Indholdet er opdateret i oktober 2022. Vær opmærksom på, at vi løbende opdaterer disse sider.
Behandler du personoplysninger til din forskning? Her får du hjælp til at få styr på:
hvilke typer personoplysninger, du behandler.
hvem du behandler personoplysninger om.
hvor mange du behandler personoplysninger om.
Databeskyttelse (GDPR) gælder kun for personoplysninger.
En personoplysning er en oplysning, der siger noget om en fysisk person, altså om et menneske. Personoplysninger er alle de oplysninger, der i sig selv eller i kombination med andre oplysninger, kan lede eller henføres til en fysisk person.
Når du laver forskning, vil det oftest være nødvendigt at behandle personoplysninger for at kunne gennemføre forskningen. I databeskyttelsesretten skelnes der mellem typer af personoplysninger. Hvilke regler, der gælder for behandlingen af personoplysninger, afhænger af hvilken type/ hvilke typer personoplysninger, som behandles. Nogle personoplysninger kræver et højere beskyttelsesniveau, fordi der kan være særlige risici for de registrerede (dem, hvis personoplysninger behandles) ved behandlingen af disse oplysninger.
Derfor skal du afgøre, hvilke typer af personoplysninger du behandler. Der findes 4 typer:
Almindelige personoplysninger er alle oplysninger, der kan henføres til en bestemt person, og som ikke er 1) oplysninger om straffedomme og lovovertrædelser (strafbare forhold) og 2) særlige kategorier af personoplysninger (følsomme personoplysninger).
Eksempler på almindelige personoplysninger: F.eks. Navn, alder, køn, højde, vægt, kontaktoplysninger (fx telefonnummer og mailadresse), lokationsdata.
Straffedomme og lovovertrædelser (strafbare forhold) skal forstås bredt. Det betyder at oplysninger som disse vil være omfattet:
Overtrædelse af lovgivningen (også i nogle tilfælde, hvor det ikke har medført en strafsanktion).
Anmeldelser til politiet, såfremt den er underbygget (også selv om den endnu ikke har ført til en egentlig konklusion, hvorefter det kan betragtes som et strafbart forhold).
Straffe- og børneattester.
Særlige kategorier af personoplysninger, i daglig tale kaldet følsomme personoplysninger, er oplysninger, som stiller krav til en særlig beskyttelse efter databeskyttelsesreglerne. Det gør de, fordi de i højere grad end almindelige personoplysninger kan udgøre en risiko for den registreredes rettigheder og frihedsrettigheder. Herunder kan du se den udtømmende liste over følsomme personoplysninger. Du kan også se eksempler på oplysninger, som er omfattet, samt eksempler på hvilke konsekvenser de registrerede kan blive udsat for, hvis personoplysningerne f.eks. kommer i de forkerte hænder.
Oplysninger, der siger noget om et af disse områder, anses som særlige kategorier af personoplysninger (følsomme personoplysninger):
F.eks. oplysninger om, at den registrerede tilhører en etnisk minoritet.
Der er et særligt beskyttelseshensyn fordi: Sådanne oplysninger i nogle lande/sammenhænge kan føre til særlige risici for den registrerede. Oplysninger om etniske minoriteter kan udgøre en særlig risiko for de registrerede, hvis oplysninger f.eks. havner i hænderne på en stat, der diskriminerer minoritetsbefolkninger.
F.eks. hvilket politisk parti den registrerede er medlem af eller stemmer på.
Der er et særligt beskyttelseshensyn fordi: Oplysninger om politisk ståsted kan mange steder i verden udgøre en risiko for den registrerede. F.eks. kan den registrerede blive udsat for forfølgelse, udelukkelse, diskrimination osv.
F.eks. enhver oplysning om, hvor den registrerede er organiseret.
Der er et særligt beskyttelseshensyn fordi: Oplysninger om fagforeningsmæssigt forhold kan mange steder i verden udgøre en risiko for den registrerede. F.eks. kan den registrerede blive udsat for forfølgelse, udelukkelse, diskrimination osv.
F.eks. DNA, Iris-scanning, fingeraftryk, ansigtsgenkendelse osv.
