Registreredes rettigheder

Indholdet er opdateret i januar 2022. Vær opmærksom på, at vi løbende opdaterer disse sider.  

Databeskyttelsesforordningen indeholder regler, som giver den registrerede, dvs. den person, der bliver behandlet oplysninger om, en række rettigheder over for dem, som behandler oplysninger om den pågældende. Her kan du finde information om reglerne.  


Når Aarhus Universitet, repræsenteret ved dig som forsker, behandler personoplysninger, har personen, som oplysningerne vedrører (den registrerede), en række rettigheder.

Formålet med disse rettigheder er at styrke den enkeltes retsstilling, bl.a. ved at skabe åbenhed og tryghed omkring behandlingen af personoplysningerne og ved at give de registrerede mulighed for at gøre indsigelse over for bestemte former for behandling af deres oplysninger.

  • Den registrerede har som udgangspunkt altid ret til at modtage oplysninger om, at deres personoplysninger bliver behandlet (oplysningspligt). Som forsker er det din pligt at oplyse den registrerede om, at du behandler deres personoplysninger. Du kan læse mere om oplysningspligten her.
  • Den registrerede har desuden efter anmodning en række øvrige rettigheder, som kun skal iagttages, hvis den registrerede beder om det. Dem kan du læse mere om nedenfor.

Forholdet mellem rettigheder og oplysningspligten

Som forsker skal du altid overholde oplysningspligten, men de øvrige rettigheder er ikke altid gældende på forskningsområdet. Hvis du som forsker udelukkende behandler personoplysninger i videnskabeligt øjemed (dvs. til forskning), har du i en række tilfælde ret, men ikke pligt, til at afvise anmodninger fra de registrerede vedrørende deres rettigheder. Det er vigtigt, at du oplyser de registrerede om, hvilke rettigheder de har, når du varetager din oplysningspligt i forbindelse med indsamlingen af personoplysninger.

Oplysningspligten har til formål at skabe gennemsigtighed hos de registrerede om, hvordan du behandler deres personoplysninger. Når du varetager din oplysningspligt, skal du oplyse den registrerede om, hvilke rettigheder den pågældende har. Du skal derfor – inden du varetager oplysningspligten – tage stilling til, hvilke af de rettigheder, som er undtaget, når behandlingsformålet er forskning, du vil give de registrerede. Du kan med fordel anvende AU’s skabelon for oplysningspligten, som du kan finde på denne side.

Bemærk, at når du først har oplyst de registrerede om deres rettigheder, kan du ikke efterfølgende ændre i hvilke rettigheder, du vil give de registrerede. Der skal desuden være lige vilkår for alle registrerede i samme forskningsprojekt. Det betyder, at du fx ikke må imødekomme en anmodning fra én registeret og afvise en anden.

Overordnede krav, når du behandler anmodninger fra registrerede

Sådan kommunikerer du med de registrerede om deres rettigheder

Når du kommunikerer med den registrerede skal du gøre det skriftligt, medmindre den registrerede specifikt beder om en mundtlig besvarelse. Hvis du kommunikerer mundtligt med den registrerede, skal du overholde notatpligten efter offentlighedslovens § 13. Det betyder, at du er forpligtet til at tage notater af samtalen, hvis indholdet af samtalen ikke allerede fremgår af andre dokumenter.

Hvis den registrerede har sendt en anmodning elektronisk, fx på e-mail eller via Digital Post, skal du ligeledes svare den registrerede elektronisk, hvis dette er muligt, og hvis den registrerede ikke beder om andet.

Du skal desuden sørge for, at dine meddelelser til den registrerede er kortfattede, lettilgængelige og letforståelige. Det betyder bl.a., at du skal benytte et klart og enkelt sprog, navnligt hvis oplysningerne er specifikt rettet mod børn.

Du skal dog være opmærksom på, at din besvarelse skal leve op til en række formelle krav, da AU som statsfinansieret selvejende institution inden for den offentlige forvaltning er underlagt en række lovbestemte krav, når vi kommunikerer med og træffer afgørelse over for borgerne. 

