Generelt
Bliv klogere på, hvad du som forsker skal være opmærksom på, hvis din forskning involverer personoplysninger - og ikke kun de følsomme personoplysninger.
Databeskyttelseslovens § 10 tillader behandling af følsomme personoplysninger uden den registreredes samtykke, hvis behandlingen udelukkende sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning - dette bliver nogle gange refereret til som forskningshjemlen. Det samme gør sig gældende for almindelige personoplysninger, der kan behandles efter databeskyttelsesforordningens artikel 6, stk. 1, litra e (opgave i samfundets interesse).
Konkret betyder det, at behandlingen kun må ske med henblik på forskning og statistik og skal være nødvendig for udførelsen af undersøgelserne. Oplysningerne kan derfor for eksempel ikke anvendes i journalistisk øjemed, til administrativ sagsbehandling eller patientbehandling. Denne begrænsning gælder under hele behandlingen og kan ikke senere fraviges ved at indhente samtykke fra de registrerede.
Selve resultaterne af undersøgelserne kan anvendes til andre formål end forskning og statistik, hvis det af resultaterne ikke er muligt at identificere enkeltpersoner. Der må med andre ord ikke være tale om personoplysninger, hvis oplysninger fra projektet skal anvendes til andre formål end forskning og statistik.
Undtagelse
Hvis man vurderer, at det er mere etisk korrekt at indhente et samtykke fra de registrerede, udgår forskningshjemlen (art. 6, stk, 1 litra e). Det betyder, at de særlige krav i denne bestemmelse ikke finder anvendelse. Dvs. undersøgelser, der sker på baggrund af de registreredes udtrykkelige samtykke – f.eks. en spørgeskemaundersøgelse – omfattes ikke af reglerne i databeskyttelseslovens § 10. Forskeren skal dog fortsat overholde de øvrige databeskyttelsesretlige regler og være særligt opmærksom på, at et samtykke til enhver tid kan trækkes tilbage. Du kan læse mere om samtykke under vejledning om samtykkeerklæringer.
Rettigheder og pligter
Den dataansvarlige for et forskningsprojekt skal som hovedregel overholde de almindelige databeskyttelsesregler og er ansvarlig for at påvise, at personoplysningerne behandles i overensstemmelse med disse. Du kan læse mere om disse her.
Det indebærer blandt andet, at:
- Alle, der arbejder med forskningsprojektet, skal være oplyst om databeskyttelsesreglerne og den dataansvarliges retningslinjer herefter.
- Personoplysninger i både manuel og elektronisk form skal opbevares på en måde, der sikrer at uvedkommende ikke får adgang til personoplysningerne. Det omfatter interne netværk, udtagelige lagringsmedier, sikkerhedskopier af data, udskrifter, fejl- og kontrollister, biologisk materiale m.v.
- Personoplysninger skal opbevares på en måde, der sikrer mod hændeligt tab, tilintetgørelse eller beskadigelse af personoplysningerne.
- Den dataansvarlige må ikke behandle flere oplysninger, end hvad der nødvendigt af hensyn til undersøgelsen.
- Den dataansvarlige skal i overensstemmelse med databeskyttelsesforordningens artikel 28, stk. 3, indgå en skriftlig aftale med en eller flere eventuelle databehandlere.
- Ved overførsel af personhenførbare oplysninger via internettet eller andet eksternt netværk skal der træffes de fornødne sikkerhedsforanstaltninger mod, at oplysningerne kommer til uvedkommendes kendskab, eventuelt ved kryptering
Den dataansvarlige skal desuden foretage en kortlægning over risikoen for de registreredes rettigheder afvejet med de forholdsregler, der bliver truffet for at sikre denne beskyttelse. Du kan læse mere herom under i vejledning om behandlingssikkerhed.
Skal forskningsprojekter anmeldes til Datatilsynet?
Nej. Der stilles ikke længere krav om forudgående tilladelse fra Datatilsynet. Forskningsprojektet skal dog som minimum registreres af Absalon som en del af Absalons paraplygodkendelse til forskningsarbejde.
Videregivelse i forbindelse med forskningsprojekter
Personoplysninger omfattet af databeskyttelseslovens § 10, stk. 1 og 2, må alene videregives – f.eks. til et andet forskningsinstitut – med henblik på modtagerens udførelse af en undersøgelse i statistisk eller videnskabeligt øjemed af væsentlig samfundsmæssig betydning.
Datatilsynet har fastsat en bekendtgørelse om, hvornår og hvordan en sådan videregivelse må finde sted. Du kan læse bekendtgørelsen her og den tilhørende vejledning til bekendtgørelsen her.
Bekendtgørelsen om videregivelse finder ikke anvendelse, hvis Datatilsynet har fastsat vilkår i forbindelse med en tilladelse til videregivelse.
Der skal som udgangspunkt ikke indhentes tilladelse til videregivelse af personoplysninger hos Datatilsynet. Dog skal Datatilsynets forudgående tilladelse til videregivelse indhentes i følgende tre tilfælde:
- Når videregivelsen sker til behandling uden for databeskyttelsesforordningens territoriale anvendelsesområde – eksempelvis til USA.
- Når videregivelsen vedrører biologisk materiale – eksempelvis blod- eller vævsprøver.
- Når videregivelsen sker med henblik på offentliggørelse af oplysninger i anerkendte videnskabelige tidsskrifter eller lignende.
I de tilfælde, hvor Datatilsynets forudgående tilladelse skal indhentes, vil de bekendtgørelsen om videregivelse suppleres med de særlige vilkår Datatilsynet fastsætter i tilladelsen.
På Datatilsynes hjemmeside finder du den blanket, du skal bruge for at anmode om tilladelse fra Datatilsynet til videregivelse.
