Vad krävs för att förbudet i GDPR mot att behandla känsliga personuppgifter inte ska gälla vid forskning?

Känsliga personuppgifter omfattas av särskilda bestämmelser i GDPR. Utgångspunkten är att behandling av känsliga personuppgifter är förbjuden. Behandlingen måste, utöver att ha stöd i en rättslig grund i artikel 6, även omfattas av någon av undantagssituationerna i artikel 9 för att vara tillåten. Två exempel på sådana situationer är att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse eller att behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål. För undantag krävs i dessa fall att behandlingen av känsliga personuppgifter för forskningsändamål omfattas av lämpliga och särskilda åtgärder som är fastställda i unionsrätt eller nationell rätt.

Etikprövning är en sådan lämplig skyddsåtgärd som avses i artikel 9 som är fastställd i svensk rätt och som krävs för behandling av känsliga personuppgifter för forskningsändamål enligt GDPR. 

För att förbudet mot att behandla känsliga personuppgifter inte ska gälla vid forskning krävs alltså att behandlingen har godkänts vid etikprövning.

Observera att detta även gäller när en forskare vill använda data som har samlats in inom ramen för en tidigare studie i ny forskning. Ett etikgodkännande ger bara rätt att behandla personuppgifter i det avgränsade projekt som godkännandet avser. Vill en forskare använda samma data i en ny studie så måste etikprövning ske. Öppen tillgång till forskningsdata (där detta är möjligt) är givetvis värdefullt. Om det rör sig om sådana personuppgifter som avses i 3 § etikprövningslagen (eller studien annars kräver etikprövning), måste det dock alltid finnas ett etikgodkännande innan det går att använda materialet i den nya forskningsstudien.