Når Aarhus Universitet bruger dine personoplysninger til forskning, har vi, som dataansvarlig, ansvar for, at din ret til fortrolighed og privatliv sikres.
Her finder du information om, hvordan Aarhus Universitet behandler dine personoplysninger, dine rettigheder, vores retsgrundlag, din beskyttelse, og hvor længe vi gemmer oplysningerne. Måske er du allerede informeret om behandling af dine personoplysninger i et konkret forskningsprojekt, i så fald er det disse oplysninger, du skal forholde dig til. Informationerne på denne side kan du betragte som et supplement.
Personoplysning er enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger.
Personoplysninger kan for eksempel være personnumre, registreringsnumre, et billede, et fingeraftryk, en stemme, patientjournaler eller biologisk materiale. Personoplysninger kan både være følsomme og ikke-følsomme.
Læs mere om definitionerne på Datatilsynets hjemmeside.
I forskning har undersøgelser og analyser med udgangspunkt i personoplysninger afgørende betydning for at udvikle løsninger og skabe forskningsgennembrud, der kan bidrage til et bæredygtigt samfund – det kan f.eks. være sygdomsforebyggelse, behandlinger, klima, velfærd, trivsel, økonomi og meget mere.
Det afhænger af det enkelte forskningsprojekt, hvilke personoplysninger Aarhus Universitet behandler. Grundlæggende behandler vi kun de personoplysninger, som er nødvendige for at gennemføre forskningen. Hvis du deltager eller ønsker at deltage i et forskningsprojekt, vil det fremgå af informationen fra projektet, hvilke personoplysninger Aarhus Universitet behandler i projektet.
Når Aarhus Universitet behandler personoplysninger i forbindelse med forskning, er det forskelligt, hvor vi modtager oplysningerne fra. Vi kan modtage personoplysninger på to måder:
Du vil opleve, at Aarhus Universitet ofte vil indhente oplysninger direkte fra dig og sammenkoble dem med oplysninger, som vi modtager fra andre.
I forskning behandler vi som udgangspunkt personoplysninger på baggrund af ét eller flere af nedenstående behandlingsgrundlag. Det er AU som dataansvarlig, der skal afgøre, hvilket behandlingsgrundlag der kan anvendes i det enkelte projekt.
Vi behandler dine personoplysninger på baggrund af:
Enten
databeskyttelsesforordningens artikel 6, stk. 1, litra e, fordi behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse. Her beder vi altså ikke om dit samtykke til behandling af dine personoplysninger.
eller
databeskyttelsesforordningens artikel 6, stk. 1, litra a, hvis du giver dit databeskyttelsesretlige samtykke til behandling af dine personoplysninger.
Vi behandler dine personoplysninger på baggrund af:
Enten
databeskyttelsesforordningens artikel 9, stk. 2, litra j sammenholdt med databeskyttelseslovens § 10, stk. 1 og samtidig artikel 6, stk. 1, litra e, da det er nødvendigt at behandle oplysningerne til videnskabelige forskningsformål. Her beder vi altså ikke om dit samtykke til behandling af dine personoplysninger.
eller
databeskyttelsesforordningens artikel 9, stk. 2, litra a og samtidig artikel 6, stk. 1, litra a, hvis du giver dit databeskyttelsesretlige samtykke til behandling af dine personoplysninger.
Vi behandler udelukkende CPR-numre, hvor det er nødvendigt med henblik på entydig identifikation, jf. databeskyttelseslovens § 11, stk. 1.
Nogle gange kan der være særlige regler, som gælder udover de almindelige databeskyttelsesregler. F.eks. vil vi i nogle forskningsprojekter være forpligtet til at efterleve sundhedslovens regler eller andre lovregler for at kunne behandle personoplysninger lovligt.
Hvis vi behandler dine personoplysninger på baggrund af et databeskyttelsesretligt samtykke, så behandler vi kun oplysningerne til det, som du har givet lov til, og du kan til enhver tid tilbagekalde dit samtykke. Det vil dog ikke påvirke den behandling, der er sket før tilbagekaldelsen.
Deling af viden er essentielt i forskningen, og forskere samarbejder på tværs af fag, universiteter og landegrænser. Vi sikrer os, at vi kun deler dine personoplysninger på et lovligt grundlag. Hvis samarbejdspartnere befinder sig uden for EU/EØS, sørger vi for at etablere et overførselsgrundlag, sådan at du er sikret rettigheder (i relation til beskyttelsen af dine personoplysninger), der i det væsentlige svarer til dem, du har inden for EU/EØS.
Vi behandler dine personoplysninger, så længe det er nødvendigt for at opnå et eller flere forskningsformål. Vi er forpligtet til at opbevare forskningsdata, herunder personoplysninger, i mindst fem år efter den seneste forskningspublikation for at kunne dokumentere forskningens redelighed.
Beskyttelse af dine personoplysninger er vigtig og handler bl.a. om sikre systemer, begrænsning af adgang og krav til den enkelte forsker. Aarhus Universitet er som dataansvarlig forpligtet til at overholde alle regler i databeskyttelsesforordningen (GDPR), databeskyttelsesloven og andre særregler om behandling af personoplysninger.
Al behandling af personoplysninger sker desuden i overensstemmelse med vores informationssikkerhedspolitik og vores forskningsinstruks. Som eksempler kan fremhæves:
Personoplysninger, som forskere får adgang til via offentlige registre, er som udgangspunkt pseudonymiserede (dvs. at de ikke indeholder navn, CPR-nummer eller andre oplysninger, der kan knyttes direkte til dig). Indsamler forskere selv personoplysninger, har de pligt til selv at pseudonymisere oplysningerne i det omfang, at det ikke forhindrer forskningen.
Når dine personoplysninger bliver brugt i forskningsøjemed, har du som udgangspunkt følgende rettigheder:
Hvis du vil klage over behandling af dine personoplysninger, sker det via Datatilsynets hjemmeside, hvor du får en vejledning i at klage.
Som virksomhed eller organisation kan I opleve, at forskere spørger, om I vil dele oplysninger om jeres medarbejdere til forskningsformål, f.eks. om ansættelsesforhold, interne medarbejderundersøgelser el. lign. Men hvad må man, og hvordan sikrer man sig, at man ikke overtræder databeskyttelsesreglerne.
Personoplysninger til forskningsformål kan videregives til Aarhus Universitet på flere måder, som du kan læse om her.
Forskningsdatakontoret på AU kan vejlede din organisation/virksomhed om, hvordan I lovligt kan videregive personoplysninger til forskning.
Aarhus Universitet er som dataansvarlig forpligtet til at overholde alle regler i databeskyttelsesforordningen (GDPR), databeskyttelsesloven og andre særregler om behandling af personoplysninger. Al behandling af personoplysninger sker desuden i overensstemmelse med vores informationssikkerhedspolitik og vores forskningsinstruks.
Når vi behandler personoplysninger til forskning, sikrer vi, at oplysningerne kun bliver anvendt til forskning. Vi sikrer desuden, at der opstilles passende foranstaltninger til beskyttelse af personoplysninger og passende garantier i medfør af databeskyttelsesforordningens artikel 89.
Hvis der er spørgsmål i forbindelse med en videregivelse af personoplysninger til et forskningsformål på Aarhus Universitet, kan din organisation/virksomhed altid kontakte den ansvarlige forsker.
