Behandlingsgrundlag og oplysningspligt

Her kan du finde information om, hvordan du fastlægger behandlingsgrundlaget for behandling af personoplysninger i din forskning. 


Indholdet er opdateret i maj 2021. 
Vær opmærksom på, at vi løbende opdaterer disse sider.  

Behandlingsgrundlag

Når du som forsker på Aarhus Universitet behandler personoplysninger, kræver det et lovligt behandlingsgrundlag. I praksis betyder det, at du skal have en hjemmel i databeskyttelsesforordningen og eventuelt databeskyttelsesloven eller særlovgivningen.

Hvilket lovgrundlag, du kan basere din behandling af personoplysninger på, afhænger af den behandling, som du udfører. Når du behandler personoplysninger til et forskningsformål, kan du basere din behandling på ét af følgende behandlingsgrundlag:

NB! Der kan være andre lovlige behandlingsgrundlag for nogle behandlingsaktiviteter.

Der er som udgangspunkt valgfrihed mellem behandlingsgrundlagene. Dog skal du være opmærksom på, at du ikke kan ændre behandlingsgrundlag undervejs, da det vil være dårlig databehandlingsskik. Derfor er det vigtigt, at du, inden du starter behandlingen af personoplysninger, forholder dig grundigt til, hvordan du ønsker at behandle personoplysningerne.

Vær desuden opmærksom på, at der kan være særlige krav i særlovgivningen.

Sådan fastlægger du behandlingsgrundlaget

FORSKNINGSHJEMMEL

SAMTYKKE


ANVENDELSESOMRÅDE

Behandling af personoplysninger kan ske, hvor behandlingen alene sker til videnskabelige eller statistiske formål, og hvor behandlingen er nødvendigt for forskningen.    

Vær særligt opmærksom på, at forskningshjemlen ikke kan anvendes som behandlingsgrundlag for behandling af personoplysninger i undervisningssammenhæng.    

Behandling af personoplysninger kan ske til de specifikke formål, som den registrerede har givet samtykke til.    


BETINGELSER

Behandlingen skal ske/være:

  • inden for et anerkendt videnskabeligt område eller i statistisk øjemed.
  • nødvendig for forskningen.

Samtykket skal være:

  • frivilligt
  • specifikt
  • informeret
  • udtryk for en utvetydig viljestilkendegivelse
  • tilbagekaldeligt
  • formidlet i et klar og enkelt sprog på en lettilgængelig måde

Find mere information om betingelserne for et gyldigt samtykke.


DOKUMENTATIONSKRAV

Det kan være et krav, at oplysningspligten varetages, og at det dokumenteres.

Du kan få hjælp til at varetage oplysningspligten ved at udfylde skabelonen til overholdelse af oplysningspligten i forskningsprojekter, hvor behandlingen af personoplysninger er baseret på forskningshjemlen.

Du skal huske at gemme en kopi af dokumentet.    

Samtykket skal dokumenteres. Derfor det en god idé at indhente samtykket skriftligt. Du kan bruge AU’s samtykkeskabelon.

Desuden skal du dokumentere, at de registrerede både har modtaget informationen, som er påkrævet for, at der kan være tale om et gyldigt samtykke, men også de oplysninger, der skal afgives efter oplysningspligten. Du kan bruge AU’s skabelon til at varetage oplysningspligten.     


DELTAGERNES (DE REGISTREREDES) RETTIGHEDER

Når du baserer din behandling på forskningshjemlen, er der visse af de registreredes rettigheder, som du ikke nødvendigvis skal iagttage, f.eks. retten til indsigt. Det skyldes, at databeskyttelsesloven tager særlige hensyn til forskningen, når behandlingen af personoplysninger er baseret på forskningshjemlen. Databeskyttelsesloven indeholder særlige regler, der beskytter den registrerede på anden vis.   

Den registrerede kan som udgangspunkt gøre brug af alle rettighederne i databeskyttelsesforordningen. Hvis den registrerede ønsker at gøre brug af sine rettigheder, skal du lave en individuel vurdering på baggrund af de konkrete forhold.

Den registrerede har desuden ret til at tilbagekalde sit samtykke. Det betyder, at du skal stoppe behandlingen af vedkommendes personoplysninger.    