Der er et særligt beskyttelseshensyn fordi: Oplysningerne kan bruges til entydig identifikation / autentifikation* (*kontrollere og fastslå identitet) af den registrerede. F.eks. hvis biometriske data udnyttes til autentifikation med det formål at kunne tilgå ellers utilgængelige informationer om den registrerede. Særligt kritisk er det, at den registrerede ikke kan ‘udskifte’ sin biometri, som det er muligt med andre sikkerhedsløsninger, såsom passwords.
F.eks. konkrete oplysninger om en fysisk eller psykisk lidelse eller et handicap. F.eks. Covid-19, kræft, et brækket ben, PTSD, ordblindhed osv.
Der er et særligt beskyttelseshensyn fordi: Oplysninger om helbred kan lede til diskrimination, f.eks. i form af usaglige jobafslag, at blive nægtet forsikring mv.
F.eks. oplysninger om homoseksualitet, transkønnethed, herunder oplysninger, hvoraf seksuelle forhold/orientering kan udledes, f.eks. registreret partnerskab mellem to kvinder.
Der er et særligt beskyttelseshensyn fordi: Oplysningerne kan mange steder i verden udgøre en risiko for den registrerede. F.eks. kan den registrerede blive udsat for forfølgelse, udelukkelse, diskrimination osv.
Fortrolige oplysninger fremgår ikke af databeskyttelsesforordningen (GDPR). Når man i en dansk sammenhæng taler om fortrolige oplysninger, er det fordi nogle oplysninger alligevel har et større beskyttelsesbehov, uden at der nødvendigvis er tale om særlige kategorier af personoplysninger (følsomme personoplysninger).
F.eks. CPR-numre, tavshedspålagte oplysninger, efter omstændighederne oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold eller interne familieforhold.
Vær særligt opmærksom på forskellen mellem anonymiserede oplysninger og pseudonymiserede personoplysninger. En behandling af pseudonymiserede personoplysninger er en behandling af personoplysninger, mens anonymiserede oplysninger ikke er omfattet af databeskyttelsesreglerne.
Læs mere om de 2 begreber og forskellene på dem:
oplysninger om geografiske lokationer kan være personoplysninger, hvis det kan henføres til en fysisk person eller f.eks. en enkeltmandsvirksomhed? Et matrikelnummer kan f.eks. slås op i tinglysningssystemet.
et billede eller en lydoptagelse vil også være personoplysning, hvis stemmen eller billedet kan henføres til en eller flere bestemte registrerede?
en skostørrelse som udgangspunkt ikke er en personoplysning? Hvis der dog kun er én person i en landsby, der bruger str. 49, så kan oplysningen henføres til en bestemt person, og dermed er det en almindelig personoplysning.
Registrerede er databeskyttelsesrettens ord for de fysiske personer, hvis oplysninger behandles. Inden for forskningen har den registrerede mange aliasser, f.eks. informant, forskningssubjekt, forskningsdeltager, patient osv.
Formålet med at bestemme kategorien af registrerede er at sikre, at AU som dataansvarlig er opmærksom på, om der er særlige forhold, der gør sig gældende.
Er den registrerede et barn, en patient, en ældre mv. kan der være tale om en særlig sårbar gruppe af personer. Det stiller krav til, hvordan du kommunikerer, når du skal varetage din oplysningspligt, om der er særlige ting, du skal tage højde for i din risikovurdering, om du kan indhente et gyldigt databeskyttelsesretligt samtykke osv.
Kategorien af registrerede kan angives på mange måder, f.eks.
Voksne
Børn
Unge
Ældre
Patienter
Lodsejere
Danskere i alderen 40-60 år
Når du behandler personoplysninger, skal du forholde dig til, hvor mange personer, du behandler oplysninger om.
Formålet med at vurdere antallet af registrerede er dels at sikre, at du har et overblik over din behandling, men også fordi antallet kan have betydning i forhold til vurdering af risici ved behandlingen og forpligtelser efter databeskyttelsesreglerne.
Udgangspunktet er derfor, at du skal angive det præcise antal af personer, hvis oplysninger du behandler. Nogle gange er det ikke muligt at sige præcist. Her skal du i stedet overveje, hvordan du kan beskrive antallet af registrerede, f.eks. ’Alle danskere i alderen 15-25 år i perioden 1989-2003’.