Snabbguide till dataskydd i forskning
Den här snabbguiden är ett stöd till dig som behandlar personuppgifter i din forskning.
Vid behov, läs mer om vad en personuppgift är och mer utförlig information om lagkraven. (När det hänvisas till medarbetarwebben i denna snabbguide är det dessa sidor som avses).
Steg 1: Rättslig grund och ändamål
Vilken rättslig grund?
Steg ett är att välja den rättsliga grund som möjliggör lättast hantering av dataskyddsreglerna för en studie. Valet av rättslig grund har en mycket nära koppling till formuleringen av ändamålet för behandlingen när det kommer till forskning. Ställ följande frågor om projektet:
- Kommer vi att använda personuppgifter i själva forskningen, det vill säga är personuppgifterna primärdata?
- Kommer vi att ha ett nära samarbete med studiedeltagarna?
Om svaret på de två första frågorna är ja är den lämpligaste rättsliga grunden att inhämta samtycke.
Om svaret är nej på framför allt den första frågan är den lämpligaste rättsliga grunden uppgift av allmänt intresse. Kom ihåg att identifiera var SLU får uppgiften som ska utföras. Det kan vara lag, kollektivavtal eller uppdrag från annan myndighet till exempel.
Om svaret är ja på den första frågan, men nej på den andra, kontakta alltid dataskydd@slu.se.
Valet av rättslig grund påverkar hur ändamålen med behandlingen får beskrivas. När du väljer samtycke kan du beskriva ändamålen med behandlingen på ett bredare sätt, exempelvis ”Vi behandlar personuppgifter för att forska om cancersjukdomar.” Det är dock bara vid samtycke som rättslig grund som detta är tillåtet. Detta ger större möjligheter att samla in och forska på personuppgifter innan man vet vad som kommer att visa sig i de data som samlas in.
Återtag av samtycke
Kom ihåg att en person som har lämnat sitt samtycke till personuppgiftsbehandling alltid har rätt att ta tillbaka samtycket utan att behöva lämna några skäl för detta. Därför är det viktigt att det finns dokumenterat hur samtycket har lämnats, vilka som lämnat det och vilka som tagit tillbaka det. Det är även viktigt att du slutar behandla och raderar personuppgifter om en person tar tillbaka sitt samtycke. Att en registrerad an ta tillbaka sitt samtycke gör alltså att användande av samtycke som rättslig grund medför viss administration.
Om du har personuppgifter i forskningen som inte utgör de forskningsdata som analyseras, så bör du reflektera kring vad personuppgifterna ska användas till. Om de bara ska användas till att kontakta en studiedeltagare rörande exempelvis dennes djur, eller annan egendom där provtagning görs, så är den enkelt att ange ändamålet med behandlingen; kontakt med studiedeltagaren.
Eftersom fördelarna med en bred ändamålsbeskrivning som diskuterades ovan (större möjligheter att samla in och forska på personuppgifter innan man vet vad som kommer att visa sig i de data som samlas in) inte är relevanta om ändamålet kan beskrivas snävt med enkelhet, medför det endast ökad administration och gör samtycke till ett mindre tilltalande val.
Figur 1 visar en sammanfattning av konsekvenserna av valet av rättslig grund.
Figur 1. Olika krav beroende på val av rättslig grund.
Behandlingens ändamål
När du har avgjort vilken rättslig grund som är lämpligast ska du beskriva ändamålet med behandlingen av personuppgifter. Det är nu viktigt att beskriva vad du ska göra med personuppgifterna. Om du endast använder personuppgifterna för att kontakta studiedeltagare, skriv det. Om du har gjort en enkät för att undersöka ett visst förhållande, skriv hur du hämtar in uppgifter med hjälp av enkäten och vad du ska analysera. Detta är del i hur du resonerar kring vilken roll själva personuppgifterna har i din forskning.
Några exempel på godkända snäva ändamålsbeskrivningar:
Från studentwebben
SLU behandlar personuppgifter för att
- säkra att uppgifter om sökande till utbildning, genomgångna studier, betyg över utbildningar och examina bevaras
- genomföra examination och plagiatkontroll
- registrera betyg, närvaro och andra uppgifter om genomgångna studier
- du ska kunna arbeta med lärare och andra studenter inom en kurs eller
program.
