SFS2024-1146.pdf
Källa Regeringskansliets rättsdatabaser m.fl.
svensk författningssamling
lag sfs 2024:1146
om vissa forskningsdatabaser publicerad
utfärdad den 28 november 2024
enligt riksdagens beslut1 föreskrivs följande.
1 kap. inledande bestämmelser
lagens syfte
1 § syftet med denna lag är att
1. ge lärosäten möjlighet att i forskningsdatabaser skapa underlag för flera
framtida forskningsprojekt som inte är definierade när databasen byggs upp
eller när insamling av personuppgifter till denna annars görs, och
2. säkerställa att de registrerades personliga integritet skyddas vid den
insamling och övriga behandling av personuppgifter som görs i verksamhet
med dessa forskningsdatabaser.
lagens tillämpningsområde
2 § lagen gäller vid behandling av personuppgifter i verksamheter med
sådana forskningsdatabaser
1. där insamlingen och registreringen av personuppgifter görs genom de
registrerades frivilliga medverkan,
2. vars huvudsakliga syfte är att skapa underlag för flera framtida forsknings-
projekt, och
3. som är av särskilt vetenskapligt värde för forskningen i ett långsiktigt
perspektiv.
bestämmelserna i 3 kap. 1 § första stycket, 2, 3, 5 och 7 §§ gäller även vid
behandling av uppgifter om avlidna.
3 § behandling av personuppgifter i en sådan forskningsdatabas som avses
i 2 § får utföras i verksamhet som bedrivs vid ett lärosäte som är
1. ett statligt universitet eller en statlig högskola som har rätt att utfärda
examen på forskarnivå, eller
2. en enskild utbildningsanordnare som har tillstånd att utfärda examen på
forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina
och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) och
bilagan till samma lag ska jämställas med myndigheter i sin verksamhet med
forskningsdatabasen.
4 § regeringen får meddela föreskrifter om
1. vilka forskningsdatabaser som får föras enligt lagen, och
1 prop. 2024/25:19, bet. 2024/25:ubu6, rskr. 2024/25:48.
den 3 december 2024
1
1 2 3 4 5 6 7 8 9 0 : ;
1 2 3 4 5 6 7 8 9 0 : ;
2. vilket lärosäte som får föra forskningsdatabasen. sfs 2024:1146
förhållandet till annan dataskyddsreglering
5 § denna lag kompletterar europaparlamentets och rådets förordning
(eu) 2016/679 av den 27 april 2016 om skydd för fysiska personer med
avseende på behandling av personuppgifter och om det fria flödet av sådana
uppgifter och om upphävande av direktiv 95/46/eg (allmän dataskydds-
förordning), här benämnd eu:s dataskyddsförordning.
termer och uttryck i denna lag har samma betydelse som i eu:s data-
skyddsförordning.
6 § vid behandling av personuppgifter enligt denna lag gäller lagen
(2018:218) med kompletterande bestämmelser till eu:s dataskyddsförord-
ning, här benämnd dataskyddslagen, och föreskrifter som har meddelats i
anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter
som har meddelats i anslutning till lagen.
2 kap. behandling av personuppgifter
personuppgiftsansvar
1 § det lärosäte som för en forskningsdatabas är personuppgiftsansvarigt
för den behandling av personuppgifter som utförs i verksamheten med forsk-
ningsdatabasen.
ändamål
2 § personuppgifter får samlas in och i övrigt behandlas i verksamhet med
en forskningsdatabas för de övergripande ändamålen att
1. skapa underlag för flera framtida forskningsprojekt inom de forsk-
ningsområden som är angivna för forskningsdatabasen,
2. lämna ut uppgifter till sådana forskningsprojekt som anges i 1, och
3. lämna ut uppgifter till forskningsprojekt inom de forskningsområden
som är angivna för forskningsdatabasen även om projekten redan påbörjats
innan forskningsdatabasen inrättats.
regeringen får meddela föreskrifter som avgränsar vilket eller vilka
forskningsområden som en forskningsdatabas ska skapa underlag för och
lämna ut uppgifter till.
3 § personuppgifter som samlats in och behandlas enligt 2 § får därutöver
bara behandlas för
1. utlämnande som anges i 3 kap. 2, 3 och 5 §§, och
2. arkivändamål av allmänt intresse, vetenskapliga eller historiska forsk-
ningsändamål eller statistiska ändamål när de inte längre behövs för ändamål
som avses i 2 § första stycket.
villkor för behandling av personuppgifter i forskningsdatabaser
4 § personuppgifter får bara behandlas i en forskningsdatabas om den
registrerade har samtyckt till det, om inte annat följer av denna lag.
5 § i verksamheten med en forskningsdatabas får det utan samtycke sam-
las in och behandlas sådana personuppgifter som är nödvändiga för att kunna
identifiera och kontakta en person i en urvalsgrupp med förfrågan om med-
2
verkan i forskningsdatabasen. sådan behandling får inte pågå under längre sfs 2024:1146
tid än vad som är nödvändigt.
