Generelt om behandling av personopplysninger forskning
Hovedinnhold
Generelt om personvern i forskning
Personvernhensyn er sentralt i forskningsetikken, og en grunnleggende menneskerettighet. For at prinsippet om den enkeltes autonomi, egenverdi og respekt skal styre utviklingen i dagens informasjonssamfunn, må kravene til personvern anvendes gjennomgående i all forskningsvirksomhet, ref EU kommisjonens veileder Ethics and data protection (nov. 2018)
I alle forskningsprosjekter medfører kravet til å ivareta personvern at forskere er pålagt å informere forskningsdeltakere om behandlingen av personopplysningene deres. Krav om personvern pålegger også virksomheter som behandler personopplysninger å sikre at data er tilstrekkelig beskyttet, at det ikke behandles mere opplysninger enn det som er nødvendig for å oppnå formålet, og ikke lenger enn nødvendig.
Særlig varsomhet kreves for forskning som omfatter særlige kategorier personopplysninger (tidligere kalt 'sensitive'), profilering, automatiserte beslutninger, datahentingteknikker, big-data analyser og kunstig intelligens, ettersom slike behandlinger kan medføre høyere risiko for de registrertes rettigheter og friheter. Nye teknologiske muligheter for bruk av personopplysninger er reflektert i EUs personvernforordning (General Data Protection Regulation, 'GDPR').
EUs personvernforordning (GDPR) og behandling av personopplysninger i forskning
EUs personvernforordning regulerer all behandling av personopplysninger innenfor EU/EØS-området, og all behandling av opplysninger som gjennomføres i regi av behandlingsansvarlige som holder til innenfor EU/EØS. Dette omfatter også behandling av personopplysninger som skjer i tilknytning til vitenskapelig forskning.
Det fremgår av fortalen til EUs personvernforordning at vitenskapelig forskning skal tolkes vidt og omfatte blant annet teknologisk utvikling og demonstrasjon, grunnleggende forskning, anvendt forskning og privatfinansiert forskning. Personvernforordningen (GDPR) inneholder flere særbestemmelser og unntak når formålet med behandling av personopplysninger er knyttet til vitenskapelig forskning.
Personvernforordningen artikkel 89 nr. 1 tillater at personopplysninger kan brukes til formål knyttet til vitenskapelig forskning når behandlingen har behandlingsgrunnlag i artikkel 6 og 9 og nasjonale bestemmelser, behandlingen er omfattet av nødvendige garantier for å sikre den registrertes rettigheter og friheter, og behandlingsansvarlige har iverksatt tekniske og organisatoriske tiltak for særlig å sikre at prinsippet om dataminimering overholdes.
Nødvendige garantier
Nødvendige garantier er særlige tiltak som ivaretar personvernet til de registrerte, og omfatter (men er ikke begrenset til):
- at forskningen skjer i samsvar med anerkjente forskningsetiske normer og retningslinjer, og har forskningsetisk godkjenning der det er krav om det
- at forskningen respekterer prinsippet om dataminimering, som innebærer å ikke behandle mere personopplysninger enn nødvendig og relevant for å oppnå formålet
- anonymisering eller pseudonymisering, når det er mulig
- forståelse for viktigheten av å ivareta informasjonssikkerhet (konfidensialitet, integritet og tilgjengelighet), blant annet gjennom å overholde virksomhetens retningslinjer for informasjonsikkerhet og personvern og IKT-reglement
Særlige bestemmelser og unntak for vitenskapelig forskning
GDPR artikkel 89 nr. 2 åpner for at det kan fastsettes unntak i nasjonal lovgivning fra de registrertes rettigheter når det gjelder retten til innsyn, retting, sletting, begrensning av behandling og retten til å protestere mot behandling, når personopplysninger behandles for formål knyttet til vitenskapelig eller historisk forskning. Nevnte unntak er fastsatt i den norske personopplysningsloven § 17. Unntakene kommer i tillegg til begrensningene som er fastsatt direkte i forordningens bestemmelser, unntak fra formålsbegrensing (se nedenfor), på visse vilkår adgang til unntak fra informasjonsplikten, jf. artikkel 14 nr. 5 b), og unntak fra retten til sletting i artikkel 17 nr. 3 d).
