Lagar.seRegisterLag om vissa forskningsdatabaser2 kap. Behandling av personuppgifter

2 kap. Behandling av personuppgifter

Ur Lag (2024:1146) om vissa forskningsdatabaser

Sammanfattning

Det lärosäte som för en forskningsdatabas är personuppgiftsansvarigt för den behandling av personuppgifter som utförs i verksamheten med forskningsdatabasen (1 §).

Personuppgifter får bara behandlas i en forskningsdatabas om den registrerade har samtyckt till det, om inte annat följer av denna lag (4 §).

Den registrerade har rätt att när som helst återta sitt samtycke till att hans eller hennes personuppgifter behandlas i en forskningsdatabas (8 §).

Känsliga personuppgifter får behandlas i verksamheten med en forskningsdatabas om det är nödvändigt för de ändamål som anges i 2, 3 och 5 §§, men genetiska uppgifter och personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får dock bara behandlas i en forskningsdatabas om regeringen har meddelat föreskrifter om det (11 §).

Denna sammanfattning är förenklad. Läs originaltexten nedan för fullständig information.

Vanliga frågor

Måste den enskilde godkänna att personuppgifter behandlas i en forskningsdatabas?

Personuppgifter får bara behandlas i en forskningsdatabas om den registrerade har samtyckt till det, om inte annat följer av denna lag (4 §).

Går det att ångra ett lämnat samtycke till att personuppgifter behandlas?

Den registrerade har rätt att när som helst återta sitt samtycke till att hans eller hennes personuppgifter behandlas i en forskningsdatabas. Om den registrerade återtar sitt samtycke får uppgifter om den registrerade därefter inte behandlas för att lämnas ut till forskningsprojekt (8 §).

Vad gäller för uppgifter som samlats in med vårdnadshavares samtycke när den registrerade blir myndig?

Personuppgifter som samlats in med samtycke från den registrerades vårdnadshavare får bara fortsätta behandlas efter att den registrerade blivit myndig om den registrerade informerats om behandlingen och inte uttryckligen motsätter sig den. Informationen ska vara direkt riktad till den registrerade och lämnas senast den 1 mars året efter det att den registrerade fyllt 18 år. Informationen behöver inte lämnas om den personuppgiftsansvarige inte med rimliga ansträngningar kan nå den registrerade (7 §).

Lagtext

1 §

Det lärosäte som för en forskningsdatabas är personuppgiftsansvarigt för den behandling av personuppgifter som utförs i verksamheten med forskningsdatabasen.

2 §

Personuppgifter får samlas in och i övrigt behandlas i verksamhet med en forskningsdatabas för de övergripande ändamålen att 1. skapa underlag för flera framtida forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen, 2. lämna ut uppgifter till sådana forskningsprojekt som anges i 1, och 3. lämna ut uppgifter till forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen även om projekten redan påbörjats innan forskningsdatabasen inrättats. Regeringen får meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till.

3 §

Personuppgifter som samlats in och behandlas enligt 2 § får därutöver bara behandlas för 1. utlämnande som anges i 3 kap. 2, 3 och 5 §§, och 2. arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål när de inte längre behövs för ändamål som avses i 2 § första stycket.

4 §

Personuppgifter får bara behandlas i en forskningsdatabas om den registrerade har samtyckt till det, om inte annat följer av denna lag.

5 §

I verksamheten med en forskningsdatabas får det utan samtycke samlas in och behandlas sådana personuppgifter som är nödvändiga för att kunna identifiera och kontakta en person i en urvalsgrupp med förfrågan om medverkan i forskningsdatabasen. Sådan behandling får inte pågå under längre tid än vad som är nödvändigt.

6 §

Kompletterande insamling av uppgifter från andra källor än de som angavs redan i samband med att samtycke till behandling i forskningsdatabasen lämnades får göras utan samtycke bara om den registrerade informerats om insamlingen och inte uttryckligen motsätter sig denna.

