Post 27 av 10976 träffar
SFS-nummer ·
2024:1146 ·
Visa register
Lag (2024:1146) om vissa forskningsdatabaser
Departement: Utbildningsdepartementet
Utfärdad: 2024-11-28
Ikraft: 2025-01-01 överg.best.
/Träder i kraft I:2025-01-01/
1 kap. Inledande bestämmelser
Lagens syfte
1 § Syftet med denna lag är att
1. ge lärosäten möjlighet att i forskningsdatabaser skapa
underlag för flera framtida forskningsprojekt som inte är
definierade när databasen byggs upp eller när insamling av
personuppgifter till denna annars görs, och
2. säkerställa att de registrerades personliga integritet
skyddas vid den insamling och övriga behandling av
personuppgifter som görs i verksamhet med dessa
forskningsdatabaser.
Lagens tillämpningsområde
2 § Lagen gäller vid behandling av personuppgifter i
verksamheter med sådana forskningsdatabaser
1. där insamlingen och registreringen av personuppgifter görs
genom de registrerades frivilliga medverkan,
2. vars huvudsakliga syfte är att skapa underlag för flera
framtida forskningsprojekt, och
3. som är av särskilt vetenskapligt värde för forskningen i
ett långsiktigt perspektiv.
Bestämmelserna i 3 kap. 1 § första stycket, 2, 3, 5 och 7 §§
gäller även vid behandling av uppgifter om avlidna.
3 § Behandling av personuppgifter i en sådan forskningsdatabas
som avses i 2 § får utföras i verksamhet som bedrivs vid ett
lärosäte som är
1. ett statligt universitet eller en statlig högskola som har
rätt att utfärda examen på forskarnivå, eller
2. en enskild utbildningsanordnare som har tillstånd att
utfärda examen på forskarnivå enligt lagen (1993:792) om
tillstånd att utfärda vissa examina och som enligt 2 kap. 4 §
offentlighets- och sekretesslagen (2009:400) och bilagan till
samma lag ska jämställas med myndigheter i sin verksamhet med
forskningsdatabasen.
4 § Regeringen får meddela föreskrifter om
1. vilka forskningsdatabaser som får föras enligt lagen, och
2. vilket lärosäte som får föra forskningsdatabasen.
Förhållandet till annan dataskyddsreglering
5 § Denna lag kompletterar Europaparlamentets och rådets
förordning (EU) 2016/679 av den 27 april 2016 om skydd för
fysiska personer med avseende på behandling av personuppgifter
och om det fria flödet av sådana uppgifter och om upphävande
av direktiv 95/46/EG (allmän dataskyddsförordning), här
benämnd EU:s dataskyddsförordning.
Termer och uttryck i denna lag har samma betydelse som i EU:s
data-skyddsförordning.
6 § Vid behandling av personuppgifter enligt denna lag gäller
lagen (2018:218) med kompletterande bestämmelser till EU:s
dataskyddsförordning, här benämnd dataskyddslagen, och
föreskrifter som har meddelats i anslutning till den lagen, om
inte annat följer av denna lag eller föreskrifter som har
meddelats i anslutning till lagen.
2 kap. Behandling av personuppgifter
Personuppgiftsansvar
1 § Det lärosäte som för en forskningsdatabas är
personuppgiftsansvarigt för den behandling av personuppgifter
som utförs i verksamheten med forskningsdatabasen.
Ändamål
2 § Personuppgifter får samlas in och i övrigt behandlas i
verksamhet med en forskningsdatabas för de övergripande
ändamålen att
1. skapa underlag för flera framtida forskningsprojekt inom de
forskningsområden som är angivna för forskningsdatabasen,
2. lämna ut uppgifter till sådana forskningsprojekt som anges
i 1, och
3. lämna ut uppgifter till forskningsprojekt inom de
forskningsområden som är angivna för forskningsdatabasen även
om projekten redan påbörjats innan forskningsdatabasen
inrättats.
Regeringen får meddela föreskrifter som avgränsar vilket eller
vilka forskningsområden som en forskningsdatabas ska skapa
underlag för och lämna ut uppgifter till.
3 § Personuppgifter som samlats in och behandlas enligt 2 §
får därutöver bara behandlas för
1. utlämnande som anges i 3 kap. 2, 3 och 5 §§, och
2. arkivändamål av allmänt intresse, vetenskapliga eller
historiska forskningsändamål eller statistiska ändamål när de
inte längre behövs för ändamål som avses i 2 § första stycket.
Villkor för behandling av personuppgifter i
forskningsdatabaser
4 § Personuppgifter får bara behandlas i en forskningsdatabas
om den registrerade har samtyckt till det, om inte annat
följer av denna lag.
5 § I verksamheten med en forskningsdatabas får det utan
samtycke samlas in och behandlas sådana personuppgifter som är
nödvändiga för att kunna identifiera och kontakta en person i
en urvalsgrupp med förfrågan om medverkan i
forskningsdatabasen. Sådan behandling får inte pågå under
längre tid än vad som är nödvändigt.
