Indholdet er opdateret i januar 2022. Vær opmærksom på, at vi løbende opdaterer disse sider.
Har du modtaget en anmodning fra en registreret? Her får du hjælp til at få styr på:
Hvordan hænger den registreredes rettigheder sammen oplysningspligten?
Hvordan behandler du en anmodning fra en registreret?
Når Aarhus Universitet, repræsenteret ved dig som forsker, behandler personoplysninger, har personen, som oplysningerne vedrører (den registrerede), en række rettigheder.
Formålet med disse rettigheder er at styrke den enkeltes retsstilling, bl.a. ved at skabe åbenhed og tryghed omkring behandlingen af personoplysningerne og ved at give de registrerede mulighed for at gøre indsigelse over for bestemte former for behandling af deres oplysninger.
Som forsker skal du altid overholde oplysningspligten, men de øvrige rettigheder er ikke altid gældende på forskningsområdet. Hvis du som forsker udelukkende behandler personoplysninger i videnskabeligt øjemed (dvs. til forskning), har du i en række tilfælde ret, men ikke pligt, til at afvise anmodninger fra de registrerede vedrørende deres rettigheder. Det er vigtigt, at du oplyser de registrerede om, hvilke rettigheder de har, når du varetager din oplysningspligt i forbindelse med indsamlingen af personoplysninger.
Oplysningspligten har til formål at skabe gennemsigtighed hos de registrerede om, hvordan du behandler deres personoplysninger. Når du varetager din oplysningspligt, skal du oplyse den registrerede om, hvilke rettigheder den pågældende har. Du skal derfor – inden du varetager oplysningspligten – tage stilling til, hvilke af de rettigheder, som er undtaget, når behandlingsformålet er forskning, du vil give de registrerede. Du kan med fordel anvende AU’s skabelon for oplysningspligten, som du kan finde på denne side.
Bemærk, at når du først har oplyst de registrerede om deres rettigheder, kan du ikke efterfølgende ændre i hvilke rettigheder, du vil give de registrerede. Der skal desuden være lige vilkår for alle registrerede i samme forskningsprojekt. Det betyder, at du fx ikke må imødekomme en anmodning fra én registeret og afvise en anden.
Når du kommunikerer med den registrerede skal du gøre det skriftligt, medmindre den registrerede specifikt beder om en mundtlig besvarelse. Hvis du kommunikerer mundtligt med den registrerede, skal du overholde notatpligten efter offentlighedslovens § 13. Det betyder, at du er forpligtet til at tage notater af samtalen, hvis indholdet af samtalen ikke allerede fremgår af andre dokumenter.
Hvis den registrerede har sendt en anmodning elektronisk, fx på e-mail eller via Digital Post, skal du ligeledes svare den registrerede elektronisk, hvis dette er muligt, og hvis den registrerede ikke beder om andet.
Du skal desuden sørge for, at dine meddelelser til den registrerede er kortfattede, lettilgængelige og letforståelige. Det betyder bl.a., at du skal benytte et klart og enkelt sprog, navnligt hvis oplysningerne er specifikt rettet mod børn.
Du skal dog være opmærksom på, at din besvarelse skal leve op til en række formelle krav, da AU som statsfinansieret selvejende institution inden for den offentlige forvaltning er underlagt en række lovbestemte krav, når vi kommunikerer med og træffer afgørelse over for borgerne.
Når du behandler en anmodning fra en registreret, skal du være opmærksom på, at du træffer en forvaltningsretlig afgørelse. Det indebærer, at din afgørelse skal leve op til en række krav i forvaltningsloven og offentlighedsloven. De skabeloner, som er udarbejdet til at varetage nogle af anmodningerne, tager i vist omfang højde for disse krav, men det er dit ansvar, at behandlingen af anmodninger fra de registrerede overholder de lovmæssige krav, som universitet er underlagt.
Uddannelsesjura har beskrevet forvaltningslovens krav til en afgørelse, som du kan læse mere om her.
Du kan læse mere om offentlighedslovens krav til journalisering, og hvordan du håndterer journalisering her.
Du har pligt til at svare på en anmodning fra en registreret om indsigt, berigtigelse, sletning etc. uden unødig forsinkelse og senest en måned efter, du har modtaget anmodningen.
Afviser du en anmodning fra den registrerede, skal du informere vedkommende om dette hurtigst muligt og senest en måned efter, du har modtaget anmodningen. Hvis du afviser en anmodning, skal du begrunde afslaget og vejlede den registrerede om, at vedkommende kan klage til Datatilsynet.