Formålsbegrensning og viderebehandling til forskningsformål
Personopplysninger skal som hovedregel bare samles inn for spesifikke, uttrykkelige angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene. Artikkel 5 nr 1 b) slår fast at viderebehandling til forskningsformål av allerede innsamlede personopplysninger skal ikke anses som uforenlig med det opprinnelige formålet, så fremt behandlingen skjer i samsvar med vilkårene i personvernforordningen artikkel 89 nr. 1.
Rettslig grunnlag for behandling av personopplysninger i forskning
Alminnelige personopplysninger
For all behandling av personopplysninger kreves et rettslig grunnlag i personvernforordningen i artikkel 6. Dette gjelder også for medisinsk og helsefaglig forskning. Kravet om rettslig grunnlag innebærer at minst ett av vilkårene etter personvernforordningen artikkel 6 nr. 1 må være tilstede.
Behandling av personopplysninger i forbindelse med vitenskapelig forskning eller utdanningsformål er å anse som en oppgave i allmennhetens interesse. Det rettslige grunnlaget i artikkel 6 vil derfor som hovedregel være artikkel 6 nr. 1 bokstav e):
- "behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse".
For behandling av personopplysninger i allmennhetens interesse kreves supplerende rettslig grunnlag i nasjonale lovbestemmelser (lov, forskrift eller vedtak i lov eller forskrift). Det supplerende rettslige grunnlaget er:
- Personopplysningsloven § 8, som fastsetter at alminnelige personopplysninger kan behandles på grunnlag av personvernforordningen artikkel 6 nr. 1 bokstav e) dersom det er nødvendig for formål knyttet til vitenskapelig forskning, og såfremt behandlingen er omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.
Særlige kategorier personopplysninger
For behandling av særlige kategorier personopplysninger må i tillegg et av vilkårene i artikkel 9 nr. 2 være oppfylt. Særlige kategorier personopplysninger omfatter helseopplysninger, opplysninger om etnisk opprinnelse, seksuelle forhold eller andre sensitive personopplysninger, se definisjon under punktet Sentrale begrep og definisjoner.
For vitenskapelig forskningsformål vil det rettslige grunnlaget som hovedregel være artikkel 9 nr. 2 bokstav j):
- "behandlingen er nødvendig for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål"
Behandlingen må være i samsvar med artikkel 89 nr. 1 og i samsvar med nasjonale lovbestemmelser:
- Etter personopplysningsloven § 9 kan særlige personopplysninger behandles uten samtykke fra den registrerte, dersom behandlingen er nødvendig for vitenskapelig forskningsformål og samfunnets interesse at behandlingen finner sted klart overstiger ulempene for den registrerte. Behandlingen skal være omfattet av nødvendige garantier i samsvar med artikkel 89 nr. 1. Før behandlingen finner sted har den behandlingsansvarlige plikt til å rådføre seg med personvernombudet. Ved rådføringen skal det vurderes om behandlingen oppfyller kravene i personvernforordningen og øvrige bestemmelser fastsatt i personopplysningsloven eller med hjemmel i personopplysningsloven. Den særskilte rådføringsplikten i pol § 9 gjelder ikke dersom det allerede utført en personvernkonsekvensvurdering (DPIA).
- Etter personopplysingsloven § 10 gjelder tilsvarende rådføringsplikt med personvernombud når særlige personopplysninger behandles for forskningsformål på grunnlag av den registrertes samtykke.
- Det er unntak fra rådføringsplikten for medisinsk og helsefaglig forskning, jf. helseforskningsloven § 33 tredje ledd. Det er likevel plikt til å involvere og rådføre seg med personvernombudet hvis forskningen er omfattet av kravet om personvernkonsekvensvurdering (DPIA).
Supplerende rettslig grunnlag for ikke-samtykkebasert behandling av opplysninger omfattet av lovbestemt taushetsplikt
Helselovgivningen gir nødvendig supplerende rettslig grunnlag for ikke-samtykkebasert behandling av helseopplysinger i forskning. REKs vedtak om dispensasjon fra helsepersonells taushetsplikt vil utgjøre det supplerende lovgrunnlag etter GDPR artikkel 6 og artikkel 9.
Personopplysninger om straffedommer og lovovertredelser
I henhold til personopplysningsloven § 11 gjelder tilsvarende rådføringsplikt med personvernombud etter personopplysningsloven § 9 når personopplysninger om straffedommer og lovovertredelser skal behandles for forskningsformål.
