Informationssikkerhed

English

Retningslinjer for brug af personoplysninger fra sociale medier

Indholdet er opdateret i februar 2022. Vær opmærksom på, at vi løbende opdaterer disse sider. 

Her kan du finde information om, hvordan personoplysninger fra sociale medier, fx Facebook, Twitter, Tik Tok og Instagram, kan bruges i forskningsprojekter i overensstemmelse med reglerne i databeskyttelsesforordningen og anden relevant lovgivning.

Forskning i kommunikation på sociale medier

Brug af personoplysninger fra sociale medier til forskning indebærer, at der er tale om offentliggjort kommunikation, der direkte eller indirekte kan henføres til en fysisk person. 

Du skal overholde reglerne i databeskyttelsesforordningen, hvis du i dit forskningsprojekt bruger kommunikation, der er offentliggjort på sociale medier, som indeholder personoplysninger. På grund af de sociale mediers karakter kan der være særlige regler i databeskyttelsesforordningen, som du skal tage hensyn til, f.eks. de regler, der vedrører indhentelse af samtykke og oplysningspligt. Desuden skal du overholde de forskellige sociale medier og platformes brugerbetingelser (Terms of Service / Terms of Use) for brug af data, i forbindelse med forskning. Inden du begynder at indsamle personoplysninger på en social medieplatform, skal du derfor sikre dig, at din indsamling og brug af personoplysninger er i overensstemmelse med platformens brugerbetingelser. Bemærk at mange af platformene eksplicit opstiller vilkår for brug af data i forskningsøjemed.

Definition af personoplysninger ift. sociale medier

Databeskyttelsesforordningen definerer personoplysninger som ”enhver form for information om en identificeret eller identificerbar person. Ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, generiske, psykiske, økonomiske, kulturelle eller sociale identitet.”

Definitionen af personoplysninger omfatter oplysninger om:

  • ”hovedpersonen”, som er den person, hvis personoplysninger er genstand for behandlingen.
  • ”bipersoner”, som er oplysninger om personer, som omtales eller vises på et fotografi gjort tilgængeligt af hovedpersonen. Det er antaget i den juridiske litteratur, at bipersoner har ret til samme beskyttelse som hovedpersonen efter reglerne i databeskyttelsesforordningen.

Hvis en persons navn indgår i en profil på et socialt medie, eller hvis profilnavnet kan kobles til en identificeret eller identificerbar person, f.eks. ved hjælp af det foto, som personen anvender på sin profil, eventuelt kombineret med en søgning på fotoet på en søgemaskine, vil profilen skulle betragtes som personoplysninger.

En ytring er i udgangspunktet ikke en personoplysning, men der kan efter omstændighederne være tale om personoplysninger, hvis brugeren tweeter om f.eks. sine erfaringer med jobcenteret eller sit handicap, eller hvis du i din forskning foretager en sproganalyse eller en beskrivelse af en persons ytringer fra et social medie.

Forskning med personoplysninger fra sociale medier med og uden databeskyttelsesretligt samtykke

Hvis du bruger data, der indeholder personoplysninger, fra sociale medier, skal du overholde de generelle principper i databeskyttelsesforordningen. Det vil bl.a. sige, at:

  • du ikke må indhente flere personoplysninger, end det er nødvendigt for at gennemføre dit projekt i overensstemmelse med princippet om dataminimering.
  • de indhentede personoplysninger kun må bruges til det pågældende forskningsprojekt, medmindre de omfattede personer har givet et databeskyttelsesretligt samtykke til, at deres personoplysninger kan bruges til andre formål, f.eks. til at indgå i undervisningsaktiviteter. Det kaldes princippet om formålsbegrænsning.
  • du skal være opmærksom på, at du skal behandle de indhentede data i overensstemmelse med reglerne for afslutning af forskningsprojekter.  

Udover, at du skal overholde de databeskyttelsesretlige principper, skal du have et lovligt behandlingsgrundlag. Du kan gennemføre forskning med personoplysninger både med den registrerede persons databeskyttelsesretlige samtykke og uden forudgående databeskyttelsesretligt samtykke.

Forskning i personoplysninger fra sociale medier MED databeskyttelsesretligt samtykke

Hvem skal du have et databeskyttelsesretligt samtykke fra?