Formelle krav til din afgørelse

Når du behandler en anmodning fra en registreret, skal du være opmærksom på, at du træffer en forvaltningsretlig afgørelse. Det indebærer, at din afgørelse skal leve op til en række krav i forvaltningsloven og offentlighedsloven. De skabeloner, som er udarbejdet til at varetage nogle af anmodningerne, tager i vist omfang højde for disse krav, men det er dit ansvar, at behandlingen af anmodninger fra de registrerede overholder de lovmæssige krav, som universitet er underlagt.

Uddannelsesjura har beskrevet forvaltningslovens krav til en afgørelse, som du kan læse mere om her.

Du kan læse mere om offentlighedslovens krav til journalisering, og hvordan du håndterer journalisering her.

Tidsfrister

Du har pligt til at svare på en anmodning fra en registreret om indsigt, berigtigelse, sletning etc. uden unødig forsinkelse og senest en måned efter, du har modtaget anmodningen.

Afviser du en anmodning fra den registrerede, skal du informere vedkommende om dette hurtigst muligt og senest en måned efter, du har modtaget anmodningen. Hvis du afviser en anmodning, skal du begrunde afslaget og vejlede den registrerede om, at vedkommende kan klage til Datatilsynet.

Sikring af den registreredes identitet

Når du behandler og besvarer en anmodning fra en registreret, skal du sikre dig, at du ikke giver uvedkommende personer indsigt i den registreredes oplysninger, og at du ikke foretager sletning eller lignende om andre personer, end den registrerede, der har fremsat anmodningen.

Oversigt over rettigheder

Her ser du en oversigt over de registreredes rettigheder, behandlingsgrundlag samt hjemmeler og betingelser for undtagelser:

Rettighed Behandlingsgrundlag Hjemmel for undtagelse Betingelser for undtagelse Bemærkninger
Samtykke Forsknings-hjemlen
Ret til indsigt (artikel 15) DBL § 22, stk. 5
Ret til berigtigelse (artikel 16) DBL § 22, stk. 5
Ret til sletning (artikel 17) (DBF art. 17, stk. 3, litra d) Sletning af personoplysningerne vil sandsynligvis gøre det umuligt eller i alvorlig grad hindre opfyldelse af dit forskningsformål/projekt Finder ikke anvendelse, hvis behandlingen er nødvendig til videnskabelige forskningsformål, og sletning sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af denne behandling (forskningen), jf. art. 17, stk. 3, litra d
Ret til begrænsning af behandling (artikel 18) DBL § 22, stk. 5
Underretningspligt (artikel 19) R R (DBF art. 19, stk. 1)
Ret til dataportabilitet (artikel 20)

Ej relevant

(DBF art. 20, stk. 3,)

Finder alene anvendelse, hvor behandlingsgrundlaget er samtykke eller kontrakt, jf. art. 20, stk. 1.

Finder ikke anvendelse, når behandlingen er nødvendig for udførelse af en opgave i samfundets interesse.

Se bet. 1565, s. 350(videnskabeligt øjemed)
Ret til indsigelse (artikel 21) DBL § 22, stk. 5
Automatiske individuelle afgørelser, herunder profilering (artikel 22) Ej relevant Ej relevant Forskning er ikke en afgørelse i art. 22, stk. 1, forstand

RØD: Rettighederne markeret med rødt er undtaget, når personoplysningerne udelukkende behandles til forskning. Hvis personoplysningerne også behandles til andre formål, fx myndighedsbetjening, har de registrerede som udgangspunkt ret til indsigt, ret til berigtigelse, ret til begrænsning af behandling og ret til at gøre indsigelse.

GUL:  Rettighederne markeret med gul er ikke undtaget, når personoplysningerne behandles til forskning. Rettighederne anvendes dog ofte ikke, hvis bestemte betingelser er opfyldt. Du kan læse mere herom under de pågældende rettigheder nedenfor.