Når du behandler og besvarer en anmodning fra en registreret, skal du sikre dig, at du ikke giver uvedkommende personer indsigt i den registreredes oplysninger, og at du ikke foretager sletning eller lignende om andre personer, end den registrerede, der har fremsat anmodningen.
Her ser du en oversigt over de registreredes rettigheder, behandlingsgrundlag samt hjemmeler og betingelser for undtagelser:
Rettighed | Behandlingsgrundlag | Hjemmel for undtagelse | Betingelser for undtagelse | Bemærkninger | |
Samtykke | Forsknings-hjemlen | ||||
Ret til indsigt (artikel 15) | DBL § 22, stk. 5 | ||||
Ret til berigtigelse (artikel 16) | DBL § 22, stk. 5 | ||||
Ret til sletning (artikel 17) | (DBF art. 17, stk. 3, litra d) | Sletning af personoplysningerne vil sandsynligvis gøre det umuligt eller i alvorlig grad hindre opfyldelse af dit forskningsformål/projekt | Finder ikke anvendelse, hvis behandlingen er nødvendig til videnskabelige forskningsformål, og sletning sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af denne behandling (forskningen), jf. art. 17, stk. 3, litra d | ||
Ret til begrænsning af behandling (artikel 18) | DBL § 22, stk. 5 | ||||
Underretningspligt (artikel 19) | R | R | (DBF art. 19, stk. 1) | ||
Ret til dataportabilitet (artikel 20) | Ej relevant | (DBF art. 20, stk. 3,) | Finder alene anvendelse, hvor behandlingsgrundlaget er samtykke eller kontrakt, jf. art. 20, stk. 1. Finder ikke anvendelse, når behandlingen er nødvendig for udførelse af en opgave i samfundets interesse. Se bet. 1565, s. 350(videnskabeligt øjemed) | ||
Ret til indsigelse (artikel 21) | DBL § 22, stk. 5 | ||||
Automatiske individuelle afgørelser, herunder profilering (artikel 22) | Ej relevant | Ej relevant | Forskning er ikke en afgørelse i art. 22, stk. 1, forstand |
RØD: Rettighederne markeret med rødt er undtaget, når personoplysningerne udelukkende behandles til forskning. Hvis personoplysningerne også behandles til andre formål, fx myndighedsbetjening, har de registrerede som udgangspunkt ret til indsigt, ret til berigtigelse, ret til begrænsning af behandling og ret til at gøre indsigelse.
GUL: Rettighederne markeret med gul er ikke undtaget, når personoplysningerne behandles til forskning. Rettighederne anvendes dog ofte ikke, hvis bestemte betingelser er opfyldt. Du kan læse mere herom under de pågældende rettigheder nedenfor.
GRØN: Du har som forsker altid oplysningspligt over for den registrerede, inden du påbegynder behandlingen af personoplysningerne. Det gælder også, selvom du kun behandler oplysningerne til forskning. Læs mere om oplysningspligt.
Hvis du modtager en anmodning fra en registreret om en af ovenstående rettigheder, og hvis du behandler oplysningerne til andet end forskning, skal du kontakte din lokale GDPR-koordinator, før du besvarer anmodningen.
DBL: Databeskyttelsesloven
DBF: Databeskyttelsesforordningen
Registrerede har som udgangspunkt ret til at få den dataansvarliges bekræftelse på, om deres personoplysninger behandles og i givet fald adgang til personoplysningerne og en række yderligere oplysninger, jf. databeskyttelsesforordningens artikel 15.
Hvis du udelukkende behandler de pågældende personoplysninger til forskning, gælder retten til indsigt dog ikke, og du har ikke pligt til at imødekomme en anmodning.
Hvis du behandler personoplysningerne til andet end forskning, har du pligt til at imødekomme ansøgningen. I dette tilfælde har den registrerede for det første ret til at få at få bekræftet, om du behandler oplysninger om vedkommende og at få udleveret en kopi af oplysningerne. Du skal kun udlevere kopi af de personoplysninger, der vedrører den, der har fremsat anmodningen. Det vil sige, at du kan være nødt til at anonymisere andre personer, hvis deres oplysninger fremgår af de oplysninger, du har om den, der har fremsat anmodningen.
Den registrerede skal desuden informeres om:
Når det drejer sig om børn, beror det på en konkret bedømmelse af barnets modenhed, om der bør gives indsigt (jf. datatilsynets vejledning om de registreredes rettigheder (juli 2018), s. 26).