Hvis du vælger at indhente et databeskyttelsesretligt samtykke fra personer på sociale medier, skal du indhente samtykke fra alle de personer, hvis personoplysninger vil indgå i projektet. Samtykket skal opfylde de krav, der er til et gyldigt databeskyttelsesretligt samtykke.

Hvad gælder for databeskyttelsesretligt samtykke i lukkede grupper?

Det vil ikke være tilstrækkeligt kun at indhente et databeskyttelsesretligt samtykke fra administrator af f.eks. en lukket Facebook-gruppe, da databeskyttelsesforordningen ikke giver mulighed for at anvende stedfortrædende samtykke.

Der findes muligvis grupper, hvor medlemmerne har givet administrator fuldmagt til at disponere, herunder give samtykke, på deres vegne. Men sådanne fuldmagtskonstruktioner vil være sjældne. Du bør derfor altid bede administrator om dokumentation for, at vedkommende har fuldmagt til at give et databeskyttelsesretligt samtykke på vegne af medlemmerne af gruppen.

Facebook har fastsat en række vilkår for medlemmerne af Facebook, som brugeren accepterer i forbindelse med oprettelse af en profil. Vilkårene indeholder Facebooks regler om privatlivsbeskyttelse, hvoraf det bl.a. fremgår, at Facebook anvender medlemmernes data til ”forskning og innovation til gavn for samfundet”. Selv om Facebook har fastsat sådanne vilkår, vil medlemmernes accept heraf ikke være tilstrækkeligt til at opfylde kravene til et samtykke til, at du kan anvende personoplysninger fra Facebook til konkrete projekter. Det skyldes især Datatilsynets betingelse om, at et samtykke til behandling af personoplysninger skal være specifikt, dvs. afgivet til et bestemt formål. Læs mere om databeskyttelsesretligt samtykke. Aarhus Universitet fortolker kravet om afgivelse af et specifikt samtykke således, at samtykket skal vedrøre behandlingen af personoplysninger i det konkrete forskningsprojekt, dvs. til det konkrete forskningsformål eller inden for et anerkendt videnskabeligt område. Efter omstændighederne kan der være øvrige behandlingsformål, som du som forsker ønsker at indhente samtykke til. F.eks. til undervisningsbrug. 

Endvidere vil et medlems accept af Facebooks vilkår ikke give forskeren adgang til at behandle oplysninger om bipersoner, dvs. personer, som bliver omtalt i et medlems opslag, billeder eller video, hvor det er muligt at se andre personer end den person, som har lagt billedet op på Facebook. Endelig må det antages, at Facebooks vilkår om anvendelse af data til forskning og innovation alene omfatter forskningsaktiviteter, som Facebook iværksætter og finansierer.    

Forskning i personoplysninger fra sociale medier UDEN databeskyttelsesretligt samtykke

Hvordan kan jeg indhente og behandle personoplysninger fra sociale medier uden databeskyttelsesretligt samtykke?    

Det er muligt at indhente og behandle personoplysninger fra sociale medier uden de pågældende personers databeskyttelsesretlige samtykke. Der er forskellige regler i databeskyttelsesforordningen, som gør det muligt at behandle personoplysninger fra sociale medier i forskningen uden indhentelse af forudgående databeskyttelsesretligt samtykke:

  • Forskningshjemlen, dvs. regler, som gør det lovligt at behandle både almindelige og følsomme personoplysninger i videnskabelige undersøgelser. 
  • Reglen om offentliggjorte personoplysninger, når oplysningerne tydeligvis er offentliggjort af personen selv. Denne regel vedrører kun behandling af følsomme oplysninger, f.eks. politisk overbevisning eller helbredsoplysninger. I det omfang du også behandler almindelige personoplysninger, f.eks. navn, alder mv., kan du behandle disse oplysninger efter reglen om udførelse af en opgave i samfundets interesse (Databeskyttelsesforordningens artikel 6, stk. 1, litra e).