6 § Kompletterande insamling av uppgifter från andra källor än
de som angavs redan i samband med att samtycke till behandling
i forskningsdatabasen lämnades får göras utan samtycke bara om
den registrerade informerats om insamlingen och inte
uttryckligen motsätter sig denna.
7 § Personuppgifter som samlats in med samtycke från den
registrerades vårdnadshavare får bara fortsätta behandlas
efter att den registrerade blivit myndig om den registrerade
informerats om behandlingen och inte uttryckligen motsätter
sig den.
Sådan information om uppgifter som samlats in med samtycke
från den registrerades vårdnadshavare och om möjligheten att
motsätta sig den ska vara direkt riktad till den registrerade
och lämnas senast den 1 mars året efter det att den
registrerade fyllt 18 år.
Informationen behöver inte lämnas om den
personuppgiftsansvarige inte med rimliga ansträngningar kan nå
den registrerade.
8 § Den registrerade har rätt att när som helst återta sitt
samtycke till att hans eller hennes personuppgifter behandlas
i en forskningsdatabas.
Om den registrerade återtar sitt samtycke får uppgifter om den
registrerade därefter inte behandlas för att lämnas ut till
forskningsprojekt.
Om den registrerade begär det ska den personuppgiftsansvarige
underrätta de personuppgiftsansvariga för de forskningsprojekt
som uppgifterna om den registrerade har lämnats ut till om att
den registrerade har återtagit sitt samtycke till behandling
av personuppgifter i forskningsdatabasen.
9 § Utöver vad som framgår av artiklarna 13 och 14 i EU:s
dataskydds-förordning ska en person, innan han eller hon
lämnar samtycke enligt 4 § eller i samband med att han eller
hon får sådan information som avses i 7 §, även informeras om
1. att all registrering och medverkan i verksamheten vid
forskningsdatabasen är frivillig och att en registrerad när
som helst kan avbryta sin medverkan helt eller delvis, och
återta sitt samtycke samt om effekten av att samtycket återtas
enligt 8 §,
2. vilka slags uppgifter som får registreras i
forskningsdatabasen,
3. att en registrerad kommer att informeras om kompletterande
insamling av uppgifter enligt 6 § blir aktuell och på vilket
sätt sådan information kommer att lämnas,
4. de sekretess- och säkerhetsbestämmelser som gäller för
forskningsdatabasen,
5. sin rätt att begära att få information om vilka
forskningsprojekt uppgifter om honom eller henne har lämnats
ut till,
6. vilken myndighet som har tillsyn över att behandlingen av
personuppgifter sker på ett lagenligt sätt, och
7. rätten enligt artikel 82 i EU:s dataskyddsförordning och
7 kap. 1 § dataskyddslagen till skadestånd vid behandling av
personuppgifter i strid med denna lag.
Tillåtet innehåll
10 § I en forskningsdatabas får det i fråga om personuppgifter
bara finnas
1. uppgifter som den registrerade har lämnat i syfte att de
ska ingå i forskningsdatabasen,
2. uppgifter om eller i form av upptagningar som den
registrerade har medverkat till i syfte att de ska ingå i
forskningsdatabasen,
3. uppgifter om, och resultatet från, undersökningar som den
registrerade har genomgått i syfte att resultatet ska ingå i
forskningsdatabasen,
4. kontaktinformation till den registrerade,
5. kompletterande uppgifter om den registrerade som har
inhämtats från andra källor,
6. kategoriseringar av sådana uppgifter som avses i 1-5,
7. identitetsbeteckningar för de registrerade (kodnycklar
eller motsvarande information för identifiering), och
8. uppgifter om utlämnande som har skett till forskning.
11 § Personuppgifter som avses i artikel 9.1 i EU:s
dataskyddsförordning (känsliga personuppgifter) får med stöd
av artikel 9.2 g och j i EU:s dataskyddsförordning behandlas i
verksamheten med en forskningsdatabas om det är nödvändigt för
de ändamål som anges i 2, 3 och 5 §§.
Genetiska uppgifter och personuppgifter som avses i artikel 10
i EU:s dataskyddsförordning får dock bara behandlas i en
forskningsdatabas om regeringen har meddelat föreskrifter om
det.
Integritetsskydd inom verksamheten
12 § Den som arbetar vid ett lärosäte där det finns en
verksamhet med en forskningsdatabas får ta del av
personuppgifter i den verksamheten endast om han eller hon
arbetar i verksamheten och behöver uppgifterna för att kunna
fullgöra sina arbetsuppgifter med forskningsdatabasen.
13 § Den personuppgiftsansvarige ska bestämma villkor för
tilldelning av behörighet för elektronisk åtkomst till
personuppgifter om registrerade i verksamheten med en
forskningsdatabas. Sådan åtkomst ska begränsas till vad som
behövs för att en anställd eller en uppdragstagare ska kunna
fullgöra sina arbetsuppgifter i verksamheten med
forskningsdatabasen.
