Informationssikkerhed

English

Behandlingsgrundlag

Indholdet er opdateret i august 2023. Vær opmærksom på, at vi løbende opdaterer disse sider.

Behandler du personoplysninger til din forskning? Her får du hjælp til at få styr på:

  • Hvad et behandlingsgrundlag er
  • Hvilket lovligt behandlingsgrundlag, der er det mest hensigtsmæssige for dig at basere behandlingen på
  • Hvilke betingelser der gælder for behandlingsgrundlagene

Når du skal behandle personoplysninger til din forskning, kræver det et lovligt behandlingsgrundlag. Det betyder med andre ord, at du skal have en hjemmel (lovgrundlag) i databeskyttelsesforordningen (GDPR) og eventuelt databeskyttelsesloven eller særlovgivningen (dvs. anden lovgivning end GDPR og databeskyttelsesloven).

Hvilket behandlingsgrundlag, du kan basere din behandling af personoplysninger på, afhænger af den behandling, som du udfører. Når du behandler personoplysninger til et forskningsformål, kan du basere din behandling på ét af følgende behandlingsgrundlag: 

  • Forskningshjemlen 
  • Databeskyttelsesretligt samtykke

Vær opmærksom på, at der kan være andre lovlige behandlingsgrundlag for nogle behandlingsaktiviteter, eller der kan være særlige krav i særlovgivningen. Kontakt evt. din GDPR-koordinator, hvis du er i tvivl. 

Hvordan undersøger jeg, hvilket behandlingsgrundlag jeg skal bruge? 

Der er som udgangspunkt valgfrihed mellem behandlingsgrundlagene. Det betyder, at du skal vælge det, der er mest hensigtsmæssigt i forhold til den behandling af personoplysninger, som er nødvendig for dit/dine formål.

Når du vælger hvilket behandlingsgrundlag, du vil bruge, skal du være opmærksom på, at du ikke kan ændre behandlingsgrundlag undervejs.

Derfor er det vigtigt, at du, inden du starter behandlingen af personoplysninger, forholder dig grundigt til, hvorfor og hvordan du skal behandle personoplysningerne, da det kan være afgørende for, hvilket behandlingsgrundlag der er det mest hensigtsmæssige for dig.

Nedenfor har vi sammenlignet rammerne for forskningshjemlen og det databeskyttelsesretlige samtykke, så du kan danne dig et overblik.  

Sammenlign forskningshjemlen og det databeskyttelsesretlige samtykke

Forskningshjemmel

Databeskyttelsesretligt samykke

Anvendelsesområde:

Behandling af personoplysninger kan ske, hvor behandlingen alene sker til videnskabelige eller statistiske formål, og hvor behandlingen er nødvendigt for forskningen.    

Vær særligt opmærksom på, at forskningshjemlen ikke kan anvendes som behandlingsgrundlag for behandling af personoplysninger i undervisningssammenhæng.    

Anvendelsesområde:

Behandling af personoplysninger kan ske til de specifikke formål, som den registrerede har givet databeskyttelsesretligt samtykke til.    

Betingelser:

Behandlingen skal ske/være:

  • inden for et anerkendt videnskabeligt område eller i statistisk øjemed.
  • nødvendig for forskningen.

Betingelser:

Det databeskyttelsesretlige samtykke skal være:

  • frivilligt
  • specifikt
  • informeret
  • udtryk for en utvetydig viljestilkendegivelse
  • tilbagekaldeligt
  • formidlet i et klar og enkelt sprog på en lettilgængelig måde

Find mere information om betingelserne for et gyldigt databeskyttelsesretligt samtykke.

Dokumentationskrav:

Det kan være et krav, at oplysningspligten varetages, og at det dokumenteres.

Du kan få hjælp til at varetage oplysningspligten ved at udfylde skabelonen til overholdelse af oplysningspligten i forskningsprojekter, hvor behandlingen af personoplysninger er baseret på forskningshjemlen.

Du skal huske at gemme en kopi af dokumentet.    

