Forskning
Rättslig grund
I dataskyddsförordningen kan personuppgifter behandlas för forskningsändamål med stöd av de rättsliga grunderna samtycke eller allmänt intresse.
Informera de registrerade
De registrerade har rätt att känna till att och hur deras personuppgifter behandlas. Informera därför alltid när du samlar in personuppgifter, till exempel genom enkäter, intervjuer, eller olika typer av databaser och register, samt när någon begär det.
Läs mer om information till de registrerade
Särskilda skyddsåtgärder
Personuppgifter som behandlas för forskningsändamål ska normalt pseudonymiseras (kodas), så att personuppgifterna inte kan härledas till den registrerade utan tillgång till kompletterande information (kodnyckel). Kodnyckeln bör förvaras tekniskt och organisatoriskt åtskilt.
I det fall ändamålet med forskningen inte kan uppnås genom pseudonymisering, behöver personuppgifterna inte pseudonymiseras. Men då måste andra, lämpliga, skyddsåtgärder vidtas istället.
Känsliga personuppgifter
Forskning som innebär att känsliga personuppgifter ska behandlas kräver alltid en godkänd ansökan om etikprövning. En godkänd ansökan om etikprövning krävs också i vissa andra fall, till exempel forskning om lagöverträdelser. För mer information, se etikprövningslagen.
Det är den som är ansvarig för forskningen vid högskolan som ansvarar för att ansöka om etikprövning. I det fall det inte finns ett dokumenterat ansvar för forskningen, ansvarar den chef inom vars ansvarsområde forskningen bedrivs för ansökan om etikprövning.
Personuppgiftsansvarig
Inom ramen för forskning som bedrivs tillsammans med externa aktörer är det inte alltid givet vem som är personuppgiftsansvarig. Eftersom den som är personuppgiftsansvarig kan vara ansvarig för de andra parternas behandling av personuppgifter inom forskningen, är det viktigt att det är klart och tydligt vem som ansvarar för de olika behandlingarna inom forskningen och att dataskyddsförordningen följs.
Den som är ansvarig för forskningen vid högskolan har därför att dokumentera vem som är personuppgiftsansvarig för hela eller delar av forskningen. I det fall det inte finns ett dokumenterat ansvar för forskningen, ansvarar den chef inom vars ansvarsområde forskningen bedrivs för att dokumentera personuppgiftsansvaret.
Läs mer om personuppgiftsansvariga och personuppgiftsbiträden
Rutiner och instruktioner
Forskning kan innehålla stora mängder information, och inte sällan är det flera inblandade i forskningen som det finns behov av att utbyta information med. Ju mer information och fler parter som är inblandade, desto mer komplicerat blir det att tillämpa och säkerställa att dataskyddsförordningen och andra relevanta regelverk följs. Hänsyn kan också behöva tas till inblandade parters olika rättsliga och tekniska förutsättningar. Det är därför viktigt med ordning och reda, och att det finns tydliga rutiner och instruktioner som talar om hur informationen ska hanteras.
Den som är ansvarig för forskningen vid högskolan ansvarar för att det finns dokumenterade rutiner och instruktioner för hur personuppgifter inom forskningen samlas in, registreras, lagras, delas, arkiveras och raderas, och att berörda känner till dessa. I det fall det inte finns ett dokumenterat ansvar för forskningen, ansvarar den chef inom vars ansvarsområde forskningen bedrivs för dokumentationen.