Personuppgifter i forskningsdata

Forskningsdata som innehåller personuppgifter ska hanteras i enlighet med Dataskyddsförordningen och annan relevant svensk lagstiftning. De viktigaste författningarna som reglerar hanteringen av personuppgifter i forskning är:

  • Dataskyddsförordningen (GDPR) - reglerar hantering av personuppgifter och integritetsskydd. GDPR är en EU-gemensam förordning som i svensk lagstiftning även kompletteras av Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

  • Lag om etikprövning av forskning som avser människor (2003:460) reglerar forskning som avser känslig personlig information om människor och biologiskt material.

Universitetets information om dataskyddsförordningen (GDPR) redogör för vilka krav GDPR ställer när personuppgifter behandlas i forskning.

Uppgifter i forskningsdata som kan hänföras till en levande person kan vara av två slag:

  • Direkta personuppgifter är uppgifter som tydligt och direkt identifierar en person. Det kan vara namn, personnummer, fotografier, adresser, biometriska data eller ljudinspelningar.

  • Indirekta personuppgifter är uppgifter i ett dataset som i kombination med varandra eller med annan tillgänglig information möjliggör identifiering av en individ. Exempel som kan förekomma i forskningsdata är socioekonomiska uppgifter på detaljnivå, geografisk information som postnummer eller bostadsort, hushållets sammansättning eller uppgift om sällsynt sjukdom. Även information som har kodats, krypterats eller pseudonymiserats, men som kan kopplas till en fysisk person med hjälp av kompletterande uppgifter är enligt GDPR personuppgifter.

Data med direkta personuppgifter bör kodas genom pseudonymisering om det är möjligt. Direkta identifierare som exempelvis namn eller personnummer ersätts då med en kod och kodnyckeln ska förvaras separat och säkert.

Om data anonymiseras så att det inte längre är möjligt att på något sätt koppla uppgifter till enskilda personer definieras informationen enligt dataskyddsförordningen inte längre som personuppgifter. GDPR ställer dock höga krav för att data ska anses vara anonymiserade och det påverkar förutsättningarna att dela och publicera den typen av data.

Personuppgifter ska skyddas mot åtkomst av obehöriga med organisatoriska och tekniska åtgärder. De måste därför lagras och bearbetas på ett säkert sätt. Vid misstanke om att något inträffat som gör att personuppgifter har kommit i orätta händer eller förstörts kontakta omgående it-incident@uu.se och rapportera möjlig personuppgiftsincident. Se även hantering av personuppgiftsincidenter.

Universitetet är normalt personuppgiftsansvarig för personuppgifter som hanteras i forskning vid lärosätet och personuppgiftsbehandling ska alltid anmälas. Om data med personuppgifter hanteras och/eller lagras hos extern part utanför universitetet måste ett personuppgiftsbiträdesavtal upprättas med den parten. Tänk på att överföring av personuppgifter till tredjeland (utanför EU/EES-området) endast får göras om mottagarlandet säkerställer en hög skyddsnivå för uppgifterna.

Med undantag för doktorandstuderande ansvarar universitetet inte för data som studenter samlar in eller genererar. Men lärosätet ansvarar för den behandling av personuppgifter som studenter genomför inom ramen för sin utbildning.

Behandling av känsliga personuppgifter är förbjuden enligt dataskyddsförordningen, men kan vara tillåten för forskningsändamål efter godkänd etikprövning. En viktig del i ansökan om etikprövning är att redogöra för hur information (data) om forskningspersonerna kommer att hanteras och skyddas mot obehörig åtkomst.

Vid frågor om hantering av personuppgifter kontakta universitetets dataskyddsombud eller Juridiska avdelningen.

Se även: Tillstånd och etisk prövning

Samtycke

Innan forskningspersoner involveras i ett projekt ska de informeras om forskningen och sin medverkan och fritt kunna välja om de vill medverka eller inte. Forskningspersoner måste även ge sitt samtycke till att uppgifterna om dem (data) behandlas. I informationen ska det vara tydligt vilka personuppgifter som samlas in samt hur de kommer att behandlas och lagras. Informationen till forskningspersonerna bör även hänvisa till universitetets dataskyddspolicy.

Tänk på att du som forskare inte kan lova att de uppgifter (data) som samlas in får absolut sekretess eller att det bara är du eller andra projektdeltagare som kommer att kunna ta del av uppgifterna. Använd istället formuleringar som anger att inga obehöriga kommer att få ta del av uppgifterna. Se Etikprövningsmyndighetens rekommendation om utformning av information till forskningspersoner.

FÖLJ UPPSALA UNIVERSITET PÅ

facebook
instagram
youtube
linkedin