GDPR og forskningsbaseret myndighedsbetjening

Når du laver myndighedsbetjening, skal du være opmærksom på, at der afhængigt af opgaven kan indgå personoplysninger. Det er ikke altid lige til at vurdere, om det er tilfældet. Derfor kan du prøve at stille dig selv følgende spørgsmål med henblik på at afdække, om du ved udførelsen af myndighedsbetjeningsopgaven vil komme til at behandle personoplysninger:  

1. Involverer opgaven fysiske personer? 
2. Kommer du i berøring med oplysninger, som i sig selv eller i kombination med andre oplysninger kan lede til en fysisk person? 
3. Har du tænkt sammenhængen af oplysninger til ende? F.eks. kan et GPS-koordinat efter omstændighederne lede til informationer om en fysisk person, hvis koordinatet befinder sig på vedkommendes mark. Ved at finde marken vil du kunne finde frem til den fysiske person f.eks. via online adressetjenester, tinglysningssystemet mv.  
4. Hvad er dit lovlige grundlag for behandlingen af personoplysninger i forskningsbaseret myndighedsbetjening? 

Når du behandler personoplysninger i forbindelse med forskningsbaseret myndighedsbetjening, skal du have et lovligt behandlingsgrundlag. Kort fortalt giver bl.a. universitetsloven AU en adgang til at lave myndighedsbetjening. Denne adgang er udnyttet i en række konkrete aftaler med ministerier og deres styrelser. Når AU laver forskningsbaseret myndighedsbetjening, er det derfor en del af AU’s virke som universitet og dermed en del af universitetets myndighedsudøvelse. 

Når du skal fastlægge dit behandlingsgrundlag, skal du overveje følgende:  

• Hvad er AU’s databeskyttelsesretlige rolle? 
• Hvilke kategorier af personoplysninger kommer jeg til at behandle?
• Behandler jeg alene personoplysningerne til myndighedsbetjeningsformålet, eller har jeg andre formål, f.eks. ’forskning’ eller ’undervisning’, der ligger udover myndighedsbetjeningsopgaven’?  

Når du kender AU’s rolle, kan du tage stilling til, om AU skal have et selvstændigt behandlingsgrundlag. Hvis AU er dataansvarlig, skal du på vegne af AU sikre, at AU har en selvstændig hjemmel til behandlingen. Hvis AU derimod er databehandler, vil behandlingen ske på myndighedens (ministeriets eller styrelsens) behandlingsgrundlag. 

I situationen, hvor AU er dataansvarlig, skal du kende typerne af personoplysninger for at vurdere, hvilke mulige behandlingsgrundlag der er. Endeligt skal du vide, om det alene er myndighedsbetjeningsopgaven, som du behandler personoplysninger til, eller om du også behandler dem til andre formål, f.eks. forskning. Har du flere formål, skal du sikre et behandlingsgrundlag til hvert af dine formål.  

Eksempler på behandlingsgrundlag til behandling af personoplysninger i forbindelse med varetagelse af forskningsbaserede myndighedsopgaver: 

Bemærk, at det afhænger af de konkrete omstændigheder for behandlingen. 

• Almindelige personoplysninger: Databeskyttelsesforordningens artikel 6, stk. 1, litra e eller c 
• Særlige kategorier (følsomme) af personoplysninger: Databeskyttelsesforordningens artikel 9, stk. 2, litra f, jf. artikel 6, stk. 1, litra c 
• Strafbare oplysninger: Databeskyttelsesloven § 8, stk. 1.  
• CPR nr.: Databeskyttelseslovens § 11, stk. 1.