Indholdet er opdateret i januar 2022. Vær opmærksom på, at vi løbende opdaterer disse sider.
Behandler du personoplysninger til din forskning? Her får du hjælp til at få styr på:
Om du har lov til at behandle personoplysningerne.
Hvilket lovligt grundlag er mest hensigtsmæssigt for dig at basere behandlingen på.
Om du har en oplysningspligt overfor de registrerede.
Hvordan du varetager din oplysningspligt.
Når du som forsker på Aarhus Universitet behandler personoplysninger, kræver det et lovligt behandlingsgrundlag. I praksis betyder det, at du skal have en hjemmel (lovgrundlag) i databeskyttelsesforordningen og eventuelt databeskyttelsesloven eller særlovgivningen.
Hvilket lovgrundlag, du kan basere din behandling af personoplysninger på, afhænger af den behandling, som du udfører. Når du behandler personoplysninger til et forskningsformål, kan du basere din behandling på ét af følgende behandlingsgrundlag:
NB! Der kan være andre lovlige behandlingsgrundlag for nogle behandlingsaktiviteter.
Der er som udgangspunkt valgfrihed mellem behandlingsgrundlagene. Dog skal du være opmærksom på, at du ikke kan ændre behandlingsgrundlag undervejs, da det vil være dårlig databehandlingsskik. Derfor er det vigtigt, at du, inden du starter behandlingen af personoplysninger, forholder dig grundigt til, hvordan du ønsker at behandle personoplysningerne.
Vær desuden opmærksom på, at der kan være særlige krav i særlovgivningen inden for forskellige fagområder. Kontakt evt. din lokale databeskyttelseskoordinator.
Behandling af personoplysninger kan ske, hvor behandlingen alene sker til videnskabelige eller statistiske formål, og hvor behandlingen er nødvendigt for forskningen.
Vær særligt opmærksom på, at forskningshjemlen ikke kan anvendes som behandlingsgrundlag for behandling af personoplysninger i undervisningssammenhæng.
Behandling af personoplysninger kan ske til de specifikke formål, som den registrerede har givet databeskyttelsesretligt samtykke til.
Behandlingen skal ske/være:
Det databeskyttelsesretlige samtykke skal være:
Find mere information om betingelserne for et gyldigt databeskyttelsesretligt samtykke.
Det kan være et krav, at oplysningspligten varetages, og at det dokumenteres.
Du kan få hjælp til at varetage oplysningspligten ved at udfylde skabelonen til overholdelse af oplysningspligten i forskningsprojekter, hvor behandlingen af personoplysninger er baseret på forskningshjemlen.
Du skal huske at gemme en kopi af dokumentet.
Det databeskyttelsesretlige samtykke skal dokumenteres. Derfor det en god idé at indhente samtykket skriftligt. Du kan bruge AU’s samtykkeskabelon.
Desuden skal du dokumentere, at de registrerede både har modtaget informationen, som er påkrævet for, at der kan være tale om et gyldigt databeskyttelsesretlige samtykke, men også de oplysninger, der skal afgives efter oplysningspligten. Du kan bruge AU’s skabelon til at varetage oplysningspligten.
Når du baserer din behandling på forskningshjemlen, er der visse af de registreredes rettigheder, som du ikke nødvendigvis skal iagttage, f.eks. retten til indsigt. Det skyldes, at databeskyttelsesloven tager særlige hensyn til forskningen, når behandlingen af personoplysninger er baseret på forskningshjemlen. Databeskyttelsesloven indeholder særlige regler, der beskytter den registrerede på anden vis.
Den registrerede kan som udgangspunkt gøre brug af alle rettighederne i databeskyttelsesforordningen. Hvis den registrerede ønsker at gøre brug af sine rettigheder, skal du lave en individuel vurdering på baggrund af de konkrete forhold.
Den registrerede har desuden ret til at tilbagekalde sit databeskyttelsesretlige samtykke. Det betyder, at du skal stoppe behandlingen af vedkommendes personoplysninger.
Du kan videregive personoplysninger til anden forskning uden Datatilsynets tilladelse inden for EU/EØS ved at lave en videregivelses-erklæring. Du kan bruge AU’s skabelon.
Du må kun videregive personoplysninger, hvis du har fået databeskyttelsesretligt samtykke til det.
Du må kun videregive personoplysninger til en modtager uden for EU/EØS, hvis du har fået tilladelse fra Datatilsynet. Find mere information om videregivelse.
Du må kun videregive personoplysninger til en modtager uden for EU/EØS, hvis du har databeskyttelsesretligt samtykke til det. Vær opmærksom på, at der er særlige krav til den information, som den registrerede skal have om overførslen.
Du må kun videregive personoplysninger i form af biologisk materiale til anden forskning, hvis du har fået tilladelse fra Datatilsynet. Find mere information om videregivelse.
Du må kun videregive personoplysninger i form af biologisk materiale, hvis du har databeskyttelsesretligt samtykke til det.
Du må kun videregive særlige kategorier (følsomme) af personoplysninger med henblik på publicering, hvis du har fået tilladelse fra Datatilsynet. Videregivelse af almindelige personoplysninger med henblik på publicering kan ske, hvis det er nødvendigt, og oplysningerne er pseudonymiserede. Find mere information om videregivelse.
Du må kun videregive personoplysninger med henblik på publicering, hvis du har databeskyttelsesretligt samtykke til det.
Når du indsamler personoplysninger, skal du som udgangspunkt oplyse de pågældende personer (de registrerede) om, at du behandler deres personoplysninger. Formålet med oplysningspligten er at skabe gennemsigtighed hos de registrerede om, hvordan du behandler deres personoplysninger.
