Indholdet er opdateret i august 2023. Vær opmærksom på, at vi løbende opdaterer disse sider.
Overvejer du at basere din behandling på et databeskyttelsesretligt samtykke? Her får du hjælp til at få styr på:
Som forsker vil du ofte støde på situationer, hvor du efter lovgivningen er forpligtet til at indhente et samtykke, eller hvor det er god skik eller etisk korrekt at indhente et samtykke fra de kommende deltagere (de registrerede) til deltagelsen i dit forskningsprojekt.
Det er vigtigt, at du er opmærksom på, at sådanne krav om samtykke ikke nødvendigvis er ensbetydende med, at du skal eller kan benytte samtykket som dit behandlingsgrundlag. Ganske ofte vil det faktisk være mere hensigtsmæssigt at basere din behandling af personoplysninger til forskning på et andet behandlingsgrundlag end et databeskyttelsesretligt samtykke.
Datatilsynet udtrykker det sådan:
"Særligt i forbindelse med forskning er det vigtigt ikke at forveksle samtykke til at behandle personoplysningerne med krav om samtykke, som følger af eventuel anden lovgivning. Det kan følge af anden lovgivning, at der kræves 'samtykke', men dette samtykke er ikke ensbetydende med, at der er givet et samtykke i databeskyttelsesretlig forstand. Et sådant 'samtykke' vil ofte udgøre en garantiforskrift for borgerne, men er ikke nødvendigvis grundlaget for behandlingen af personoplysninger."
Kilde: Datatilsynet, Bidrag fra Datatilsynet: Erfaringsindsamling i forbindelse med Justitsministeriets nationale evaluering af databeskyttelsesreglerne, April 2021
Når du skal vurdere, om du kan/vil baserer behandlingen af personoplysninger, skal du først orientere dig i rammerne for det databeskyttelsesretlige samtykke. Når du har undersøgt, om du kan og vil behandle personoplysninger inden for rammerne af det databeskyttelsesretlige samtykke, skal du sikre dig, at det også kan ske i overensstemmelse med de betingelser, der gælder for et gyldigt databeskyttelsesretligt samtykke.
Behandling af personoplysninger kan ske til de specifikke formål, som den registrerede har givet samtykke til.
Se under 'Betingelser for et gyldigt databeskyttelsesretligt samtykke'.
Samtykket skal dokumenteres. Derfor det en god idé at indhente samtykket skriftligt. Du kan bruge AU’s samtykkeskabelon.
Desuden skal du dokumentere, at de registrerede både har modtaget informationen, som er påkrævet for, at der kan være tale om et gyldigt databeskyttelsesretligt samtykke, men også de oplysninger, der skal afgives efter oplysningspligten. Du kan bruge AU’s skabelon til at varetage oplysningspligten.
Når du baserer din behandling på et databeskyttelsesretligt samtykke, er der visse af de registreredes rettigheder, som du ikke nødvendigvis skal iagttage, f.eks. retten til indsigt. Det skyldes, at databeskyttelsesloven tager særlige hensyn til forskningen. Databeskyttelsesloven indeholder særlige regler, der beskytter den registrerede på anden vis.
Husk at den registrerede har ret til at tilbagekalde sit databeskyttelsesretlige samtykke. Det betyder, at du skal stoppe behandlingen af vedkommendes personoplysninger.
Du må kun videregive personoplysninger, hvis du har fået samtykke til det.
Hvis du videregiver personoplysninger til en importør uden for EU/EØS eller en international organisation, skal du være opmærksom på, at der er særlige krav til den information, som den registrerede skal have vedrørende overførslen, og at der skal være et lovligt grundlag for overførslen.
Her kan du finde betingelserne for et gyldigt databeskyttelsesretligt samtykke. Et gyldigt databeskyttelsesretligt samtykke skal være frivilligt, specifikt, informeret, udtryk for en utvetydig viljetilkendegivelse, tilbagekaldeligt og formidlet i et klart og letforståeligt sprog i en let tilgængelig form.
Frivilligt betyder, at det ikke må og kan komme den registrerede (den, hvis personoplysninger behandles) til skade at sige nej til behandlingen af vedkommendes personoplysninger.
Det er derfor vigtigt, at du overvejer:
For at et samtykke kan være frivilligt, skal den person, der giver samtykket, have mulighed for at sige hhv. ”ja” eller ”nej” til forskellige behandlingsformål.
Eksempel:
Den registrerede vil gerne give samtykke til, at du bruger vedkommendes personoplysninger i dit forskningsprojekt, men ønsker ikke, at du bruger dem til undervisningsbrug eller offentliggør dem.
Specifikt betyder, at samtykket skal være specifikt ift. behandlingsformålet/-formålene.
Du skal altså specificere til hvilke formål, du påtænker at behandle den registreredes personoplysninger. Du skal tænke på, at formålet som minimum skal være så specifikt, at det er klart for den registrerede, at forskningen (og dermed behandlingen af personoplysninger) kommer til at ske inden for et specifikt anerkendt videnskabeligt område.
Informeret betyder, at den registrerede skal have informationer om hvem, der vil behandle personoplysningerne, hvorfor og hvordan de vil blive behandlet. Samtykket skal være informeret, så den registrerede kan træffe beslutning om at give samtykke på et oplyst grundlag.
Se hvilke informationer den registrerede skal have i skabelonen til samtykkeerklæring. Husk at du også skal varetage oplysningspligten.
Utvetydig viljetilkendegivelse betyder, at den registrerede aktivt skal give samtykke til behandlingen af personoplysningerne. Man kan med andre ord ikke forpligte sig ved passivitet. Den forskningsansvarlige skal kunne dokumentere samtykket.
Der er forskellige måder, hvorpå du kan dokumentere et samtykke. Du kan f.eks. anvende AU’s samtykkeerklæring. Her skal den registrerede krydse de behandlingsformål af, som vedkommende vil give sit samtykke til og til sidst underskrive.
Hvis samtykket indhentes digitalt, kan man f.eks. via en formular på AU’s website bruge afkrydsningsbokse, hvor valgene dokumenteres i TYPO3. Man kan også bruge et to-faktor-godkendelsessystem. Her kan man f.eks. indhente samtykket via en tjekboks-løsning på websitet og efterfølgende en bekræftelsesmail til deltageren med et link til at bekræfte samtykket.
At samtykket er tilbagekaldeligt betyder, at det skal være lige så let at trække et samtykke tilbage, som det er at give det.
Husk at angive i samtykkeerklæringen og i oplysningspligten, hvordan den registrerede tilbagekalder sit samtykke. Det kan f.eks. være ved at ringe, sende en mail eller logge ind på en profil og fjerne kryds fra afkrydsningsfelter.
Hvis et samtykke tilbagekaldes, skal behandlingen af personoplysninger ophøre. Den behandling, du har foretaget frem til dette tidspunkt, er lovlig.
Samtykket skal være formuleret på en sådan måde, at det tager hensyn til den registrerede, som skal afgive et samtykke. Det skal altså være let for den registrerede at forstå, hvad vedkommende giver sit samtykke til.
Hvis den registrerede er et barn, er der særlige krav til udformningen af samtykket. Det kan f.eks. være nødvendigt at anvende et andet sprogbrug i samtykket, end det man ville anvende, hvis deltageren var en voksen. Men det vil altid være en konkret vurdering. Når du skal vurdere, om formen er let tilgængelig, kan du:
Se AU’s samtykkeerklæringsskabelon. Afhængigt af, hvem du ønsker, skal deltage i dit forskningsprojekt, kan det være nødvendigt at lave justeringer.
Hvis du baserer behandlingen af personoplysninger på samtykke, skal du være opmærksom på, at det er dit ansvar at sikre, at der bliver indhentet og dokumenteret gyldige databeskyttelsesretlige samtykker.
AU har to skabeloner til indhentning af databeskyttelsesretlige samtykker. Du skal på forhånd tage stilling til om Aarhus Universitet er selvstændig dataansvarlig eller fælles dataansvarlig.
Husk at du også skal varetage din oplysningspligt. Først når du har udfyldt begge dele, er der tale om et gyldigt databeskyttelsesretligt samtykke og oplysningspligt.
Du kan læse mere om, hvor længe du skal opbevare dokumentation for samtykket på Datatilsynets hjemmeside.
Her finder du skabeloner, som kan bruges, hvis du behandler personoplysninger til forskningsformål og evt. andre formål på baggrund af et databeskyttelsesretligt samtykke.
Hvis du baserer din behandling på et databeskyttelsesretligt samtykke, skal du være særligt opmærksom hvis:
Deling af personoplysninger (overladelse eller videregivelse) med en modtager i et land uden for EU/EØS eller en international organisation kræver et overførselsgrundlag. Et samtykke fra den registrerede kan udgøre et overførselsgrundlag under visse betingelser.
Foruden de almindelige betingelser til et databeskyttelsesretligt samtykke, skal samtykket være:
Eksempel ☐ Jeg giver samtykke til, at mine personoplysninger må deles med [indsæt modtager/forskningsinstitution] i [indsæt land eller international organisation]. Jeg er blevet informeret om, at der ikke er et beskyttelsesniveau for personoplysninger, der i det væsentlige svarer til det niveau, der er sikret i Den Europæiske Union, herunder at de overførte personoplysninger under eller efter overførslen kan blive behandlet af det pågældende tredjelands myndigheder af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed. Jeg er endvidere blevet informeret om, at tredjelandet muligvis ikke har en uafhængig tilsynsmyndighed med ansvar for at sikre og håndhæve, at databeskyttelsesreglerne overholdes, herunder tilstrækkelige håndhævelsesbeføjelser, for at bistå og rådgive de registrerede, når de udøver deres rettigheder, ligesom der muligvis ikke er adgang til effektiv prøvelse af de registreredes rettigheder ved en domstol. |
I databeskyttelsesreglerne er der en særlig beskyttelse af oplysninger om børn, især hvis der er tale om informationssamfundstjenester som fx sociale netværk. I sådanne tilfælde skal du indhente databeskyttelsesretligt samtykke fra forældremyndighedsindehaverne og samtykket skal kunne dokumenteres. Desuden skal al information, som retter sig mod børn være skrevet på en enkel og tydelig måde, som børn forstår.