Behandlingsgrundlag og oplysningspligt

Indholdet er opdateret i januar 2022. Vær opmærksom på, at vi løbende opdaterer disse sider.

Her kan du finde information om, hvordan du fastlægger behandlingsgrundlaget for behandlingen af personoplysninger i din forskning, og hvordan du varetager din oplysningspligt. 


Behandlingsgrundlag

Når du som forsker på Aarhus Universitet behandler personoplysninger, kræver det et lovligt behandlingsgrundlag. I praksis betyder det, at du skal have en hjemmel (lovgrundlag) i databeskyttelsesforordningen og eventuelt databeskyttelsesloven eller særlovgivningen.

Hvilket lovgrundlag, du kan basere din behandling af personoplysninger på, afhænger af den behandling, som du udfører. Når du behandler personoplysninger til et forskningsformål, kan du basere din behandling på ét af følgende behandlingsgrundlag:

NB! Der kan være andre lovlige behandlingsgrundlag for nogle behandlingsaktiviteter.

Der er som udgangspunkt valgfrihed mellem behandlingsgrundlagene. Dog skal du være opmærksom på, at du ikke kan ændre behandlingsgrundlag undervejs, da det vil være dårlig databehandlingsskik. Derfor er det vigtigt, at du, inden du starter behandlingen af personoplysninger, forholder dig grundigt til, hvordan du ønsker at behandle personoplysningerne.

Vær desuden opmærksom på, at der kan være særlige krav i særlovgivningen inden for forskellige fagområder. Kontakt evt. din lokale databeskyttelseskoordinator.

Sådan fastlægger du behandlingsgrundlaget

FORSKNINGSHJEMMEL

SAMTYKKE


ANVENDELSESOMRÅDE

Behandling af personoplysninger kan ske, hvor behandlingen alene sker til videnskabelige eller statistiske formål, og hvor behandlingen er nødvendigt for forskningen.    

Vær særligt opmærksom på, at forskningshjemlen ikke kan anvendes som behandlingsgrundlag for behandling af personoplysninger i undervisningssammenhæng.    

Behandling af personoplysninger kan ske til de specifikke formål, som den registrerede har givet samtykke til.    


BETINGELSER

Behandlingen skal ske/være:

  • inden for et anerkendt videnskabeligt område eller i statistisk øjemed.
  • nødvendig for forskningen.

Samtykket skal være:

  • frivilligt
  • specifikt
  • informeret
  • udtryk for en utvetydig viljestilkendegivelse
  • tilbagekaldeligt
  • formidlet i et klar og enkelt sprog på en lettilgængelig måde

Find mere information om betingelserne for et gyldigt samtykke.


DOKUMENTATIONSKRAV

Det kan være et krav, at oplysningspligten varetages, og at det dokumenteres.

Du kan få hjælp til at varetage oplysningspligten ved at udfylde skabelonen til overholdelse af oplysningspligten i forskningsprojekter, hvor behandlingen af personoplysninger er baseret på forskningshjemlen.

Du skal huske at gemme en kopi af dokumentet.    

Samtykket skal dokumenteres. Derfor det en god idé at indhente samtykket skriftligt. Du kan bruge AU’s samtykkeskabelon.

Desuden skal du dokumentere, at de registrerede både har modtaget informationen, som er påkrævet for, at der kan være tale om et gyldigt samtykke, men også de oplysninger, der skal afgives efter oplysningspligten. Du kan bruge AU’s skabelon til at varetage oplysningspligten.     


DELTAGERNES (DE REGISTREREDES) RETTIGHEDER

Når du baserer din behandling på forskningshjemlen, er der visse af de registreredes rettigheder, som du ikke nødvendigvis skal iagttage, f.eks. retten til indsigt. Det skyldes, at databeskyttelsesloven tager særlige hensyn til forskningen, når behandlingen af personoplysninger er baseret på forskningshjemlen. Databeskyttelsesloven indeholder særlige regler, der beskytter den registrerede på anden vis.   

Den registrerede kan som udgangspunkt gøre brug af alle rettighederne i databeskyttelsesforordningen. Hvis den registrerede ønsker at gøre brug af sine rettigheder, skal du lave en individuel vurdering på baggrund af de konkrete forhold.

Den registrerede har desuden ret til at tilbagekalde sit samtykke. Det betyder, at du skal stoppe behandlingen af vedkommendes personoplysninger.    


VIDEREGIVELSE AF DATA INDEN FOR EU/EØS (NB: IKKE OVERLADELSE TIL DATABEHANDLER)

Du kan videregive personoplysninger til anden forskning uden Datatilsynets tilladelse inden for EU/EØS ved at lave en videregivelses-erklæring. Du kan bruge AU’s skabelon.     