14 § Den personuppgiftsansvarige ska se till att elektronisk
åtkomst till personuppgifter dokumenteras och kan
kontrolleras.
Den personuppgiftsansvarige ska göra systematiska och
återkommande kontroller av den i första stycket upprättade
dokumentationen i syfte att kontrollera om någon obehörigen
kommit åt personuppgifter i forskningsdatabasen.
Sekretess
15 § I offentlighets- och sekretesslagen (2009:400) finns
bestämmelser om sekretess för huvudmän för en
forskningsdatabas och för anställda och uppdragstagare hos en
sådan huvudman i verksamhet med forskningsdatabasen.
3 kap. Utlämnande av uppgifter från en forskningsdatabas
Villkor för utlämnande
1 § Utlämnande av personuppgifter till ett forskningsprojekt
enligt 2 kap. 2 § första stycket 2 eller 3 och utlämnande av
uppgifter om avlidna till ett sådant projekt får bara ske till
fysiska eller juridiska personer som ska tillämpa
offentlighets- och sekretesslagen (2009:400) eller fysiska
personer som omfattas av tystnadsplikt enligt 3 kap. 7 § denna
lag.
Ytterligare en förutsättning för att personuppgifter ska få
lämnas ut från en forskningsdatabas till forskningsprojekt
enligt 2 kap. 2 § första stycket 2 eller 3 är att både
forskningen och behandlingen av personuppgifter i forskningen
har godkänts enligt lagen (2003:460) om etikprövning av
forskning som avser människor, om forskningen omfattas av den
lagens krav på etikprövning.
2 § Personuppgifter och uppgifter om avlidna får också lämnas
ut till en forskningshuvudman som fått uppgifter från en
forskningsdatabas, om det behövs för att utreda oredlighet i
forskning eller annan avvikelse från god forskningssed.
3 § Personuppgifter och uppgifter om avlidna får, utöver vad
som följer av 2 och 5 §§ samt 2 kap. 2 § första stycket 2
eller 3, bara lämnas ut om det finns en skyldighet att göra
det enligt lag eller förordning.
Formen för utlämnande
4 § Utlämnande enligt 2 § och 2 kap. 2 § första stycket 2
eller 3 får bara avse personuppgifter som är pseudonymiserade
eller skyddade på likvärdigt sätt.
Personuppgifter får dock vara direkt identifierbara vid
utlämnandet om det är nödvändigt för att uppfylla ändamålet
med den forskning eller den utredning som uppgifterna ska
lämnas ut till.
5 § Om personuppgifter som har lämnats ut till ett
forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3
eller uppgifter om avlidna som har lämnats ut till ett sådant
projekt är pseudonymiserade eller skyddade på likvärdigt sätt,
får kompletterande uppgifter för att identifiera en
registrerad, inbegripet de registrerades personnummer eller
motsvarande identitetsbeteckning, lämnas ut till en myndighet,
om det är nödvändigt för att myndigheten ska kunna lämna ut
uppgifter om samma personer till det forskningsprojekt som
uppgifter har lämnats ut till.
6 § Den personuppgiftsansvarige ska bevara en förteckning över
de kompletterande uppgifter som behövs för att identifiera en
registrerad så länge som det är nödvändigt.
Tystnadsplikt för uppgifter som mottagits från en
forskningsdatabas
7 § En enskild forskningshuvudman som är en fysisk person
eller den som är eller har varit verksam hos en enskild
forskningshuvudman som är en juridisk person som inte anges i
bilagan till offentlighets- och sekretess-lagen (2009:400) får
inte obehörigen röja vad denne har fått veta om enskilds
personliga förhållanden genom personuppgifter eller uppgifter
om avlidna som mottagits från en forskningsdatabas.
I det allmännas verksamhet och för sådana organ som anges i
bilagan till offentlighets- och sekretesslagen (2009:400)
gäller den lagen.
Information om utlämnande till forskning
8 § Den registrerade har rätt att på begäran få information om
vilka forskningsprojekt uppgifter om honom eller henne har
lämnats ut till.
Direktåtkomst
9 § Personuppgifter får inte lämnas ut genom direktåtkomst
annat än till den registrerade själv.
4 kap. Ytterligare föreskrifter
1 § Regeringen får meddela ytterligare föreskrifter om
1. begränsningar av vilka personuppgifter som får behandlas i
en forskningsdatabas, och
2. begränsningar i fråga om utlämnande från en
forskningsdatabas.
Övergångsbestämmelser
2024:1146
1. Denna lag träder i kraft den 1 januari 2025.
2. Bestämmelserna i 2 kap. 4-11 §§ gäller inte för sådana
uppgifter som registrerats i tiden innan verksamheten med en
forskningsdatabas kommit att omfattas av denna lags
tillämpningsområde. Bestämmelsen i 2 kap. 7 § ska dock
tillämpas i fråga om den som blir myndig först därefter.