Det er vigtigt at være opmærksom på, at de forskellige sociale medier kan have opstillet betingelser for brug af data. Det kan f.eks. være krav om forudgående orientering af medlemmerne af det sociale medie eller krav om indhentelse af forudgående samtykke, inden data indsamles. De opstillede betingelser for brug af data betyder, at det ikke vil være lovligt at indhente og behandle personoplysninger fra det pågældende sociale medie uden at overholde betingelserne.     

Hvordan kan jeg forske i offentliggjorte oplysninger?

Det er muligt at indhente og behandle følsomme personoplysninger uden personens databeskyttelsesretligt samtykke, hvis ”behandlingen vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede” (databeskyttelsesforordningens artikel 9, stk. 2, litra e).

Vær opmærksom på, at reglen kun gælder, hvis personen selv har lagt oplysningerne ud på det sociale medie. Uanset, om personoplysninger er offentliggjort af den registrerede selv, skal forskningsprojektet være registreret på fortegnelsen, og behandlingsgrundlaget være fastsat til databeskyttelsesforordningens artikel 6, stk. 1, litra e (opgave i samfundets interesse) og databeskyttelsesforordningens artikel 9, stk. 2, litra e (personoplysninger, som tydeligvis er offentliggjort af den registrerede), og det skal være nødvendigt at behandle de indsamlede personoplysninger for at realisere forskningsprojektets formål.

”Offentliggjorte” personoplysninger betyder, at de pågældende data er offentligt tilgængelige eller findes i et lukket forum med en kreds af medlemmer/"venner", som ikke er reelle venner. Størrelsen af det lukkede forum kan også have betydning for, om oplysningen anses for offentliggjort. Der er ikke officielt taget stilling til, hvornår lukkede fora på sociale medier anses for at være reelt åbne. I mangel af en officiel stillingtagen, vil en ”tommelfingerregel” være, at lukkede fora med flere end 200 medlemmer reelt må anses for åbne. Det vil sige, at personoplysninger lagt ud af personen selv i et lukket forum med mere end 200 medlemmer som udgangspunkt kan anses for at være offentliggjort af personen selv.

Husk dog at overveje, om det er i strid med princippet om beskyttelse af privatlivet i Den Europæiske Menneskerettighedskonvention. Privatliv skal forstås som fysisk og psykisk integritet, personens hjem, familie og relationer samt korrespondance. Oplysninger om personen og vedkommendes forhold er også omfattet af beskyttelsen. Hvis behandlingen af personoplysninger giver unødig stor indsigt i privatlivet hos medlemmerne i åbne fora, vil behandlingen af data kunne udgøre et indgreb i beskyttelsen af privatlivets fred. En sådan anvendelse af personoplysninger kan være i strid med Den Europæiske Menneskerettighedskonventions artikel 8, hvis den afdækker forhold af privat eller fortrolig karakter, f.eks. lokation, bevægemønstre, interaktion med andre personer, tilknytning til grupper eller miljøer, vaner og præferencer, sundhed og livsstil, som ikke kan anses at stå i et rimeligt forhold til forskningsformålet (proportionalitetsprincippet).

Om et forum på et socialt medie er lukket eller åbent må i sidste ende vurderes konkret fra sag til sag. Umiddelbart må fora, der kræver optagelse eller godkendelse af deltagere, anses som lukkede. Men det vil f.eks. afhænge af formålet med forummet, de personer, der deltager, hvilke oplysninger, holdninger mv., der bliver delt, og om deltagerne har en rimelig forventning om fortrolighed i forummet.

Administrationen af et forum kan også spille ind:

  • Hvem der administrerer det
  • Hvilke krav er der til at blive medlem
  • Om det superviseres
  • Om administrator kan udelukke folk, slette oplysninger osv.

Et forum for personer med en bestemt diagnose eller særlig interesse kan måske have en forventning om et fortroligt rum, selvom der er 200 eller flere deltagere.

Platformens Terms of Use kan også have en betydning:

  • Hvor meget adgang har det sociale medie til fora,
  • hvor meget kontrollerer det indhold og dialog,
  • og kan det slette indhold og medlemmer eller lukke forummet.

Det vil ikke være muligt at behandle oplysninger om og billeder og video af såkaldte ”bipersoner” efter reglen om personoplysninger offentliggjort af personen selv. ”Bipersoner” omfatter personer, som nævnes på sociale medier uden at de selv har lagt oplysningerne ud på det sociale medie.

