Lag (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

SFS nr
2013:794
Departement/myndighet
Utbildningsdepartementet
Utfärdad
2013-10-24

Lagens syfte

1 § Syftet med denna lag är att

1. ge universitet och högskolor möjlighet att skapa underlag
för olika forskningsprojekt om vad arv och miljö betyder för
uppkomsten och utvecklingen av olika typer av sjukdomar och
för människors hälsa i övrigt, och

2. skydda den enskildes personliga integritet i sådan
verksamhet.

Lagens tillämpningsområde

2 § Lagen gäller behandling av personuppgifter som utförs av
sådana statliga universitet och högskolor som omfattas av
högskolelagen (1992:1434) och som med den enskildes
uttryckliga samtycke sker i sådant syfte som anges i 1 § 1.

Lagen gäller bara om behandlingen är helt eller delvis
automatiserad eller om uppgifterna ingår i eller är avsedda
att ingå i en strukturerad samling av personuppgifter som är
tillgängliga för sökning eller sammanställning enligt
särskilda kriterier.

Regeringen meddelar föreskrifter om vilka statliga
universitet och högskolor som får behandla personuppgifter
enligt denna lag och vilka register enligt lagen som får
föras.

Förhållandet till personuppgiftslagen

3 § Personuppgiftslagen (1998:204) gäller vid behandling av
personuppgifter, om inte annat följer av denna lag.

Personuppgiftsansvar

4 § De universitet eller högskolor som utför behandlingen av
personuppgifter är personuppgiftsansvariga.

Ändamål

5 § Personuppgifter får behandlas för ändamålen att

1. skapa underlag för olika forskningsprojekt om vad arv och
miljö betyder för uppkomsten och utvecklingen av olika typer
av sjukdomar och för människors hälsa i övrigt, och

2. lämna ut uppgifter för sådan forskning som anges i 1 i den
utsträckning och på det sätt som anges i 6 §.

6 § Personuppgifter som har registrerats enligt 9 § får
lämnas ut till sådan forskning som avses i 5 § 1 under
förutsättning att såväl forskningen som behandlingen av
uppgifterna har godkänts enligt lagen (2003:460) om
etikprövning av forskning som avser människor och att
forskningen bedrivs vid en myndighet.

Utlämnande enligt första stycket får endast avse
personuppgifter som inte är direkt hänförliga till den
enskilde. Personuppgifterna får dock vid utlämnandet vara
försedda med en beteckning som hos den
personuppgiftsansvarige kan kopplas till den registrerades
personnummer eller motsvarande identitetsbeteckning.

7 § Personuppgifter som behandlas för de ändamål som anges i
5 § får också lämnas ut till en utredning av oredlighet i
sådan forskning som avses i 6 § första stycket eller för att
ett yttrande ska kunna lämnas i samband med en sådan
utredning. Vid sådana utlämnanden ska 6 § andra stycket
gälla.

Om personuppgifter har lämnats ut enligt 6 § första stycket
får den personuppgiftsansvarige till en annan myndighet lämna
ut sådana beteckningar som avses i 6 § andra stycket och de
registrerades personnummer eller motsvarande
identitetsbeteckning, om det är nödvändigt för att den
mottagande myndigheten ska kunna lämna ut uppgifter om samma
personer till den forskning som utlämnande har skett till
enligt 6 § första stycket 1.

Personuppgifter som har registrerats enligt denna lag får
alltid lämnas ut till den registrerade själv.

8 § Personuppgifter som behandlas för de ändamål som anges i
5 § får, utöver vad som följer av 6 och 7 §§, bara lämnas ut
om det finns en skyldighet enligt lag att göra det.

Personuppgifter i ett register som förs enligt denna lag får
bara behandlas för sådana ändamål som anges i första stycket
och 5–7 §§ samt för sådant bevarande som anges i 12 §.