GRØN: Du har som forsker altid oplysningspligt over for den registrerede, inden du påbegynder behandlingen af personoplysningerne. Det gælder også, selvom du kun behandler oplysningerne til forskning. Læs mere om oplysningspligt.

Hvis du modtager en anmodning fra en registreret om en af ovenstående rettigheder, og hvis du behandler oplysningerne til andet end forskning, skal du kontakte din lokale GDPR-koordinator, før du besvarer anmodningen.

DBL: Databeskyttelsesloven

DBF: Databeskyttelsesforordningen

Læs mere om rettighederne

Indsigtsret (artikel 15)

Registrerede har som udgangspunkt ret til at få den dataansvarliges bekræftelse på, om deres personoplysninger behandles og i givet fald adgang til personoplysningerne og en række yderligere oplysninger, jf. databeskyttelsesforordningens artikel 15. 

Hvis du udelukkende behandler de pågældende personoplysninger til forskning, gælder retten til indsigt dog ikke, og du har ikke pligt til at imødekomme en anmodning.

Hvis du behandler personoplysningerne til andet end forskning, har du pligt til at imødekomme ansøgningen. I dette tilfælde har den registrerede for det første ret til at få at få bekræftet, om du behandler oplysninger om vedkommende og at få udleveret en kopi af oplysningerne. Du skal kun udlevere kopi af de personoplysninger, der vedrører den, der har fremsat anmodningen. Det vil sige, at du kan være nødt til at anonymisere andre personer, hvis deres oplysninger fremgår af de oplysninger, du har om den, der har fremsat anmodningen.  

Den registrerede skal desuden informeres om:

  • Formålene med behandlingen af vedkommendes personoplysninger
  • Hvilke kategorier af personoplysninger, du behandler om vedkommende, dvs. om det er almindelige personoplysninger, særlige kategorier af personoplysninger og/eller oplysninger om strafbare forhold
  • Modtagere af personoplysningerne, fx hvis du videregiver personoplysningerne til et andet forskningsprojekt uden for AU
  • Hvis oplysningerne overføres til et tredjeland, skal du i nogle tilfælde oplyse om dit valg af overførselsgrundlag
  • Det tidsrum, hvori personoplysningerne vil blive opbevaret
  • Oplysning om retten til at anmode om berigtigelse, sletning, begrænsning af behandling eller indsigelse mod behandling
  • Retten til at klage til Datatilsynet
  • Enhver tilgængelig information om, hvorfra personoplysningerne stammer, hvis de ikke indsamles hos den registrerede selv.

Særligt ift. børn

Når det drejer sig om børn, beror det på en konkret bedømmelse af barnets modenhed, om der bør gives indsigt (jf. datatilsynets vejledning om de registreredes rettigheder (juli 2018), s. 26).

Normalt kan unge selvstændigt bede om indsigt, fra de er omkring 15 år. Hvis man imødekommer indsigtsanmodninger fra registrerede personer under 18 år, har forældremyndighedsindehaveren stadig ret til at anmode om indsigt på barnets vegne. Det betyder, at både barnet og forældremyndighedsindehaveren ofte begge har ret til indsigt i de oplysninger, der behandles om barnet.

Der kan dog være tilfælde, hvor kun barnet har ret til indsigt – fx når oplysningerne er af så privat og personlig karakter, at det ikke forekommer rimeligt, at forældremyndighedsindehaveren (som måske ikke i forvejen er bekendt med oplysningerne), kan få adgang til oplysningerne ved at anvende indsigtsretten. Det er op til dig som forsker at træffe en konkret vurdering. Kontakt gerne din lokale databeskyttelseskoordinator, hvis du er i tvivl.

  • Hvis du skal afvise den registreredes anmodning om indsigt, kan du bruge skabelon 8
  • Hvis du skal imødekomme den registreredes anmodning om indsigt, kan du bruge skabelon 9.