Som det fremgår kan anvendelsen af behandlingsgrundlaget om personoplysninger, som tydeligvis er offentliggjort af den registrerede, give anledning til både tvivl og usikkerhed. Derfor vil det som altovervejende hovedregel altid være mere formålstjenligt at anvende forskningshjemlen som behandlingshjemmel, når du indsamler oplysninger på sociale medier. 

Hvad gælder for lukkede grupper på Facebook, når jeg ikke har indhentet et databeskyttelsesretligt samtykke? 

Hvis der er tale om lukkede grupper f.eks. på Facebook, vil din adgang til personoplysninger forudsætte, at du får adgang til de oplysninger, som findes i den lukkede gruppe.

Det vil være i strid med principperne for god databehandlingsskik og særligt kravet om behandling af personoplysninger på en gennemsigtig måde, hvis du ansøger om medlemskab af gruppen uden klart at tilkendegive dine hensigter (”på skrømt”) og anvender medlemskabet til at indsamle personoplysninger i den lukkede gruppe.

Det er desuden i strid med princippet i Den Europæiske Menneskerettighedskonvention om beskyttelse af privatlivets fred at skaffe sig adgang til data i lukkede grupper uden samtykke fra medlemmerne, og det kan muligvis være strafbart efter straffelovens regler om beskyttelse af privatlivets fred.

I visse lukkede grupper vil der være vedtægter eller lignende regler, som regulerer, hvem der kan blive medlem af gruppen og hvilke beføjelser, som administratoren har. Hvis administrator kan give dig adgang til data, vil dette bero på regler i gruppens vedtægter eller regler.

Oplysningspligt ved brug af data fra sociale medier

Det er et væsentligt princip, at behandlingen af personoplysninger skal være ”gennemsigtig”. De registrerede skal, som overordnet princip, kunne forudse og vide, hvad deres personoplysninger bliver brugt til.

I praksis betyder princippet, at den dataansvarlige har oplysningspligt over for de registrerede. Find mere information om oplysningspligt.

Der gælder forskellige regler afhængigt af, om du indhenter data direkte fra personen selv, eller om du indhenter data om personen fra andre end personen selv. Når du indhenter data via et socialt medie, antages det, at du indhenter data fra andre end personen selv, dvs. en indirekte indsamling.

Læs mere om oplysningspligten.

 

Ofte stillede spørgsmål om forskningsscenarier med data fra sociale medier

1. Hvad skal jeg undersøge og overveje, når jeg skal i gang med et nyt projekt med data fra sociale medier?

  • Du skal undersøge, om det sociale medie stiller krav om forudgående orientering af medlemmerne (de registrerede) om forskningsprojektet.
  • Du skal undersøge, om det sociale medie kræver medlemmernes (de registreredes) samtykke til brug af deres data, eller om der er tale om data fra en lukket gruppe, som altid kræver samtykke.
  • Hvis det sociale medie ikke kræver indhentelse af samtykke, skal du overveje, om du skal basere behandlingen af personoplysninger på et indhentet samtykke eller på forskningshjemlen.
  • Du skal overveje, hvordan oplysningspligten skal overholdes.

Sociale medier som datakilde

2. Er der forskel på, om jeg bruger Facebook eller Snapchat til at indsamle forskningsdata?

  • Der er ingen forskel i forhold til databeskyttelsesreglerne, men der kan være forskel i de regler, som de forskellige sociale medier opstiller i deres brugerbetingelser - Terms of use (ToU) eller Terms of Service (ToS).
  • Du kan godt bruge et socialt medie til at indsamle data, hvis det ikke er i strid med mediets brugerbetingelser. Der skal være et specifikt formål med forskningsprojektet, og projektet skal være registreret på universitetets fortegnelse. Overvej om deltagerne (de registrerede) skal give samtykke iht. platformens betingelser. 
  • Forskningsprojektet skal være lovligt efter databeskyttelsesforordningen og databeskyttelsesloven (databeskyttelsesreglerne). Det betyder, at de personoplysninger, som du indsamler, skal være nødvendige for forskningsprojektet, og projektet skal have samfundsmæssig betydning.

3. Hvis en bruger sletter sit opslag på et socialt medie eller redigerer det, skal et datasæt, der indeholder dette, så opdateres?

Som udgangspunkt skal man forholde sig til princippet i databeskyttelsesforordningen art. 5, stk. 1, litra d, som siger, at de indsamlede personoplysninger skal være korrekte og om nødvendigt ajourførte; Der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«). Det vil ofte falde sammen med forskningsprojektets interesse i at have korrekte data. Dog har de registrerede ikke krav på at få berigtiget forkerte oplysninger, når dit behandlingsgrundlag er forskningshjelmen. Det følger af § 22, stk. 5, i den danske databeskyttelseslov.

4. Hvem er ansvarlig efter databeskyttelsesforordningen over for den registrerede?

Det er forskningsinstitutionen (AU), som er dataansvarlig efter databeskyttelsesforordningen. I praksis er det forskningsprojektets leder, som er ansvarlig for, at behandlingen af personoplysninger i projektet lever op databeskyttelsesreglerne.

5. Hvem er ansvarlig for overholdelse af det sociale medies retningslinjer (ToS / ToU?)

Det er forskningsinstitutionen (AU). Forskningsprojektets leder er ansvarlig for, at institutionen lever op til kravene i ToS/ToU.

6. Må jeg bruge personoplysninger ved at følge nogle profiler fra Instragram, som er offentligt tilgængelige og kan ses af alle?

Ja, det må du gerne, men du skal sørge for, at: 

  • du overholder ToS fra det pågældende sociale medie.
  • dit forskningsprojekt skal have et specifikt formål og være registreret på universitetets fortegnelse, før data kan høstes.
  • du har et lovligt behandlingsgrundlag efter databeskyttelsesreglerne. 
  • du overholder oplysningspligten efter databeskyttelsesreglerne.

Se også spørgsmål 32 og 33.

7. Er der forskel på, hvordan jeg skal forholde mig afhængig af om billederne indeholder mennesker (og hvad hvis der er flere end dem, vi primært følger (bipersoner)) eller ting/steder?

  • Billeder kan være personoplysninger, og i så fald skal du overholde databeskyttelsesreglerne.
  • Hvis behandlingen af personoplysninger sker med et databeskyttelsesretligt samtykke fra deltagerne (de registrerede) i forskningsprojektet, og der optræder flere personer end den, der har givet samtykke, skal der indhentes databeskyttelsesretlige samtykke fra alle de pågældende personer, før billederne behandles.
  • Det er muligt at indsamle og behandle personoplysninger uden at indhente et databeskyttelsesretligt samtykke. Du skal dog være opmærksom på oplysningspligten.

Se også spørgsmål 32 og 33.

8. Jeg vil følge et lukket online forum med mange medlemmer (+200), men det kræver, at man har adgang. Hvornår betragtes et forum som lukket?

Umiddelbart må fora, der kræver optagelse eller godkendelse af deltagere, anses som lukkede. Men det må bero på en konkret vurdering, hvor man kan tage hensyn til:

  • formålet med forummet,
  • de personer, der deltager,
  • hvilke oplysninger, holdninger mv., der bliver delt, og
  • om deltagerne har en rimelig forventning om fortrolighed i forummet. Eksempelvis kan der i et forum for personer med en bestemt diagnose eller særlig interesse være en forventning om et fortroligt rum, selvom der er 200 eller flere deltagere.

Administrationen af forummet kan også inddrages i den konkrete vurdering:

  • hvem der administrerer det,
  • hvilke krav er der til at blive medlem,
  • kan administrator udelukke folk, slette oplysninger osv.

Platformens Terms of Use kan også have en betydning:

  • hvor meget adgang har det sociale medie til et enkelt forum,
  • hvor meget kontrollerer de indhold og dialog, og
  • kan de slette indhold og medlemmer eller lukke et forum.

9. Må jeg indsamle alle posts fra en bestemt bruger, der omhandler (nævner) en bestemt person, uden vedkommendes samtykke?

Se svaret til spørgsmål 6.

10. Kan jeg bruge sociale medier til at komme i kontakt med de relevante forskningssubjekter (de registrerede) ved at kontakte dem via det sociale medie?

