1 § Syftet med denna lag är att
1. ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och
2. skydda den enskildes personliga integritet i sådan verksamhet.
2 § Lagen gäller behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som med den enskildes uttryckliga samtycke sker i sådant syfte som anges i 1 § 1.
Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Regeringen meddelar föreskrifter om vilka statliga universitet och högskolor som får behandla personuppgifter enligt denna lag och vilka register enligt lagen som får föras.
3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.
Lag (2018:2001).
3 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Lag (2018:2001).
4 § De universitet eller högskolor som utför behandlingen av personuppgifter är personuppgiftsansvariga.
5 § Personuppgifter får behandlas för ändamålen att
1. skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och
2. lämna ut uppgifter för sådan forskning som anges i 1 i den utsträckning och på det sätt som anges i 6 §.
6 § Personuppgifter som har registrerats enligt 9 § får lämnas ut till sådan forskning som avses i 5 § 1 under förutsättning att såväl forskningen som behandlingen av uppgifterna har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor och att forskningen bedrivs vid en myndighet.
Utlämnande enligt första stycket får endast avse personuppgifter som inte är direkt hänförliga till den enskilde. Personuppgifterna får dock vid utlämnandet vara försedda med en beteckning som hos den personuppgiftsansvarige kan kopplas till den registrerades personnummer eller motsvarande identitetsbeteckning.
7 § Personuppgifter som behandlas för de ändamål som anges i 5 § får också lämnas ut till en utredning av oredlighet i sådan forskning som avses i 6 § första stycket eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning. Vid sådana utlämnanden ska 6 § andra stycket gälla.
Om personuppgifter har lämnats ut enligt 6 § första stycket får den personuppgiftsansvarige till en annan myndighet lämna ut sådana beteckningar som avses i 6 § andra stycket och de registrerades personnummer eller motsvarande identitetsbeteckning, om det är nödvändigt för att den mottagande myndigheten ska kunna lämna ut uppgifter om samma personer till den forskning som utlämnande har skett till enligt 6 § första stycket 1.
Personuppgifter som har registrerats enligt denna lag får alltid lämnas ut till den registrerade själv.
8 § Personuppgifter som behandlas för de ändamål som anges i 5 § får, utöver vad som följer av 6 och 7 §§, bara lämnas ut om det finns en skyldighet enligt lag att göra det.
Personuppgifter i ett register som förs enligt denna lag får bara behandlas för sådana ändamål som anges i första stycket och 5-7 §§ samt för sådant bevarande som anges i 12 §.
9 § I ett register enligt denna lag får det i fråga om personuppgifter bara finnas
1. uppgifter som den registrerade själv har lämnat i syfte att de ska ingå i registret,
2. uppgifter om eller i form av upptagningar som den registrerade har medverkat till i syfte att de ska ingå i registret,
3. uppgifter om undersökningar som den registrerade har genomgått i syfte att resultatet ska ingå i registret,
4. kategoriseringar av sådana uppgifter som avses i 1-3,
5. kontaktinformation till den registrerade,
6. andra uppgifter än som avses i 1-5 och som den registrerade uttryckligen har samtyckt till får ingå i registret, och
7. uppgifter om utlämnande som har skett till forskning.
Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras.
10 § Den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret.
11 § Utlämnande genom direktåtkomst till personuppgifter i registret får inte förekomma.
12 § Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Lag (2018:2001).
13 § Har upphävts genom
lag (2018:2001).
14 § Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgif-terna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag.
Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska en person, innan han eller hon lämnar sitt samtycke enligt första stycket, ha informerats om
1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,
2. vilka uppgifter som får registreras enligt 9 §,
3. de sekretess- och säkerhetsbestämmelser som gäller för registret,
4. rätten till information enligt 15 § denna lag,
5. vilken myndighet som har tillsyn över att denna lag följs, och
6. rätten till skadestånd.
Lag (2018:2001).
15 § Den registrerade har rätt att på begäran få information om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut.
16 § Har upphävts genom
lag (2018:2001).
17 § Har upphävts genom
lag (2018:2001).