Dataskyddsförordningen

[Sidan är under bearbetning]

EU:s dataskyddsförordning (GDPR, General Data Protection Regulation) trädde i kraft 25 maj 2018. Förordningen reglerar skyddet för enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Dataskyddsförordningen innebär vissa förändringar jämfört med den tidigare svenska personuppgiftslagen (1998:204) som nu är upphävd.

Bland annat förstärks rättigheterna för den som personuppgifterna avser och skyldigheterna skärps för den som behandlar personuppgifterna. Den som bryter mot förordningens regler kan få höga sanktionsavgifter. Det finns också bestämmelser om ansvarsskyldighet, det vill säga att den som behandlar personuppgifter ska kunna visa att reglerna efterlevs. Detta innebär i praktiken att det är viktigt att dokumentera alla ställningstaganden som görs. 

EU:s dataskyddsförordning kompletteras med ett antal nationella lagstiftningar. I Sverige finns lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, även kallad dataskyddslagen. Dataskyddslagen anger bland annat att även myndigheter kan få betala sanktionsavgifter om de bryter mot reglerna i dataskyddsförordningen. 
 
Det finns ett skydd för den personliga integriteten också i svensk grundlag, i regeringsformen, samt i offentlighets- och sekretesslagen (OSL). Lite förenklat kan man säga att både OSL och dataskyddsförordningen gäller samtidigt men reglerar olika situationer. Dataskyddsförordningen gäller all personuppgiftsbehandling i all verksamhet, oavsett vad som görs med uppgifterna, medan OSL aktiveras när uppgifter som berörs av sekretess ska lämnas ut eller delas med andra utanför en offentlig verksamhet (en sekretessgräns ska passeras). Dataskyddsförordningen berör enbart personuppgifter medan OSL reglerar vad som omfattas av sekretess, vilket kan beröra även andra uppgifter än personuppgifter. 

Du kan läsa mer om de grundläggande principerna på Integritetsskyddsmyndighetens webbplats

Grundläggande principer

I dataskyddsförordningens artikel 5 finns ett antal grundläggande principer som kan sägas vara kärnan i förordningen. Principerna gäller för all personuppgiftsbehandling, och man bör alltid ha principerna i bakhuvudet när man arbetar med personuppgiftsbehandling.

  • Principen om laglighet, korrekthet och öppenhet: Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt. Detta uppfylls bland annat genom att fastställa en rättslig grund för behandlingen. Kravet på korrekthet innebär att behandlingen ska vara rimlig och proportionerlig i förhållande till de registrerade. Öppenhetskravet uppfylls genom att de registrerade får information om behandlingen (informationskravet). 
  • Principen om ändamålsbegränsning: Uppgifterna får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får inte senare behandlas på ett sätt som är oförenligt med ändamålen. 
  • Principen om uppgiftsminimering: Uppgifterna som ska behandlas är adekvata, relevanta och inte för omfattande i förhållande till ändamålet. 
  • Principen om riktighet: Uppgifterna som behandlas ska vara riktiga och aktuella. Uppgifter som är felaktiga för ändamålet måste kunna raderas eller korrigeras, vilket ställer krav på den teknik som används för bearbetning och lagring. 
  • Principen om lagringsminimering: Uppgifterna ska inte förvaras under längre tid än nödvändigt för ändamålet. Undantag görs för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål och statistiska ändamål. 
  • Principen om integritet och konfidentialitet: Uppgifterna ska behandlas på ett säkert sätt, som skyddar mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada. 
  • Principen om ansvarsskyldighet: Det ska finnas en personuppgiftsansvarig som ansvarar för och kan visa att dessa principer efterlevs. Detta kan uppfyllas genom att till exempel upprätta en dataskyddspolicy, informera de registrerade, utse ett dataskyddsombud och genom att utföra konsekvensbedömningar [en risk- och sårbarhetsanalys] vid särskilt riskfyllda behandlingar. 

Rättslig grund för personuppgiftsbehandling i forskning

All behandling av personuppgifter måste ha stöd i någon av de rättsliga grunder som räknas upp i artikel 6 i dataskyddsförordningen. Utgångspunkten är att behandling av känsliga personuppgifter är förbjuden. För lärosäten och universitet, som är myndigheter, är det nästan utan undantag den rättsliga grunden allmänt intresse som är aktuell vid personuppgiftsbehandling i samband med forskning. Eftersom lärosäten och universitet har ett författningsreglerat uppdrag att bedriva forskning är personuppgiftsbehandlingen nödvändig för att utföra en uppgift av allmänt intresse, vilket alltså utgör den rättsliga grund behandlingen stödjer sig på. 

Även samtycke kan vara en rättslig grund för personuppgiftsbehandling. Myndigheter kan dock endast i sällsynta fall använda sig av samtycke som rättslig grund. Anledningen till detta är att det råder betydande ojämlikhet mellan den enskilda registrerade och myndigheten. Även förhållandet mellan en enskild forskningsperson och en forskningshuvudman (vanligtvis ett lärosäte) kan vara präglat av en sådan obalans. För att ett samtycke ska vara giltigt får det inte finnas någon form av beroendeställning mellan forskningspersonen och lärosätet. (Med forskningsperson avses den person som ingår i en forskningsstudie. Olika vetenskapliga discipliner använder olika benämningar på deltagare i studier, exempelvis informant, respondent eller intervjuobjekt.) 

Oavsett vilken rättslig grund som används så måste alltid forskningspersonerna få klar och tydlig information om behandlingen av personuppgifterna och vilka rättigheter de har. Rättigheterna innebär bland annat att de ska få information om när och hur deras personuppgifter behandlas och att de ska ha kontroll över sina egna uppgifter. 

OBS! Den rättsliga grunden samtycke i dataskyddsförordningens mening är inte kopplat till samtycket till att medverka i forskningen enligt etikprövningslagen (2003:460), se Etikprövning