Dokumentationskrav:

Det databeskyttelsesretlige samtykke skal dokumenteres. Derfor det en god idé at indhente samtykket skriftligt. Du kan bruge AU’s samtykkeskabelon.

Desuden skal du dokumentere, at de registrerede både har modtaget informationen, som er påkrævet for, at der kan være tale om et gyldigt databeskyttelsesretlige samtykke, men også de oplysninger, der skal afgives efter oplysningspligten. Du kan bruge AU’s skabelon til at varetage oplysningspligten.

De registreredes rettigheder:

Når du baserer din behandling på forskningshjemlen, er der visse af de registreredes rettigheder, som du ikke nødvendigvis skal iagttage, f.eks. retten til indsigt. Det skyldes, at databeskyttelsesloven tager særlige hensyn til forskningen, når behandlingen af personoplysninger er baseret på forskningshjemlen. Databeskyttelsesloven indeholder særlige regler, der beskytter den registrerede på anden vis.   

De registreredes rettigheder:

Når du baserer din behandling på et databeskyttelsesretligt samtykke, er der visse af de registreredes rettigheder, som du ikke nødvendigvis skal iagttage, f.eks. retten til indsigt. Det skyldes, at databeskyttelsesloven tager særlige hensyn til forskningen. Databeskyttelsesloven indeholder særlige regler, der beskytter den registrerede på anden vis.   

Husk at den registrerede har ret til at tilbagekalde sit databeskyttelsesretlige samtykke. Det betyder, at du skal stoppe behandlingen af vedkommendes personoplysninger.    

Videregivelse af personoplysninger

Der gælder særlige regler, når en videregivelse er baseret på forskningshjemlen. 

Som udgangspunkt betyder det, at du skal indhente en videregivelseserklæring fra modtageren. 

Der er dog 3 tilfælde, hvor du skal indhente en tilladelse fra Datatilsynet, hvis du skal videregive personoplysninger:

  1. Hvis du skal videregive personoplysninger (følsomme eller oplysninger om strafbareforhold) til en modtager uden for EU/EØS eller en international organisation.
  2. Hvis du skal videregive biologisk materiale.
  3. Hvis du skal videregive  (følsomme eller oplysninger om strafbareforhold) i forbindelse med publisering i et anerkendt tidsskrift eller lignende. Husk at personoplysningerne skal være pseudonymisererede.

Videregivelse af personoplysninger

Du må kun videregive personoplysninger, hvis du har fået samtykke til det.    

Hvis du videregiver personoplysninger til en importør uden for EU/EØS eller en international organisation, skal du være opmærksom på, at der er særlige krav til den information, som den registrerede skal have vedrørende overførslen, og at der skal være et lovligt grundlag for overførslen. 

Sådan henviser du til hjemmelsgrundlag:

  • Behandlingen af almindelige personoplysninger: Databeskyttelsesforordningens artikel 6, stk.1, litra e.
  • Behandlingen af følsomme personoplysninger: Databeskyttelseslovens § 10 og samtidigt databeskyttelsesforordningens artikel 6, stk. 1, litra e.    

Sådan henviser du til hjemmelsgrundlag:

  • Behandlingen af almindelige personoplysninger: Databeskyttelsesforordningens artikel 6, stk. 1, litra a.
  • Behandlingen af følsomme personoplysninger: Databeskyttelsesforordningens artikel 9, stk. 2, litra a og samtidigt artikel 6, stk. 1, litra a.

Forhåbentlig har sammenligningen ovenfor givet dig et overblik over, hvad du bør overveje og være opmærksom på, inden du fastlægger dit behandlingsgrundlag, men det kan alligevel være en god idé at orientere sig i de nærmere betingelser for behandlingsgrundlagene. Du kan finde mere information om forskningshjemlen og det databeskyttelsesretlige samtykke ved at klikke dig videre. 

Har du brug for mere hjælp?

Kontakt din lokale databeskyttelseskoordinator, hvis du har spørgsmål.
Revideret 14.11.2023
-
Webredaktionen, Universitetsledelsens Stab