Från forskningsprojekt
“In order to conduct the research, we need to collect personal data from the residents of [area] regarding their perceptions and experience of their social environment. Some of the information discussed in the interviews may be considered personal sensitive data. The data will be collected for the following purposes:
- To analyse the interviews as part of a qualitative method and mixed methods analysis to inform the results and discussion for an MSc thesis. The results will also be compared against anonymised findings from [app] data in the [area] borough.
- The summary of key findings and themes will be provided to community groups interested in the research project and presented in any relevant community discussions. All the findings will be anonymised and not directly related to you as an individual.
- Following the completion of research and analysis, third parties may request the data to inform further research in the spirit of open science. The data will only be shared if the third party continues the research to benefit community needs. The data shared will be anonymised and therefore cannot be connected to you as an individual.“
”Vi sammanställer information om de strategier gällande beslutsfattande och riskhantering som svenska ägg- och slaktkycklingproducenter använder sig av för att möta förändrade förutsättningar inom lantbruket. Syftet med undersökningen är att skapa förståelse kring samt förbättra hållbarheten och motståndskraften inom jordbrukssektorn i EU.
Resultaten från undersökningen utgör ett viktigt informationsunderlag gällande jordbrukets motståndskraft och anpassningsförmåga som kan ha betydelse för den framtida svenska jordbrukspolitiken. Forskningsstudien är finansierad genom Europeiska unionens forsknings- och innovationsprogram Horizon 2020 enligt bidragsavtal nr 727520. För detta ändamål behöver vi samla in data via djupintervjuer med ett urval av lantbruksföretag. Informationen kommer att sammanställas i rapporter och vetenskapliga artiklar.”
Breda ändamål i forskningsprojekt
Om du använder samtycke som rättslig grund för personuppgiftsbehandlingen kan du formulera ändamålet betydligt bredare. Exakt hur generellt det får vara går ännu inte att säga, men i rådgivning har Integritetsskyddsmyndigheten sagt att ”vi behandlar personuppgifter för att bedriva medicinsk forskning” är för generellt, medan ”vi behandlar personuppgifter för att bedriva medicinsk forskning på cancer” är tillräckligt avgränsat.
OBS! Detta gäller endast om du har inhämtat den registrerades samtycke till personuppgiftsbehandlingen, vilket är något annat än samtycke till att delta i forskningsprojektet. På medarbetarwebben hittar du mallar för samtyckesblanketter. Det går även bra att inhämta samtycke på andra sätt, så länge de går att dokumentera.
Steg 2: Vilka personuppgifter behöver du samla in?
Det är viktigt att ha det klart för sig vilka uppgifter ni ska samla in och hur de behövs för att uppfylla ändamålet som ni har bestämt.
Steg 3: Informera den registrerade
Den registrerade har alltid rätt att få information om vilken behandling av deras personuppgifter som kommer att utföras. Det finns en mall för den här typen av information på medarbetarwebben. Informationen kan ges skriftligen, muntligen, via video eller på något annat sätt, så länge SLU kan bevisa att informationen har lämnats till den registrerade. Projektet kan ha en integritetspolicy på en webbsida eller så kan informationen lämnas tillsammans med övriga dokument som deltagaren får.
Om det rör sig om registerforskning eller annan forskning där du inte har direkt kontakt med registrerade och det finns väldigt många registrerade kan du istället enbart publicera informationstexten på webben. I så fall måste det finnas tydlig information om var personuppgifterna kommer från, vilka uppgifter som du har samlat in och vilka människors uppgifter som samlas in.
Steg 4: Registrera behandlingen
Om ditt forskningsprojekt innehåller personuppgifter ska du registrera det i SLU:s register över personuppgiftsbehandlingar. Du kan läsa mer om det på sidan om att registrera behandling av personuppgifter.
Steg 5: Se till att din behandling följer det du har sagt tidigare
Detta betyder att du måste se till att du endast gör det du har sagt att du ska göra med personuppgifterna. Om du kommer på nya ändamål för din behandling så måste du justera både din registrering och den information som du har lämnat till de registrerade.
Var dessutom uppmärksam på eventuella säkerhetsincidenter som till exempel försök till nätfiske (även känt som phishing) med e-post, intrång i en server eller om du råkar skicka dataset med mycket uppgifter till någon som inte ska ha det. Om något händer, rapportera det omgående till säkerhetsenheten via verktyget ”När något hänt” på medarbetarwebben.