Informationssikkerhed

English

Deling af personoplysninger

Indholdet er opdateret i december 2022. Vær opmærksom på, at vi løbende opdaterer disse sider.

Skal du dele personoplysninger i forbindelse med din forskning? Her får du hjælp til at få styr på: 

  • hvad det vil sige at dele personoplysninger.
  • hvilke regler du skal være særligt opmærksom på, når du deler personoplysninger med andre. 

Når du vil dele personoplysninger, er der væsentlige forskelle på reglerne alt efter, hvem du deler oplysningerne med og på hvilket grundlag. Her kan du læse mere om de forskellige former for deling, og hvad du bør være særligt opmærksom på. Du skal opfylde de øvrige forpligtelser efter databeskyttelsesreglerne – præcis som du plejer.

Husk at kontakte Technology Transfer Office (TTO) i god tid, hvis den måde, som du vil dele personoplysninger på, kræver en aftale. Se den uddybende vejledning for at finde svar på det.

Der er grundlæggende fem former for deling, som du skal være opmærksom på:

  1. Modtagelse af personoplysninger: Når du modtager personoplysninger fra en anden dataansvarlig til din forskning.
  2. Viderebehandling: Når du behandler (dvs. anvender) allerede (af AU) indsamlede personoplysninger til et nyt forskningsformål.
  3. Videregivelse: Når du deler personoplysninger med andre selvstændige dataansvarlige.
  4. Overladelse: Når du deler personoplysninger med en databehandler. 
  5. Overførsel: Når du overfører personoplysninger i forskningssamarbejder til aktører uden for EU/EØS eller en international organisation

1. Modtagelse af personoplysninger

Når du har sikret dig, at du lovligt kan modtage og dermed behandle personoplysningerne, er der to ting, som du skal være opmærksom på, inden du modtager personoplysningerne:

  • Der kan være vilkår stillet af den afgivende dataansvarlige, som bestemmer, hvordan du må behandle personoplysningerne.
  • Du kan blive bedt om at underskrive en erklæring som modtager, da du skal behandle personoplysningerne til forskning.

Desuden skal du huske, at:

  • du kun må modtage og dermed behandle personoplysninger, som er nødvendige for din forskning (dataminimeringsprincippet).
  • du kun må behandle personoplysninger til forskningsformålet med mindre, du har hjemmel (et behandlingsgrundlag) til behandling til andre formål, og der ikke er andre vilkår/betingelser, som forhindrer dette.
  • du kun må give andre fra AU adgang til personoplysningerne, hvis det er relevant og nødvendigt for dem (f.eks. andre i din forskningsgruppe).
  • alle medarbejdere, der skal behandle personoplysninger, skal være instrueret i håndteringen af personoplysningerne, herunder kravene om behandlingssikkerhed.
  • du kun må behandle personoplysningerne, så længe de er relevante for det formål, som du behandler dem til.
  • du skal overveje, om du kan opfylde din oplysningspligt over for den registrerede. Her kan du læse om oplysningspligt ved indirekte indsamling af personoplysninger.

 

Vidste du, at...

dine forpligtelser efter databeskyttelsesreglerne gælder fra det tidspunkt, hvor du første gang kommer i ’berøring’ med personoplysningerne? Ofte sker dette faktisk tidligere, end du måske tror.

F.eks. behandler du allerede personoplysninger, når du første gang modtager en e-mailadresse på en person, som du ønsker at sende spørgeskemaer til. Læs mere om det på siden om behandlingsgrundlag og oplysningspligt.

2. Viderebehandling

Viderebehandling, også kaldet ’genbrug eller videreanvendelse af personoplysninger’, finder ofte sted. For at der er tale om viderebehandling af personoplysninger, kræver det at:

  1. Der er tale om personoplysninger, som AU allerede  har indsamlet
  2. Personoplysningerne alene bliver viderebehandlet internt på AU. Hvis du skal dele med eksterne aktører, som ikke er AU-ansatte, udgør det en anden form for deling, som du kan læse mere om i de øvrige afsnit.
  3. Der er tale om anvendelse til et andet formål end det oprindelige, og at formålet er foreneligt med det oprindelige (hvilket som udgangspunkt er opfyldt ved forskning)
  4. Der ikke er vilkår knyttet til personoplysningerne, som begrænser viderebehandlingen 

Du må altså som udgangspunkt gerne viderebehandle allerede indsamlede personoplysninger til øvrige forskningsformål, så længe det sker internt på AU. Du skal være opmærksom på, om der er særlige vilkår eller betingelser for brugen af netop de personoplysninger, som du ønsker at anvende, der kan begrænse den videre behandling. Det kan f.eks. være, at der kun foreligger en etisk godkendelse (fra en etisk komité) til det tidligere formål, eller det kan være, at personoplysningerne er indsamlet på baggrund af et samtykke, hvor de registrerede (forskningsdeltagerne) udelukkende har givet samtykke til det tidligere projekt, som oplysningerne blev indsamlet til, osv.

3. Videregivelse

Lovligt behandlingsgrundlag til videregivelsen

Når du videregiver personoplysninger, skal du først og fremmest sikre dig, at du har hjemmel til videregivelsen. Hjemlen (behandlingsgrundlaget) til videregivelse vil som udgangspunkt være den samme, som det behandlingsgrundlag, du har baseret behandlingen af personoplysninger på i dit forskningsprojekt.

Eksempel:

Du indsamler særlige kategorier af personoplysninger (følsomme personoplysninger) på forskningshjemlen, fx oplysninger om danskere, der har skiftet religion inden for de seneste 10 år. Du skal nu videregive personoplysningerne til et andet dansk universitet, som skal bruge dem i et konkret forskningsprojekt. Fordi de er indsamlet på forskningshjemlen, må du gerne videregive oplysningerne til anden forskning – du har altså dit lovlige behandlingsgrundlag til videregivelse.

I eksemplet behandles videregivelsen på baggrund af databeskyttelseslovens § 10 (forskningshjemlen). Derfor ville du skulle sikre overholdelse af videregivelsesbekendtgørelsens regler, der siger, at du skal indhente en erklæring fra modtageren, inden du videregiver personoplysningerne. Du kan finde en skabelon til videregivelseserklæring her.

Almindelige personoplysninger

Forskningshjemlen

Samtykke

Anden hjemmel

Du må kun videregive til anden forskning

Du skal overholde videregivelsesbekendtgørelsen

Det samtykke, du har indhentet, bestemmer, om du kan videregive (til hvem og til hvad)

Det afhænger af dit behandlingsgrundlag (hjemmel).

Særlige kategorier af (følsomme) personoplysninger

Forskningshjemlen

Samtykke

Anden hjemmel

Du må kun videregive til anden forskning

Du skal overholde videregivelsesbekendtgørelsen

Du skal indhente tilladelse fra Datatilsynet, hvis:

  1. Du videregiver til en modtager uden for EU/EØS
  2. Du videregiver biologisk materiale
  3. Du videregiver med henblik på publicering i et anerkendt videnskabeligt tidsskrift eller lign.

Det samtykke, du har indhentet, bestemmer, om du kan videregive (til hvem og til hvad).

 Det afhænger af dit behandlingsgrundlag (hjemmel).

Sådan anmelder du videregivelsen til fortegnelsen:

  1. Anmeld videregivelse til fortegnelsen, der ikke kræver tilladelse fra Datatilsynet

Hvis du skal videregive personoplysninger, der ikke kræver en tilladelse fra Datatilsynet, skal du anmelde videregivelsen til fortegnelsen, medmindre du allerede har anmeldt det, da du registrerede dit forskningsprojekt. Du skal indsende en kopi af videregivelseserklæringen/aftalen, hvis dit behandlingsgrundlag er forskningshjemlen. Hent en skableon til videregivelseserklæring her.

Du kan anmelde videregivelsen til fortegnelsen via denne formular.

  1. Anmeld videregivelse til fortegnelsen, der kræver tilladelse fra Datatilsynet

Hvis du skal videregive personoplysninger:

  1. Til en modtager (selvstændig dataansvarlig) uden for EU/EØS
  2. I form af biologisk materiale
  3. Med henblik på publicering i et anerkendt videnskabeligt tidsskrift eller lign.

Så skal du udfylde Datatilsynets blanket og sende den til fortegnelse@au.dk. Databeskyttelsesenheden vil herefter besvare din henvendelse og hjælpe dig med at søge tilladelsen. 

Vidste du, at...

  • der ikke er tale om en videregivelse, når delingen af personoplysninger sker mellem to fælles dataansvarlige inden for rammerne af det fælles dataansvar - altså til det formål og med de hjælpemidler, som er fastlagt i fællesskab?

4. Overladelse

Overladelse af personoplysninger sker, når du deler personoplysninger med en databehandler, altså en ekstern part, der udfører behandlingen af personoplysninger efter din instruktion og til dit formål.

Inden du overlader personoplysninger til en databehandler, skal du som minimum sikre dig:

  1. at du har foretaget en risikovurdering af databehandleren og den påtænkte behandling, som databehandleren skal udføre.
    Du kan finde en skabelon til risikovurdering her, som du kan bruge, når du skal risikovurdere din databehandler og den påtænkte behandling.
     
