AAU logo

behandlingsgrundlag

Inden du starter med at indsamle og behandle personoplysninger, skal du sikre dig, at behandlingen er baseret på et lovligt grundlag. Dette betyder, at du skal beslutte dig for hvilken lovhjemmel du vil gøre brug af.

Der er i databeskyttelsesforordningen oplistet en række betingelser for, hvornår du lovligt kan behandle personoplysninger. Disse betingelser kaldes behandlingshjemler.

Hvilken behandlingshjemmel du kan ligge til grund for din behandling af personoplysninger, afhænger af hvilken kategori af personoplysninger du behandler, formålet med forskningsprojektet og om personoplysningerne ved publicering er anonymiseret eller om de er pseudonomiseret.

I forbindelse med et forskningsprojekt vil man typisk gøre brug af det man kalder forskningshjemlen eller samtykkehjemlen som behandlingsgrundlag. Begge behandlingsgrundlag finder anvendelse ved behandling af almindelige – og følsomme personoplysninger.  

vær opmærksom på, at uanset hvilket behandlingsgrundlag du gør brug af, skal oplysningspligten opfyldes.

  • +

    Hvad er forskningshjemlen?

    Forskningshjemlen er et behandlingsgrundlag der giver ret til at indsamle og behandle personoplysninger til brug for forskning uden at skulle indhente tilladelse (samtykke) fra den registrerede. Forskningshjemlen vil være det foretrukne behandlingsgrundlag hvis behandlingens formål udelukkende er forskning og personoplysningerne dermed ikke skal benyttes til publicering, markedsføring, undervisning mm.

    Forskningshjemlens område er begrænset på den måde, at man udelukkende må behandle, herunder videregive, personoplysninger til brug for forskningsformål. Dette betyder, at har du benyttet forskningshjemlen som behandlingsgrundlag for din behandling af personoplysninger, må personoplysningerne ikke benyttes til eksempelvis markedsføring, publicering, undervisning mm. (Flere eksempler).

    Selvom personoplysningerne er pseudonomiseret, således at man ikke direkte kan identificere enkelte personer, kan personoplysningerne stadig ikke videregives til andet end forskningsformål. Det er dog lovligt, at videregive aggregerede forskningsresultater og anonymiserede personoplysninger til andre formål.

  • +

    Hvad er samtykkehjemlen?

    Samtykke betyder, at der indhentes tilladelse fra den registrerede til at behandle dennes personoplysninger. Samtykkehjemlen vil typisk være at foretrække i forskningsprojekter hvor,

    • Personoplysningerne ønskes behandlet til flere forskellige formål samtidig, fx både administrative -, undervisnings-, udviklingsformål mv., både internt på AAU og i et samarbejde med en virksomhed/myndighed,
    • Personoplysningerne ønskes videregivet efterfølgende til fx administrative formål, og hvor det ikke er muligt at adskille forskningen fra virksomhedens ikke-forskningsmæssige formål eller at anonymisere, så personoplysningerne ikke kan identificeres af nogen på noget tidspunkt,
    • Der ønskes offentliggjort personoplysninger navnlig i form af billeder og citater.

    Samtykkehjemlens område er begrænset til ordlyden af samtykket, og det kræver derfor et nyt samtykke at bruge eller videregive personoplysninger til formål, der ikke står i det oprindelige samtykke. Et samtykke skal derudover altid kunne dokumenteres og et samtykke kan altid tilbagekaldes.

    Krav til samtykke

    Hvis du benytter samtykkehjemlen som behandlingsgrundlag, skal du være opmærksom på, at der i forordningen er fremsat en række krav til samtykket. Lever samtykket ikke op til disse krav, er samtykket ikke gyldigt.

    Et samtykke skal være,

    • Afgivet frivilligt.
    • Specifikt formuleret.
    • Informeret, således at der ikke er tvivl om, hvad den registrerede har givet samtykke til
    • Udtrykkeligt afgivet. Der må ikke kunne opstå tvivl om, hvorvidt den registrerede faktisk har afgivet sit samtykke.
    • Hvis samtykket omhandler behandling af personoplysninger til flere forskellige formål, skal det være tydeligt for den registrerede og skal leveres i en letforståelig og lettilgængelig form og i et klart og enkelt sprog.

    Udover ovenstående, skal det altid fremgå af samtykket, at den registrerede til enhver tid kan trække samtykket tilbage. Et samtykke kan ikke trækkes tilbage med tilbagevirkende kraft og påvirker derfor kun fremtidige behandlinger af den registreredes personoplysninger. Det skal være lige så let at tilbagekalde sit samtykke, som det var at give det.

  • +

    Hvad er forskellen på forsknings - og samtykkehjemlen?

    I skemaet neden for, kan du læse mere om forskellen på de to behandlingsgrundlag

      Forskningshjemlen Samtykkehjemlen
    Anvendelsesområde

    Hjemlen kan bruges til behandling af personoplysninger, når det sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af

    1. væsentlig samfundsmæssig betydning og
    2. behandlingen er nødvendig af hensyn til forskningen
    Samtykkehjemlen giver mulighed for at behandle personoplysninger til de(t) formål angivet konkret i samtykkets formulering
    Betingelser

    Oplysningspligten skal som udgangspunkt overholdes. Læs mere om oplysningspligten i Vejledning om databeskyttelsesreglerne i relation til forskningsområdet, som kan findes her

    Betingelserne

    1. Væsentlig samfundsmæssig betydning (almindeligvis altid opfyldt) og
    2. Behandlingen er nødvendig af hensyn til forskning.

