Rutiner for behandling av personopplysninger i forskning og i studentoppgaver

1. Virkeområdet

Disse rutinene gjelder alle forskningsprosjekter ved Universitetet i Agder som baserer seg på innsamling av personopplysninger. Rutinene gjelder både elektronisk og manuelt innsamlede opplysninger. Den enkelte forsker og student plikter å sette seg inn i hva begrepet ’personopplysning’ omfatter.

2. Daglig ansvar

Prosjektleder for hvert enkelt forskningsprosjekt, også ph.d.kandidater, har det daglige ansvar for å påse at rutiner og lovverk følges.

I forbindelse med studentprosjekter er det den oppnevnte veileder som står ansvarlig.

Fakultetsdirektøren har ansvar for å påse at nødvendige sikringstiltak er tilstede for en behandling av personopplysninger og skal derfor varsles om at det skal anvendes personopplysninger i prosjektet.

3. Før oppstart av nye prosjekt

Prosjektansvarlige må vurdere følgende spørsmål før oppstarten på et prosjekt der man har tenkt å anvende personopplysninger

• Hva er formålet med å anvende personopplysninger i prosjektet?
• Kan prosjektet gjennomføres uten bruk av personopplysninger?
• Hvis NEI, hvordan kan det gjøres på den mest mulig skånsomme måte?
• Er det forskningsetisk forsvarlig å behandle personopplysninger i dette prosjektet?
• Hvordan er personopplysningene tenkt sikret mot uautorisert innsyn?

Dersom svaret på disse spørsmålene er at det skal anvendes personopplysninger i prosjektet, medfører det meldeplikt til Personvernombudet for forskning ved Norsk samfunnsvitenskapelig datatjeneste.

4. Meldeplikt til Personvernombudet for forskning ved Norsk samfunnsvitenskapelig datatjeneste (NSD)

Universitetet i Agder har oppnevnt Norsk samfunnsvitenskapelig datatjeneste som personvernombud for forsknings- og studentprosjekter som gjennomføres helt eller delvis ved egen institusjon, og som anvender personopplysninger.

Prosjektansvarlig skal innen 30 dager før datainnsamlingen begynner, melde prosjektet inn til Personvernombudet for forskning hos Norsk samfunnsvitenskapelig datatjeneste.

Norsk samfunnsvitenskapelig datatjeneste har eget meldeskjema med veiledning

Dersom prosjektet omhandler medisinsk eller helsefaglig forskning, kreves det i tillegg en tilråding fra regional forskningsetisk komite.

UiA tilhører region sør-øst.

5. Informasjonsplikt

Den som har det daglige ansvar for et prosjekt plikter å informere den registrerte om følgende

• at Universitetet i Agder er behandlingsansvarlig (Personopplysningsloven (POL) §2.4)
• hva formålet er med å anvende personopplysninger
• hvem opplysningene eventuelt kan bli utlevert til
• Annet som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven

NSD har et detaljert forslag, med eksempler, til utforming av informasjonsskriv til deltakere i forskningsprosjekt der det anvendes personopplysninger.

Dersom det er innhentet opplysninger uten at den registrerte er informert om disse punktene, skal vedkommende varsles så snart opplysningene er registrert. Unntak er nevnt i POL §§ 19, 20 og 23.

6. Samtykke

Prosjektleder har ansvar for at det innhentes samtykke fra den registrerte dersom det innhentes personopplysninger om vedkommende.

Den registrerte skal bekrefte at opplysningene kan anvendes til det formål som er oppgitt. Samtykket må gis frivillig, uttrykkelig og baseres på at det er gitt god og forsvarlig informasjon. (POL §2.7)

Dersom forskningsprosjektet ikke skal basere seg på samtykke fra den registrerte, må det i meldeskjemaet til Personvernombudet gjøres rede for hvorfor det er nødvendig å gjennomføre prosjektet uten samtykke. Det må vises at den allmenne interessen i at prosjektet gjennomføres uten samtykke er stor og at samfunnets interesse klart overgår belastningen det kan være for den enkelte registrerte.

7. Innsyn

Enhver henvendelse om innsyn i hvilken behandling av personopplysninger er foretatt i forbindelse med forsknings- og studentprosjekter, skal behandles av prosjektleder eller veileder.

Følgende opplysninger kan utleveres (POL § 18):

a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant,

b) hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter,

c) formålet med behandlingen,

d) beskrivelser av hvilke typer personopplysninger som behandles,

e) hvor opplysningene er hentet fra, og

f) om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker.

Henvendelser om innsyn skal besvares senest innen 30 dager fra den dagen henvendelsen kom inn.

8. Utlevering av personopplysninger

Personopplysninger i forsknings- og studentprosjekter skal ikke utleveres til utenforstående. Utlevering kan likevel skje dersom ett av vilkårene i POL §§ 8 eller 9 er oppfylt.

9. Retting av personopplysninger

Dersom det viser seg at registrerte personopplysninger innholder feil, er mangelfulle eller at det ikke er innhentet tillatelse til å behandle disse, skal den som har det daglige ansvar for prosjektet sørge for at dette rettes opp.

Den registrerte kan selv kreve rettinger, og den daglig ansvarlige har plikt til å informere den registrerte dersom det foretas rettinger.

(POL §27)

10. Lagring og sletting av personopplysninger

Lagring av personopplysninger er omtalt i POL §28.

Det generelle krav er at personopplysninger ikke skal lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Deretter skal de slettes/anonymiseres. Fakultetsdirektøren skal varsles skriftlig når personopplysningene er slettet/anonymisert.

Under arbeid med prosjektet skal prosjektansvarlig påse at data som inneholder personopplysninger, lagres etter retningslinjer gitt av IT-avdelingen. Fysisk materiale som lydopptak, bildemateriale, film og lignende skal lagres på låste kontorer eller annet låst rom.

Dersom personopplysninger skal lagres etter at prosjektet er avsluttet, skal dette oppgis når prosjektet meldes til Personvernombudet for forskning ved Norsk samfunnsvitenskapelig datatjeneste. Prosjektleder har ansvar for å redegjøre for hvilke samfunnsinteresser som kan ivaretas gjennom en slik lagring og hvilke eventuelle ulemper det kan medføre for den som er registrert. Fakultetsdirektøren har ansvar for å påse at personopplysningene oppbevares forsvarlig.

Norsk samfunnsvitenskapelig datatjeneste kan i en rekke tilfeller påta seg å lagre personopplysninger.

Personopplysninger som er overført til Norsk samfunnsvitenskapelig datatjeneste skal slettes.

Del/Tips: