Navigerat till

Krav för att behandla personuppgifter för forskningsändamål

Allt du gör med personuppgifter innebär att du behandlar personuppgifter, till exempel alla former av insamling, lagring, analysering, utlämnande och radering. När din forskning innebär att du behöver behandla personuppgifter finns det flera grundläggande krav och lagar som måste följas, inte minst GDPR (dataskyddsförordningen).


Grundläggande krav för att behandla personuppgifter

När du behöver behandla personuppgifter för forskningsändamål måste vissa grundläggande krav uppfyllas för att behandlingen ska vara laglig:

Rättslig grund för personuppgiftsbehandling i forskning

Den rättsliga grund som är aktuell för personuppgiftsbehandling i forskning vid Umeå universitet är allmänt intresse, eftersom universitetets uppgift att forska är fastställd i högskolelagen.

Samtycke enligt GDPR ska som huvudregel inte användas som rättslig grund för personuppgiftsbehandling i forskning. I de fall etikprövningslagen kräver samtycke ska detta inhämtas enligt det regelverket.

Behandlingen ska vara nödvändig

Personuppgiftsbehandlingen måste vara nödvändig för att utföra en uppgift av allmänt intresse, det vill säga forskningen. Det innebär att:

  • De personuppgifter som samlas in behövs för att uppnå syftet med forskningen.
  • Du som forskare behöver göra en rimlighetsbedömning av tillgängliga alternativ. Din bedömning bör ta hänsyn till tidsåtgång, arbetsinsats, kostnader och om behandlingen bidrar till högre kvalitet och tillförlitlighet i forskningsresultatet.
  • Om syftet med forskningen kan uppnås lika väl, enkelt och billigt utan personuppgifter (till exempel med anonyma uppgifter), kan behandlingen inte anses nödvändig och du får inte behandla personuppgifterna för detta ändamål.
 

Förutom att personuppgiftsbehandlingen ska vara nödvändig och vila på en rättslig grund gäller de grundläggande principerna för personuppgiftsbehandling.

Läs mer om personuppgifter på Aktum (UMU-id krävs)

Du ska anmäla din personuppgiftsbehandling

Alla forskningsprojekt som behandlar personuppgifter ska anmälas till Umeå universitets register över personuppgiftsbehandlingar.

Du hittar anmälan om personuppgiftsbehandling på Aktum (UMU-id krävs)

Du ska informera om att du behandlar personuppgifter

De personer vars personuppgifter vi behandlar kallas för ”registrerade”. GDPR ger de registrerade rättigheter som måste respekteras, till exempel att de ska informeras om sina rättigheter och om behandlingen av deras personuppgifter. Informationen ska även upplysa om Umeå universitets skyldighet att bevara forskningsdata under en viss tid efter att forskningen avslutats. I etikprövade projekt ska du informera både enligt etikprövningslagens och GDPR:s krav.

Undantag från informationsplikten

Det finns vissa undantag från informationsplikten i GDPR, som dock ska användas restriktivt. Ett undantag är bland annat om det skulle vara omöjligt eller en oproportionerlig ansträngning att informera.

Exempel på situationer som kan omfattas av undantaget

Exempel på när det kan anses att det skulle vara omöjligt eller en oproportionerlig ansträngning att informera:

  • Ett stort sjukhus kräver att alla patienter för dagliga ingrepp, längre sjukhusvistelser och läkarbesök ska fylla i ett patientinformationsformulär där uppgifter om två ”närmast anhöriga” ska anges. Med tanke på det mycket stora antal patienter som passerar sjukhuset varje dag skulle det medföra en oproportionell ansträngning från sjukhusets sida att varje dag tillhandahålla information till alla de personer som har angetts som ”närmast anhöriga” på de formulär som patienterna har fyllt i. 
  • Historieforskare som försöker spåra släktlinjer via efternamn får indirekt ett stort dataset avseende 20 000 registrerade. Datasetet inhämtades för 50 år sedan, har inte uppdaterats sedan dess och innehåller inga kontaktuppgifter. Med tanke på datasetets storlek och framför allt uppgifternas ålder skulle det medföra en oproportionell ansträngning för forskarna att försöka spåra var och en av de registrerade för att ge dem information. 
 

Registrerades rätt att begära att behandlingen upphör

Den registrerade har rätt att begära att behandlingen av personuppgifter upphör eller att personuppgifterna raderas. Arkivkrav innebär att personuppgifter som behandlas för forskningsändamål i många fall inte kan raderas trots önskemål.

Läs mer på sidan Registrerades rättigheter på Aktum (UMU-id krävs).

