Webbläsaren som du använder stöds inte av denna webbplats. Alla versioner av Internet Explorer stöds inte längre, av oss eller Microsoft (läs mer här: * https://www.microsoft.com/en-us/microsoft-365/windows/end-of-ie-support).

Var god och använd en modern webbläsare för att ta del av denna webbplats, som t.ex. nyaste versioner av Edge, Chrome, Firefox eller Safari osv.

Forskning

Hantering av personuppgifter inom forskning

Den rättsliga grund för att hantera personuppgifter inom forskning, är nästan alltid att det är en uppgift av allmänt intresse. Det innebär att det är tillåtet att hantera personuppgifter om det är nödvändigt för ett forskningsprojekt.

Tänk på att:

  • I vissa fall krävs det ett etikgodkännande, till exempel om du hanterar känsliga personuppgifter. Läs mer om detta på sidorna för forskningsetik: 
    Forskningsetik
     
  • Om en part utanför universitetet anlitas för att hantera data, till exempel en leverantör av IT-tjänster, så ska det finnas ett personuppgiftsbiträdesavtal. 
    Personuppgiftsbiträdesavtal
     
  • Personuppgifterna ska lagras på ett säkert sätt. Behöver du dela uppgifter med kollegor ska det också ske på ett säkert sätt. Här hittar du information om lagringslösningar vd Lunds universitet och om informationssäkerhet: 
    IT-tjänster och lagring
    Informationssäkerhet 
     
  • Arkivlagen och offentlighetsprincipen gäller även för forskningsdata. Läs mer om hantering av forskningsdata här: 
    Hantering av forskningsdata

Vilka personuppgifter får behandlas?

Beroende på forskningsprojektets ändamål, bestämmer du vilken typ av personuppgifter som ska behandlas. Det är endast tillåtet att samla in och behandla personuppgifter som är nödvändiga för att forskningsprojektet ska kunna genomföras.

Uppgifter som är helt anonymiserade är inte personuppgifter och för dem gäller inte dataskydds­lagstiftningen. Uppgifterna ska då vara helt avidentifierade. Detta innebär att det inte finns någon nyckel och att det inte går att identifiera individerna även om man lägger ihop de olika uppgifter som hanteras.

OBS! Om uppgifterna är kopplade till individer när de samlas in och anonymiseras först i ett senare skede, gäller dataskyddslagstiftningen fram till dess att uppgifterna är helt anonymiserade.

PULU - anmälan av personuppgiftsbehandling

Alla forskningsprojekt där personuppgifter hanteras ska anmälas till PULU – Personuppgifter Lunds universitet. Detta gäller också om du har anmält ditt forskningsprojekt tidigare.

Detta är framför allt en fråga om allmänhetens förtroende och universitetets trovärdighet. Människor som deltar i forskningsprojekt måste kunna lita på att universitetet hanterar deras personuppgifter i enlighet med de lagar och regler som finns. Det finns också lagkrav på att universitetet kan visa upp ett register över all personuppgiftsbehandling. Kravet på ett register har funnits länge, men med införandet av GDPR har kraven på registret skärpts i hela Europa. Lever universitetet inte upp till kraven kan vi tilldömas att betala en sanktionsavgift.

Du anmäler ditt forskningsprojekt på genom att logga in i PULU. Detta gör du genom att klicka på nedanstående länk.
Klicka här, https://pulu.adm.lu.se för att anmäla ditt forskningsprojekt i PULU (länken öppnas i samma fönster)

Information till deltagare i forskningsprojekt

I dataskyddslagstiftningen finns krav på att lämna viss information till de personer vars uppgifter du hanterar. Detta gäller också för deltagare i forskningsprojekt. Deltagarna ska få informationen innan de samtycker till att delta. 
Klicka här för att läsa mer om information till registrerade (länken öppnas i samma fönster).

OBS! Detta inkluderar endast den information som krävs enligt dataskyddslagstiftningen. Deltagarna ska självklart också ha annan information som rör forskningsprojektet.

Det finns vissa tillfällen när du inte måste informera deltagarna om att du hanterar uppgifter om dem:

  • Enkätdata: Om du använder data ur en forskningsdatabas, eftersom deltagarna redan är informerade.
  • Registerdata: Om det skulle bli för svårt, till exempel för att du inte har tillgång till deltagarnas kontaktuppgifter.

Samtycke/medgivande till att delta 

I forskningsprojekt där data samlas in direkt från deltagarna ska de som regel ge sitt samtycke eller medgivande till att vara med. Dessa samtycken är något annat än ett samtycke enligt dataskyddslagstiftningen.

Om en deltagare ändrar sig och inte längre vill delta, innebär det inte automatiskt att deltagaren har rätt att få sina uppgifter raderade enligt GDPR. Data som ligger till grund för en forskningspublikation ska sparas av forskningsetiska skäl. Detta alltså även om det finns deltagare som har dragit tillbaka sitt samtycke. Du ska däremot inte använda de uppgifterna för analyser eller publikationer framöver och naturligtvis inte heller samla in fler uppgifter om den deltagaren. Om det är möjligt att ta bort uppgifter som rör en deltagare som dragit tillbaka sitt medgivande, så ska det göras.

Glöm inte att arkivlagen gäller. Även om en deltagare tar sitt tillbaka sitt samtycke är det möjligt att uppgifterna som rör den här personen ska arkiveras.

Säkerhet

Ett sätt att öka säkerheten och skydda de personer vars personuppgifter behandlas i ett forskningsprojekt är att pseudonymisera uppgifterna. Pseudonymisering innebär att personerna har kodats och att det finns en nyckel som någon i projektet har tillgång till. Pseudonymiserade uppgifter är personuppgifter och alla krav i dataskyddslagstiftningen gäller.

Om det händer något med personuppgifterna

Om det händer något med personuppgifterna som ”leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst”, ska detta anmälas till universitetets dataskyddsfunktion.

Rent konkret kan en personuppgiftsincident till exempel inträffa när någon har glömt papper eller en usb-sticka på tåget eller när obehöriga av någon anledning har fått tillgång till databasen. En incident kan också inträffa när data försvinner eller raderas utan avsikt.

Du anmäler den så kallade personuppgiftsincidenten till dataskyddsombud [at] lu [dot] se (dataskyddsombud[at]lu[dot]se).


Intyg dataskyddsombud

Det förekommer att forskningsfinansiärer efterfrågar ett intyg att Lunds universitet har utsett ett dataskyddsombud. Detta kommer att tas fram avseende Secure State Cyber AB. 

Kontakt

Lunds universitet har ett externt dataskyddsombud; Secure State Cyber AB. Kontaktperson är Sanja Hebib. Har du frågor om dataskydd - kontakta:

dataskyddsombud [at] lu [dot] se (dataskyddsombud[at]lu[dot]se)

Vill du veta mer?

Grundkurs:  
Kompetensportalen: Personuppgifter och dataskydd

Fördjupning: 
Kompetensportalen: Personuppgifter i forskning

En utbildning utifrån ert behov? Kontakta
Dataskyddsombud [at] lu [dot] se