Hvis behandlingen skal skje uten samtykke, gjelder tilsvarende som for særlige kategorier personopplysninger, dvs. at samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte. I denne interesseavveiningen skal det legges vekt på at behandlingen skjer uten den registrertes samtykke. Vurderingen må dokumenteres.
Betydningen av samtykke
Etter de forskningsetiske prinsipper er samtykke hovedregelen ved forskning på opplysninger som kan knyttes til enkeltpersoner. I henhold til punkt 33 i fortalen til personvernforordningen bør forskningsdeltakere kunne gi samtykke til visse områder innen vitenskapelig forskning når dette er i samsvar med anerkjente etiske standarder for vitenskapelig forskning. Forskningsdeltakerne bør ha mulighet til å gi sitt samtykke bare til visse forskningsområder eller deler av forskningsprosjektet i det omfang det tilsiktede formålet tillater det. Se nærmere om informasjon til forskningsdeltakere og samtykke i Rutine for innhenting av samtykke og informasjon til forskningsdeltakere.
At forskningen er basert på frivillig deltakelse er en garanti for at forskningen skjer i samsvar med forskningsetiske prinsipper, og utgjør en slik nødvendig garanti som omtalt i GDPR artikkel 89 nr. 1.
Forskeren har plikt til å sikre at samtykket er informert, frivillig avgitt og gjenkallelig, i samsvar med de forskningsetiske retningslinjene.
Samtykke til deltakelse er imidlertid ikke det samme som at samtykke utgjør det rettslige grunnlaget for å behandle personopplysningene, når behandlingen er nødvendig for å gjennomføre en oppgave i allmennhetens interesse.
Helseforskning – krav om forskningsetisk godkjenning
Medisinsk og helsefaglig forskning må ha etisk forhåndsgodkjenning av den regionale etiske komité (REK), jfr. helseforskningsloven.
Unntak fra rådføringsplikt med personvernombud for medisinsk og helsefaglig forskning
Medisinsk- og helsefaglig forskning er unntatt fra rådføringsplikten i personopplysningsloven § 10, jf. helseforskningsloven § 33 tredje ledd, men kan være omfattet av kravet om DPIA som gjelder for ikke-samtykkebasert behandling av personopplysninger i forskning.
Vurdering av personvernkonsekvenser (DPIA) i forskning
Ved planlegging av enhver behandling av personopplysninger for forskningsformål bør det vurderes om det er krav om å gjennomføre en personvernkonsekvensvurdering, i samsvar med kravene i GDPR artikkel 35. En personvernkonsekvensvurdering skal gjennomføres når det er sannsynlig at behandlingen vil medføre høy risiko for de registrertes rettigheter og friheter, særlig ved bruk av ny teknologi, og i det det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i. En vurdering kan omfatte flere lignende behandlingsaktiviteter som innebærer tilsvarende høye risikoer.
Datatilsynet har myndighet til å bestemme at enkelte behandlingsaktiviteter skal være omfattet av kravet til DPIA, og har bestemt at det er krav om å gjennomføre en personvernkonsekvensvurdering:
- ikke-samtykkebasert behandling av særlige kategorier personopplysninger for formål knyttet til vitenskapelig forskning.
Personvernkonsekvensvurdering kan være nødvendig for enkeltprosjekter og for behandlinger som har generelle forskningsformål, for eksempel opprettelse av registre for forskningsformål.
Hvis forskningsprosjektet er omfattet av kravet til DPIA, skal det avklares med institusjonens personvernombud om det skal gjennomføres en personvernkonsekvensvurdering. Personvernombudet skal involveres, og kan blant annet bistå med å vurdere om personvernhensyn er tilstrekkelig ivaretatt. For det tilfelle at Sikt bistår ved personvernkonsekvensvurderingen, kan Sikt bistå med å vurdere om personvernhensyn er tilstrekkelig ivaretatt. Det er alltid den behandlingsansvarlige som har ansvaret for å gjennomføre personvernkonsekvensvurderingen
Ved fortsatt høy risiko skal Datatilsynet kontaktes for forhåndsvurdering. Før forhåndsvurdering påbegynnes skal behandlingsansvarlige først vurdere om ytterligere tiltak kan iverksettes for å redusere personvernrisikoen for de registrerte.