Presentation laddar. Vänta.

Presentation laddar. Vänta.

Dataskydd och forskning i Europa och Sverige

Publicerades avHugo Pålsson

Liknande presentationer

En presentation över ämnet: "Dataskydd och forskning i Europa och Sverige"— Presentationens avskrift:

1 Dataskydd och forskning i Europa och Sverige
Magnus Stenbeck, Karolinska Institutet Institutionen för klinisk neurovetenskap och Forskningsdatautredningen (U 2016:04)

2 Dataskyddsregleringen i EU
Gamla systemet Nya systemet 1995 års Dataskyddsdirektiv Föreskriver att medlemsstaterna ska implementera lagar och förordningar i överensstämmelse med direktivet Personuppgiftslagen svensk implementering upphör 25 maj 2018 2016 års Allmän Dataskyddsförordning tillämpas fr.o.m. 25 maj 2018 direkt gällande i alla medlemsländer och associerade länder (t.ex. Norge) All nationell reglering av samma sak(er) är ogiltig/måste upphöra Svensk tilläggslagstiftning behövs Många modifikationer av existerande regler behövs Namn Efternamn 15 augusti 2019

3 General Data Protection Regulation (”GDPR”) Allmän dataskyddsförordning
Ersätter personuppgiftslagen (PUL) Är överordnad svensk lagstiftning PUL var subsidiär (annan lagstiftning tar över om den finns) GDPR lämnar inget utrymme för avvikande nationell rätt Men tilläggslagstiftning behövs på icke reglerade eller undantagna områden Många artiklar hänvisar till kompletterande unions eller nationell rätt Utrymme lämnas för vissa grundlagsbaserade rättigheter och skyldigheter

4 Nuvarande lagstiftning som fortsätter att gälla
Tryckfrihetsförordningen (TF), yttrandefrihetsgrundlagen (YGL) och lagen om offentlighet och sekretess (OSL) GDPR lämnar utrymme för dem Etikprövningslagen Etikprövning vid forskning är obligatorisk bland annat för behandling av känsliga personuppgifter, uppgifter om lagöverträdelser, eller behandling av biologiska prover från levande personer eller avlidna i forskning Prövning kan (enbart) ske för forskning som äger rum i Sverige Namn Efternamn 15 augusti 2019

5 Viktiga offentlighets och sekretessregler som fortsätter gälla i forskning
Statistiksekretessen (OSL 24:8) Hälso och sjukvårdssekretessen (OSL 25:1) PUL-sekretessen (OSL 21:7) (ändras till ”GDPR-sekretess”) Överföring av sekretess vid forskning (OSL 11:3) Namn Efternamn 15 augusti 2019

6 Sverige: Föreslagen ny lagstiftning
Dataskyddslagen SOU 2017:39 Ny dataskyddslag Proposition 2017/18:105 Ny dataskyddslag (20 feb) Forskningsdatalagen SOU 2017:50 Personuppgifter för forskningsändamål Ingen proposition finns Flertalet lagar och författningar gällande register behålls, men måste anpassas Ds 2017:40 Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform SOU 2017:66 Dataskydd inom socialdepartementets verksamhetsområde SOU 2018:04 Framtidens biobanker

7 Personuppgifter Personuppgift Pseudonymisering
varje upplysning som avser en fysisk person som direkt eller indirekt kan identifieras Pseudonymisering behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används kompletterande uppgifter ska förvaras separat och skyddas genom tekniska och/eller organisatoriska åtgärder

8 Personuppgiftsbehandling är laglig enbart om minst en av dessa rättsliga grunder gäller (Artikel 6)
Samtycke eller personuppgiftsbehandling är nödvändig för att: Fullgöra ett avtal Fullgöra en rättslig förpliktelse Skydda den registrerades eller någon annans grundläggande intressen Utföra en uppgift av allmänt intresse Den personuppgiftansvarige berättigade intresse väger tyngre än den registrerades intresse av att uppgifterna ej behandlas f kan ej användas av myndigheter, men av privata forskningsutövare c och e måste grundas på unionsrätt eller nationell rätt (nytt krav!)

