningsändamål anses ske inom den organisation där behandlingen utförs. Var personuppgifterna har samlats in spelar ingen roll – det kan till exempel handla om personuppgifter i forskningsdata som har samlats in i ett annat land. Den fysiska platsen som du för tillfället befinner dig på när du arbetar med personuppgifterna har inte heller någon betydelse för om behandlingen anses ske inom EU/EES eller inte.
Vilka lagar reglerar behandling av personuppgifter för svenska forskare?
Det här är några av de lagar som reglerar behandling av personuppgifter:
- DataskyddsförordningenÖppnas i en ny tabb (GDPR) reglerar all behandling av personuppgifter inom EU/EES. Behandling av personuppgifter i forskning kan vara allt från insamling, registrering, lagring och bearbetning till utlämning, spridning och radering av uppgifter.
- Dataskyddslagen (lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning)Öppnas i en ny tabb och förordning (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordningÖppnas i en ny tabb kompletterar dataskyddsförordningen med anpassningar till svensk rätt.
- Tryckfrihetsförordningen (1949:105)Öppnas i en ny tabb gäller eftersom mycket forskning sker på lärosäten som är myndigheter, vilket innebär att data i regel är allmänna handlingar.
- Offentlighets- och sekretesslagen (2009:400)Öppnas i en ny tabb reglerar om forskningsdata omfattas av sekretess och därför inte får lämnas ut. Lagen gäller också för några andra forskande organisationer som inte är myndigheter (se Bilaga i slutet av lagtexten).
- Etikprövningslagen (lag (2003:460) om etikprövning av forskning som avser människor)Öppnas i en ny tabb gäller bland annat om forskning ska göras på känsliga personuppgifter och viss forskning som avser människor.
- Lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskningÖppnas i en ny tabb innehåller bestämmelser om forskares och forskningshuvudmäns ansvar för att forskningen utförs i enlighet med god forskningssed.
- Arkivlagen (1990:782)Öppnas i en ny tabb innebär att myndigheter är skyldiga att bevara sina allmänna handlingar även om de innehåller personuppgifter.