6 § kompletterande insamling av uppgifter från andra källor än de som
angavs redan i samband med att samtycke till behandling i forskningsdata-
basen lämnades får göras utan samtycke bara om den registrerade informe-
rats om insamlingen och inte uttryckligen motsätter sig denna.
7 § personuppgifter som samlats in med samtycke från den registrerades
vårdnadshavare får bara fortsätta behandlas efter att den registrerade blivit
myndig om den registrerade informerats om behandlingen och inte uttryck-
ligen motsätter sig den.
sådan information om uppgifter som samlats in med samtycke från den
registrerades vårdnadshavare och om möjligheten att motsätta sig den ska
vara direkt riktad till den registrerade och lämnas senast den 1 mars året efter
det att den registrerade fyllt 18 år.
informationen behöver inte lämnas om den personuppgiftsansvarige inte
med rimliga ansträngningar kan nå den registrerade.
8 § den registrerade har rätt att när som helst återta sitt samtycke till att
hans eller hennes personuppgifter behandlas i en forskningsdatabas.
om den registrerade återtar sitt samtycke får uppgifter om den registre-
rade därefter inte behandlas för att lämnas ut till forskningsprojekt.
om den registrerade begär det ska den personuppgiftsansvarige underrätta
de personuppgiftsansvariga för de forskningsprojekt som uppgifterna om
den registrerade har lämnats ut till om att den registrerade har återtagit sitt
samtycke till behandling av personuppgifter i forskningsdatabasen.
9 § utöver vad som framgår av artiklarna 13 och 14 i eu:s dataskydds-
förordning ska en person, innan han eller hon lämnar samtycke enligt 4 §
eller i samband med att han eller hon får sådan information som avses i 7 §,
även informeras om
1. att all registrering och medverkan i verksamheten vid forskningsdata-
basen är frivillig och att en registrerad när som helst kan avbryta sin med-
verkan helt eller delvis, och återta sitt samtycke samt om effekten av att
samtycket återtas enligt 8 §,
2. vilka slags uppgifter som får registreras i forskningsdatabasen,
3. att en registrerad kommer att informeras om kompletterande insamling
av uppgifter enligt 6 § blir aktuell och på vilket sätt sådan information kom-
mer att lämnas,
4. de sekretess- och säkerhetsbestämmelser som gäller för forskningsda-
tabasen,
5. sin rätt att begära att få information om vilka forskningsprojekt uppgif-
ter om honom eller henne har lämnats ut till,
6. vilken myndighet som har tillsyn över att behandlingen av personupp-
gifter sker på ett lagenligt sätt, och
7. rätten enligt artikel 82 i eu:s dataskyddsförordning och 7 kap. 1 § data-
skyddslagen till skadestånd vid behandling av personuppgifter i strid med
denna lag.
tillåtet innehåll
10 § i en forskningsdatabas får det i fråga om personuppgifter bara finnas
3
1. uppgifter som den registrerade har lämnat i syfte att de ska ingå i forsk- sfs 2024:1146
ningsdatabasen,
2. uppgifter om eller i form av upptagningar som den registrerade har
medverkat till i syfte att de ska ingå i forskningsdatabasen,
3. uppgifter om, och resultatet från, undersökningar som den registrerade
har genomgått i syfte att resultatet ska ingå i forskningsdatabasen,
4. kontaktinformation till den registrerade,
5. kompletterande uppgifter om den registrerade som har inhämtats från
andra källor,
6. kategoriseringar av sådana uppgifter som avses i 1–5,
7. identitetsbeteckningar för de registrerade (kodnycklar eller motsva-
rande information för identifiering), och
8. uppgifter om utlämnande som har skett till forskning.
11 § personuppgifter som avses i artikel 9.1 i eu:s dataskyddsförordning
(känsliga personuppgifter) får med stöd av artikel 9.2 g och j i eu:s data-
skyddsförordning behandlas i verksamheten med en forskningsdatabas om
det är nödvändigt för de ändamål som anges i 2, 3 och 5 §§.
genetiska uppgifter och personuppgifter som avses i artikel 10 i eu:s
dataskyddsförordning får dock bara behandlas i en forskningsdatabas om
regeringen har meddelat föreskrifter om det.
integritetsskydd inom verksamheten
12 § den som arbetar vid ett lärosäte där det finns en verksamhet med en
forskningsdatabas får ta del av personuppgifter i den verksamheten endast
om han eller hon arbetar i verksamheten och behöver uppgifterna för att
kunna fullgöra sina arbetsuppgifter med forskningsdatabasen.
13 § den personuppgiftsansvarige ska bestämma villkor för tilldelning av
behörighet för elektronisk åtkomst till personuppgifter om registrerade i
verksamheten med en forskningsdatabas. sådan åtkomst ska begränsas till
vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra
sina arbetsuppgifter i verksamheten med forskningsdatabasen.
14 § den personuppgiftsansvarige ska se till att elektronisk åtkomst till
personuppgifter dokumenteras och kan kontrolleras.
den personuppgiftsansvarige ska göra systematiska och återkommande
kontroller av den i första stycket upprättade dokumentationen i syfte att
kontrollera om någon obehörigen kommit åt personuppgifter i forsknings-
databasen.
sekretess
15 § i offentlighets- och sekretesslagen (2009:400) finns bestämmelser
om sekretess för huvudmän för en forskningsdatabas och för anställda och
uppdragstagare hos en sådan huvudman i verksamhet med forskningsdata-
basen.