9 Känsliga personuppgifter (”särskilda kategorier”) Artikel 9
Ras, etniskt ursprung Politiska åsikter, religiös eller filosofisk övertygelse Medlemskap i fackförening Genetiska uppgifter Biometriska uppgifter för identifikationsändamål Hälsa Sexualliv (sexuell läggning)

10 Behandling av känsliga personuppgifter
är som grundregel förbjuden såsom idag men undantag från förbudet finns Om det finns uttryckligt samtycke från den registrerade … utom då unionsrätten eller den nationella rätten föreskriver att förbudet inte kan hävas av den registrerade Sverige: obligatorisk etikprövning i vissa fall Om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål I enlighet med artikel 89.1 Måste vara grundad på unions- eller nationell rätt som är proportionell och innehåller lagstadgade skyddsåtgärder

11 Samtycke Legal definition
Frivilligt Specifikt Informerat Otvetydigt Ett uttalande eller en entydig bekräftande handling och för känsliga personuppgifter: Uttryckligt Den personuppgiftsanvarige ska kunna visa att den registrerade har samtyckt (enligt ovanstående definition) Samtycke kan återkallas när som helst och gäller då för fortsatt behandling Bredare samtycken för forskningsområden kan tillåtas Namn Efternamn 15 augusti 2019

12 Rättslig grund för myndigheter
Samtycke? Tveksamt Skäl 43: ” För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. ” Om en myndighet vill använda samtycke måste man kunna visa (=dokumentera) att det lämnades frivilligt Allmänt intresse blir den huvudsakliga rättsliga grunden för universiteten Opt out?

13 Om rättslig grund finns: Vilka principer för personuppgiftsbehandling gäller alltid? (Artikel 5)
Ska behandlas lagligt, korrekt och öppet Ändamålsbegränsning Undantag för arkivering, statistik, forskning Uppgiftsminimering Korrekthet Undantag föreslaget för arkiveringsändamål Lagringsminimering Integritet (datasäkerhet) och konfidentialitet (personskydd) Ansvarsskyldighet

14 Skyddsåtgärder Obligatoriska i forskning
Föreslagna i SOU 2017:50 (forskningsdatalagen) Etisk prövning Pseudonymisering Rätt att motsätta sig deltagande i forskningen (opt out) Andra möjligheter Organisationslösningar Organisatoriskt separerad behandling av direkt identifierbara personuppgifter Tekniska lösningar Federerade data, remote access, andra distribuerade lösningar, kryptering, loggning, säker auktorisering, etc.

15 Den registrerades rättigheter
I princip liknande gällande regler men mycket mer detaljerat beskrivet Information (art 12-14) Registerutdrag (art 15) Rättelse (art 16) Radering (art 17) Begränsning eller invändning mot behandling (art 18, 21) Undantag från dessa rättigheter kan göras under vissa förutsättningar (bl a för att möjliggöra forskning)

16 Några viktiga roller i personuppgiftsbehandlingen
Personuppgiftsansvarig (PuA) Personuppgiftsbiträde (PuB) Dataskyddsombud Namn Efternamn 15 augusti 2019

17 Ansvarsskyldighet PuA ansvarar för att tekniska och organisatoriska åtgärder genomförs för att garantera att personuppgiftsbehandlingen följer GDPR Detta kan exempelvis innefatta godkända uppförandekoder (Artikel 40) certifieringprocedurer (Artikel 42) Konsekvensbedömning av behandling med avseende på dataskydd (Artikel 35) Möjliga administrativa sanktioner: Upp till EUR eller 4 % av omsättningen (om högre) Dataskyddsutredningen har föreslagit en övre gräns på SEK för myndigheter Namn Efternamn 15 augusti 2019

18 Vad behöver göras innan 25 maj 2018?
Analysera om och hur personuppgiftsbehandlingen (fortfarande) är laglig Måste göras genom ordentlig dokumentation Dokumentera existerande behandling Dvs: insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring Bygg upp ett dokumentationssystem baserat på GDPR Namn Efternamn 15 augusti 2019

