Indholdet er opdateret i juli 2022. Vær opmærksom på, at vi løbende opdaterer disse sider.
Behandler du personoplysninger til din forskning? Her får du hjælp til at få styr på:
Hvilken databeskyttelsesretlig rolle, som AU har i projektet.
Hvilken databeskyttelsesretlige rolle, som andre samarbejdspartnere eller leverandører har i projektet.
Om du har brug for en databeskyttelsesretlige aftale.
Det er vigtigt at kende de databeskyttelsesretlige roller, da det er rollerne, der afgør, hvilke forpligtelser AU har. Det kan af og til være svært at finde ud af, hvilken rolle som AU har i et forskningsprojekt. Her på siden kan du læse om de tre roller, der findes i databeskyttelsesretten, når der sker en behandling af personoplysninger. Du kan f.eks. finde en række hjælpespørgsmål, som kan hjælpe dig med at afdække, hvilke(n) rolle(r) AU har.
Når du er ansat ved AU og behandler personoplysninger i din forskning, som AU-ansat, skal du være opmærksom på, at det er AU, der er den dataansvarlige eller databehandleren. Du er dog konkret ansvarlig for at sikre, at databeskyttelsen er varetaget i dit projekt.
Rollerne afhænger af hvem, der bestemmer formål med og hjælpemidler til behandlingen af personoplysninger.
I alle tre tilfælde er det de faktiske forhold i dit forskningsprojekt, der afgør AU’s rolle. Altså hvordan du og andre parter faktisk gør:
En dataansvarlig er en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger.
Den, der bestemmer formål med, og i det væsentligste hjælpemidlerne til, behandling af personoplysning er således dataansvarlig.
Hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandlingen af personoplysninger, er de fælles dataansvarlige.
Vær opmærksom, på at der skal indgås en aftale om fælles dataansvar mellem de dataansvarlige.
En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne (dvs. under instruktion fra den dataansvarlige uden et selvstændigt forskningsformål). Den, som udfører behandlingen på en andens parts vegne er altså databehandler. Det er på trods af, at behandlingen er til den anden parts formål og efter den anden parts instruks.
Vær opmærksom på, at der skal indgås en aftale (databehandleraftale) mellem databehandleren og den dataansvarlige. Når du benytter en databehandler, skal du løbende føre tilsyn med, at databehandleren behandler personoplysninger på den måde, som du/AU har anvist, og som fremgår af databehandleraftalen. Hvordan du skal føre tilsyn afhænger af din risikovurdering.
Du kan læse mere om tilsyn med databehandlere i Datatilsynets vejledning.
De faktiske forhold er alle de ting AU og andre parter gør i et forskningsprojekt. De faktiske forhold afgør, hvordan databeskyttelsesretten gælder i det enkelte projekt.
For at afklare, om der er tale om 1, 2 eller 3 af de databeskyttelsesretlige roller, hjælper det at stille følgende spørgsmål: