Europeiska dataskyddsstyrelsen (Europeiska dataskyddsstyrelsen, EDPB) har antagit riktlinjer för behandling av personuppgifter i vetenskapliga forskningssyften i syfte att ge forskare ökad tydlighet och underlätta efterlevnaden av dataskyddsförordningen (GDPR), samtidigt som skyddet för enskildas grundläggande rättigheter upprätthålls.
EDPB identifierar sex vägledande faktorer som sammantaget kan indikera att en behandling utgör vetenskaplig forskning i GDPR:s mening: metodiskt och systematiskt tillvägagångssätt, efterlevnad av etiska standarder, verifierbarhet och transparens, autonomi och oberoende, forskningens syften samt potential att bidra till eller tillämpa befintlig vetenskaplig kunskap. Om faktorerna är uppfyllda kan behandlingen presumeras utgöra vetenskaplig forskning; i annat fall måste den personuppgiftsansvarige motivera och kunna styrka detta.
Riktlinjerna klargör att vidareanvändning av personuppgifter för vetenskapliga ändamål presumeras vara förenlig med det ursprungliga insamlingssyftet, vilket innebär att den personuppgiftsansvarige inte behöver genomföra ett ändamålsförenlighetsprov. Den rättsliga grunden för den ursprungliga behandlingen måste dock vara tillämplig även för den vidare behandlingen.
EDPB klargör också att brett samtycke är tillåtet när forskningens syften inte är fullt ut kända vid insamlingstillfället, under förutsättning att kompensatoriska skyddsåtgärder vidtas. Dynamiskt samtycke – där den registrerade tillfrågas separat för varje forskningsprojekt allteftersom syftena konkretiseras, är ett alternativ, liksom en kombination av de båda modellerna. Riktlinjerna behandlar också de registrerades rätt till radering och rätt att invända mot behandling, och anger under vilka förutsättningar dessa rättigheter kan begränsas vid vetenskaplig forskning.
Riktlinjerna är föremål för öppet samråd till och med den 25 juni 2026.
Riktlinjerna berör forskande organisationer, universitets- och sjukvårdsverksamheter samt andra aktörer som behandlar personuppgifter inom ramen för vetenskapliga projekt, och ställer krav på både samtyckestrukturer, ansvarsfördelning och dokumentation som kan vara komplexa att hantera i praktiken.
TechLaw bistår verksamheter med juridisk rådgivning i frågor som rör behandling av personuppgifter för forskningsändamål, samtyckestrukturer och ansvarsfördelning vid gemensam behandling enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur regelutvecklingen påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: EDPB.