Mall för information om personuppgiftsbehandling i forskning

Använd mallen nedan för att informera de registrerade om hur personuppgifter behandlas i ditt forskningsprojekt. Hämta alltid hem den senaste versionen av mallen då den kan komma att uppdateras.

Hitta Umeå universitets mall för att informera forskningspersoner om behandling av personuppgifter

Så använder du mallen

All information som finns i mallen behöver finnas med. Informationen ska vara ”begriplig” vilket innebär att den bör kunna förstås av en genomsnittsmedlem av den avsedda målgruppen. Du kan därför behöva anpassa språket för att passa de forskningspersoner som du har i ditt forskningsprojekt. Kontakta gärna universitetsjuristerna för att inte tappa bort väsentlig information om ändringar görs.

Informationen ska ges oavsett om forskningsprojektet är etikprövat eller inte.

  • Mallen i sin helhet används vid personuppgiftsbehandling i forskning som inte ska etikprövas.
  • I etikprövade projekt bifogas mallens sida 1–2 till Etikprövningsmyndighetens mall för forskningspersoninformation.

Du kan behöva göra en konsekvensbedömning

Om du ska behandla personuppgifter i ditt forskningsprojekt på ett sätt som innebär en hög risk för de registrerades integritet ska en konsekvensbedömning göras innan behandlingen påbörjas.

Konsekvensbedömning är en process för att

  • ta reda på vilka risker som finns med att behandla personuppgifter
  • ta fram rutiner och åtgärder för att bemöta dessa risker
  • visa att man uppfyller dataskyddsförordningens krav.

Konsekvensbedömning ska alltid göras i samråd med dataskyddsombud. Kontakta dataskyddsombuden via pulo@umu.se.

Exempel på när konsekvensbedömning behövs

Du behöver göra en konsekvensbedömning om

  • känsliga personuppgifter behandlas i stor omfattning i forskningsprojektet
  • registeruppgifter med många registrerade samkörs på ett sätt som de registrerade inte kunnat förvänta sig
  • forskningsprojektet behandlar personuppgifter i stor omfattning om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara, till exempel barn, anställda, asylsökande, äldre och patienter.

Ibland behövs avtal

Personuppgiftsbiträdesavtal (PUBA) behövs när någon behandlar personuppgifter på universitetets uppdrag, till exempel en leverantör. I forskningssamarbeten agerar parterna sällan så osjälvständigt att det blir fråga om en biträdessituation. PUBA krävs i så fall inte. I de flesta fall handlar det om att parterna har eget eller gemensamt personuppgiftsansvar. Har parterna gemensamt personuppgiftsansvar i forskningsprojektet ska detta dokumenteras, till exempel i ett avtal.

Läs mer om personuppgiftsbiträden på sidan Personuppgifter på Aktum (UMU-id krävs)

Skyddsåtgärder

Enligt GDPR ska all personuppgiftsbehandling omfattas av lämpliga skyddsåtgärder. Skyddsåtgärderna ska bestämmas utifrån skyddsbehovet för de personuppgifter som behandlas. Ta hjälp av institutionens eller projektets informationsklassning och risk- och sårbarhetsanalys för att avgöra skyddsåtgärder du kan använda för att skydda forskningsdata i ditt projekt.

Läs mer om informationsklassning, risk- och sårbarhetsanalys samt hantering av forskningsdata med ett högt skyddsvärde:

Planera din datahantering

Skydda din information – tänk säkert!

Anmäl personuppgiftsincidenter genast

En personuppgiftsincident kan innebära risker för de berörda personerna och kan behöva anmälas till Integritetsskyddsmyndigheten (IMY) inom 72 timmar från att den upptäckts. Det är därför viktigt att du anmäler personuppgiftsincidenter så fort de upptäcks.

Läs mer om hur du anmäler en personuppgiftsincident

Har du en fråga?

Om du har frågor kring behandling av personuppgifter, kan du vända dig till universitetsjuristerna:

Kontakta pulo@umu.se (dataskydd)


För frågor om hantering av forskningsdata, kan du kontakta det centrala forskningsdatastödet.

Kontakta forskningsdatastödet

Senast uppdaterad: 2025-06-03

Hitta mer information

Närbild på en gammaldags kompass.

Forskningsetik och god forskningssed

Du måste bedriva forskning vetenskapligt och på ett respektfullt och etiskt sätt.

Fyra bitar av en cirkel med illustrationer som rör forskningsdatahanteringens olika steg: planera, organisera, tillgängliggöra och bevara.

Hantera forskningsdata

Om att planera, organisera, tillgängliggöra och bevara forskningsdata.

Två händer sträcks ut mot varandra.

Dela forskningsdata i samarbeten

Vem du samarbetar med och vilken data du hanterar påverkar hur du kan dela data.