Normalt kan unge selvstændigt bede om indsigt, fra de er omkring 15 år. Hvis man imødekommer indsigtsanmodninger fra registrerede personer under 18 år, har forældremyndighedsindehaveren stadig ret til at anmode om indsigt på barnets vegne. Det betyder, at både barnet og forældremyndighedsindehaveren ofte begge har ret til indsigt i de oplysninger, der behandles om barnet.
Der kan dog være tilfælde, hvor kun barnet har ret til indsigt – fx når oplysningerne er af så privat og personlig karakter, at det ikke forekommer rimeligt, at forældremyndighedsindehaveren (som måske ikke i forvejen er bekendt med oplysningerne), kan få adgang til oplysningerne ved at anvende indsigtsretten. Det er op til dig som forsker at træffe en konkret vurdering. Kontakt gerne din lokale databeskyttelseskoordinator, hvis du er i tvivl.
Det fremgår af Datatilsynets vejledning om de registreredes rettigheder (juli 2018), s. 27, at den registrerede som udgangspunkt skal have indsigt og/eller aktindsigt efter de regler, der i den konkrete sag giver det gunstigste resultat for den registrerede. Det er i den forbindelse underordnet, hvilket regelsæt den registrerede henviste til i sin anmodning om indsigt eller aktindsigt.
Du skal være opmærksom på, at Aarhus Universitet er underlagt offentlighedsloven. Det betyder, at du skal vurdere om den registrerede får den bedste retsstilling efter databeskyttelsesreglerne eller offentlighedsloven.
Hvis du har spørgsmål i forbindelse med behandlingen af sager om aktindsigt, skal du kontakte jura-teamet i Universitetsledelsens Stab.
Personoplysninger skal være korrekte og om nødvendigt ajourførte. Den registrerede har derfor ret til uden unødig forsinkelse at få forkerte personoplysninger om sig selv rettet og i visse tilfælde til at få fuldstændiggjort ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende erklæring. En registreret har kun ret til at få berigtiget forkerte oplysninger om sig selv.
Hvis du udelukkende behandler de pågældende personoplysninger til forskning, har du ikke pligt til at imødekomme en anmodning om berigtigelse fra en registreret, jf. databeskyttelseslovens § 22, stk. 5.
Selvom du ikke har pligt til at imødekomme en anmodning om berigtigelse fra en registreret, kan der være situationer, hvor du selv har en interesse i at berigtige urigtige oplysninger. Normalt vil der være 3 situationer, hvor berigtigelse kan være aktuel:
1) Du er enig i, at oplysningerne ikke er korrekte | Hvis du er enig i, at oplysningerne ikke er korrekte, f.eks. fordi oplysningerne er faktuelt forkerte (navn, alder mv.), har den registrerede som udgangspunkt ret til at få berigtiget personoplysningerne. Dette vil i nogle tilfælde også være i din egen interesse som forsker. |
2) Du er uenig i, at oplysningerne ikke er korrekte | Hvis du ikke enig med den registrerede i, at der er tale om urigtige oplysninger, er du ikke forpligtet til at berigtige dem. Du og den registrerede kan fx være uenige om rigtigheden af nogle notater om, hvad der er blevet sagt i et interview, eller hvad der er sket under en observation. I sådanne tilfælde kan du fx i stedet tilføje en supplerende erklæring til de omstridte oplysninger, hvoraf det fremgår, at den registrerede ikke er enig i oplysningernes rigtighed, og hvor det også fremgår, hvad den registrerede mener er korrekt. |
3) Oplysningerne har karakter af en subjektiv eller faglig vurdering | Der kan opstå tilfælde, hvor en registreret ikke er enig i dine faglige eller subjektive vurderinger. I disse tilfælde har den registrerede ikke ret til at få rettet indhold, fx dine subjektive vurderinger af den pågældende. Her kan du i stedet tilføje/notere den registreredes synspunkt til dine oplysninger. |
Vær opmærksom på din underretningspligt, hvis du imødekommer en anmodning om berigtigelse.
Databeskyttelsesforordningen giver i visse tilfælde den registrerede ret til at få slettet oplysninger om sig selv uden unødig forsinkelse.
Efter databeskyttelsesforordningens artikel 17, stk. 3, litra d, har den registrerede ikke ret til sletning, hvis behandlingen af personoplysninger er nødvendig til videnskabelige forskningsformål, og hvis sletningen af oplysninger sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af denne behandling*.
*Vær opmærksom på, at om opbevaring efter ansvarlig forskningspraksis anses som en del af forskningsformålet, hvorfor den registrerede ikke nødvendigvis har ret til sletning, selvom du har færdiggjort dit forskningsprojekt.