19 Exempel på kravbild för institutioner Karolinska Institutet
Tre områden Kartläggning personuppgiftsbehandling Process för incidentberedskap Process för den registrerades rättigheter Institution Personuppgiftsbehandling- kartläggning Den registrerades rättigheter Incident- hanterring Namn Efternamn 15 augusti 2019

20 Fortsatt arbete i Forskningdatautredningen
Huvuduppdrag: Reglera forskningsdatabaser Sidouppdrag Lagen om rättspsykiatriskt forskningsregister vid RMV Luxemburg Income Study Reglering av nationellt biobanksregister Slutbetänkande 25 maj 2018 Namn Efternamn 15 augusti 2019

Ladda ner ppt "Dataskydd och forskning i Europa och Sverige"

Liknande presentationer

Juridik och etik kring svenska biobanker

Juridik och etik kring svenska biobanker
PSI Vad är det? Vad är på gång?

PSI Vad är det? Vad är på gång?
Patientdatalagen och lite Personuppgiftslagen

Patientdatalagen och lite Personuppgiftslagen
Personuppgiftslagen (PuL) och Polisdatalagen (PdL)

Personuppgiftslagen (PuL) och Polisdatalagen (PdL)
Personuppgiftslagen.

Personuppgiftslagen.
Personuppgiftslagen (PuL) och Polisdatalagen (PdL)

Personuppgiftslagen (PuL) och Polisdatalagen (PdL)
Datainspektionen Personuppgiftslagen

Datainspektionen Personuppgiftslagen
IT-rätt – en introduktion

IT-rätt – en introduktion
Karl-Göran Marklund Personuppgiftsombud (Den fysiska person som självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt)

Karl-Göran Marklund Personuppgiftsombud (Den fysiska person som självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt)
Personuppgiftslagen (PuL) och Polisdatalagen (PdL)

Personuppgiftslagen (PuL) och Polisdatalagen (PdL)
Personuppgiftslagen (PuL) och

Personuppgiftslagen (PuL) och
Sören Öman Ändringar i personuppgiftslagen Normgivningsbemyndigandena 1/1 1999 Samordningsnummer 1/1 2000 Överföring till tredje land med adekvat skyddsnivå.

Sören Öman Ändringar i personuppgiftslagen Normgivningsbemyndigandena 1/ Samordningsnummer 1/ Överföring till tredje land med adekvat skyddsnivå.
Studentkontroller Det finns i princip två olika rättsliga regleringar för att skaffa sig information Offentlighetsprincipen Särskilda rättsregler Därutöver.

Studentkontroller Det finns i princip två olika rättsliga regleringar för att skaffa sig information Offentlighetsprincipen Särskilda rättsregler Därutöver.
Folkhälsodata i Region Skåne Skåningarnas hälsa, levnads- och miljöförhållanden.

Folkhälsodata i Region Skåne Skåningarnas hälsa, levnads- och miljöförhållanden.
PUL-delen i processen att bli Federationsmedlem

PUL-delen i processen att bli Federationsmedlem
”Patientdatalagen, journaler på nätet, sociala medier – lagar och regler” Jens Larsson, 0706-110179 Jens Larsson, Chefsjurist.

”Patientdatalagen, journaler på nätet, sociala medier – lagar och regler” Jens Larsson, Jens Larsson, Chefsjurist.
Ändra till startrubrik

Ändra till startrubrik
Nya föreskrifter och allmänna råd

Nya föreskrifter och allmänna råd
 1 § Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

 1 § Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.
1 Marknadskontrollrådets seminarium ”Din produkt, ditt ansvar ” Nalen 21/4 2015 Olika roller, olika ansvar: Tillverkare, importör, distributör Göran Lundmark,

1 Marknadskontrollrådets seminarium ”Din produkt, ditt ansvar ” Nalen 21/ Olika roller, olika ansvar: Tillverkare, importör, distributör Göran Lundmark,

Liknande presentationer

Google-annonser