2.1.1 Forskning på personuppgifter

Dataskyddsförordningen omfattar all hantering av personuppgifter men vissa delar skall kompletteras genom nationell lag. För den som forskar är det därför nödvändigt att ha kunskap om ytterligare lagar, särskilt Lagen om etikprövning. Syftet med denna lag är att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Vidare finns den mer generella Dataskyddslagen (2018:218) som introducerades tillsammans med Dataskyddsförordningen 180525. Det är viktigt att komma ihåg att Dataskyddsförordningen reglerar behandlingen av personuppgifter och att forskning som bedrivs utan användning av personuppgifter inte omfattas (Lagen om etikprövning omfattar huvudsakligen personuppgifter men även ingrepp på avlidna människor vilket inte Dataskyddsförordningen gör). Finns det en möjlighet att med rimliga medel nå sitt forskningsmål utan att använda personuppgifter skall personuppgifter inte användas. Detta innebär också att det regelverk som finns kring behandling av personuppgifter inte är tillämpligt och den praktiska hanteringen blir lättare (notera att beroende på forskningens art kan det finnas annan lagstiftning som måste följas).

Utgångspunkten i Dataskyddsförordningen är att den enskilde personen äger sina egna personuppgifter och att andra endast får behandla (samla in, lagra, bearbeta mm.) uppgifterna om man har fått lov från den enskilde (samtycke) eller har annan laglig grund för behandling (t.ex. uppgift av allmänt intresse, myndighetsutövning, avtal). Därför måste man innan behandling säkerställa att man har rätt att hantera personuppgifterna. Om man har rätt att behandla personuppgifterna, ska behandlingen ske i enlighet med gällande regler och instruktioner. Det är du som önskar att behandla personuppgifterna som har att säkerställa att det finns laglig grund samt att behandlingen sker i enlighet med gällande regler och instruktioner. Det är här lämpligt att påminna om de sex principer som ligger till grund för all behandling av personuppgifter dvs att behandlingen är laglig, korrekt och öppen mot den registrerade, att ändamålet med behandlingen är klart, att de uppgifter som hanteras är korrekta, att inte fler uppgifter än nödvändigt samlas in, att inte uppgifterna behandlas längre än nödvändigt och att lämpliga säkerhetsåtgärder finns på plats.