Skip to main content

Personuppgifter & dataskydd: Forskare

På dessa sidor sammanfattas regelverket i Dataskyddsförordningen. Här finns även stöd i form av checklistor, blanketter och länkar till mer information.

Behandling av personuppgifter inom forskning

Behandling av personuppgifter inom forskning regleras från och med 25 maj 2018 av dataskyddsförordningen. Förordningen ersätter då den svenska personuppgiftslagen. En ny forskningsdatalag kommer också att reglera behandling av personuppgifter från och med detta datum, liksom i vissa delar även en ny dataskyddslag. På den här sidan finns information särskilt anpassad för forskare. Fördjupning finns på övriga sidor.

 

Etikprövning

Forskning regleras dessutom i lagen om etikprövning, som ställer krav på etikprövning i vissa fall. Bland annat vid behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser. Läs mer om etikprövning på Forskningsetiska nämndens (FEN:s) webbsida eller hos  Etikprövningsmyndighetens webbsida.

 

Behandlas personuppgifter i forskningsprojektet?

Personuppgifter är uppgifter som direkt eller indirekt kan kopplas till en levande fysisk person. Dit hör direkta uppgifter som namn, e-postadress och personnummer eller indirekta uppgifter som datorns ip-adress, mobilens platsdata eller kodade personuppgifter. Även en bild eller en ljudinspelning kan vara en personuppgift. Avgörande är att uppgiften, ensam eller i kombination med andra uppgifter, kan knytas till en levande person.

Dataskyddsförordningen gäller när personuppgifter behandlas helt eller delvis automatiserat, eller manuellt men kopplat till ett sökbart register. T.ex. vid användning av IT-system, databaser, webbenkäter, sociala medier eller ljud- och bildinspelningar. Deltagarna i studien har rätt att få information om behandlingen i enlighet med kraven i dataskyddsförordningen och personuppgifterna får bara användas för det ändamål som anges i informationen. Uppgifterna måste dessutom vara nödvändiga för ändamålet och får inte sparas längre tid än nödvändigt för att uppfylla syftet med studien. För forskningsdata är utgångspunkten bevarande, men data kan även gallras efter 10 år.

Om studien görs med anonyma uppgifter, där det inte på något sätt går att koppla informationen till person, omfattas den inte av dataskyddsförordningens krav. Observera att kodade eller pseudonymiserade personuppgifter är att se som personuppgifter så länge en kodnyckel finns kvar, och detta även om nyckeln förvaras av en annan myndighet.

 

Behandlas integritetskänsliga personuppgifter?

Som integritetskänsliga uppgifter räknas känsliga personuppgifter och uppgifter om lagöverträdelser. Känsliga personuppgifter är uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, sexualliv eller sexuella läggning, genetiska uppgifter eller biometriska uppgifter. Uppgifter om lagöverträdelser rör brott, domar, straff och frihetsberövanden.

För att den typen av uppgifter ska få behandlas inom forskning krävs att det bedöms nödvändigt för studiens ändamål samt en godkänd etikprövning. Det ställs dessutom särkilt stränga krav på hanteringen av uppgifterna.

 

Grund för behandlingen

Forskning kan normalt grundas på samtycke eller att det är nödvändig behandling för att utföra en uppgift av allmänt intresse.

 

Samtycke

Det är viktigt att samtycket är frivilligt, och utan tvekan något den registrerade godkänt, efter att först ha fått tydlig information om vad behandlingen av personuppgifterna kommer innebära. Samtycket ska därmed vara utformat så att det även innebär samtycke till behandlingen av personuppgifter, inte bara samtycke till deltagande i studien. För att kunna bevisa ett samtycke bör det vara skriftligt. Samtycket kan när som helst tas tillbaka och inga fler uppgifter får då behandlas.

 

Informera deltagarna om behandlingen av personuppgifter

Deltagarna har förutom information om studien rätt till information om vilka personuppgifter som kommer behandlas och hur. Följande måste enligt dataskyddsförordningen framgå av informationen till deltagarna:

  • Ändamål med behandlingen (forskning),
  • rättslig grund för behandlingen (normalt samtycke eller allmänt intresse),
  • vilka som kommer kunna ta del av uppgifterna (t.ex. forskaren, en forskargrupp och eventuell granskare).
  • hur länge uppgifterna sparas (bevarande är utgångspunkten för forskningsdata, men gallring är möjlig efter 10 år),
  • rätten för deltagare att få tillgång till uppgifterna och få fel rättade,
  • rätten för deltagare att återkalla samtycke,
  • att Högskolan Dalarna är personuppgiftsansvarig,
  • kontaktuppgifter till dataskyddsombudet på högskolan (dataskydd@du.se),
  • deltagarnas rätt att framföra klagomål till Datainspektionen.

 

Säkerhet, lagring & överföring

Vilken säkerhet som krävs beror på typen och mängden personuppgifter, samt hur de kommer att behandlas. Vid behandling av känsliga personuppgifter ställs t.ex. högre krav, liksom om personuppgifterna behöver överföras via internet. Innan studien startar behöver därför en riskanalys göras och dokumenteras, t.ex. i beskrivningen av metoden för studien.

Alla medarbetare har möjlighet att lagra insamlad data på högskolans centrala lagringssystem (det som kallas H- eller L-mapp). Detta rekommenderas särskilt vid behandling av känsliga personuppgifter. Där skyddas och säkerhetskopieras data regelbundet. Vid lagring lokalt på dator eller på mobila enheter som en mobiltelefon eller ett usb.minne måste forskaren själv säkerställa att personuppgifterna skyddas och säkerhetskopieras.

Läs mer om säkerhet, lagring och överföring under rubriken Säkerhet & överföring. Kontakta dataskyddsombudet eller IT vid frågor kring detta.

 

Anmälan

Alla forskningsprojekt som behandlar personuppgifter ska anmäla detta till högskolans dataskyddsombud. Blankett för detta finns till höger. 

Anledningen till anmälningskravet är att högskolan enligt dataskyddsförordningen är skyldig att föra ett register över alla pågående behandlingar på högskolan. För att kunna leva upp till detta behöver ombudet få in anmälan.