  2. at du har indgået en databehandleraftale som i overensstemmelse med databeskyttelsesforordningens artikel 28, stk. 3. Technology Transfer Office (TTO) kan hjælpe dig med at udarbejde en databehandleraftale med databehandleren. Som udgangspunkt skal der udarbejdes databehandleraftaler med hver enkelt databehandler. AU har imidlertid forhandlet aftaler på plads med en række leverandører, der leverer ydelser på tværs af AU. Såfremt du anvender en af sådanne ydelser inden for AU’s aftaler med leverandøren, er der allerede en databehandleraftale, der dækker ydelsen. Du kan kontakte systemejeren, hvis du har spørgsmål til databehandleraftalen.
     
  3. at du løbende fører kontrol (tilsyn) med databehandleren i overensstemmelse med databehandleraftalen og din risikovurdering. Hvordan og hvor ofte, du skal føre tilsyn, afhænger af din risikovurdering og det tilsynsniveau, der er fastlagt i databehandleraftalen. Datatilsynet har i 2021 udgivet en vejledning om tilsyn med databehandlere, som er et nyttigt værktøj til fastlæggelsen af tilsynsform og –måde. 
     
  4. at du ved, om databehandleren skal behandle personoplysninger inden for eller uden for EU/EØS.
     
  5. at databehandleren fremgår af fortegnelsen. Du kan registrere databehandleren ved at bruge denne formular. Husk at indsende en kopi af databehandleraftalen eller aftalenummeret.

5. Overførsel

Tre hurtige om overførsler til tredjelande:

  1. Et tredjeland er et land, der ikke er en del af EU/EØS
  2. En overførsel er en videregivelse, overladelse eller deling med en anden fælles dataansvarlig/importør uden for EU/EØS eller en international organisation
  3. Et overførselsgrundlag er et lovligt grundlag (en hjemmel) i databeskyttelsesforordningen, som skal være opfyldt, inden du kan overføre. Overførselsgrundlaget skal etableres ud over behandlingsgrundlaget.

NB! Hvis du skal overføre personoplysninger til et tredjeland, skal du altid kontakte TTO for at få hjælp til at etablere et overførselsgrundlag.

TTO hjælper dig med at vurdere, hvilket overførselsgrundlag som kan finde anvendelse i din situation. Det er vigtigt, at du kontakter TTO i god tid, inden du skal dele personoplysninger med en importør uden for EU/EØS eller en international organisation. Du skal være opmærksom på, at en overførsel også er betinget af, at dit forskningsprojekt opfylder lokale politikker og procedurer. Hvis du har spørgsmål til det, kan du kontakte din lokale databeskyttelseskoordinator.

Du kan forberede dig ved at læse og overveje dette

Når du laver en overførsel, kræver det, at du har det, man betegner som ’et lovligt overførselsgrundlag’. Det skal sikre, at den beskyttelse, som den registrerede har efter databeskyttelsesreglerne ikke udvandes, når oplysningerne overføres til lande eller organisationer uden for EU/EØS, som ikke er underlagt databeskyttelsesforordningens regler. Der findes forskellige måder, hvorpå man kan sikre et lovligt overførselsgrundlag. AU's mulige overførselsgrundlag kan være:

  1. Modtageren er omfattet af en tilstrækkelighedsafgørelse
  2. Der kan indgås en aftale med standardkontraktbestemmelserne (’SCC’)
  3. Der er en af følgende undtagelser, som kan finde anvendelse
    • Der er tale om en enkeltstående overførsel baseret på et databeskyttelsesretligt samtykke til overførslen
    • Der er tale om en enkeltstående overførsel af hensyn til vigtige samfundsinteresser
    • Der er tale om en enkeltstående overførsel fra et offentligt register

Overførselsgrundlagene skal vurderes i den rækkefølge, de står i ovenfor. Der er betingelser knyttet til de enkelte overførselsgrundlag, derfor er det ikke givet, at AU kan anvende alle grundlag i alle situationer.

Vidste du, at...

deling af personoplysninger også gælder en såkaldt ”se-adgang”, hvor modtageren blot ser personoplysningerne på en skærm f.eks. via en VPN-løsning?

Video: Klart overførselsgrundlag sikrer samarbejde med tredjelande Carsten Bøcker Pedersen, professor i økonomi på CIRRAU, fortæller i denne video om håndtering af personoplysninger, og om hvordan AU’s fælles løsning for overførselsgrundlag gør det muligt at udveksle personoplysninger med samarbejdspartnere i tredjelande. Det er vigtigt for at kunne samarbejde med universiteter i fx USA.

Har du brug for hjælp?

Kontakt din lokale databeskyttelseskoordinator, hvis du har spørgsmål.
Revideret 15.09.2023
-
Webredaktionen, Universitetsledelsens Stab