Databeskyttelsesretligt samtykke

Indholdet er opdateret i august 2023. Vær opmærksom på, at vi løbende opdaterer disse sider.  


Overvejer du at basere din behandling på et databeskyttelsesretligt samtykke? Her får du hjælp til at få styr på:

  • Forskellen på samtykker
  • Rammerne og betingelserne for et databeskyttelsesretligt samtykke
  • Hvordan du indhenter et databeskyttelsesretligt samtykke

Der er forskel på samtykker

Som forsker vil du ofte støde på situationer, hvor du efter lovgivningen er forpligtet til at indhente et samtykke, eller hvor det er god skik eller etisk korrekt at indhente et samtykke fra de kommende deltagere (de registrerede) til deltagelsen i dit forskningsprojekt.  

Det er vigtigt, at du er opmærksom på, at sådanne krav om samtykke ikke nødvendigvis er ensbetydende med, at du skal eller kan benytte samtykket som dit behandlingsgrundlag. Ganske ofte vil det faktisk være mere hensigtsmæssigt at basere din behandling af personoplysninger til forskning på et andet behandlingsgrundlag end et databeskyttelsesretligt samtykke.  

Datatilsynet udtrykker det sådan:

"Særligt i forbindelse med forskning er det vigtigt ikke at forveksle samtykke til at behandle personoplysningerne med krav om samtykke, som følger af eventuel anden lovgivning. Det kan følge af anden lovgivning, at der kræves 'samtykke', men dette samtykke er ikke ensbetydende med, at der er givet et samtykke i databeskyttelsesretlig forstand. Et sådant 'samtykke' vil ofte udgøre en garantiforskrift for borgerne, men er ikke nødvendigvis grundlaget for behandlingen af personoplysninger." 

Kilde: Datatilsynet, Bidrag fra Datatilsynet: Erfaringsindsamling i forbindelse med Justitsministeriets nationale evaluering af databeskyttelsesreglerne, April 2021


Hvornår er der tale om et databeskyttelsesretligt samtykke?

Når du skal vurdere, om du kan/vil baserer behandlingen af personoplysninger, skal du først orientere dig i rammerne for det databeskyttelsesretlige samtykke. Når du har undersøgt, om du kan og vil behandle personoplysninger inden for rammerne af det databeskyttelsesretlige samtykke, skal du sikre dig, at det også kan ske i overensstemmelse med de betingelser, der gælder for et gyldigt databeskyttelsesretligt samtykke. 

Rammerne for det databeskyttelsesretlige samtykke

Anvendelsesområde

Behandling af personoplysninger kan ske til de specifikke formål, som den registrerede har givet samtykke til.    


Betingelser

Se under 'Betingelser for et gyldigt databeskyttelsesretligt samtykke'.


Dokumentationskrav

Samtykket skal dokumenteres. Derfor det en god idé at indhente samtykket skriftligt. Du kan bruge AU’s samtykkeskabelon.

Desuden skal du dokumentere, at de registrerede både har modtaget informationen, som er påkrævet for, at der kan være tale om et gyldigt databeskyttelsesretligt samtykke, men også de oplysninger, der skal afgives efter oplysningspligten. Du kan bruge AU’s skabelon til at varetage oplysningspligten.     


De registreredes rettigheder

Når du baserer din behandling på et databeskyttelsesretligt samtykke, er der visse af de registreredes rettigheder, som du ikke nødvendigvis skal iagttage, f.eks. retten til indsigt. Det skyldes, at databeskyttelsesloven tager særlige hensyn til forskningen. Databeskyttelsesloven indeholder særlige regler, der beskytter den registrerede på anden vis.   

Husk at den registrerede har ret til at tilbagekalde sit databeskyttelsesretlige samtykke. Det betyder, at du skal stoppe behandlingen af vedkommendes personoplysninger.    


Videregivelse af personoplysninger

Du må kun videregive personoplysninger, hvis du har fået samtykke til det.    

Hvis du videregiver personoplysninger til en importør uden for EU/EØS eller en international organisation, skal du være opmærksom på, at der er særlige krav til den information, som den registrerede skal have vedrørende overførslen, og at der skal være et lovligt grundlag for overførslen. 


Sådan henviser du til hjemmelsgrundlag

  • Behandlingen af almindelige personoplysninger: Databeskyttelsesforordningens artikel 6, stk. 1, litra a.
  • Behandlingen af følsomme personoplysninger: Databeskyttelsesforordningens artikel 9, stk. 2, litra a og artikel 6, stk. 1, litra a.

Betingelserne for det databeskyttelsesretlige samtykke

Her kan du finde betingelserne for et gyldigt databeskyttelsesretligt samtykke. Et gyldigt databeskyttelsesretligt samtykke skal være frivilligt, specifikt, informeret, udtryk for en utvetydig viljetilkendegivelse, tilbagekaldeligt og formidlet i et klart og letforståeligt sprog i en let tilgængelig form. 

Frivilligt

Frivilligt betyder, at det ikke må og kan komme den registrerede (den, hvis personoplysninger behandles) til skade at sige nej til behandlingen af vedkommendes personoplysninger.

Det er derfor vigtigt, at du overvejer:

  • omstændighederne, hvor samtykket gives,
  • om den person, du ønsker samtykke fra, udgør en særlig sårbar gruppe, og
  • om der er et ”skævvredet” forhold mellem AU og den, der skal give samtykket.

For at et samtykke kan være frivilligt, skal den person, der giver samtykket, have mulighed for at sige hhv. ”ja” eller ”nej” til forskellige behandlingsformål.

Eksempel:

Den registrerede vil gerne give samtykke til, at du bruger vedkommendes personoplysninger i dit forskningsprojekt, men ønsker ikke, at du bruger dem til undervisningsbrug eller offentliggør dem.

Specifikt

Specifikt betyder, at samtykket skal være specifikt ift. behandlingsformålet/-formålene.

Du skal altså specificere til hvilke formål, du påtænker at behandle den registreredes personoplysninger. Du skal tænke på, at formålet som minimum skal være så specifikt, at det er klart for den registrerede, at forskningen (og dermed behandlingen af personoplysninger) kommer til at ske inden for et specifikt anerkendt videnskabeligt område.

Informeret

Informeret betyder, at den registrerede skal have informationer om hvem, der vil behandle personoplysningerne, hvorfor og hvordan de vil blive behandlet. Samtykket skal være informeret, så den registrerede kan træffe beslutning om at give samtykke på et oplyst grundlag.

Se hvilke informationer den registrerede skal have i skabelonen til samtykkeerklæring. Husk at du også skal varetage oplysningspligten

Udtryk for en utvetydig viljestilkendegivelse

Utvetydig viljetilkendegivelse betyder, at den registrerede aktivt skal give samtykke til behandlingen af personoplysningerne. Man kan med andre ord ikke forpligte sig ved passivitet. Den forskningsansvarlige skal kunne dokumentere samtykket.

Der er forskellige måder, hvorpå du kan dokumentere et samtykke. Du kan f.eks. anvende AU’s samtykkeerklæring. Her skal den registrerede krydse de behandlingsformål af, som vedkommende vil give sit samtykke til og til sidst underskrive.

Hvis samtykket indhentes digitalt, kan man f.eks. via en formular på AU’s website bruge afkrydsningsbokse, hvor valgene dokumenteres i TYPO3. Man kan også bruge et to-faktor-godkendelsessystem. Her kan man f.eks. indhente samtykket via en tjekboks-løsning på websitet og efterfølgende en bekræftelsesmail til deltageren med et link til at bekræfte samtykket. 


Tilbagekaldeligt

At samtykket er tilbagekaldeligt betyder, at det skal være lige så let at trække et samtykke tilbage, som det er at give det.

Husk at angive i samtykkeerklæringen og i oplysningspligten, hvordan den registrerede tilbagekalder sit samtykke. Det kan f.eks. være ved at ringe, sende en mail eller logge ind på en profil og fjerne kryds fra afkrydsningsfelter.

Hvis et samtykke tilbagekaldes, skal behandlingen af personoplysninger ophøre. Den behandling, du har foretaget frem til dette tidspunkt, er lovlig.

Det skal formidles i et klart letforståeligt sprog og i en let tilgængelig form

Samtykket skal være formuleret på en sådan måde, at det tager hensyn til den registrerede, som skal afgive et samtykke. Det skal altså være let for den registrerede at forstå, hvad vedkommende giver sit samtykke til.

Hvis den registrerede er et barn, er der særlige krav til udformningen af samtykket. Det kan f.eks. være nødvendigt at anvende et andet sprogbrug i samtykket, end det man ville anvende, hvis deltageren var en voksen. Men det vil altid være en konkret vurdering. Når du skal vurdere, om formen er let tilgængelig, kan du:

  • se på tekstens længde
  • undgå at skrive ting med småt
  • sørge for, at den registrerede har alle informationer i samme dokument, hvis det er et fysisk dokument eller linke til en privatlivspolitik, der tydeligt giver de informationer, som den registrerede har brug for, hvis du indhenter samtykket digitalt.
  • overveje at opstille samtykket i overskrifter.

Se AU’s samtykkeerklæringsskabelon. Afhængigt af, hvem du ønsker, skal deltage i dit forskningsprojekt, kan det være nødvendigt at lave justeringer.



Sådan indhenter du et databeskyttelsesretligt samtykke

Hvis du baserer behandlingen af personoplysninger på samtykke, skal du være opmærksom på, at det er dit ansvar at sikre, at der bliver indhentet og dokumenteret gyldige databeskyttelsesretlige samtykker.

AU har to skabeloner til indhentning af databeskyttelsesretlige samtykker. Du skal på forhånd tage stilling til om Aarhus Universitet er selvstændig dataansvarlig eller fælles dataansvarlig.

Husk at du også skal varetage din oplysningspligt. Først når du har udfyldt begge dele, er der tale om et gyldigt databeskyttelsesretligt samtykke og oplysningspligt.

Du kan læse mere om, hvor længe du skal opbevare dokumentation for samtykket på Datatilsynets hjemmeside.

Skabeloner til samtykkeerklæring og oplysningspligt (databeskyttelsesretligt samtykke)

Her finder du skabeloner, som kan bruges, hvis du behandler personoplysninger til forskningsformål og evt. andre formål på baggrund af et databeskyttelsesretligt samtykke


Særligt om et databeskyttelsesretligt samtykke fra børn og samtykke som overførselsgrundlag

Hvis du baserer din behandling på et databeskyttelsesretligt samtykke, skal du være særligt opmærksom hvis:

  • du bruger samtykket som overførselsgrundlag til tredjelande (uden for EU/EØS) eller internationale organisationer.
  • du indhenter samtykke fra børn. 

Særligt om samtykke til overførsel af personoplysninger til tredjelande eller internationale organisationer

Deling af personoplysninger (overladelse eller videregivelse) med en modtager i et land uden for EU/EØS eller en international organisation kræver et overførselsgrundlag. Et samtykke fra den registrerede kan udgøre et overførselsgrundlag under visse betingelser.  

Foruden de almindelige betingelser  til et databeskyttelsesretligt samtykke, skal samtykket være:  

  • Udtrykkeligt, hvilket vil sige, at der ikke må herske tvivl om, at der er givet samtykke. Samtykket skal derfor være skriftligt og kan med fordel gives ved hjælp af en flertrins-samtykkekontrol, hvor du i første trin sender din samtykkeerklæring til den registrerede. Hvis den registrerede accepterer, skal du sende en bekræftelse til den registrerede med anmodning om at bekræfte, at den pågældende samtykker til overførslen.  
  • Specifikt, hvilket vil sige, at samtykket skal være specifikt for den pågældende overførsel eller række af overførsler af personoplysninger. Det er således ikke tilstrækkeligt, at den pågældende har samtykket til at deltage i forskningsprojektet.  
  • Informeret, hvilket vil sige, at samtykket skal indeholde information om de mulige risici, som der er forbundet med overførslen af personoplysninger til et land, der ikke yder tilstrækkelig beskyttelse eller indfører tilstrækkelige garantier til beskyttelse af personoplysninger. Det kan f.eks. være information om den manglende tilstedeværelse af en tilsynsmyndighed og at de registreredes rettigheder muligvis ikke kan sikres i tredjelandet.

Eksempel

☐ Jeg giver samtykke til, at mine personoplysninger må deles med [indsæt modtager/forskningsinstitution] i [indsæt land eller international organisation]. Jeg er blevet informeret om, at der ikke er et beskyttelsesniveau for personoplysninger, der i det væsentlige svarer til det niveau, der er sikret i Den Europæiske Union, herunder at de overførte personoplysninger under eller efter overførslen kan blive behandlet af det pågældende tredjelands myndigheder af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed. Jeg er endvidere blevet informeret om, at tredjelandet muligvis ikke har en uafhængig tilsynsmyndighed med ansvar for at sikre og håndhæve, at databeskyttelsesreglerne overholdes, herunder tilstrækkelige håndhævelsesbeføjelser, for at bistå og rådgive de registrerede, når de udøver deres rettigheder, ligesom der muligvis ikke er adgang til effektiv prøvelse af de registreredes rettigheder ved en domstol.  

Særligt ift. børn og databeskyttelsesretligt samtykke

I databeskyttelsesreglerne er der en særlig beskyttelse af oplysninger om børn, især hvis der er tale om informationssamfundstjenester som fx sociale netværk. I sådanne tilfælde skal du indhente databeskyttelsesretligt samtykke fra forældremyndighedsindehaverne og samtykket skal kunne dokumenteres. Desuden skal al information, som retter sig mod børn være skrevet på en enkel og tydelig måde, som børn forstår.