Forholdet mellem databeskyttelsesreglerne og offentlighedsloven

Det fremgår af Datatilsynets vejledning om de registreredes rettigheder (juli 2018), s. 27, at den registrerede som udgangspunkt skal have indsigt og/eller aktindsigt efter de regler, der i den konkrete sag giver det gunstigste resultat for den registrerede. Det er i den forbindelse underordnet, hvilket regelsæt den registrerede henviste til i sin anmodning om indsigt eller aktindsigt.

Du skal være opmærksom på, at Aarhus Universitet er underlagt offentlighedsloven. Det betyder, at du skal vurdere om den registrerede får den bedste retsstilling efter databeskyttelsesreglerne eller offentlighedsloven.

Hvis du har spørgsmål i forbindelse med behandlingen af sager om aktindsigt, skal du kontakte jura-teamet i Universitetsledelsens Stab.

Ret til berigtigelse (artikel 16)

Personoplysninger skal være korrekte og om nødvendigt ajourførte. Den registrerede har derfor ret til uden unødig forsinkelse at få forkerte personoplysninger om sig selv rettet og i visse tilfælde til at få fuldstændiggjort ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende erklæring. En registreret har kun ret til at få berigtiget forkerte oplysninger om sig selv.

Hvis du udelukkende behandler de pågældende personoplysninger til forskning, har du ikke pligt til at imødekomme en anmodning om berigtigelse fra en registreret, jf. databeskyttelseslovens § 22, stk. 5.

Selvom du ikke har pligt til at imødekomme en anmodning om berigtigelse fra en registreret, kan der være situationer, hvor du selv har en interesse i at berigtige urigtige oplysninger. Normalt vil der være 3 situationer, hvor berigtigelse kan være aktuel:

1) Du er enig i, at oplysningerne ikke er korrekte

Hvis du er enig i, at oplysningerne ikke er korrekte, f.eks. fordi oplysningerne er faktuelt forkerte (navn, alder mv.), har den registrerede som udgangspunkt ret til at få berigtiget personoplysningerne. Dette vil i nogle tilfælde også være i din egen interesse som forsker.

2) Du er uenig i, at oplysningerne ikke er korrekte

Hvis du ikke enig med den registrerede i, at der er tale om urigtige oplysninger, er du ikke forpligtet til at berigtige dem. Du og den registrerede kan fx være uenige om rigtigheden af nogle notater om, hvad der er blevet sagt i et interview, eller hvad der er sket under en observation.

I sådanne tilfælde kan du fx i stedet tilføje en supplerende erklæring til de omstridte oplysninger, hvoraf det fremgår, at den registrerede ikke er enig i oplysningernes rigtighed, og hvor det også fremgår, hvad den registrerede mener er korrekt.

3) Oplysningerne har karakter af en subjektiv eller faglig vurdering

Der kan opstå tilfælde, hvor en registreret ikke er enig i dine faglige eller subjektive vurderinger. I disse tilfælde har den registrerede ikke ret til at få rettet indhold, fx dine subjektive vurderinger af den pågældende. Her kan du i stedet tilføje/notere den registreredes synspunkt til dine oplysninger.

Vær opmærksom på din underretningspligt, hvis du imødekommer en anmodning om berigtigelse.

  • Hvis du skal afvise den registreredes anmodning om berigtigelse, kan du bruge skabelon 10.
  • Hvis du skal imødekomme den registreredes anmodning om berigtigelse, kan du bruge skabelon 11.
  • Hvis du imødekommer anmodningen, kan du bruge skabelon 16 til at underrette modtagere af personoplysningerne.

Ret til sletning (artikel 17)

Databeskyttelsesforordningen giver i visse tilfælde den registrerede ret til at få slettet oplysninger om sig selv uden unødig forsinkelse.

Efter databeskyttelsesforordningens artikel 17, stk. 3, litra d, har den registrerede ikke ret til sletning, hvis behandlingen af personoplysninger er nødvendig til videnskabelige forskningsformål, og hvis sletningen af oplysninger sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af denne behandling.

