Lagens syfte
1 § Syftet med denna lag är att
1. ge universitet och högskolor möjlighet att skapa underlag
för olika forskningsprojekt om vad arv och miljö betyder för
uppkomsten och utvecklingen av olika typer av sjukdomar och
för människors hälsa i övrigt, och
2. skydda den enskildes personliga integritet i sådan
verksamhet.
Lagens tillämpningsområde
2 § Lagen gäller behandling av personuppgifter som utförs av
sådana statliga universitet och högskolor som omfattas av
högskolelagen (
1992:1434) och som med den enskildes
uttryckliga samtycke sker i sådant syfte som anges i 1 § 1.
Lagen gäller bara om behandlingen är helt eller delvis
automatiserad eller om uppgifterna ingår i eller är avsedda
att ingå i en strukturerad samling av personuppgifter som är
tillgängliga för sökning eller sammanställning enligt
särskilda kriterier.
Regeringen meddelar föreskrifter om vilka statliga
universitet och högskolor som får behandla personuppgifter
enligt denna lag och vilka register enligt lagen som får
föras.
Förhållandet till annan dataskyddsreglering
3 § Denna lag kompletterar Europaparlamentets och rådets
förordning (EU) 2016/679 av den 27 april 2016 om skydd för
fysiska personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter
och om upphävande av direktiv 95/46/EG (allmän
dataskyddsförordning), här benämnd EU:s
dataskyddsförordning.
Termer och uttryck i denna lag har samma betydelse som i EU:s
dataskyddsförordning. Lag (
2018:2001).
3 a § Vid behandling av personuppgifter enligt denna lag
gäller lagen (
2018:218) med kompletterande bestämmelser till
EU:s dataskyddsförordning och föreskrifter som har meddelats
i anslutning till den lagen, om inte annat följer av denna
lag eller föreskrifter som har meddelats i anslutning till
lagen. Lag (
2018:2001).
Personuppgiftsansvar
4 § De universitet eller högskolor som utför behandlingen av
personuppgifter är personuppgiftsansvariga.
Ändamål
5 § Personuppgifter får behandlas för ändamålen att
1. skapa underlag för olika forskningsprojekt om vad arv och
miljö betyder för uppkomsten och utvecklingen av olika typer
av sjukdomar och för människors hälsa i övrigt, och
2. lämna ut uppgifter för sådan forskning som anges i 1 i den
utsträckning och på det sätt som anges i 6 §.
6 § Personuppgifter som har registrerats enligt 9 § får
lämnas ut till sådan forskning som avses i 5 § 1 under
förutsättning att såväl forskningen som behandlingen av
uppgifterna har godkänts enligt lagen (
2003:460) om
etikprövning av forskning som avser människor och att
forskningen bedrivs vid en myndighet.
Utlämnande enligt första stycket får endast avse
personuppgifter som inte är direkt hänförliga till den
enskilde. Personuppgifterna får dock vid utlämnandet vara
försedda med en beteckning som hos den
personuppgiftsansvarige kan kopplas till den registrerades
personnummer eller motsvarande identitetsbeteckning.
7 § Personuppgifter som behandlas för de ändamål som anges i
5 § får också lämnas ut till en utredning av oredlighet i
sådan forskning som avses i 6 § första stycket eller för att
ett yttrande ska kunna lämnas i samband med en sådan
utredning. Vid sådana utlämnanden ska 6 § andra stycket
gälla.
Om personuppgifter har lämnats ut enligt 6 § första stycket
får den personuppgiftsansvarige till en annan myndighet lämna
ut sådana beteckningar som avses i 6 § andra stycket och de
registrerades personnummer eller motsvarande
identitetsbeteckning, om det är nödvändigt för att den
mottagande myndigheten ska kunna lämna ut uppgifter om samma
personer till den forskning som utlämnande har skett till
enligt 6 § första stycket 1.
Personuppgifter som har registrerats enligt denna lag får
alltid lämnas ut till den registrerade själv.
8 § Personuppgifter som behandlas för de ändamål som anges i
5 § får, utöver vad som följer av 6 och 7 §§, bara lämnas ut
om det finns en skyldighet enligt lag att göra det.
Personuppgifter i ett register som förs enligt denna lag får
bara behandlas för sådana ändamål som anges i första stycket
och 5-7 §§ samt för sådant bevarande som anges i 12 §.
Personuppgifterna i registret
9 § I ett register enligt denna lag får det i fråga om
personuppgifter bara finnas
1. uppgifter som den registrerade själv har lämnat i syfte
att de ska ingå i registret,
2. uppgifter om eller i form av upptagningar som den
registrerade har medverkat till i syfte att de ska ingå i
registret,
3. uppgifter om undersökningar som den registrerade har
genomgått i syfte att resultatet ska ingå i registret,
4. kategoriseringar av sådana uppgifter som avses i 1-3,
5. kontaktinformation till den registrerade,
6. andra uppgifter än som avses i 1-5 och som den
registrerade uttryckligen har samtyckt till får ingå i
registret, och
7. uppgifter om utlämnande som har skett till forskning.
Regeringen eller den myndighet som regeringen bestämmer
meddelar föreskrifter om i vilken utsträckning uppgifter
avseende genetiska undersökningar får registreras.
Intern elektronisk åtkomst
10 § Den personuppgiftsansvarige ska begränsa sina anställdas
och uppdragstagares elektroniska åtkomst till personuppgifter
till vad var och en behöver för att kunna fullgöra sina
arbetsuppgifter i fråga om registret.
Utlämnande genom direktåtkomst
11 § Utlämnande genom direktåtkomst till personuppgifter i
registret får inte förekomma.
Gallring
12 § Personuppgifter som inte längre behövs för de ändamål
som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller
den myndighet som regeringen bestämmer har meddelat
föreskrifter om eller i ett enskilt fall beslutat att
uppgifter får bevaras för arkivändamål av allmänt intresse,
vetenskapliga eller historiska forskningsändamål eller
statistiska ändamål. Lag (
2018:2001).
13 § Har upphävts genom lag (
2018:2001).
Samtycke och information
14 § Personuppgifter som avses i 9 § får inte samlas in i
syfte att de ska registreras i ett register som förs enligt
denna lag utan att den som uppgif-terna avser uttryckligen
har samtyckt till att personuppgifter behandlas enligt denna
lag.
Utöver vad som framgår av artiklarna 13 och 14 i EU:s
dataskyddsförordning ska en person, innan han eller hon
lämnar sitt samtycke enligt första stycket, ha informerats
om
1. att det är frivilligt att lämna uppgifter, medverka till
upptagningar eller genomgå undersökningar i syfte att
uppgifter om detta förs in i registret samt att den
registrerade när som helst kan avbryta sitt uppgiftslämnande,
sin medverkan eller sitt deltagande helt eller delvis,
2. vilka uppgifter som får registreras enligt 9 §,
3. de sekretess- och säkerhetsbestämmelser som gäller för
registret,
4. rätten till information enligt 15 § denna lag,
5. vilken myndighet som har tillsyn över att denna lag följs,
och
6. rätten till skadestånd.
Lag (
2018:2001).
Information om utlämnande till forskning
15 § Den registrerade har rätt att på begäran få information
om till vilka forskningsprojekt uppgifter om honom eller
henne har lämnats ut.
16 § Har upphävts genom lag (
2018:2001).
17 § Har upphävts genom lag (
2018:2001).