Ja, medmindre ToS for det pågældende sociale medie forbyder det.

11. Gælder der samme regler, om man anvender citater (ikke anonymiseret) fra sociale medier fra offentlige personer og private personer?

Uddybning af spørgsmålet:

Jeg vil følge offentlige personer på sociale medier og bruge deres opslag i min forskning. Gælder der samme regler, om man anvender citater (ikke anonymiseret) fra sociale medier fra offentlige personer (f.eks. Donald Trump eller en der skriver som en del af sit embede – f.eks. Rektor, der skriver om universitetsudvikling) og private personer (f.eks. studerende, der udtaler sig om private holdninger til f.eks. universitetspolitik/aktivisme)?    

Svar:

Offentlige personers ytringer skal behandles som alle andre personoplysninger på sociale medier.

12. Kan jeg forudsætte at brugere af SoMe lever op til platformens betingelser? F.eks. Kan jeg lægge til grund, at en bruger på Facebook er 13 år, som det er krævet i Facebooks vilkår, eller skal jeg selv sikre mig, at brugeren opfylder alderskravet?

Nej, sociale mediers betingelser fratager ikke for, at du selv er ansvarlig efter databeskyttelsesreglerne og øvrige forpligtelser og regler.

13. Kan jeg benytte sociale medier til at indhente samtykke?

Ja, der er ingen formkrav til samtykket, men der er en række betingelser, der skal være opfyldt, for at et samtykke er gyldigt.

Forholdet mellem GDPR og Terms of Service (TOS)

14. Vil det være i strid med databeskyttelsesreglerne og anden lovgivning, hvis jeg handler i strid med et socialt medies Terms of Service (TOS), hvis disse f.eks. har mere strikse restriktioner for samtykke end databeskyttelsesreglerne?

Uddybning af spørgsmålet:

Vil det være i strid med databeskyttelsesreglerne og anden lovgivning, hvis jeg handler i strid med et socialt medies Terms of Service (TOS), hvis disse f.eks. har mere strikse restriktioner for samtykke end databeskyttelsesreglerne? Udover at platformen kan påføre sanktioner (f.eks. udelukkelse fra platformen), er det noget databeskyttelsesreglerne forholder sig til?    

Svar:

Det forholder databeskyttelsesreglerne eller anden lovgivning sig ikke til. Hvis ToS er mere beskyttelsespræceptivt (til gavn for brugeren) end databeskyttelsesreglerne og anden lovgivning, reguleres forholdet mellem brugere og det sociale medie alene af ToS.

15. Hvordan kan jeg følge reglerne for bl.a. oplysningspligt på sociale medier, når man tager i betragtning at praksisser, designs og regler på disse platforme konstant ændres?

Som bruger af sociale medier er man forpligtet til at følge deres ToS. Som ansvarlig for et forskningsprojekt er det derfor dit ansvar kontinuerligt at følge op på eventuelle ændringer i ToS.

16. Hvordan tjekker jeg mine forskningssubjekters (de registreres) alder, når jeg bruger sociale medier til at indsamle data eller observere folk, og hvilket ansvar har jeg for at sikre at brugerne f.eks. er 13 år?

  • Du kan indsamle personoplysninger til forskningsprojekter uden at indhente de berørte personers samtykke, hvis du behandler personoplysninger på baggrund af forskningshjemlen, og det er i overensstemmelse med den pågældende platforms ToS/ToU. Det gælder også, hvis du indsamler oplysninger om børn. Der skal altid foretages en risikovurdering og eventuelt også en konsekvensanalyse, inden du indsamler data. Det skal indgå i risikovurderingen, hvis data om børn indsamles fra lukkede grupper eller behandles på en sådan måde, at datasættet kan komme til uvedkommendes kendskab.
  • Hvis data indsamles med samtykke fra barnet eller indehaveren af forældremyndigheden, skal du vurdere, om barnet er tilstrækkelig modent til selv at give samtykke. Normalt vil børn over 15 år være tilstrækkeligt modne til at give samtykke. Læs mere om betingelserne for et gyldigt samtykke. Databeskyttelsesforordningen indeholder ingen specifik aldersgrænse for samtykke til behandling, men alderen har en betydelig indflydelse på, om samtykket er specifikt, informeret og udtryk for en utvetydig viljestilkendegivelse. Det skal også stå klart for dig som ansvarlig forsker, at samtykket er afgivet, ligesom der skal sikres dokumentation for det afgivne samtykke.

17. Hvad gør jeg, hvis databeskyttelsesreglerne eller nationale regler og social medie -platformens retningslinjer er modstridende?

Hvis reglerne er modstridende, må du afstå fra at bruge det pågældende sociale medie.

Territorial afgrænsning

18. Hvis jeg ønsker at bruge data indsamlet fra en social medie-platform, der har domicil uden for EU (dvs. uden for databeskyttelsesreglernes anvendelsesområde), hvilke muligheder har jeg så?

Det har inden betydning, da det sociale medie er kilden, som du indhenter oplysningerne fra. Derfor skal du opfylde alle krav efter databeskyttelsesreglerne. Databeskyttelsesreglerne gælder, når personoplysninger behandles i Danmark eller et andet land inden for EU/EØS, uanset om de berørte personer bor eller opholder sig uden for EU/EØS.

19. Skal jeg følge databeskyttelsesreglerne, hvis jeg ønsker at indsamle data fra sociale medier fra brugere, der ikke er i Danmark?

Ja, da du som forsker i Danmark er omfattet af databeskyttelsesreglerne, uanset hvor forskningssubjekterne (de registrerede) befinder sig.

20. Hvordan skal jeg forholde mig ift. nationale lovgivninger i de lande, hvor forskningssubjektet (den registrerede) er? Hvilket regelsæt skal jeg efterleve?

Som forsker i Danmark skal du efterleve databeskyttelsesreglerne og øvrige nationale regler.

Publicering og anomymisering

21. Jeg ønsker at publicere data indsamlet fra sociale medier, f.eks. et tweet eller en TikTok-video. Hvad kræver det?

Der findes ingen standard for, hvornår oplysninger i et online opslag ikke længere er personhenførbart. Du skal derfor selv sikre, at der foretages en anonymisering

Hvis du baserer din behandling på forskningshjemlen, kan du søge om Datatilsynets tilladelse til publicering af pseudonymiserede personoplysninger.

Små videofilm kan meget vanskeligt anonymiseres. Du kan her publicere ved at indhente et databeskyttelsesretligt samtykke til publiceringen. Vær opmærksom på, at det vil kræve, at hele din behandling af personoplysninger baseres på samtykke.

Opbevaring og deling af data

22. Hvordan må jeg opbevare rådata indsamlet fra sociale medier?

Du skal følge de samme regler som for behandling af andet data. Find information om opbevaring og klassifikation af data.

23. Hvordan må jeg opbevare behandlet data fra sociale medier?

Du skal følge de samme regler som for behandling af andet data. Find information om opbevaring og klassifikation af data.

24. Må jeg dele data fra sociale medier med mine AU-kollegaer, som ikke er en del af forskningsprojektet?

Du skal følge de samme regler som for behandling af andet data. Find information om deling af personoplysninger.

25. Må jeg dele med studerende?

Inden for nogle bestemte rammer må du gerne dele personoplysninger med en studerende til brug i en opgave/et speciale.

Du må kun dele personoplysninger fra et forskningsprojekt med studerende i 3 situationer:

  • Hvis de pågældende personoplysninger er anonyme. Personoplysninger er anonyme, når du har slettet den såkaldte nøgle, som forbinder den enkelte person med konkrete oplysninger. Det sker oftest først 5 år efter, at et forskningsprojekt er afsluttet.
  • Hvis du har fået samtykke fra deltagerne i et projekt til at bruge personoplysninger i undervisningen.
  • Hvis du som vejleder bekræfter, at den studerende behandler personoplysninger til et videnskabeligt forskningsformål. Du skal underskrive en blanket, der bekræfter, at den studerende udfører videnskabeligt arbejde. Kontakt TTO på tto@au.dk.

Andre platforme

26. Må jeg bruge andre platforme med bedre integration til sociale medier, som er GDPR-compliant, men som AU ikke har en databehandleraftale med?