Vær opmærksom på din underretningspligt, hvis du imødekommer en anmodning om sletning.
Hvis du udelukkende behandler de pågældende personoplysninger til forskning, har du ikke pligt til at imødekomme en anmodning om begrænsning af behandling, jf. databeskyttelseslovens § 22, stk. 5.
Hvis du behandler personoplysninger til andet end forskning (fx myndighedsbetjening), har den registrerede ret til at få begrænset sine personoplysninger, hvis ét af følgende forhold gør sig gældende:
Begrænsning af behandling af personoplysninger består i, at du foretager en mærkning af opbevarede personoplysninger for at begrænse fremtidig behandling af disse oplysninger, jf. databeskyttelsesforordningens artikel 4, nr. 3. Hvis du imødekommer en anmodning om begrænsning, skal du derfor mærke personoplysningerne på en måde, så de ikke fremadrettet bliver underlagt anden behandling end opbevaring. Det kan du fx gøre ved at flytte oplysningerne over i et andet behandlingssystem, så de ikke fremadrettet indgår i dit forskningsprojekt.
Du må herefter kun foretage anden behandling end opbevaring, hvis den registrerede har givet sit samtykke til det, eller hvis den anden behandling sker med henblik på, at et retskrav kan fastlægges, gøres gældende eller forsvares.
Herudover må du bruge de begrænsede oplysninger, hvis det er nødvendigt for, at du kan overholde andre lovmæssige forpligtelser, fx offentlighedslovens regler om aktindsigt.
Hvis du giver aktindsigt i oplysninger, der er underlagt begrænset behandling, skal du informere den tredjemand, der modtager oplysningerne om, at disse er underlagt begrænset behandling. Du skal desuden oplyse vedkommende om begrundelsen for den begrænsede behandling.
Vær opmærksom på din underretningspligt, hvis du imødekommer en anmodning om begrænsning af behandling.
Hvis du imødekommer en anmodning om berigtigelse, sletning eller begrænsning af behandling af personoplysninger, skal du også underrette eventuelle modtagere, fx databehandlere eller samarbejdspartnere, medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt.
Hvis den registrerede i forbindelse med en anmodning om berigtigelse, sletning eller begrænsning af behandling af personoplysninger anmoder om det, har du pligt til at oplyse den registrerede om, hvem du har videregivet oplysningerne til, fx en forskningsinstitution, som du samarbejder med.
Der er indsat en frase i de relevante skabeloner, hvor du blot skal udfylde navnene på modtagerne.
Retten til dataportablitet henviser til den registreredes ret til at kunne få udleveret sine personoplysninger. Retten indebærer for det første, at den registrerede har ret til at modtage sine personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format. Her supplerer retten til dataportabilitet retten til indsigt, mens et særligt træk ved dataportabilitet er, at den gør det nemt for registrerede selv at administrere og videreanvende personoplysninger.
Retten til dataportabilitet indebærer for det andet, at den registrerede har ret til at få transmitteret personoplysningerne direkte fra AU til en anden dataansvarlig, fx en anden forskningsinstitution, hvis det er teknisk muligt.
Hvis du udelukkende behandler de pågældende personoplysninger til forskning, har du ikke pligt til at imødekomme en anmodning om dataportabilitet, jf. databeskyttelsesforordningens artikel 20, stk. 3. Du har heller ikke pligt til at imødekomme en anmodning om dataportabilitet, hvis du baserer din behandling på forskningshjemlen, jf. databeskyttelseslovens § 10.
Retten til dataportabilitet gælder kun, hvis du baserer din behandling på samtykke eller på en kontrakt med den registrerede, og hvis behandlingen foretages automatisk (elektronisk).
Retten til indsigelse indebærer, at den registrerede til enhver tid har ret til at gøre indsigelse mod en ellers lovlig behandling af sine personoplysninger af grunde, der vedrører den pågældendes særlige situation.
Hvis du udelukkende behandler de pågældende personoplysninger til forskning, har du ikke pligt til at imødekomme en registerets indsigelse mod behandling, jf. databeskyttelseslovens § 22, stk. 5.
Retten til indsigelse gælder kun, hvis dit behandlingsgrundlag er en opgave i samfundets interesse, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra e.
Forskning i algoritmer mv., der kan understøtte automatiske afgørelser, indebærer ikke, at du/AU træffer afgørelser, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den registrerede. Denne rettighed finder derfor ikke anvendelse, når du alene behandler personoplysninger til forskning.