Opbevaring af personoplysninger
Indholdet er opdateret i oktober 2023. Vær opmærksom på, at vi løbende opdaterer disse sider.
Behandler du personoplysninger til din forskning? Her får du hjælp til at få styr på:
-
Hvor lang tid det er nødvendigt at behandle personoplysninger.
-
Hvordan du opbevarer personoplysninger sikkert under og efter din forskning.
Det at opbevare personoplysninger er en behandling af personoplysninger. Databeskyttelsesreglerne gælder derfor også, når du opbevarer personoplysninger.
Der 2 ting, som det er vigtigt at have blik for, når man taler om opbevaring.
For det første er det vigtig, at at du forholder dig til, hvor længe du må behandle personoplysningerne (opbevaringsbegrænsning).
For det andet skal du sikre, at personoplysninger opbevares sikkert - både under og efter din forskningen.
Hvad skal du være opmærksom på, når du skal afgøre, hvor længe personoplysninger må eller skal behandles?
Hvad bestemmer, hvor længe du må eller skal behandle personoplysninger?
Ligesom formålsbeskrivelsen sætter rammen for de(t) formål, som personoplysningerne kan behandles til, er det også formålet/formålene, der i sidste ende afgør, hvor lang tid du må eller skal behandle personoplysninger. Du må nemlig kun behandle personoplysningerne, så længe det er nødvendigt for de(t) formål, som du behandler dem til. Der findes derfor ikke et facit, når det kommer til opbeavringsbegrænsning.
Det kan være svært som forsker at fastlægge, hvor længe behandlingen af personoplysningerne er nødvendig. Det er særligt svært, fordi man på forhånd skal tage stilling til spørgsmålet om opbevaringsbegræsning. På dette tidspunkt ved du formentlig ikke præcis, hvor længe dine undersøgelser vil tage, hvor du skal publicere eller hvornår du er færdig med publicering? Hvad nu, hvis dine forskningsdata viser sig at kunne bruges til forskning inden for samme forskningsfelt?
Som forsker er det derfor væsentligt, at du ved, hvilke overvejelser du skal gøre dig.
Guide til at forstå opbevaringsbegræsning
Opbevaringsbegrænsning betyder i bund og grund, at den registreredes personoplysninger ikke skal kunne behandles for 'tid og evighed'.
Personoplysninger kan forældes, blive irrelevante eller have en karakter, der gør, at behandlingen af dem på et tidspunkt udgør eller kan udgøre en risiko for den registreredes rettigheder eller frihedsrettigheder.
Derfor gælder det, at personoplysninger alene må behandles så længe, de er relevante og nødvendige for opnåelse af de(t) formål, som de behandles til.
Eksempel: Dit formål er at behandle personoplysninger til forskningsprojektet ’Leg og læring i 2. klasse’. Det betyder, at du i udgangspunktet kun må behandle personoplysningerne, til du er færdig med dit forskningsprojekt om ’Leg og læring i 2. klasse’. Når du skal vurdere, hvornår du er ’færdig’ med et forskningsprojekt (har opnået forskningsformålet) er det vigtigt, at du tænker på hele forskningsprojektets livscyklus. Du er f.eks. ikke færdig med at behandle personoplysningerne ved publikation af din forskning, hvis du f.eks. er forpligtet til at opbevare oplysningerne i 5 år efter reglerne om ansvarlig forskningspraksis. I så fald vil det fortsat være nødvendigt for dig at behandle personoplysningerne i den periode. |
Hvordan beskriver du, hvor længe du kommer til at behandle personoplysninger?
Når du skal beskrive og dokumentere din vurdering af behandlingens varighed, kan du følge de 3 trin nedenfor:
1. Beskriv hvor længe du kommer til at behandle personoplysninger
Når du skal beskrive, hvor længe du skal behandle personoplysningerne, er det ikke krav, at du kan fastsætte en bestemt dato.
I stedet for kan du beskrive de ting, som du lægger vægt på i din vurdering af, hvor længe personoplysningerne er nødvendig for det eller de formål, du behandler dem til.
2. Dokumentér din vurdering
Du skal huske, at du skal kunne dokumentere de overvejelser, som lægger til grund for din vurdering.