Når du varetager din oplysningspligt, skal du tydeligt angive dit eller dine formål med behandlingen af personoplysninger. Du skal derfor overveje, om du har behov for at behandle personoplysningerne til ét eller til flere formål som fx kunne være:
Du kan have flere behandlingsgrundlag (lovhjemler), hvis du behandler personoplysningerne til flere formål. Fra eksemplet ovenfor kunne det fx være, at du behandler personoplysningerne til forskningsformålet baseret på forskningshjemlen, mens behandlingen af personoplysningerne til undervisningsformålet er baseret på de registreredes databeskyttelsesretlige samtykke, osv.
Som forsker kan du indsamle informationer om de registrerede (forskningsdeltagere, informanter, subjekter osv.) enten direkte eller indirekte. Måden, du indsamler personoplysninger på, har betydning for, om du er forpligtet til at varetage din oplysningspligt, og også hvordan du vælger at varetage den (se afsnittet "Hjælp til at varetage din oplysningspligt”).
Du skal altid opfylde oplysningspligten, når du indsamler personoplysninger direkte hos de registrerede (fx gennem spørgeskemaer, personlige interviews, osv.).
Når du indsamler personoplysninger indirekte, fx i registerforskning eller fra sociale medier, kan du i nogle tilfælde undlade at opfylde oplysningspligten. Det kan du gøre, hvis det er umuligt at opfylde oplysningspligten, eller hvis du vurderer, at det vil kræve en uforholdsmæssig stor indsats.
Når du skal vurdere, om det vil kræve en uforholdsmæssig stor indsats at informere de registrerede, skal du foretage en afvejning af:
den registreredes interesse i at blive gjort bekendt med oplysninger om behandlingen, og
vanskelighederne ved at opfylde oplysningspligten.
Du kan i din vurdering bl.a. lægge vægt på:
antallet af personer.
personoplysningernes alder.
de kompensatoriske foranstaltninger, fx at du vil offentliggøre på forskningsprojektets hjemmeside, hvordan du vil behandle personoplysningerne, og
hvor betydelige de forskellige interesser (den registreredes interesse hhv. forskning som en væsentlig samfundsinteresse) er, af hensyn til hvilke oplysninger, som behandles.
hvor indgribende det er for den enkelte, at du behandler vedkommendes personoplysninger.
Hvis du når frem til, at det vil kræve en uforholdsmæssig stor indsats at opfylde oplysningspligten, skal du i stedet varetage de registreredes rettigheder på en anden måde. Det kan du gøre ved at offentliggøre oplysninger om, hvordan du vil behandle personoplysningerne, fx på forskningsprojektets hjemmeside eller en profil på sociale medier.
AU har lavet en række skabeloner, som du kan anvende til at varetage din oplysningspligt uanset dit valg af behandlingsgrundlag. Det er op til dig, hvordan du varetager din oplysningspligt, så skabelonerne er kun ment som inspiration, og du er ikke bundet af formen.
Hvis skabelonerne ikke passer til din specifikke målgruppe eller til den måde, du ellers kommunikerer med de registrerede på, er du velkommen til at varetage din oplysningspligt på anden vis. Du kan fx integrere oplysningspligten i dit øvrige informationsmateriale (se eksempler på hvordan nederst på siden). Det vigtigste er, at det skal være gennemskueligt for den registrerede, og at du overholder kravene til indhold, sprog og form.
Når du skal varetage din oplysningspligt, skal du være opmærksom på, at der er specifikke krav til hvilke oplysninger, du skal give den registrerede. Brug evt. AU’s skabeloner til at tjekke hvilke oplysninger, du skal huske.
Der er også krav til den måde, du giver oplysningerne på. Når du varetager din oplysningspligt, skal du gøre det:
Du skal give oplysningerne skriftligt, eller, hvis det er hensigtsmæssigt, elektronisk. Når den registrerede anmoder om det, kan oplysningerne gives mundtligt, forudsat, at den registreredes identitet kan godtgøres på anden vis (fx ved fremvisning af ID-kort).
Teksteksempel: Komplekst og langt: Nærværende underretning gør rede for og har til formål at oplyse om Aarhus Universitets behandling af personoplysninger i medfør af databeskyttelsesforordningens artikel 13 eller 14. Videre skal nærværende oplyse om de rettigheder, som er hjemlet i forordningen, herunder de undtagelser til rettighederne, som er bestemt i national ret fsva. behandlingen af de registreredes personoplysninger til forskningsformål. Kort og klart sprog: Aarhus Universitet skal oplyse dig om, hvordan vi behandler dine personoplysninger. Du kan desuden læse om de rettigheder, du har, når vi behandler dine personoplysninger i forskning. |
Som forsker kommer du i kontakt med eller får informationer om de registrerede (forskningsdeltagere, informanter, subjekter osv.) på mange forskellige måder. Nogle eksempler kunne være:
Måden, du som forsker ønsker at kommunikere med de registrerede – og dermed også varetager din oplysningspligt på – kan være meget forskellig alt efter, om du får oplysningerne fra vedkommende selv eller fra andre, hvilken kontaktform du anvender, din forskningsmetode og –tradition osv.
Her kan du se eksempler på, hvordan du kan varetage og integrere oplysningspligten i dit øvrige informationsmateriale. Du skal naturligvis vælge den måde, der giver bedst mening og er mest gennemsigtig for de registrerede i det konkrete tilfælde:
Vær dog opmærksom på, at teksten skal være gennemsigtig. Det betyder, at du ikke må ’pakke oplysningerne ind’, så den registrerede ikke kan gennemskue, at det drejer sig om information om din behandling af personoplysninger.