    Oplysningspligten skal overholdes.

    Betingelserne for at anvende et samtykke er at det er

    • Frivillig afgivet
    • Specifik formuleret
    • Informeret så man ikke er i tvivl om hvem, hvad og hvordan
    • Udtrykkeligt afgivet
    • Særligt fremhævet fra eventuelle andre forhold i en letforståelig og lettilgængelig form og i et klart og enkelt sprog
    Brug

    Personoplysninger indhentet eller brugt til forskningsformål må ikke bruges eller genbruges til andet end forskningsformål.

    I et samarbejde, hvor det ikke er muligt at adskille behandlingen af personoplysninger i forskningen helt fra anden aktivitet (fx undervisning, behandling mv), kan forskningshjemlen ikke bruges

    Selve resultaterne (uden personoplysningerne) kan dog godt bruges til andre formål

    Det er muligt, at genbruge personoplysningerne til nye forskningsformål, men det er derimod ikke muligt at bruge personoplysningerne til andre aktiviteter end forskning.

    Samtykkets formulering bestemmer, hvad man må bruge personoplysningerne til.

    Et samtykke kan med fordel bruges i samarbejder, hvor det ikke er muligt at adskille forskningen fra andre aktiviteter (fx undervisning, behandling, offentliggørelse mv.), men det er så vigtigt at sikre, at der indhentes et samtykke til begge formål.

    Hvis man ønsker at bruge personoplysninger til et andet formål end det der er beskrevet i samtykket, så kræver det  et nyt samtykke
    Underskrift/accept og dokumentation Det er ikke krav om at den registrerede person skal skrive under på noget eller give tilsagn til databehandlingen.

    Den registrerede skal give samtykke ved at skrive under eller elektronisk acceptere, at vedkommendes personoplysninger behandles.

    Samtykket skal altid dokumenteres og der skal altid gives de registrerede mulighed for at trække et samtykke tilbage
    Den registreredes ønske om ophør af databehandlingen

    Den registrerede har ret til at anmode om at få sine personoplysninger slettet.

    En modtaget anmodning om sletning betyder ikke, at man har pligt til at slette personoplysningerne. Man her derimod pligt til at foretage en interesseafvejning, hvor man på den ene side ser på den registreredes interesse i at få personoplysningerne slettet og på den anden side ser på, hvilken betydning for forskningen at beholde personoplysningerne

    Kontraktenheden er behjælpelig med at foretage denne afvejning. 

    Et samtykke kan altid trækkes tilbage.

    Når et samtykke er trukket tilbage, er det ikke lovligt at behandle personoplysninger om den registrerede fremadrettet, med mindre man har en anden lovhjemmel til dette.

    Hvis stærke grunde taler for det, kan forskningshjemlen bruges. Kontakt venligst Kontraktenheden.

    Generelle begrænsninger for videregivelse
    Videregivelse: Når personoplysninger eller en kopi heraf overlades til en tredjemand (f.eks. en forsker, der ikke er ansat på AAU), og vedkommende skal bruge personoplysningerne til egne formål, er det videregivelse.

    Videregivelse må kun ske til forskningsformål.

    Man må kun videregive de personoplysninger, der er nødvendige for udførelsen af modtagerens forskning.

    Som udgangspunkt skal personoplysningerne være pseudonymiseret når de videregives, med mindre det er strengt nødvendigt at videregive personoplysningerne i personhenførbar form.

    Videregivelse kan kun ske, hvis der er et samtykke til videregivelsen.

    Videregivelse kan ske til alle, saglige formål, som fremgår af samtykkeformuleringen

    Kun nødvendige oplysninger bør videregives

    Intet krav om pseudonymiseret, men dette anbefales
    Krav om videregivelseserklæring

    Modtageren af personoplysningerne skal afgive en videregivelseserklæring om bl.a. anvendelsen og nødvendigheden af at modtage personoplysningerne.

    Intet krav om videregivelseserklæring
    Videregivelse af biologisk materiale Kræver ikke Datatilsynets tilladelse Kræver ikke Datatilsynets tilladelse
    Videregivelse af datasæt med personoplysninger med henblik på at offentliggørelse i et videnskabeligt tidsskrift Kræver ikke Datatilsynets tilladelse Kræver ikke Datatilsynets tilladelse
    Overførsel til lande uden for EU/EØS

    Kræver Datatilsynets tilladelse og overførselsgrundlag.

    Kontakt Kontraktenheden i god tid.

    Kræver som udgangspunkt ikke Datatilsynets tilladelse.

    Kræver dog overførselsgrundlag.

    Kontakt Kontraktenheden i god tid.
    Henvisning til regelsæt

    Almindelige personoplysninger: Databeskyttelseslovens § 10, stk. 2, jf. Databeskyttelsesforordningens art. 6, stk. 1, litra e og art. 89.

    Følsomme personoplysninger: Databeskyttelseslovens § 10, stk. 1, jf. Databeskyttelsesforordningens art. 9, stk. 2, litra g og art. 89.

    Almindelige personoplysninger: Databeskyttelsesforordningens art. 6, stk. 1, litra a.

    Følsomme personoplysninger: Databeskyttelsesforordningens art. 9, stk. 2, litra a.

     

  • +

    Skabelon