Lag (2024:1146) om vissa forskningsdatabaser

1 §  Syftet med denna lag är att

• 1. ge lärosäten möjlighet att i forskningsdatabaser skapa underlag för flera framtida forskningsprojekt som inte är definierade när databasen byggs upp eller när insamling av personuppgifter till denna annars görs, och
• 2. säkerställa att de registrerades personliga integritet skyddas vid den insamling och övriga behandling av personuppgifter som görs i verksamhet med dessa forskningsdatabaser.

2 §  Lagen gäller vid behandling av personuppgifter i verksamheter med sådana forskningsdatabaser

• 1. där insamlingen och registreringen av personuppgifter görs genom de registrerades frivilliga medverkan,
• 2. vars huvudsakliga syfte är att skapa underlag för flera framtida forskningsprojekt, och
• 3. som är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv.

Bestämmelserna i 3 kap. 1 § första stycket, 2, 3, 5 och 7 §§ gäller även vid behandling av uppgifter om avlidna.

3 §  Behandling av personuppgifter i en sådan forskningsdatabas som avses i 2 § får utföras i verksamhet som bedrivs vid ett lärosäte som är

• 1. ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller
• 2. en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) och bilagan till samma lag ska jämställas med myndigheter i sin verksamhet med forskningsdatabasen.

4 §  Regeringen får meddela föreskrifter om

• 1. vilka forskningsdatabaser som får föras enligt lagen, och
• 2. vilket lärosäte som får föra forskningsdatabasen.

5 §  Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i denna lag har samma betydelse som i EU:s data-skyddsförordning.

6 §  Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

1 §  Det lärosäte som för en forskningsdatabas är personuppgiftsansvarigt för den behandling av personuppgifter som utförs i verksamheten med forskningsdatabasen.

2 §  Personuppgifter får samlas in och i övrigt behandlas i verksamhet med en forskningsdatabas för de övergripande ändamålen att

• 1. skapa underlag för flera framtida forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen,
• 2. lämna ut uppgifter till sådana forskningsprojekt som anges i 1, och
• 3. lämna ut uppgifter till forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen även om projekten redan påbörjats innan forskningsdatabasen inrättats.

Regeringen får meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till.

3 §  Personuppgifter som samlats in och behandlas enligt 2 § får därutöver bara behandlas för

• 1. utlämnande som anges i 3 kap. 2, 3 och 5 §§, och
• 2. arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål när de inte längre behövs för ändamål som avses i 2 § första stycket.

4 §  Personuppgifter får bara behandlas i en forskningsdatabas om den registrerade har samtyckt till det, om inte annat följer av denna lag.

5 §  I verksamheten med en forskningsdatabas får det utan samtycke samlas in och behandlas sådana personuppgifter som är nödvändiga för att kunna identifiera och kontakta en person i en urvalsgrupp med förfrågan om medverkan i forskningsdatabasen. Sådan behandling får inte pågå under längre tid än vad som är nödvändigt.

6 §  Kompletterande insamling av uppgifter från andra källor än de som angavs redan i samband med att samtycke till behandling i forskningsdatabasen lämnades får göras utan samtycke bara om den registrerade informerats om insamlingen och inte uttryckligen motsätter sig denna.

7 §  Personuppgifter som samlats in med samtycke från den registrerades vårdnadshavare får bara fortsätta behandlas efter att den registrerade blivit myndig om den registrerade informerats om behandlingen och inte uttryckligen motsätter sig den.

Sådan information om uppgifter som samlats in med samtycke från den registrerades vårdnadshavare och om möjligheten att motsätta sig den ska vara direkt riktad till den registrerade och lämnas senast den 1 mars året efter det att den registrerade fyllt 18 år.

Informationen behöver inte lämnas om den personuppgiftsansvarige inte med rimliga ansträngningar kan nå den registrerade.

8 §  Den registrerade har rätt att när som helst återta sitt samtycke till att hans eller hennes personuppgifter behandlas i en forskningsdatabas.

Om den registrerade återtar sitt samtycke får uppgifter om den registrerade därefter inte behandlas för att lämnas ut till forskningsprojekt.

Om den registrerade begär det ska den personuppgiftsansvarige underrätta de personuppgiftsansvariga för de forskningsprojekt som uppgifterna om den registrerade har lämnats ut till om att den registrerade har återtagit sitt samtycke till behandling av personuppgifter i forskningsdatabasen.

9 §  Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskydds-förordning ska en person, innan han eller hon lämnar samtycke enligt 4 § eller i samband med att han eller hon får sådan information som avses i 7 §, även informeras om

• 1. att all registrering och medverkan i verksamheten vid forskningsdatabasen är frivillig och att en registrerad när som helst kan avbryta sin medverkan helt eller delvis, och återta sitt samtycke samt om effekten av att samtycket återtas enligt 8 §,
• 2. vilka slags uppgifter som får registreras i forskningsdatabasen,
• 3. att en registrerad kommer att informeras om kompletterande insamling av uppgifter enligt 6 § blir aktuell och på vilket sätt sådan information kommer att lämnas,
• 4. de sekretess- och säkerhetsbestämmelser som gäller för forskningsdatabasen,
• 5. sin rätt att begära att få information om vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut till,
• 6. vilken myndighet som har tillsyn över att behandlingen av personuppgifter sker på ett lagenligt sätt, och
• 7. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § dataskyddslagen till skadestånd vid behandling av personuppgifter i strid med denna lag.

