Informationssikkerhed

English

Formål med behandlingen af personoplysninger

Indholdet er opdateret i juli 2023. Vær opmærksom på, at vi løbende opdaterer disse sider.

Når du behandler personoplysninger til din forskning, skal du have styr på:

  • Hvorfor det er nødvendigt at behandle personoplysninger
  • Hvilke personoplysninger er nødvendige at behandle for at opnå dit formål. 

Det er kun tilladt at behandle personoplysninger, hvis behandlingen er nødvendig for at opnå forskningsformålet (eller andre formål). Derfor skal du som forsker altid beskrive formålet med behandlingen af personoplysninger, inden du begynder at behandle dem.

Det er kun dig, som forsker, der kan lave formålsbeskrivelsen, da du kender din forskning og den kommende forskning (og evt. andre formål) bedst. Her finder du nogle råd til, hvad du skal overveje, når du skal lave din formålsbeskrivelse.  

1. Identifikation

Start med at spørge dig selv, hvorfor du skal behandle personoplysninger.

Eksempler:

  • Jeg skal behandle personoplysninger, da det er nødvendigt for at undersøge sammenhængen mellem en bestemt psykisk lidelse og andre sygdomme.
  • Jeg skal behandle personoplysninger, fordi det er nødvendigt for at undersøge, hvordan børn agerer i institutioner.
  • Jeg skal behandle personoplysninger for at vurdere, om en bestemt ledelsesstil påvirker medarbejderes trivsel.

Spørg dernæst dig selv, hvilke personoplysninger er nødvendige for, at du kan opnå forskningsformålet (eller øvrige formål). Du må kun behandle de oplysninger, der er nødvendige for at opnå dit forskningsformål (eller øvrige formål) efter dataminimeringsprincippet. Dataminimeringsprincippet betyder, at du kun må behandle de oplysninger, der er nødvendige. For at vurdere dette kan du tænke: Er det 'need to have' (nødvendigt) eller 'nice to have' (ikke nødvendigt)? 

2. Ikke for bred - ikke for snæver

Du skal tænke på, at formålsbeskrivelsen er ’rammen’ for, hvordan du må behandle personoplysningerne. Derfor er det vigtigt, at du tænker dig godt om, når du formulerer formålet.

Det er f.eks. ikke tilladt at have en for bred beskrivelse, da en sådan beskrivelse ikke vil leve op til de databeskyttelsesretlige principper og regler.

Eksempler på for brede beskrivelser:

  • ’forskning i sygdomme’,
  • ’forskning i børn’
  • ’fremtidig forskning’

Omvendt skal du heller ikke formulere formålet så snævert, at der ikke er plads til, at din forskning udvikler sig undervejs.

Eksempel på en snæver beskrivelse:

  • Forskning i drengene fra 6. a på Sommerskolens opfattelse af vegetarisk skolemad i skoleåret 2021

3. Gennemskuelighed – hvorfor behandle personoplysninger?

Behandlingen af personoplysninger skal være gennemsigtig/gennemskuelig. Det skal altså være tilstrækkeligt præciseret, hvorfor behandlingen af personoplysninger vil finde sted.

Hvis formålet med behandlingen af personoplysninger ikke tilstrækkeligt præciseret, kan de registrerede ikke gennemskue, hvorfor deres personoplysninger bliver behandlet. Kravet om formålsbestemthed (altså at der skal være et specificeret formål med behandlingen af personoplysninger) skal bl.a. sikre, at de registrerede kan gøre deres rettigheder gældende over for den dataansvarlige.

Som dataansvarlig skal AU sikre sig, at behandlingen sker på en fair og lovlig måde – det bidrager du til, når du beskriver dit formål med behandlingen af personoplysninger på en klar måde.

4: Ét eller flere formål?

Det er en god idé at overveje, om du har behov for at behandle personoplysningerne til ét eller flere formål, da du ellers kan risikere at udelukke dig selv fra at behandle oplysningerne senere hen. 

Det er vigtigt, at du oplyser den registrerede om de formål, som du skal behandle oplysningerne til på en måde, som gør det klart, at der er tale om flere formål. Du kan finde vejledning om oplysningspligt her

 

Har du brug for mere hjælp?

Kontakt din lokale databeskyttelseskoordinator, hvis du har spørgsmål.
Revideret 07.11.2023
-
Webredaktionen, Universitetsledelsens Stab