Ladda ner presentationen
Presentation laddar. Vänta.
1
Dataskydd och forskning i Europa och Sverige
Magnus Stenbeck, Karolinska Institutet Institutionen för klinisk neurovetenskap och Forskningsdatautredningen (U 2016:04)
2
Dataskyddsregleringen i EU
Gamla systemet Nya systemet 1995 års Dataskyddsdirektiv Föreskriver att medlemsstaterna ska implementera lagar och förordningar i överensstämmelse med direktivet Personuppgiftslagen svensk implementering upphör 25 maj 2018 2016 års Allmän Dataskyddsförordning tillämpas fr.o.m. 25 maj 2018 direkt gällande i alla medlemsländer och associerade länder (t.ex. Norge) All nationell reglering av samma sak(er) är ogiltig/måste upphöra Svensk tilläggslagstiftning behövs Många modifikationer av existerande regler behövs Namn Efternamn 25 december 2018
3
General Data Protection Regulation (”GDPR”) Allmän dataskyddsförordning
Ersätter personuppgiftslagen (PUL) Är överordnad svensk lagstiftning PUL var subsidiär (annan lagstiftning tar över om den finns) GDPR lämnar inget utrymme för avvikande nationell rätt Men tilläggslagstiftning behövs på icke reglerade eller undantagna områden Många artiklar hänvisar till kompletterande unions eller nationell rätt Utrymme lämnas för vissa grundlagsbaserade rättigheter och skyldigheter
4
Nuvarande lagstiftning som fortsätter att gälla
Tryckfrihetsförordningen (TF), yttrandefrihetsgrundlagen (YGL) och lagen om offentlighet och sekretess (OSL) GDPR lämnar utrymme för dem Etikprövningslagen Etikprövning vid forskning är obligatorisk bland annat för behandling av känsliga personuppgifter, uppgifter om lagöverträdelser, eller behandling av biologiska prover från levande personer eller avlidna i forskning Prövning kan (enbart) ske för forskning som äger rum i Sverige Namn Efternamn 25 december 2018
5
Viktiga offentlighets och sekretessregler som fortsätter gälla i forskning
Statistiksekretessen (OSL 24:8) Hälso och sjukvårdssekretessen (OSL 25:1) PUL-sekretessen (OSL 21:7) (ändras till ”GDPR-sekretess”) Överföring av sekretess vid forskning (OSL 11:3) Namn Efternamn 25 december 2018
6
Sverige: Föreslagen ny lagstiftning
Dataskyddslagen SOU 2017:39 Ny dataskyddslag Proposition 2017/18:105 Ny dataskyddslag (20 feb) Forskningsdatalagen SOU 2017:50 Personuppgifter för forskningsändamål Lagrådsremiss finns, där föreslås ingen forskningsdatalag Flertalet lagar och författningar gällande register behålls, men måste anpassas Ds 2017:40 Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform SOU 2017:66 Dataskydd inom socialdepartementets verksamhetsområde Proposition 2017/18:171 Dataskydd inom socialdepartemenets verksamhetsområde SOU 2018:04 Framtidens biobanker
7
Personuppgifter Personuppgift Pseudonymisering
varje upplysning som avser en fysisk person som direkt eller indirekt kan identifieras Pseudonymisering behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används kompletterande uppgifter ska förvaras separat och skyddas genom tekniska och/eller organisatoriska åtgärder
8
Personuppgiftsbehandling är laglig enbart om minst en av dessa rättsliga grunder gäller (Artikel 6)
Samtycke eller personuppgiftsbehandling är nödvändig för att: Fullgöra ett avtal Fullgöra en rättslig förpliktelse Skydda den registrerades eller någon annans grundläggande intressen Utföra en uppgift av allmänt intresse Den personuppgiftansvarige berättigade intresse väger tyngre än den registrerades intresse av att uppgifterna ej behandlas f kan ej användas av myndigheter, men av privata forskningsutövare c och e måste grundas på unionsrätt eller nationell rätt
9
Känsliga personuppgifter (”särskilda kategorier”) Artikel 9
Ras, etniskt ursprung Politiska åsikter, religiös eller filosofisk övertygelse Medlemskap i fackförening Genetiska uppgifter Biometriska uppgifter för identifikationsändamål Hälsa Sexualliv (sexuell läggning)
10
Behandling av känsliga personuppgifter
är som grundregel förbjuden såsom idag men undantag från förbudet finns Om det finns uttryckligt samtycke från den registrerade … utom då unionsrätten eller den nationella rätten föreskriver att förbudet inte kan hävas av den registrerade Sverige: obligatorisk etikprövning för forskning Om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål I enlighet med artikel 89.1 Måste vara grundad på unions- eller nationell rätt som är proportionell och innehåller lagstadgade skyddsåtgärder