Registreredes rettigheder
Oplysningspligten efter de databeskyttelsesretlige regler gælder som udgangspunkt ved videnskabelige eller statistiske projekter. Dog vil undtagelsen i databeskyttelsesforordningens artikel 14, stk. 5, litra b – om umulighed eller uforholdsmæssighed – ofte finde anvendelse ved behandling af personoplysninger, der sker til videnskabelige eller historiske eller til statistiske formål.
Følgende rettigheder finder ikke anvendelse for undersøgelser, hvor oplysningerne udelukkende behandles i videnskabeligt eller statistisk øjemed:
- Den registreredes indsigtsret.
- Retten til berigtigelse.
- Retten til begrænsning af behandling.
- Retten til indsigelse.
Ved forskningsprojektets afslutning
Når et forskningsprojekt er afsluttet, skal alle personoplysninger slettes eller anonymiseres. Fuldstændigt anonymiserede oplysninger er ikke omfattet af de databeskyttelsesretlige regler, og oplysningerne må derfor fortsat opbevares og anvendes. Med fuldstændigt anonymiserede oplysninger menes oplysninger, som ikke af nogen kan tilbageføres til enkelte personer.
Hvis projektet også omfatter blod- eller vævsprøver, videooptagelser el. lign., skal også dette materiale destrueres, slettes eller anonymiseres.
Inden opstart af forskningsprojekt
Behandler du personoplysninger?
Er dine data omfattet af persondatareglerne?
Indsamling af alle typer personoplysninger i forbindelse med et forskningsprojekt skal registreres internt på Absalon.
Du skal registrere dit forskningsprojekt med personoplysninger via en formular.
Hvis personoplysningerne omhandler en person, der er død for mere end 10 år siden, er oplysningerne ikke omfattet af reglerne.
Er du i tvivl om, hvorvidt du behandler personoplysninger, kan du kontakte Absalons Databeskyttelseskoordinator (DPC): dpc@pha.dk.
Behandler du personoplysninger?
Ifølge Datatilsynet omfatter begrebet "behandling" enhver form for håndtering af personoplysninger. Det er først og fremmest elektronisk behandling af oplysninger, der er omfattet af reglerne. Det kan fx være indsamling, registrering, systematisering, opbevaring, søgning, brug, videregivelse eller sletning af personoplysninger.
Formål
- Vær bevidst om formålet med indsamling/behandling af personoplysninger.
- Vurder nødvendigheden af mængde og type af personoplysninger. Hvilke personoplysninger er nødvendige ud fra formålet?
- Vær opmærksom på hjemmel. Skal du have samtykke-hjemmel eller har du en anden hjemmel? Ved tvivl, kan du kontakte Absalons Databeskyttelseskoordinator (DPC): dpc@pha.dk.
- Vær opmærksom på, om du undervejs i dit projekt skal udveksle indsamlede personoplysninger med kolleger, virksomheder eller organisationer uden for Absalon. I så fald skal der evt. indgås aftaler, herunder databehandleraftaler.
- Forbered tekst til oplysning af informanter/respondenter/registrerede. Du skal oplyse om formål med behandling, retligt grundlag for behandlingen, kontaktinformation og modtagere af personoplysninger. For rådgivning kan du kontakte Absalons Databeskyttelseskoordinator (DPC): dpc@pha.dk.
Under forskningsprojektet
- Oplys informanter om indsamlingen af personoplysninger samtidig med indsamlingen - med den forberedte tekst.
- Indhent samtykke, om nødvendigt, enten som hjemmel (ift. databeskyttelsesforordningen) eller efter krav andetsteds fra. Samtykke kan indhentes samtidigt med, at oplysningen gives (se ovenfor).
- Opbevar personoplysninger/data på en sikker måde.
- Sørg for, at kun de for hvem det ifølge formålet med indsamlingen (forskningsprojektet) er nødvendigt med adgang, har adgang til oplysningerne.
- Hvis personoplysningerne skal udveksles med andre, skal det ske på en sikker måde.
- Videregivelse af data skal være i overensstemmelse med formålet og skal som udgangspunkt være oplyst informanterne ved indsamlingen.
- Absalon og/eller Datatilsynet skal give tilladelse til videregivelse af personoplysninger.
- Hvis du ønsker at overføre dataansvaret til en anden organisation (fx en anden professionshøjskole), skal du søge om det, og det skal som udgangspunkt være oplyst de registrerede ved indsamlingen.
- Hvis du får henvendelser fra informanter om de registreredes rettigheder, kan du kontakte Absalons databeskyttelseskoordinator eller Absalons databeskyttelsesrådgiver.
- Vær opmærksom på, at du skal melde sikkerhedsbrud til Absalon.
- Anonymiser eller pseudonymiser personoplysninger undervejs, hvis du ikke længere har brug for identiteten på informanterne. Hvis personoplysninger anonymiseres helt, er de ikke længere omfattet af reglerne.
Efter forskningsprojektet
- Opbevar ikke personoplysninger længere end det er nødvendigt i forhold til de formål, som de er indsamlet til. Forskningsdata skal gemmes i mindst 5 år efter seneste offentliggørelse af resultater på baggrund af data, og denne periode må derfor anses for at være nødvendig for formålet.
- Opbevar personoplysninger sikkert.
- Data skal overføres til Rigsarkivet, hvis der udelukkende resterer et arkivformål.
- Hvis du ønsker at overføre dataansvaret til en anden organisation (fx en anden professionshøjskole), skal du søge om det, og det skal som udgangspunkt være oplyst informanterne ved indsamlingen. Læs mere om videregivelse af personoplysninger.