Social medie-platformen er en kilde til data og ikke en databehandler. Det er derfor ikke nødvendigt med en databehandleraftale.

Hvis den sociale medie-platform ikke skal bruges som kilde men derimod som værktøj, så behandler platformen personoplysningerne for at opfylde dit formål med de hjælpemidler, som du har bestemt og efter din instruks. Du er derfor forpligtet til at indgå en databehandleraftale, der dækker den anvendelse.

27. Jeg vil gerne indsamle spørgsmål gennem et spørgeskema på sociale medier, da min målgruppe er på Facebook og LinkedIn. Er der nogle problemer i det?

Hvis social medie-platforme ikke skal bruges som kilde men derimod som værktøj, så behandler platformen personoplysningerne for at opfylde dit formål med de hjælpemidler, som du har bestemt og efter din instruks. Du er derfor forpligtet til at indgå en databehandleraftale, der dækker den anvendelse.

28. Sociale medier har medført, at mange flere ytringer er i videoklip og lignende. Hvordan kan jeg modtage, behandle og opbevare sådan data?

Se svar på spørgsmål 6.

Du skal opbevare og behandle data fra sociale medier, som alle andre data med personoplysninger. Find information om opbevaring af personoplysninger.

Undervisning

29. Kan jeg dele data, som er indsamlet fra sociale medier med studerende, der skal bruge data til et projekt på deres uddannelse?

Hvis data indsamlet fra sociale medier bliver behandlet på baggrund af et samtykke, der dækker undervisningsformål, så kan du dele data med de studerende. Kravet om samtykke gælder alle personoplysninger.

30. Hvis mine studerende selv indsamler data fra sociale medier til brug i studie og eksamensopgaver, skal de så underskrive en databehandleraftale, og hvordan skal de behandle data?

De studerende skal ikke indgå en databehandleraftale med universitetet. Universitetet skal alene stille et sikkert miljø til rådighed. Kravene til behandling af personoplysninger, der et indsamlet af en studerende på sociale medier, er de samme som for andre personoplysninger.

Oplysningspligt når du indsamler personoplysninger på sociale medier

31. Skal man oplyse en person (f.eks. et medlem af en bestemt gruppe på sociale medier) om, at man indsamler social medie-data, der handler om denne person? Det kan f.eks. være ytringer fra personen, omtale fra andre etc.

Som udgangspunkt skal du oplyse alle forskningssubjekter (registrerede), herunder også bipersoner, om, at du indsamler personoplysninger om dem. Når du indsamler personoplysninger indirekte, f.eks. fra sociale medier, kan du i nogle tilfælde undlade at opfylde din oplysningspligt.

32. Skal man oplyse en offentlig person (f.eks. en politiker) om, at man indsamler social medie-data om vedkommende? Det kan f.eks. være nyhedsartikler, omtaler fra andre etc.

Som udgangspunkt skal du oplyse alle forskningssubjekter (registrerede), herunder også bipersoner, om, at du indsamler personoplysninger om dem. Når du indsamler personoplysninger indirekte, f.eks. fra sociale medier, kan du i nogle tilfælde undlade at iagttage din oplysningspligt.

33. Skal man oplyse ”bipersoner” (en person, der ikke er genstand for behandlingen af personoplysninger, men derimod alene optræder accessorisk i tilknytning til oplysninger om den registrerede) om at der indsamles oplysninger om dem?

Det vil oftest ikke være nødvendigt at varetage oplysningspligten direkte over for bipersoner. Hvis du ikke varetager oplysningspligten direkte skal du i stedet gøre oplysningerne offentligt tilgængelige, f.eks. ved at offentliggøre oplysningerne på projektets hjemmeside.

Eksempel: I et opslag på en Facebook-gruppe for ejere af gravhunde nævner et medlem af gruppen, at hendes onkel Hans havde en ruhåret gravhund. Her er det ikke nødvendigt at søge efter onklen for at sende oplysninger om behandling af personoplysninger i dit forskningsprojekt, men du skal gøre oplysningerne offentligt tilgængelige, f.eks. på projektets hjemmeside.

Revideret 15.09.2023
-
Webredaktionen, Universitetsledelsens Stab