Använd broschyr vid forskningssamarbeten
Dela broschyren Att samarbeta med Umeå universitet i forskning med din samarbetspartner för att informera om de juridiska förutsättningarna som gäller för samarbete med Umeå universitet.
Dela inte sekretessbelagda uppgifter med utländska parter
Reglerna i offentlighets- och sekretesslagen (OSL) omfattar endast svenska myndigheter och andra offentliga aktörer i Sverige. Om Umeå universitet har fått uppgifter med överförd sekretess från en annan myndighet eller om det finns någon annan sekretess som skyddar uppgifterna hos Umeå universitet kan forskningsdata som utgångspunkt inte delas med mottagare utanför Sverige oavsett om mottagaren är en myndighet, ett lärosäte eller någon annan organisation.
Pseudonymisering kan vara ett sätt att möjliggöra delning av forskningsdata med sekretessbelagda uppgifter till en samarbetspart i annat land. Om uppgifterna inte längre kan kopplas till en enskild individ och det heller inte finns kringliggande uppgifter som gör att den enskilda kan "bakspåras" är det i många fall möjligt att dela forskningsdata med sekretess.
Kontakta alltid det centrala stödteamet för forskningsdatahantering om du har behov av att dela forskningsdata som omfattas av sekretess med mottagare utomlands.
Checklista för att dela forskningsdata med samarbetspart i annat land
Innan forskningsdata delas med en samarbetspart i annat land ska du:
- kontrollera om Umeå universitet har fått uppgifterna från annan svensk myndighet eller offentlig verksamhet och den utlämnande myndigheten har fört över sekretess för uppgifterna till Umeå universitet
- göra en sekretessprövning
- utreda om det finns andra åtgärder som kan vidtas som ger skydd för den eller det som sekretessen avser och därmed möjliggör att forskningsdata kan delas, till exempel att uppgifterna kan anonymiseras eller agreggeras
- utreda om avtal om delning av forskningsdata behöver tecknas.
Om forskningsdata innehåller personuppgifter behöver du också:
- bedöma vilka personuppgifter som det är nödvändigt att dela
- kontakta det centrala stödteamet för forskningsdata om parterna i forskningsprojektet har ett gemensamt personuppgiftsansvar som behöver dokumenteras.
Finns mottagaren av forskningsdata med personuppgifter i ett land utanför EU/EES (så kallat tredjeland) behöver du också:
- kontrollera om det aktuella landet har så kallat adekvansbeslut eller om andra säkerhetsåtgärder behöver vidtas
- om avtal om delning av forskningsdata behöver tecknas.
Dokumentera de överväganden som görs i samband med att du delar uppgifter, till exempel i forskningsprojektets datahanteringsplan.
Kontakta det centrala stödteamet för forskningsdata om du tänker dela forskningsdata med personuppgifter till tredjeland.
Sekretessprövning
Om uppgifterna inte längre kan kopplas till en enskild individ och det heller inte finns kringliggande uppgifter som gör att den enskilda kan "bakspåras" är det i många fall möjligt att dela forskningsdata med sekretess.
Delning av forskningsdata som omfattas av sekretess till utlandet kan kanske vara möjlig om:
- uppgifterna är pseudonymiserade, och
- det saknas möjlighet att med hjälp av annan information än kodnyckeln knyta uppgifterna till en enskild individ, och
- det i avtal mellan Umeå universitet och din samarbetspart (exempelvis samarbetsavtal) finns klausuler om konfidentialitet för uppgifterna, så kallad avtalssekretess, och
- om forskningen ska etikprövas, det framgår av etikansökan att uppgifter kommer att delas med forskningspart i utlandet.
Alla ovanstående punkter måste vara uppfyllda för att delning till utlandet ska kunna vara möjlig.
Om det framgår av den information som forskningsdeltagarna har fått i samband med att de samtyckt till att delta i forskningen att uppgifterna kommer att delas med forskningspart i utlandet kan det också beaktas i sekretessprövningen.
Skyddsnivå enligt GDPR
Om EU-kommissionen har fattat adekvansbeslut för det land där mottagaren befinner sig hindrar GDPR inte att du delar forskningsdata.
Om EU-kommissionen inte har fattat adekvansbeslut för det aktuella landet måste andra lämpliga skyddsåtgärder för att säkerställa att den skyddsnivå som GDPR kräver kan uppnås, bland annat genom att teckna så kallade standardavtalsklausuler, SCC. Det är också viktigt att uppgifterna är pseudonymiserade, då det många gånger både möjliggör ett utlämnade enligt OSL och anses vara en säkerhetsåtgärd enligt GDPR.
Läs mer om att dela forskningsdata med personuppgifter
Avtal som reglerar delning av forskningsdata
För att du ska kunna dela forskningsdata med en samarbetspart i ett annat land behöver avtal som reglerar hur data får användas tecknas. Ett sådant avtal bör reglera:
- att forskningsdata inte får användas i annat syfte än för det aktuella projektet
- vad samarbetspartnern ska göra med forskningsdata efter projektets slut
- att samarbetspartnern inte får lämna vidare forskningsdata till andra.
- att mottagaren ansvarar för att ha de tillstånd som krävs för att hantera forskningsdata enligt lagstiftningen i det land där mottagaren är verksam.
Har du en fråga om forskningsdata?
På universitetet finns ett tvärfunktionellt stöd för forskningsdatahantering, där det ingår representanter från arkiv, juridik, ITS och universitetsbiblioteket. Du kan kontakta forskningsdatastödet via ett formulär som du hittar här: