Anmälan av personuppgiftsbehandling

Alla forskningsprojekt där personuppgifter hanteras ska anmälas till PULU – Personuppgifter Lunds universitet. Detta gäller också om du har anmält ditt forskningsprojekt tidigare.

Detta är framför allt en fråga om allmänhetens förtroende och universitetets trovärdighet. Människor som deltar i forskningsprojekt måste kunna lita på att universitetet hanterar deras personuppgifter i enlighet med de lagar och regler som finns. Det finns också lagkrav på att universitetet kan visa upp ett register över all personuppgiftsbehandling. Kravet på ett register har funnits länge, men med införandet av GDPR har kraven på registret skärpts i hela Europa. Lever universitetet inte upp till kraven kan vi tilldömas att betala en sanktionsavgift.

Du anmäler ditt forskningsprojekt på genom att logga in i PULU. Detta gör du genom att klicka på nedanstående länk.
Klicka här, https://pulu.adm.lu.se för att anmäla ditt forskningsprojekt i PULU (länken öppnas i samma fönster)


Hantering av personuppgifter inom forskningen

Den rättsliga grund för att hantera personuppgifter inom forskning, är nästan alltid att det är en uppgift av allmänt intresse. Det innebär att det är tillåtet att hantera personuppgifter om det är nödvändigt för ett forskningsprojekt.

Tänk på att:

Vilka personuppgifter får behandlas?

Beroende på forskningsprojektets ändamål, bestämmer du vilken typ av personuppgifter som ska behandlas. Det är endast tillåtet att samla in och behandla personuppgifter som är nödvändiga för att forskningsprojektet ska kunna genomföras.

Uppgifter som är helt anonymiserade är inte personuppgifter och för dem gäller inte dataskydds­lagstiftningen. Uppgifterna ska då vara helt avidentifierade. Detta innebär att det inte finns någon nyckel och att det inte går att identifiera individerna även om man lägger ihop de olika uppgifter som hanteras.

OBS! Om uppgifterna är kopplade till individer när de samlas in och anonymiseras först i ett senare skede, gäller dataskyddslagstiftningen fram till dess att uppgifterna är helt anonymiserade.

Samtycke/medgivande

I forskningsprojekt där data samlas in direkt från deltagarna ska de som regel ge sitt samtycke eller medgivande till att vara med. Dessa samtycken är något annat än ett samtycke enligt dataskyddslagstiftningen.

Om en deltagare ändrar sig och inte längre vill delta, innebär det inte automatiskt att deltagaren har rätt att få sina uppgifter raderade enligt GDPR. Data som ligger till grund för en forskningspublikation ska sparas av forskningsetiska skäl. Detta alltså även om det finns deltagare som har dragit tillbaka sitt samtycke. Du ska däremot inte använda de uppgifterna för analyser eller publikationer framöver och naturligtvis inte heller samla in fler uppgifter om den deltagaren. Om det är möjligt att ta bort uppgifter som rör en deltagare som dragit tillbaka sitt medgivande, så ska det göras.

Glöm inte att arkivlagen gäller. Även om en deltagare tar sitt tillbaka sitt samtycke är det möjligt att uppgifterna som rör den här personen ska arkiveras.

Information till deltagare i forskningsprojekt

I dataskyddslagstiftningen finns krav på att lämna viss information till de personer vars uppgifter du hanterar. Detta gäller också för deltagare i forskningsprojekt. Deltagarna ska få informationen innan de samtycker. 
Klicka här för att läsa mer om information till registrerade (länken öppnas i samma fönster).

OBS! Detta inkluderar endast den information som krävs enligt dataskyddslagstiftningen. Deltagarna ska självklart också ha annan information som rör forskningsprojektet.

Det finns vissa tillfällen när du inte måste informera deltagarna om att du hanterar uppgifter om dem:

  • Enkätdata: Om du använder data ur en forskningsdatabas, eftersom deltagarna redan är informerade.
  • Registerdata: Om det skulle bli för svårt, till exempel för att du inte har tillgång till deltagarnas kontaktuppgifter.

Säkerhet

Ett sätt att öka säkerheten och skydda de personer vars personuppgifter behandlas i ett forskningsprojekt är att pseudonymisera uppgifterna. Pseudonymisering innebär att personerna har kodats och att det finns en nyckel som någon i projektet har tillgång till. Pseudonymiserade uppgifter är personuppgifter och alla krav i dataskyddslagstiftningen gäller.

Om det händer något med personuppgifterna

Om det händer något med personuppgifterna som ”leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst”, ska detta anmälas till universitetets dataskyddsfunktion.

Rent konkret kan en personuppgiftsincident till exempel inträffa när någon har glömt papper eller en usb-sticka på tåget eller när obehöriga av någon anledning har fått tillgång till databasen. En incident kan också inträffa när data försvinner eller raderas utan avsikt.

Du anmäler den så kallade personuppgiftsincidenten till dataskyddsombud [at] lu [dot] se.


Intyg dataskyddsombud

Det förekommer att forskningsfinansiärer efterfrågar ett intyg att Lunds universitet har utsett ett dataskyddsombud. Det finns ett intyg framtaget för detta ändamål, du kan ladda ner en kopia av detta intyg genom att klicka på länken nedan. 
(Intyg avseende förekomst av Dataskyddsombud vid Lunds universitet (PDF, 39 kB, dokumentet öppnas i nytt fönster).

Kontakt

Vid frågor om personuppgifter och dataskydd, kontakta:

Kristin Asgermyr
Dataskyddsombud, jurist
dataskyddsombud [at] lu [dot] se
+46 46 222 04 26