Det betyder, at du skriftligt skal dokumentere kriterierne for, hvornår personoplysningerne ikke længere er nødvendige. Sagt med andre ord, hvornår der skal ske sletning, anonymisering, arkivering eller andet lovligt ophør af behandlingen af personoplysninger. Hvordan du dokumneterer din vurdering, er dit valg, så længe det er skriftligt. Du kan f.eks. være, at du:
- har en skriftlig protokol, som beskriver, hvilke personoplysninger, som du komme til at behandle, hvorfor de er nødvendige, og hvordan du løbende sikre dig, at de fortsat er nødvendige for forskningen.
- har en skriftlig procedure for, hvordan og hvor ofte du løbende 'rydder op' i dit datasæt, f.eks. hvis din videnskabelige metode betyder, at du ikke ved præcis, hvilke oplysninger der viser sig nødvendige for din forskning.
3. Husk at oplyse det, du har vurderet
Der er flere steder, hvor din vurdering af, hvor længe det er nødvendigt at behandle personoplysninger, skal fremgå. Du skal bl.a. oplyse det, når du:
- varetager din oplysningspligt,
- laver en risikovurdering og
- når du skal anmelde dit projekt til fortegnelsen.
Eksempel på, hvordan du kan oplyse om, hvor længe du vil behandle personoplysninger: Aarhus Universitet kan ikke på nuværende tidspunkt oplyse dig, hvor længe det er nødvendigt at behandle dine personoplysninger til [forskningsformålet]. Vi behandler kun dine oplysninger, så længe det er nødvendigt. Ved vurderingen af hvor længe det er nødvendigt at behandle dine personoplysninger, lægger vi bl.a. vægt på at forskningsformålet skal kunne opnås, at der skal ske formidling af forskningsresultaterne og at vi skal kunne redegøre for rigtigheden af forskningsresultaterne i en periode efter forskningens afslutning (bl.a. efter reglerne om ansvarlig forskningspraksis eller efter lov). |
Hvor skal du gemme dokumentationen for din vurdering?
Du skal opbevare din skriftlige vurdering sammen med din øvrige projektdokumentation i hele den periode, du behandler personoplysninger.
Hvad skal du være opmærksom på, når du skal opbevare personoplysninger sikkert?
Hvad siger databeskyttelsesreglerne?
Ifølge databeskyttelsesreglerne skal behandling, herunder opbevaring, af personoplysninger ske på en sådan måde, at sikkerhedsniveauet passer til de risici, der er for den registreredes rettigheder og frihedsrettigheder ved behandlingen. Der er med andre ord ikke et facit for, hvordan personoplysninger behandles sikkert. Det afhænger af de faktiske omstændigheder.
Hvordan finder du ud af, hvad der er et passende niveau af sikkerhed?
Når du skal vurdere, hvordan du kan opbevare personoplysningerne i dit forskningsprojekt, er det vigtigt at se på, hvilket niveau af sikkerhed der er passende for den behandling, som du kommer til at foretage.
1. Vurdér potentielle risici:
For at vurdere om sikkerheden er god nok, skal du først undersøge, hvilke risici du udsætter den registrerede for, når du behandler vedkommendes personoplysninger. Du skal med andre ord lave en risikovurdering.
Du kan læse mere om, hvordan du laver en risikovurdering her.
2. Brug et system, der lever op til de krav til sikkerhed, som din risikovurdering viser
Dernæst skal du sikre, at det system, som du ønsker at benytte, lever op til de krav, som din risikovurdering viser er nødvendig.
AU stiller en række opbeavringsløsninger til rådighed. Du kan finde svar på, hvor du kan opbevare dine forskningsdata på AU’s dataklassifikation.
Bruger du en anden løsning, som ikke fremgår af dataklassifikationen, skal du huske at:
- undersøge om der er lokale regler på dit institut om brug af andre systerm (og følge disse).
- sikre, at der indgået relevante aftaler mv., herunder at databeskyttelsesreglerne i relation til din brug er overholdt. Husk at det er din institutleder eller centerleder, som skal underskrive sådanne aftaler.
Bemærk! AU arbejder på en ny løsning, 'SIF’, til opbevaring af forskningsdata, der indeholder personoplysninger. SIF er aktuelt i stille udrulning. Hvis du ønsker at deltage i denne proces, skal du kontakte din lokale data management support for mere information. Du kan kontakte din lokale datamangement support her.
