Använd broschyr vid forskningssamarbeten
Dela broschyren Att samarbeta med Umeå universitet i forskning med din samarbetspartner för att informera om de juridiska förutsättningarna som gäller för samarbete med Umeå universitet.
GDPR styr hur du får behandla personuppgifter
Hur personuppgifter får behandlas regleras i EU:s dataskyddsförordning, GDPR. Förordningen gäller för samtliga medlemsstater i EU/EES och för all personuppgiftsbehandling oavsett sammanhang. När forskningsdata innehåller personuppgifter som inte omfattas av sekretess gör du alltså samma bedömningar oavsett om mottagaren är en myndighet eller inte. Skillnaden i hantering beror istället på om mottagaren finns i EU/EES eller i ett land utanför detta område, så kallat tredjeland.
Det är oftast oproblematiskt att dela forskningsdata som innehåller personuppgifter och som inte är sekretessbelagda när din samarbetspartner finns inom EU/EES.
Läs mer om vad du behöver tänka på när du samarbetar med olika parter
Dela data med svenska myndigheter
Vad du behöver veta inför samarbeten med andra svenska myndigheter.
Dela data med företag och organisationer i Sverige
Vad du behöver veta inför samarbeten med företag och organisationer inom Sverige.
Dela data med samarbetspart i annat land
Vad du behöver veta när du samarbetar med parter utomlands.
Avtal i forskningssamarbeten
Här får du veta när avtal behövs, tips om rättigheter till resultat och intygsmallar.
Mottagare i tredjeland eller internationell organisation
Den nivå på skyddet som garanteras i GDPR får inte försämras när forskningsdata med personuppgifter delas med samarbetspartner som befinner sig i tredjeland.
EU-kommissionen har en lista över länder som bedöms ha tillräckligt hög skyddsnivå och som du får dela forskningsdata som innehåller personuppgifter med på samma sätt som för EU/EES länder. Innan du delar måste du därför undersöka om det finns beslut från EU-kommissionen om att skyddsnivån för personuppgifter är tillräckligt hög i landet där din samarbetspartner befinner sig. Ett sånt beslut kallas adekvansbeslut (adequacy decision). Om det inte finns ett sådant beslut måste du vidta lämpliga skyddsåtgärder som säkerställer att personuppgifterna skyddas på samma nivå. Det vanligaste är att universitetet tecknar ett särskilt standardavtal som tagits fram av EU-kommissionen och som kallas Standard Contractual Clauses och förkortas SCC.
Observera att även så kallade internationella organisationer ska hanteras på samma sätt som mottagare i tredje land när du delar forskningsdata med personuppgifter med dem.
Läs EU-kommissionens lista på länder med tillräckligt hög skyddsnivå (commission.europa.eu)
Personuppgiftsansvar
Du behöver veta vem som har personuppgiftsansvar för uppgifterna som du avser att dela. Parterna kan ha eget personuppgiftsansvar för sin behandling eller gemensamt personuppgiftsansvar. I ett forskningssamarbete blir det sällan fråga om att ena parten är personuppgiftsbiträde till den andra parten.
Om parterna har gemensamt personuppgiftsansvar ska det dokumenteras. Det finns inga formkrav men det kan ske i ett avtal eller genom att redovisa ansvarsfördelningen på ett öppet sätt, exempelvis genom att parterna tydligt beskriver den gemensamma personuppgiftshanteringen i den informationsskrivelse som lämnas till forskningsdeltagarna.
Kontakta stödteamet för forskningsdatahantering om du behöver hjälp att bedöma personuppgiftsansvaret i ditt projekt och om ett gemensamt personuppgiftsansvar behöver dokumenteras.
Har du en fråga om forskningsdata?
På universitetet finns ett tvärfunktionellt stöd för forskningsdatahantering, där det ingår representanter från arkiv, juridik, ITS och universitetsbiblioteket. Du kan kontakta forskningsdatastödet via ett formulär som du hittar här:
