Databeskyttelsesretligt samtykke

Her kan du finde information om samtykke - herunder betingelserne for et gyldigt databeskyttelsesretligt samtykke og samtykkeskabeloner inkl. oplysningsskema. 


Der er forskel på samtykker

Som forsker vil du ofte støde på situationer, hvor du efter lovgivningen er forpligtet til at indhente et samtykke, eller hvor det er god skik at indhente et samtykke fra de kommende deltagere (de registrerede) i dit forskningsprojektet.  

Det er vigtigt, at du er opmærksom på, at sådanne krav om samtykke ikke nødvendigvis er ensbetydende med, at du skal benytte samtykket som dit behandlingsgrundlag. Ganske ofte vil det faktisk være mere hensigtsmæssigt at basere din behandling af personoplysninger til forskning på et andet behandlingsgrundlag end samtykke.  

Datatilsynet udtrykker det på følgende måde,

"Særligt i forbindelse med forskning er det vigtigt ikke at forveksle samtykke til at behandle personoplysningerne med krav om samtykke, som følger af eventuel anden lovgivning. Det kan følge af anden lovgivning, at der kræves 'samtykke', men dette samtykke er ikke ensbetydende med, at der er givet et samtykke i databeskyttelsesretlig forstand. Et sådant 'samtykke' vil ofte udgøre en garantiforskrift for borgerne, men er ikke nødvendigvis grundlaget for behandlingen af personoplysninger." 

Kilde: Datatilsynet, Bidrag fra Datatilsynet: Erfaringsindsamling i forbindelse med Justitsministeriets nationale evaluering af databeskyttelsesreglerne, April 2021

Du kan læse mere om behandlingsgrundlagene for behandling af personoplysninger i forskning nedenfor. Her kan du desuden finde mere information om de særlige betingelser, der er afgørende for, om et samtykke kan udgøre et databeskyttelsesretligt samtykke.

Hvis du baserer behandlingen af personoplysninger på samtykke, skal du være opmærksom på, at det er dit ansvar at sikre, at der bliver indhentet og dokumenteret gyldige databeskyttelsesretlige samtykker.

AU har to skabeloner til indhentning af databeskyttelsesretlige samtykker, der består af en samtykkeerklæring og et oplysningsskema. Ved at udfylde begge dele har du varetaget de forpligtelser, der er til indhentning af et databeskyttelsesretligt samtykke og oplysningspligten.

Du skal på forhånd tage stilling til om Aarhus Universitet er selvstændig dataansvarlig eller fælles dataansvarlig med en ekstern part. 

Du kan finde en vejledning til at udfylde samtykkeerklæring og oplysningspligt i skabelonen. 

Rammerne for det databeskyttelsesretlige samtykke

ANVENDELSESOMRÅDE

Behandling af personoplysninger kan ske til de specifikke formål, som den registrerede har givet samtykke til.    



DOKUMENTATIONSKRAV

Samtykket skal dokumenteres. Derfor det en god idé at indhente samtykket skriftligt. Du kan bruge AU’s samtykkeskabelon.

Desuden skal du dokumentere, at de registrerede både har modtaget informationen, som er påkrævet for, at der kan være tale om et gyldigt samtykke, men også de oplysninger, der skal afgives efter oplysningspligten. Du kan bruge AU’s skabelon til at varetage oplysningspligten.     


DELTAGERNES (DE REGISTREREDES) RETTIGHEDER

Den registrerede kan som udgangspunkt gøre brug af alle rettighederne i databeskyttelsesforordningen. Hvis den registrerede ønsker at gøre brug af sine rettigheder, skal du lave en individuel vurdering på baggrund af de konkrete forhold.

Den registrerede har desuden ret til at tilbagekalde sit samtykke. Det betyder, at du skal stoppe behandlingen af vedkommendes personoplysninger.    


VIDEREGIVELSE AF DATA INDEN FOR EU/EØS (NB: IKKE OVERLADELSE TIL DATABEHANDLER)

Du må kun videregive personoplysninger, hvis du har fået samtykke til det.    


VIDEREGIVELSE AF DATA UDEN FOR EU/EØS (NB: IKKE OVERLADELSE TIL DATABEHANDLER)

Du må kun videregive personoplysninger til en modtager uden for EU/EØS, hvis du har samtykke til det. Vær opmærksom på, at der er særlige krav til den information, som den registrerede skal have om overførslen.     


VIDEREGIVELSE AF BIOLOGISK MATERIALE (NB: IKKE OVERLADELSE TIL DATABEHANDLER)

Du må kun videregive personoplysninger i form af biologisk materiale, hvis du har samtykke til det.     


PUBLICERING AF PERSONOPLYSNINGER

Du må kun videregive  personoplysninger med henblik på publicering, hvis du har samtykke til det.    


SÅDAN HENVISER DU TIL HJEMMELSGRUNDLAG

  • Behandlingen af almindelige personoplysninger: Databeskyttelsesforordningens artikel 6, stk. 1, litra a.
  • Behandlingen af følsomme personoplysninger: Databeskyttelsesforordningens artikel 9, stk. 2, litra a og artikel 6, stk. 1, litra a.

Betingelserne fordet databeskyttelsesretlige samtykke

Her kan du finde betingelserne for et gyldigt databeskyttelsesretligt samtykke. Et gyldigt databeskyttelsesretligt samtykke skal være frivilligt, specifikt, informeret, udtryk for en utvetydig viljetilkendegivelse, tilbagekaldeligt og formidlet i et klart og letforståeligt sprog i en let tilgængelig form. 


Frivilligt

Frivilligt betyder, at det ikke må og kan komme den registrerede (den, hvis personoplysninger behandles) til skade at sige nej til behandlingen af vedkommendes personoplysninger.

Det er derfor vigtigt, at du overvejer:

  • omstændighederne, hvor samtykket gives,
  • om den person, du ønsker samtykke fra, udgør en særlig sårbar gruppe, og
  • om der er et ”skævvredet” forhold mellem AU og den, der skal give samtykket.

For at et samtykke kan være frivilligt, skal den person, der giver samtykket, have mulighed for at sige hhv. ”ja” eller ”nej” til forskellige behandlingsformål.


Eksempel

Den registrerede vil gerne give samtykke til, at du bruger vedkommendes personoplysninger i dit forskningsprojekt, men ønsker ikke, at du bruger dem til undervisningsbrug eller offentliggøre dem.


Specifikt

Specifikt betyder, at samtykket skal være specifikt ift. behandlingsformålet/-formålene.

Du skal altså specificere til hvilke formål, du påtænker at behandle den registreredes personoplysninger. Du skal tænke på, at formålet som minimum skal være så specifikt, at det er klart for den registrerede, at forskningen (og dermed behandlingen af personoplysninger) kommer til at ske inden for et specifikt anerkendt videnskabeligt område.


Informeret

Informeret betyder, at den registrerede skal have informationer om hvem, der vil behandle personoplysningerne, og hvordan de vil blive behandlet.

Samtykket skal være informeret, så den registrerede kan træffe beslutning om at give samtykke på et oplyst grundlag.

Se hvilke informationer den registrerede skal have i skabelonen til samtykkeerklæring og de tilhørende bilag til varetagelsen af oplysningspligten.


Udtryk for en utvetydig viljestilkendegivelse

Utvetydig viljetilkendegivelse betyder, at den registrerede aktivt skal give samtykke til behandlingen af personoplysningerne. Man kan med andre ord ikke forpligte sig ved passivitet.

Den forskningsansvarlige skal kunne dokumentere samtykket.

Der er forskellige måder, hvorpå du kan dokumentere et samtykke. Du kan f.eks. anvende AU’s samtykkeerklæring. Her skal den registrerede krydse de behandlingsformål af, som vedkommende vil give sit samtykke til og til sidst underskrive.

Hvis samtykket indhentes digitalt, kan man f.eks. via en formular på AU’s website bruge afkrydsningsbokse, hvor valgene dokumenteres i TYPO3. Man kan også bruge et to-faktor-godkendelsessystem. Her kan man f.eks. indhente samtykket via en tjekboks-løsning på websitet og efterfølgende en bekræftelsesmail til deltageren med et link til at bekræfte samtykket. Se GDPR-retningslinjer for webredaktører. 


Tilbagekaldeligt

At samtykket er tilbagekaldeligt betyder, at det skal være lige så let at trække et samtykke tilbage, som det er at give det.

Husk at angive i samtykkeerklæringen, hvordan den registrerede tilbagekalder sit samtykke. Det kan f.eks. være ved at ringe, sende en mail eller logge ind på ens profil og fjerne kryds fra afkrydsningsfelter.

Hvis et samtykke tilbagekaldes, skal behandlingen af personoplysninger ophøre. Den behandling, du har foretaget frem til dette tidspunkt, er lovlig.


Det skal formidles i et klart og letforståeligt sprog og i en let tilgængelig form

Samtykket skal være formuleret på en sådan måde, at det tager hensyn til den registrerede, som skal afgive et samtykke. Sproget skal altså være forståeligt for en lægmand.

Hvis den registrerede er et barn, er der særlige krav til udformningen af samtykket. Det kan f.eks. være nødvendigt at anvende et andet sprogbrug i samtykket, end det man ville anvende, hvis deltageren var en voksen. Men det vil altid være en konkret vurdering. Når du skal vurdere, om formen er let tilgængelig, kan du:

  • se på tekstens længde
  • undgå at skrive ting med småt
  • sørge for, at den registrerede har alle informationer i samme dokument, hvis det er et fysisk dokument eller linke til en privatlivspolitik, der tydeligt giver de informationer, som den registrerede har brug for, hvis du indhenter samtykket digitalt.
  • overveje at opstille samtykket i overskrifter.

Se AU’s samtykkeerklæringsskabelon. Afhængigt af, hvem du ønsker, skal deltage i dit forskningsprojekt, kan det være nødvendigt at lave justeringer.


Særligt ift. børn og samtykke

I databeskyttelsesreglerne er der en særlig beskyttelse af oplysninger om børn, især hvis der er tale om informationssamfundstjenester som fx sociale netværk. I sådanne tilfælde skal du indhente samtykke fra forældremyndighedsindehaverne og samtykket skal kunne dokumenteres. Desuden skal al information, som retter sig mod børn være skrevet på en enkel og tydelig måde, som børn forstår.