Du har ikke pligt til at imødekomme en anmodning om sletning, når:

Betingelse

Du behandler personoplysningerne på baggrund af samtykke

Hvis behandlingen er nødvendig for at opfylde det videnskabelige forskningsformål, og hvis sletning af oplysningerne sandsynligvis vil umuliggøre eller i alvorlig grad hindre opfyldelsen af dit forskningsformål.

Personoplysningerne ikke længere er nødvendige for at opfylde de formål, hvortil de blev indsamlet eller på anden vis behandlet *)

Du skal som udgangspunkt imødekomme en anmodning om sletning, når:

Betingelse

Du imødekommer en indsigelse fra den registrerede efter artikel 21 (link til afsnittet længere nede).

Hvis du har imødekommet en indsigelse fra den registrerede, har du som udgangspunkt pligt til at slette oplysningerne.

Vær opmærksom på din underretningspligt, hvis du imødekommer en anmodning om sletning.

  • Hvis du skal afvise den registreredes anmodning om sletning, kan du bruge skabelon 12
  • Hvis du skal imødekomme den registreredes anmodning om sletning, kan du bruge skabelon 13
  • Hvis du imødekommer anmodningen, kan du bruge skabelon 16 til at underrette modtagere af personoplysningerne.

*) Vær opmærksom på, at om opbevaring efter ansvarlig forskningspraksis anses som en del af forskningsformålet, hvorfor den registrerede ikke nødvendigvis har ret til sletning, selvom du har færdiggjort dit forskningsprojekt.

Ret til begrænsning af behandling (artikel 18)

Hvis du udelukkende behandler de pågældende personoplysninger til forskning, har du ikke pligt til at imødekomme en anmodning om begrænsning af behandling, jf. databeskyttelseslovens § 22, stk. 5.

Hvis du behandler personoplysninger til andet end forskning (fx myndighedsbetjening), har den registrerede ret til at få begrænset sine personoplysninger, hvis ét af følgende forhold gør sig gældende:

  • rigtigheden af personoplysningerne bestrides af den registrerede, i perioden indtil den dataansvarlige har haft mulighed for at fastslå, om personoplysningerne er korrekte.
  • behandlingen er ulovlig, og den registrerede modsætter sig sletning af personoplysningerne og anmoder i stedet om, at anvendelse af personoplysningerne begrænses
  • den dataansvarlige har ikke længere brug for personoplysningerne til behandlingen, men de er nødvendige for, at et retskrav kan fastlægges, gøres gældende eller forsvares.

Hvad skal du foretage dig?

Begrænsning af behandling af personoplysninger består i, at du foretager en mærkning af opbevarede personoplysninger for at begrænse fremtidig behandling af disse oplysninger, jf. databeskyttelsesforordningens artikel 4, nr. 3. Hvis du imødekommer en anmodning om begrænsning, skal du derfor mærke personoplysningerne på en måde, så de ikke fremadrettet bliver underlagt anden behandling end opbevaring. Det kan du fx gøre ved at flytte oplysningerne over i et andet behandlingssystem, så de ikke fremadrettet indgår i dit forskningsprojekt.

Du må herefter kun foretage anden behandling end opbevaring, hvis den registrerede har givet sit samtykke til det, eller hvis den anden behandling sker med henblik på, at et retskrav kan fastlægges, gøres gældende eller forsvares.

Herudover må du bruge de begrænsede oplysninger, hvis det er nødvendigt for, at du kan overholde andre lovmæssige forpligtelser, fx offentlighedslovens regler om aktindsigt.

Hvis du giver aktindsigt i oplysninger, der er underlagt begrænset behandling, skal du informere den tredjemand, der modtager oplysningerne om, at disse er underlagt begrænset behandling. Du skal desuden oplyse vedkommende om begrundelsen for den begrænsede behandling.