Du må kun videregive personoplysninger, hvis du har fået samtykke til det.    


VIDEREGIVELSE AF DATA UDEN FOR EU/EØS (NB: IKKE OVERLADELSE TIL DATABEHANDLER)

Du må kun videregive personoplysninger til en modtager uden for EU/EØS, hvis du har fået tilladelse fra Datatilsynet. Find mere information om videregivelse.     

Du må kun videregive personoplysninger til en modtager uden for EU/EØS, hvis du har samtykke til det. Vær opmærksom på, at der er særlige krav til den information, som den registrerede skal have om overførslen.     


VIDEREGIVELSE AF BIOLOGISK MATERIALE (NB: IKKE OVERLADELSE TIL DATABEHANDLER)

Du må kun videregive personoplysninger i form af biologisk materiale til anden forskning, hvis du har fået tilladelse fra Datatilsynet. Find mere information om videregivelse.     

Du må kun videregive personoplysninger i form af biologisk materiale, hvis du har samtykke til det.     


PUBLICERING AF PERSONOPLYSNINGER

Du må kun videregive særlige kategorier (følsomme) af personoplysninger med henblik på publicering, hvis du har fået tilladelse fra Datatilsynet. Videregivelse af almindelige personoplysninger med henblik på publicering kan ske, hvis det er nødvendigt, og oplysningerne er pseudonymiserede. Find mere information om videregivelse.     

Du må kun videregive  personoplysninger med henblik på publicering, hvis du har samtykke til det.    


SÅDAN HENVISER DU TIL HJEMMELSGRUNDLAG

  • Behandlingen af almindelige personoplysninger: Databeskyttelsesforordningens artikel 6, stk.1, litra e.
  • Behandlingen af følsomme personoplysninger: Databeskyttelseslovens § 10, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra e.    
  • Behandlingen af almindelige personoplysninger: Databeskyttelsesforordningens artikel 6, stk. 1, litra a.
  • Behandlingen af følsomme personoplysninger: Databeskyttelsesforordningens artikel 9, stk. 2, litra a og artikel 6, stk. 1, litra a.

Oplysningspligt

Når du indsamler personoplysninger, skal du som udgangspunkt oplyse de pågældende personer (de registrerede) om, at du behandler deres personoplysninger. Formålet med oplysningspligten er at skabe gennemsigtighed hos de registrerede om, hvordan du behandler deres personoplysninger.

Når du varetager din oplysningspligt, skal du tydeligt angive dit eller dine formål med behandlingen af personoplysninger. Du skal derfor overveje, om du har behov for at behandle personoplysningerne til ét eller til flere formål som fx kunne være:

  • forskning
  • undervisning
  • formidling
  • database til fremtidig forskning

Du kan have flere behandlingsgrundlag (lovhjemler), hvis du behandler personoplysningerne til flere formål. Fra eksemplet ovenfor kunne det fx være, at du behandler personoplysningerne til forskningsformålet baseret på forskningshjemlen, mens behandlingen af personoplysningerne til undervisningsformålet er baseret på de registreredes databeskyttelsesretlige samtykke, osv.

Indsamling af personoplysninger

Som forsker kan du indsamle informationer om de registrerede (forskningsdeltagere, informanter, subjekter osv.) enten direkte eller indirekte. Måden, du indsamler personoplysninger på, har betydning for, om du er forpligtet til at varetage din oplysningspligt, og også hvordan du vælger at varetage den (se afsnittet "Hjælp til at varetage din oplysningspligt”). 

Direkte indsamling af personoplysninger

Du skal altid opfylde oplysningspligten, når du indsamler personoplysninger direkte hos de registrerede (fx gennem spørgeskemaer, personlige interviews, osv.).

Indirekte indsamling af personoplysninger

Når du indsamler personoplysninger indirekte, fx i registerforskning eller fra sociale medier, kan du i nogle tilfælde undlade at opfylde oplysningspligten. Det kan du gøre, hvis det er umuligt at opfylde oplysningspligten, eller hvis du vurderer, at det vil kræve en uforholdsmæssig stor indsats. 

Når du skal vurdere, om det vil kræve en uforholdsmæssig stor indsats at informere de registrerede, skal du foretage en afvejning af: 

  • den registreredes interesse i at blive gjort bekendt med oplysninger om behandlingen, og 

  • vanskelighederne ved at opfylde oplysningspligten. 

Du kan i din vurdering bl.a. lægge vægt på: 

  • antallet af personer. 

  • personoplysningernes alder. 