VIDEREGIVELSE AF DATA INDEN FOR EU/EØS (NB: IKKE OVERLADELSE TIL DATABEHANDLER)

Du kan videregive personoplysninger til anden forskning uden Datatilsynets tilladelse inden for EU/EØS ved at lave en videregivelses-erklæring. Du kan bruge AU’s skabelon.     

Du må kun videregive personoplysninger, hvis du har fået samtykke til det.    


VIDEREGIVELSE AF DATA UDEN FOR EU/EØS (NB: IKKE OVERLADELSE TIL DATABEHANDLER)

Du må kun videregive personoplysninger til en modtager uden for EU/EØS, hvis du har fået tilladelse fra Datatilsynet. Find mere information om videregivelse.     

Du må kun videregive personoplysninger til en modtager uden for EU/EØS, hvis du har samtykke til det. Vær opmærksom på, at der er særlige krav til den information, som den registrerede skal have om overførslen.     


VIDEREGIVELSE AF BIOLOGISK MATERIALE (NB: IKKE OVERLADELSE TIL DATABEHANDLER)

Du må kun videregive personoplysninger i form af biologisk materiale til anden forskning, hvis du har fået tilladelse fra Datatilsynet. Find mere information om videregivelse.     

Du må kun videregive personoplysninger i form af biologisk materiale, hvis du har samtykke til det.     


PUBLICERING AF PERSONOPLYSNINGER

Du må kun videregive særlige kategorier (følsomme) af personoplysninger med henblik på publicering, hvis du har fået tilladelse fra Datatilsynet. Videregivelse af almindelige personoplysninger med henblik på publicering kan ske, hvis det er nødvendigt, og oplysningerne er pseudonymiserede. Find mere information om videregivelse.     

Du må kun videregive  personoplysninger med henblik på publicering, hvis du har samtykke til det.    


SÅDAN HENVISER DU TIL HJEMMELSGRUNDLAG

  • Behandlingen af almindelige personoplysninger: Databeskyttelsesforordningens artikel 6, stk.1, litra e.
  • Behandlingen af følsomme personoplysninger: Databeskyttelseslovens § 10, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra e.    
  • Behandlingen af almindelige personoplysninger: Databeskyttelsesforordningens artikel 6, stk. 1, litra a.
  • Behandlingen af følsomme personoplysninger: Databeskyttelsesforordningens artikel 9, stk. 2, litra a og artikel 6, stk. 1, litra a.

Oplysningspligt

Når du indsamler personoplysninger, skal du som udgangspunkt oplyse de pågældende personer (de registrerede) om, at du behandler deres personoplysninger. Oplysningspligten har til formål at skabe gennemsigtighed om, hvordan du behandler deres personoplysninger.

Du skal altid opfylde oplysningspligten, når du indsamler personoplysninger direkte hos de registrerede.


Indirekte indsamling af personoplysninger

Når du indsamler personoplysninger indirekte, f.eks. i registerforskning eller fra sociale medier, kan du i nogle tilfælde undlade at opfylde oplysningspligten, nemlig hvis det er umuligt at opfylde oplysningspligten, eller hvis det vil kræve en uforholdsmæssig stor indsats.

Når du skal vurdere, om det vil kræve en uforholdsmæssig stor indsats at informere de registrerede, skal du foretage en afvejning af:

  • den registreredes interesse i at blive gjort bekendt med oplysninger om behandlingen, og
  • vanskelighederne ved at opfylde oplysningspligten.

Du kan i din vurdering bl.a. lægge vægt på:

  • antallet af personer.
  • personoplysningernes alder.
  • de kompensatoriske foranstaltninger, f.eks. at du vil offentliggøre på forskningsprojektets hjemmeside, hvordan du vil behandle personoplysningerne, og
  • hvor betydelige de forskellige interesser (den registreredes interesse hhv. forskning som en væsentlig samfundsinteresse) er, af hensyn til hvilke oplysninger, som behandles.
  • hvor indgribende det er for den enkelte, at du behandler vedkommendes personoplysninger.

Hvis du når frem til, at det vil kræve en uforholdsmæssig stor indsats at opfylde oplysningspligten, skal du i stedet varetage de registreredes rettigheder på en anden måde. Det kan du gøre ved at offentliggøre oplysninger om, hvordan du vil behandle personoplysningerne, f.eks. på forskningsprojektets hjemmeside eller en profil på sociale medier.