Personuppgifterna i registret

9 § I ett register enligt denna lag får det i fråga om
personuppgifter bara finnas

1. uppgifter som den registrerade själv har lämnat i syfte
att de ska ingå i registret,

2. uppgifter om eller i form av upptagningar som den
registrerade har medverkat till i syfte att de ska ingå i
registret,

3. uppgifter om undersökningar som den registrerade har
genomgått i syfte att resultatet ska ingå i registret,

4. kategoriseringar av sådana uppgifter som avses i 1–3,

5. kontaktinformation till den registrerade,

6. andra uppgifter än som avses i 1–5 och som den
registrerade uttryckligen har samtyckt till får ingå i
registret, och

7. uppgifter om utlämnande som har skett till forskning.

Regeringen eller den myndighet som regeringen bestämmer
meddelar föreskrifter om i vilken utsträckning uppgifter
avseende genetiska undersökningar får registreras.

Intern elektronisk åtkomst

10 § Den personuppgiftsansvarige ska begränsa sina anställdas
och uppdragstagares elektroniska åtkomst till personuppgifter
till vad var och en behöver för att kunna fullgöra sina
arbetsuppgifter i fråga om registret.

Utlämnande genom direktåtkomst

11 § Utlämnande genom direktåtkomst till personuppgifter i
registret får inte förekomma.

Gallring

12 § Personuppgifter som inte längre behövs för de ändamål
som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller
den myndighet som regeringen bestämmer har meddelat
föreskrifter om eller i ett enskilt fall beslutat att
uppgifter får bevaras för historiska, statistiska eller
vetenskapliga ändamål.

Rättelse

13 § Bestämmelserna i 28 § personuppgiftslagen (1998:204) om
rättelse tillämpas på motsvarande sätt vid behandling av
personuppgifter i strid med denna lag.

Samtycke och information

14 § Personuppgifter som avses i 9 § får inte samlas in i
syfte att de ska registreras i ett register som förs enligt
denna lag utan att den som uppgifterna avser uttryckligen har
samtyckt till att personuppgifter behandlas enligt denna lag.

Innan en person lämnar sitt samtycke enligt första stycket
ska han eller hon ha informerats om

1. att det är frivilligt att lämna uppgifter, medverka till
upptagningar eller genomgå undersökningar i syfte att
uppgifter om detta förs in i registret samt att den
registrerade när som helst kan avbryta sitt uppgiftslämnande,
sin medverkan eller sitt deltagande helt eller delvis,

2. för vilka ändamål behandling kan ske enligt 5–7 §§ och
vilka uppgifter som får registreras enligt 9 §,

3. de sekretess- och säkerhetsbestämmelser som gäller för
registret,

4. vem som är personuppgiftsansvarig,

5. hur länge uppgifterna sparas,

6. rätten till rättelse av uppgifterna,

7. rätten till information enligt 15 § denna lag och 26 §
personuppgiftslagen (1998:204),

8. vilken myndighet som har tillsyn över att denna lag
följs,

9. rätten till skadestånd, och

10. rätten att få uppgifter utplånade.

Information om utlämnande till forskning

15 § Den registrerade har rätt att på begäran få information
om till vilka forskningsprojekt uppgifter om honom eller
henne har lämnats ut.

Utplåning av uppgifter

16 § Den registrerade har rätt att när som helst begära att
uppgifter i registret om honom eller henne ska utplånas. En
sådan begäran ska göras skriftligen hos den
personuppgiftsansvarige och vara undertecknad av den
registrerade själv. Om begäran innefattar utplåning av sådana
uppgifter som avses i 9 § första stycket 7 ska detta särskilt
anges.

Den personuppgiftsansvarige ska inom två månader från det att
begäran gjordes utplåna uppgifterna i enlighet med begäran
och sända den registrerade en bekräftelse på att så har
skett. Om den enskilde inte har begärt utplåning även av
uppgifter som avses i 9 § första stycket 7 ska en kopia på
dessa uppgifter bifogas bekräftelsen med en påminnelse om att
den enskilde har rätt att begära att även få dem utplånade.

Skadestånd

17 § Bestämmelserna i 48 § personuppgiftslagen (1998:204) om
skadestånd tillämpas på motsvarande sätt i fråga om
behandling av personuppgifter som har skett i strid med denna
lag.