  • de kompensatoriske foranstaltninger, fx at du vil offentliggøre på forskningsprojektets hjemmeside, hvordan du vil behandle personoplysningerne, og 

  • hvor betydelige de forskellige interesser (den registreredes interesse hhv. forskning som en væsentlig samfundsinteresse) er, af hensyn til hvilke oplysninger, som behandles. 

  • hvor indgribende det er for den enkelte, at du behandler vedkommendes personoplysninger. 

Hvis du når frem til, at det vil kræve en uforholdsmæssig stor indsats at opfylde oplysningspligten, skal du i stedet varetage de registreredes rettigheder på en anden måde. Det kan du gøre ved at offentliggøre oplysninger om, hvordan du vil behandle personoplysningerne, fx på forskningsprojektets hjemmeside eller en profil på sociale medier.  

Hjælp til at varetage din oplysningspligt

AU har lavet en række skabeloner, som du kan anvende til at varetage din oplysningspligt uanset dit valg af behandlingsgrundlag. Det er op til dig, hvordan du varetager din oplysningspligt, så skabelonerne er kun ment som inspiration, og du er ikke bundet af formen.

Hvis skabelonerne ikke passer til din specifikke målgruppe eller til den måde, du ellers kommunikerer med de registrerede på, er du velkommen til at varetage din oplysningspligt på anden vis. Du kan fx integrere oplysningspligten i dit øvrige informationsmateriale (se eksempler på hvordan nederst på siden). Det vigtigste er, at det skal være gennemskueligt for den registrerede, og at du overholder kravene til indhold, sprog og form.

Krav til indhold

Når du skal varetage din oplysningspligt, skal du være opmærksom på, at der er specifikke krav til hvilke oplysninger, du skal give den registrerede. Brug evt. AU’s skabeloner til at tjekke hvilke oplysninger, du skal huske.

Krav til sprog og form

Der er også krav til den måde, du giver oplysningerne på. Når du varetager din oplysningspligt, skal du gøre det:

  • i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form
  • i et klart og enkelt sprog (se teksteksempel nedenfor)
  • navnlig når oplysninger specifikt er rettet mod et barn.

Du skal give oplysningerne skriftligt, eller, hvis det er hensigtsmæssigt, elektronisk. Når den registrerede anmoder om det, kan oplysningerne gives mundtligt, forudsat, at den registreredes identitet kan godtgøres på anden vis (fx ved fremvisning af ID-kort).

Teksteksempel:

Komplekst og langt:

Nærværende underretning gør rede for og har til formål at oplyse om Aarhus Universitets behandling af personoplysninger i medfør af databeskyttelsesforordningens artikel 13 eller 14. Videre skal nærværende oplyse om de rettigheder, som er hjemlet i forordningen, herunder de undtagelser til rettighederne, som er bestemt i national ret fsva. behandlingen af de registreredes personoplysninger til forskningsformål.

Kort og klart sprog:

Aarhus Universitet skal oplyse dig om, hvordan vi behandler dine personoplysninger. Du kan desuden læse om de rettigheder, du har, når vi behandler dine personoplysninger i forskning.

Sådan kan du varetage din oplysningspligt i dit øvrige informationsmateriale

Som forsker kommer du i kontakt med eller får informationer om de registrerede (forskningsdeltagere, informanter, subjekter osv.) på mange forskellige måder. Nogle eksempler kunne være: 

  • Rekruttering via internettet 
  • Rekruttering via en folder/brochure 
  • Møde med de registrerede, dér hvor de er (f.eks. en skole, hjemmet, en virksomhed, i behandlingssammenhænge osv.) 
  • Sociale medier 
  • Udtræk fra registre 

Måden, du som forsker ønsker at kommunikere med de registrerede – og dermed også varetager din oplysningspligt på – kan være meget forskellig alt efter, om du får oplysningerne fra vedkommende selv eller fra andre, hvilken kontaktform du anvender, din forskningsmetode og –tradition osv. 

Her kan du se eksempler på, hvordan du kan varetage og integrere oplysningspligten i dit øvrige informationsmateriale. Du skal naturligvis vælge den måde, der giver bedst mening og er mest gennemsigtig for de registrerede i det konkrete tilfælde:

  • Som et klikbart direkte link i forbindelse med et spørgeskema, hvor deltageren først kan påbegynde besvarelsen, når vedkommende har læst og klikket tjekboksen af.
  • Som et bilag til din projektinformation til deltagerne
  • Som en QR-kode, der linker direkte til en AU-hjemmeside, som du har oprettet med oplysningerne 
  • Som en del af teksten i dit informationsmateriale.

Vær dog opmærksom på, at teksten skal være gennemsigtig. Det betyder, at du ikke må ’pakke oplysningerne ind’, så den registrerede ikke kan gennemskue, at det drejer sig om information om din behandling af personoplysninger.