Vær opmærksom på din underretningspligt, hvis du imødekommer en anmodning om begrænsning af behandling.

  • Hvis du skal afvise den registreredes anmodning om begrænsning af behandling, kan du bruge skabelon 14.
  • Hvis du skal imødekomme den registreredes anmodning om begrænsning af behandling, kan du bruge skabelon 15.
  • Hvis du imødekommer anmodningen, kan du bruge skabelon 16 til at underrette modtagere af personoplysningerne.

Underretningspligt (artikel 19)

Hvis du imødekommer en anmodning om berigtigelse, sletning eller begrænsning af behandling af personoplysninger, skal du også underrette eventuelle modtagere, fx databehandlere eller samarbejdspartnere, medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt.

Hvis den registrerede i forbindelse med en anmodning om berigtigelse, sletning eller begrænsning af behandling af personoplysninger anmoder om det, har du pligt til at oplyse den registrerede om, hvem du har videregivet oplysningerne til, fx en forskningsinstitution, som du samarbejder med.

Der er indsat en frase i de relevante skabeloner, hvor du blot skal udfylde navnene på modtagerne.

  • Hvis du imødekommer en anmodning efter art. 16, 17 eller 18, kan du bruge skabelon 16 til at underrette modtagerne af personoplysningerne.

Ret til dataportabilitet (artikel 20)

Retten til dataportablitet henviser til den registreredes ret til at kunne få udleveret sine personoplysninger. Retten indebærer for det første, at den registrerede har ret til at modtage sine personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format. Her supplerer retten til dataportabilitet retten til indsigt, mens et særligt træk ved dataportabilitet er, at den gør det nemt for registrerede selv at administrere og videreanvende personoplysninger.

Retten til dataportabilitet indebærer for det andet, at den registrerede har ret til at få transmitteret personoplysningerne direkte fra AU til en anden dataansvarlig, fx en anden forskningsinstitution, hvis det er teknisk muligt.

Hvis du udelukkende behandler de pågældende personoplysninger til forskning, har du ikke pligt til at imødekomme en anmodning om dataportabilitet, jf. databeskyttelsesforordningens artikel 20, stk. 3. Du har heller ikke pligt til at imødekomme en anmodning om dataportabilitet, hvis du baserer din behandling på forskningshjemlen, jf. databeskyttelseslovens § 10.

Retten til dataportabilitet gælder kun, hvis du baserer din behandling på samtykke eller på en kontrakt med den registrerede, og hvis behandlingen foretages automatisk (elektronisk).

  • Kontakt AU’s databeskyttelsesenhed, hvis du modtager en anmodning om dataportabilitet og ønsker at imødekomme den.
  • Hvis du skal afvise den registreredes anmodning om dataportabilitet, kan du bruge skabelon 17.

Ret til indsigelse (artikel 21)

Retten til indsigelse indebærer, at den registrerede til enhver tid har ret til at gøre indsigelse mod en ellers lovlig behandling af sine personoplysninger af grunde, der vedrører den pågældendes særlige situation.

Hvis du udelukkende behandler de pågældende personoplysninger til forskning, har du ikke pligt til at imødekomme en registerets indsigelse mod behandling, jf. databeskyttelseslovens § 22, stk. 5.

Retten til indsigelse gælder kun, hvis dit behandlingsgrundlag er en opgave i samfundets interesse, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra e.

  • Hvis du imødekommer en indsigelse fra en registreret, skal du slette oplysningerne om vedkommende.
  • Hvis du skal afvise den registreredes indsigelse, kan du bruge skabelon 18.
  • Hvis du skal imødekomme den registreredes indsigelse, kan du bruge skabelon 19.

Automatiske individuelle afgørelser, herunder profilering (artikel 22)

Forskning i algoritmer mv., der kan understøtte automatiske afgørelser, indebærer ikke, at du/AU træffer afgørelser, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den registrerede. Denne rettighed finder derfor ikke anvendelse, når du alene behandler personoplysninger til forskning.