7 §

Personuppgifter som samlats in med samtycke från den registrerades vårdnadshavare får bara fortsätta behandlas efter att den registrerade blivit myndig om den registrerade informerats om behandlingen och inte uttryckligen motsätter sig den. Sådan information om uppgifter som samlats in med samtycke från den registrerades vårdnadshavare och om möjligheten att motsätta sig den ska vara direkt riktad till den registrerade och lämnas senast den 1 mars året efter det att den registrerade fyllt 18 år. Informationen behöver inte lämnas om den personuppgiftsansvarige inte med rimliga ansträngningar kan nå den registrerade.

8 §

Den registrerade har rätt att när som helst återta sitt samtycke till att hans eller hennes personuppgifter behandlas i en forskningsdatabas. Om den registrerade återtar sitt samtycke får uppgifter om den registrerade därefter inte behandlas för att lämnas ut till forskningsprojekt. Om den registrerade begär det ska den personuppgiftsansvarige underrätta de personuppgiftsansvariga för de forskningsprojekt som uppgifterna om den registrerade har lämnats ut till om att den registrerade har återtagit sitt samtycke till behandling av personuppgifter i forskningsdatabasen.

9 §

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskydds-förordning ska en person, innan han eller hon lämnar samtycke enligt 4 § eller i samband med att han eller hon får sådan information som avses i 7 §, även informeras om 1. att all registrering och medverkan i verksamheten vid forskningsdatabasen är frivillig och att en registrerad när som helst kan avbryta sin medverkan helt eller delvis, och återta sitt samtycke samt om effekten av att samtycket återtas enligt 8 §, 2. vilka slags uppgifter som får registreras i forskningsdatabasen, 3. att en registrerad kommer att informeras om kompletterande insamling av uppgifter enligt 6 § blir aktuell och på vilket sätt sådan information kommer att lämnas, 4. de sekretess- och säkerhetsbestämmelser som gäller för forskningsdatabasen, 5. sin rätt att begära att få information om vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut till, 6. vilken myndighet som har tillsyn över att behandlingen av personuppgifter sker på ett lagenligt sätt, och 7. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § dataskyddslagen till skadestånd vid behandling av personuppgifter i strid med denna lag.

10 §

I en forskningsdatabas får det i fråga om personuppgifter bara finnas 1. uppgifter som den registrerade har lämnat i syfte att de ska ingå i forskningsdatabasen, 2. uppgifter om eller i form av upptagningar som den registrerade har medverkat till i syfte att de ska ingå i forskningsdatabasen, 3. uppgifter om, och resultatet från, undersökningar som den registrerade har genomgått i syfte att resultatet ska ingå i forskningsdatabasen, 4. kontaktinformation till den registrerade, 5. kompletterande uppgifter om den registrerade som har inhämtats från andra källor, 6. kategoriseringar av sådana uppgifter som avses i 1-5, 7. identitetsbeteckningar för de registrerade (kodnycklar eller motsvarande information för identifiering), och 8. uppgifter om utlämnande som har skett till forskning.

11 §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g och j i EU:s dataskyddsförordning behandlas i verksamheten med en forskningsdatabas om det är nödvändigt för de ändamål som anges i 2, 3 och 5 §§. Genetiska uppgifter och personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får dock bara behandlas i en forskningsdatabas om regeringen har meddelat föreskrifter om det.

12 §

Den som arbetar vid ett lärosäte där det finns en verksamhet med en forskningsdatabas får ta del av personuppgifter i den verksamheten endast om han eller hon arbetar i verksamheten och behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter med forskningsdatabasen.

13 §

Den personuppgiftsansvarige ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till personuppgifter om registrerade i verksamheten med en forskningsdatabas. Sådan åtkomst ska begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter i verksamheten med forskningsdatabasen.

14 §

Den personuppgiftsansvarige ska se till att elektronisk åtkomst till personuppgifter dokumenteras och kan kontrolleras. Den personuppgiftsansvarige ska göra systematiska och återkommande kontroller av den i första stycket upprättade dokumentationen i syfte att kontrollera om någon obehörigen kommit åt personuppgifter i forskningsdatabasen.

15 §

I offentlighets- och sekretesslagen (2009:400) finns bestämmelser om sekretess för huvudmän för en forskningsdatabas och för anställda och uppdragstagare hos en sådan huvudman i verksamhet med forskningsdatabasen.