GDPR og forskningsbaseret myndighedsbetjening

Indholdet er opdateret i november 2021. Vær opmærksom på, at vi løbende opdaterer disse sider. 

Når du laver myndighedsbetjening, kan der afhængigt af opgaven indgå personoplysninger. Se her, hvad du skal være opmærksom på ift. forskningsbaseret myndighedsbetjening og GDPR.  


Hvad er forskningsbaseret myndighedsbetjening?
 

Forskningsbaseret myndighedsbetjening er en fællesbetegnelse for en række ydelser, som universiteterne udfører for staten og andre aktører. Ydelserne spænder fra forskning inden for et bestemt område til konkrete beredskabs- og rådgivningsopgaver. 

Forskningsbaseret myndighedsbetjening kan bl.a. være: 

  • Forskning inden for et bestemt område. Det kan være forskning i arbejdsmarkedsforhold eller forskning i vandkvaliteten i danske åer. 
  • Beredskab inden for et bestemt område. Det kan være faciliteter og aktiviteter i forhold til epidemier af dyresygdomme eller iltsvind i danske have. 
  • Rådgivning inden for et bestemt område. Det kan være miljømæssige og erhvervsøkonomiske konsekvenser ved et lovforslag om landbrugets gødningsanvendelse eller transportafviklings-konsekvenser ved et lovforslag om en ny motorvej. 

Kilde: Uddannelses- og forskningsministeriet 

Behandler du personoplysninger?

Når du laver myndighedsbetjening, skal du være opmærksom på, at der afhængigt af opgaven kan indgå personoplysninger. Det er ikke altid lige til at vurdere, om det er tilfældet. Derfor kan du prøve at stille dig selv følgende spørgsmål med henblik på at afdække, om du ved udførelsen af myndighedsbetjeningsopgaven vil komme til at behandle personoplysninger:  

  1. Involverer opgaven fysiske personer? 
  2. Kommer du i berøring med oplysninger, som i sig selv eller i kombination med andre oplysninger kan lede til en fysisk person? 
  3. Har du tænkt sammenhængen af oplysninger til ende? F.eks. kan et GPS-koordinat efter omstændighederne lede til informationer om en fysisk person, hvis koordinatet befinder sig på vedkommendes mark. Ved at finde marken vil du kunne finde frem til den fysiske person f.eks. via online adressetjenester, tinglysningssystemet mv.  
  4. Hvad er dit lovlige grundlag for behandlingen af personoplysninger i forskningsbaseret myndighedsbetjening? 

Når du behandler personoplysninger i forbindelse med forskningsbaseret myndighedsbetjening, skal du have et lovligt behandlingsgrundlag. Kort fortalt giver bl.a. universitetsloven AU en adgang til at lave myndighedsbetjening. Denne adgang er udnyttet i en række konkrete aftaler med ministerier og deres styrelser. Når AU laver forskningsbaseret myndighedsbetjening, er det derfor en del af AU’s virke som universitet og dermed en del af universitetets myndighedsudøvelse. 

Fastlæggelse af behandlingsgrundlag

Når du skal fastlægge dit behandlingsgrundlag, skal du overveje følgende:  

Når du kender AU’s rolle, kan du tage stilling til, om AU skal have et selvstændigt behandlingsgrundlag. Hvis AU er dataansvarlig, skal du på vegne af AU sikre, at AU har en selvstændig hjemmel til behandlingen. Hvis AU derimod er databehandler, vil behandlingen ske på myndighedens (ministeriets eller styrelsens) behandlingsgrundlag. 

I situationen, hvor AU er dataansvarlig, skal du kende typerne af personoplysninger for at vurdere, hvilke mulige behandlingsgrundlag der er. Endeligt skal du vide, om det alene er myndighedsbetjeningsopgaven, som du behandler personoplysninger til, eller om du også behandler dem til andre formål, f.eks. forskning. Har du flere formål, skal du sikre et behandlingsgrundlag til hvert af dine formål.  

Eksempler på behandlingsgrundlag til behandling af personoplysninger i forbindelse med varetagelse af forskningsbaserede myndighedsopgaver: 

Bemærk, at det afhænger af de konkrete omstændigheder for behandlingen. 

  • Almindelige personoplysninger: Databeskyttelsesforordningens artikel 6, stk. 1, litra e eller c 
  • Særlige kategorier (følsomme) af personoplysninger: Databeskyttelsesforordningens artikel 9, stk. 2, litra f, jf. artikel 6, stk. 1, litra c 
  • Strafbare oplysninger: Databeskyttelsesloven § 8, stk. 1.  
  • CPR nr.: Databeskyttelseslovens § 11, stk. 1.