10 §  I en forskningsdatabas får det i fråga om personuppgifter bara finnas

• 1. uppgifter som den registrerade har lämnat i syfte att de ska ingå i forskningsdatabasen,
• 2. uppgifter om eller i form av upptagningar som den registrerade har medverkat till i syfte att de ska ingå i forskningsdatabasen,
• 3. uppgifter om, och resultatet från, undersökningar som den registrerade har genomgått i syfte att resultatet ska ingå i forskningsdatabasen,
• 4. kontaktinformation till den registrerade,
• 5. kompletterande uppgifter om den registrerade som har inhämtats från andra källor,
• 6. kategoriseringar av sådana uppgifter som avses i 1-5,
• 7. identitetsbeteckningar för de registrerade (kodnycklar eller motsvarande information för identifiering), och
• 8. uppgifter om utlämnande som har skett till forskning.

11 §  Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g och j i EU:s dataskyddsförordning behandlas i verksamheten med en forskningsdatabas om det är nödvändigt för de ändamål som anges i 2, 3 och 5 §§.

Genetiska uppgifter och personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får dock bara behandlas i en forskningsdatabas om regeringen har meddelat föreskrifter om det.

12 §  Den som arbetar vid ett lärosäte där det finns en verksamhet med en forskningsdatabas får ta del av personuppgifter i den verksamheten endast om han eller hon arbetar i verksamheten och behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter med forskningsdatabasen.

13 §  Den personuppgiftsansvarige ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till personuppgifter om registrerade i verksamheten med en forskningsdatabas. Sådan åtkomst ska begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter i verksamheten med forskningsdatabasen.

14 §  Den personuppgiftsansvarige ska se till att elektronisk åtkomst till personuppgifter dokumenteras och kan kontrolleras.

Den personuppgiftsansvarige ska göra systematiska och återkommande kontroller av den i första stycket upprättade dokumentationen i syfte att kontrollera om någon obehörigen kommit åt personuppgifter i forskningsdatabasen.

15 §  I offentlighets- och sekretesslagen (2009:400) finns bestämmelser om sekretess för huvudmän för en forskningsdatabas och för anställda och uppdragstagare hos en sådan huvudman i verksamhet med forskningsdatabasen.

1 §  Utlämnande av personuppgifter till ett forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3 och utlämnande av uppgifter om avlidna till ett sådant projekt får bara ske till fysiska eller juridiska personer som ska tillämpa offentlighets- och sekretesslagen (2009:400) eller fysiska personer som omfattas av tystnadsplikt enligt 3 kap. 7 § denna lag.

Ytterligare en förutsättning för att personuppgifter ska få lämnas ut från en forskningsdatabas till forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3 är att både forskningen och behandlingen av personuppgifter i forskningen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor, om forskningen omfattas av den lagens krav på etikprövning.

2 §  Personuppgifter och uppgifter om avlidna får också lämnas ut till en forskningshuvudman som fått uppgifter från en forskningsdatabas, om det behövs för att utreda oredlighet i forskning eller annan avvikelse från god forskningssed.

3 §  Personuppgifter och uppgifter om avlidna får, utöver vad som följer av 2 och 5 §§ samt 2 kap. 2 § första stycket 2 eller 3, bara lämnas ut om det finns en skyldighet att göra det enligt lag eller förordning.

4 §  Utlämnande enligt 2 § och 2 kap. 2 § första stycket 2 eller 3 får bara avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.

Personuppgifter får dock vara direkt identifierbara vid utlämnandet om det är nödvändigt för att uppfylla ändamålet med den forskning eller den utredning som uppgifterna ska lämnas ut till.

5 §  Om personuppgifter som har lämnats ut till ett forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3 eller uppgifter om avlidna som har lämnats ut till ett sådant projekt är pseudonymiserade eller skyddade på likvärdigt sätt, får kompletterande uppgifter för att identifiera en registrerad, inbegripet de registrerades personnummer eller motsvarande identitetsbeteckning, lämnas ut till en myndighet, om det är nödvändigt för att myndigheten ska kunna lämna ut uppgifter om samma personer till det forskningsprojekt som uppgifter har lämnats ut till.

6 §  Den personuppgiftsansvarige ska bevara en förteckning över de kompletterande uppgifter som behövs för att identifiera en registrerad så länge som det är nödvändigt.

7 §  En enskild forskningshuvudman som är en fysisk person eller den som är eller har varit verksam hos en enskild forskningshuvudman som är en juridisk person som inte anges i bilagan till offentlighets- och sekretess-lagen (2009:400) får inte obehörigen röja vad denne har fått veta om enskilds personliga förhållanden genom personuppgifter eller uppgifter om avlidna som mottagits från en forskningsdatabas.

I det allmännas verksamhet och för sådana organ som anges i bilagan till offentlighets- och sekretesslagen (2009:400) gäller den lagen.

8 §  Den registrerade har rätt att på begäran få information om vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut till.

9 §  Personuppgifter får inte lämnas ut genom direktåtkomst annat än till den registrerade själv.

1 §  Regeringen får meddela ytterligare föreskrifter om

• 1. begränsningar av vilka personuppgifter som får behandlas i en forskningsdatabas, och
• 2. begränsningar i fråga om utlämnande från en forskningsdatabas.