11
Samtycke Legal definition
Frivilligt Specifikt Informerat Otvetydigt Ett uttalande eller en entydig bekräftande handling och för känsliga personuppgifter: Uttryckligt Den personuppgiftsanvarige ska kunna visa att den registrerade har samtyckt (enligt ovanstående definition) Samtycke kan återkallas när som helst och gäller då för fortsatt behandling Bredare samtycken för forskningsområden kan tillåtas Namn Efternamn 25 december 2018
12
Rättslig grund för myndigheter
Samtycke? Tveksamt Skäl 43: ” För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. ” Om en myndighet vill använda samtycke måste man kunna visa (=dokumentera) att det lämnades frivilligt Allmänt intresse blir den huvudsakliga rättsliga grunden för universiteten Rätt att motsätta sig behandling (”opt out”) finns i vissa fall
13
Om rättslig grund finns: Vilka principer för personuppgiftsbehandling gäller alltid? (Artikel 5)
Ska behandlas lagligt, korrekt och öppet Ändamålsbegränsning Undantag för arkivering, statistik, forskning Uppgiftsminimering Korrekthet Undantag föreslaget för arkiveringsändamål Lagringsminimering Integritet (datasäkerhet) och konfidentialitet (personskydd) Ansvarsskyldighet
14
Skyddsåtgärder Obligatoriska i forskning
Föreslagna i SOU 2017:50 (forskningsdatalagen) Etisk prövning Pseudonymisering Rätt att motsätta sig deltagande i forskningen (opt out) Andra möjligheter Organisationslösningar Organisatoriskt separerad behandling av direkt identifierbara personuppgifter Tekniska lösningar Federerade data, remote access, andra distribuerade lösningar, kryptering, loggning, säker auktorisering, etc.
15
Den registrerades rättigheter
I princip liknande gällande regler men mycket mer detaljerat beskrivet Information (art 12-14) Registerutdrag (art 15) Rättelse (art 16) Radering (art 17) Begränsning eller invändning mot behandling (art 18, 21) Undantag från dessa rättigheter kan göras under vissa förutsättningar (bl a för att möjliggöra forskning)
16
Några viktiga roller i personuppgiftsbehandlingen
Personuppgiftsansvarig (PuA) Personuppgiftsbiträde (PuB) Dataskyddsombud Namn Efternamn 25 december 2018
17
Ansvarsskyldighet PuA ansvarar för att tekniska och organisatoriska åtgärder genomförs för att garantera att personuppgiftsbehandlingen följer GDPR Detta kan exempelvis innefatta godkända uppförandekoder (Artikel 40) certifieringprocedurer (Artikel 42) Konsekvensbedömning av behandling med avseende på dataskydd (Artikel 35) Möjliga administrativa sanktioner: Upp till EUR eller 4 % av omsättningen (om högre) Dataskyddsutredningen har föreslagit en övre gräns på SEK för myndigheter Namn Efternamn 25 december 2018
18
Vad behöver göras innan 25 maj 2018?
Analysera om och hur personuppgiftsbehandlingen (fortfarande) är laglig Måste göras genom ordentlig dokumentation Dokumentera existerande behandling Dvs: insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring Bygg upp ett dokumentationssystem baserat på GDPR Namn Efternamn 25 december 2018
19
Exempel på kravbild för institutioner Karolinska Institutet
Tre områden Kartläggning personuppgiftsbehandling Process för incidentberedskap Process för den registrerades rättigheter Institution Personuppgiftsbehandling- kartläggning Den registrerades rättigheter Incident- hanterring Namn Efternamn 25 december 2018
20
Register över personuppgiftsbehandling (artikel 30)
Varje personuppgiftsansvarig ska föra ett register över sina personuppgiftsbehandlingar. Kontaktuppgifter för personuppgiftsansvarig och dataskyddsombud Ändamålen med behandlingen Kategorier av registrerade och personuppgifter Kategorier av mottagare Om möjligt: Överföringar till tredjeland Tidsfrister för radering Centralt register på KI Mer detaljer på institutionen Namn Efternamn 25 december 2018
21
Fortsatt arbete i Forskningdatautredningen
Huvuduppdrag: Reglera forskningsdatabaser långsiktigt Sidouppdrag Lagen om rättspsykiatriskt forskningsregister vid RMV Luxemburg Income Study Reglering av nationellt biobanksregister Slutbetänkande 5 juni 2018 Namn Efternamn 25 december 2018
Liknande presentationer
© 2024 SlidePlayer.se Inc.
All rights reserved.