3 kap. utlämnande av uppgifter från en forskningsdatabas
villkor för utlämnande
1 § utlämnande av personuppgifter till ett forskningsprojekt enligt 2 kap.
2 § första stycket 2 eller 3 och utlämnande av uppgifter om avlidna till ett
sådant projekt får bara ske till fysiska eller juridiska personer som ska til- 4
lämpa offentlighets- och sekretesslagen (2009:400) eller fysiska personer sfs 2024:1146
som omfattas av tystnadsplikt enligt 3 kap. 7 § denna lag.
ytterligare en förutsättning för att personuppgifter ska få lämnas ut från
en forskningsdatabas till forskningsprojekt enligt 2 kap. 2 § första stycket 2
eller 3 är att både forskningen och behandlingen av personuppgifter i forsk-
ningen har godkänts enligt lagen (2003:460) om etikprövning av forskning
som avser människor, om forskningen omfattas av den lagens krav på etik-
prövning.
2 § personuppgifter och uppgifter om avlidna får också lämnas ut till en
forskningshuvudman som fått uppgifter från en forskningsdatabas, om det
behövs för att utreda oredlighet i forskning eller annan avvikelse från god
forskningssed.
3 § personuppgifter och uppgifter om avlidna får, utöver vad som följer av
2 och 5 §§ samt 2 kap. 2 § första stycket 2 eller 3, bara lämnas ut om det
finns en skyldighet att göra det enligt lag eller förordning.
formen för utlämnande
4 § utlämnande enligt 2 § och 2 kap. 2 § första stycket 2 eller 3 får bara avse
personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
personuppgifter får dock vara direkt identifierbara vid utlämnandet om
det är nödvändigt för att uppfylla ändamålet med den forskning eller den
utredning som uppgifterna ska lämnas ut till.
5 § om personuppgifter som har lämnats ut till ett forskningsprojekt enligt
2 kap. 2 § första stycket 2 eller 3 eller uppgifter om avlidna som har lämnats
ut till ett sådant projekt är pseudonymiserade eller skyddade på likvärdigt
sätt, får kompletterande uppgifter för att identifiera en registrerad, inbegripet
de registrerades personnummer eller motsvarande identitetsbeteckning, läm-
nas ut till en myndighet, om det är nödvändigt för att myndigheten ska kunna
lämna ut uppgifter om samma personer till det forskningsprojekt som upp-
gifter har lämnats ut till.
6 § den personuppgiftsansvarige ska bevara en förteckning över de komp-
letterande uppgifter som behövs för att identifiera en registrerad så länge
som det är nödvändigt.
tystnadsplikt för uppgifter som mottagits från en forskningsdatabas
7 § en enskild forskningshuvudman som är en fysisk person eller den som
är eller har varit verksam hos en enskild forskningshuvudman som är en
juridisk person som inte anges i bilagan till offentlighets- och sekretess-
lagen (2009:400) får inte obehörigen röja vad denne har fått veta om enskilds
personliga förhållanden genom personuppgifter eller uppgifter om avlidna
som mottagits från en forskningsdatabas.
i det allmännas verksamhet och för sådana organ som anges i bilagan till
offentlighets- och sekretesslagen (2009:400) gäller den lagen.
information om utlämnande till forskning
8 § den registrerade har rätt att på begäran få information om vilka forsk-
ningsprojekt uppgifter om honom eller henne har lämnats ut till.
5
direktåtkomst sfs 2024:1146
9 § personuppgifter får inte lämnas ut genom direktåtkomst annat än till den
registrerade själv.
4 kap. ytterligare föreskrifter
1 § regeringen får meddela ytterligare föreskrifter om
1. begränsningar av vilka personuppgifter som får behandlas i en forsk-
ningsdatabas, och
2. begränsningar i fråga om utlämnande från en forskningsdatabas.
1. denna lag träder i kraft den 1 januari 2025.
2. bestämmelserna i 2 kap. 4–11 §§ gäller inte för sådana uppgifter som
registrerats i tiden innan verksamheten med en forskningsdatabas kommit
att omfattas av denna lags tillämpningsområde. bestämmelsen i 2 kap. 7 § ska
dock tillämpas i fråga om den som blir myndig först därefter.
på regeringens vägnar
elisabeth svantesson
johan pehrson
(utbildningsdepartementet)
6
Viktiga lagar inom IT-rätt
JP Infonets IT-rättsliga tjänster
JP Infonets IT-rättsliga tjänster
Hanterar du IT-rättsfrågor i ditt arbete? JP Infonets tjänster fungerar som verktyg och stöd stöd i ditt arbete. Vi erbjuder webbtjänster med juridisk information, lagbevakning, regelbundna uppdateringar, samt blanketter och checklistor. Vi ger också vägledning via kundanpassade grundutbildningar, fördjupningskurser och rådgivning. Se allt inom IT-rätt.
