Aarhus Universitets segl

Personoplysninger i forskning på Aarhus Universitet, hvor vi er dataansvarlige

Aarhus Universitet har ofte brug for at behandle personoplysninger i forskningsprojekter. Det sker for at skabe viden og opnå nye indsigter, som kan bidrage til at løse store samfunds- og sundhedsmæssige udfordringer. 


Når Aarhus Universitet bruger dine personoplysninger til forskning, har vi, som dataansvarlig, ansvar for, at din ret til fortrolighed og privatliv sikres. 

Her finder du information om, hvordan Aarhus Universitet behandler dine personoplysninger, dine rettigheder, vores retsgrundlag, din beskyttelse, og hvor længe vi gemmer oplysningerne. Måske er du allerede informeret om behandling af dine personoplysninger i et konkret forskningsprojekt, i så fald er det disse oplysninger, du skal forholde dig til. Informationerne på denne side kan du betragte som et supplement.

Repræsenterer du en virksomhed, offentlig myndighed eller anden organisation?

Hvad er personoplysninger?

Personoplysning er enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger.

Personoplysninger kan for eksempel være personnumre, registreringsnumre, et billede, et fingeraftryk, en stemme, patientjournaler eller biologisk materiale. Personoplysninger kan både være følsomme og ikke-følsomme.
Læs mere om definitionerne på Datatilsynets hjemmeside.

Hvorfor behandler vi personoplysninger i forskningen?

I forskning har undersøgelser og analyser med udgangspunkt i personoplysninger afgørende betydning for at udvikle løsninger og skabe forskningsgennembrud, der kan bidrage til et bæredygtigt samfund – det kan f.eks. være sygdomsforebyggelse, behandlinger, klima, velfærd, trivsel, økonomi og meget mere.

Hvilke personoplysninger bruger vi i forskningen?

Det afhænger af det enkelte forskningsprojekt, hvilke personoplysninger Aarhus Universitet behandler. Grundlæggende behandler vi kun de personoplysninger, som er nødvendige for at gennemføre forskningen. Hvis du deltager eller ønsker at deltage i et forskningsprojekt, vil det fremgå af informationen fra projektet, hvilke personoplysninger Aarhus Universitet behandler i projektet.

Hvor henter vi personoplysninger?

Når Aarhus Universitet behandler personoplysninger i forbindelse med forskning, er det forskelligt, hvor vi modtager oplysningerne fra. Vi kan modtage personoplysninger på to måder:

  • Direkte fra dig, f.eks. gennem et spørgeskema, et interview, observationer mv.
  • Fra andre end dig, f.eks. fra en kommune, en virksomhed, offentlige registre mv.

Du vil opleve, at Aarhus Universitet ofte vil indhente oplysninger direkte fra dig og sammenkoble dem med oplysninger, som vi modtager fra andre.

Hvad er vores behandlingsgrundlag?

I forskning behandler vi som udgangspunkt personoplysninger på baggrund af ét eller flere af nedenstående behandlingsgrundlag.  Det er AU som dataansvarlig, der skal afgøre, hvilket behandlingsgrundlag der kan anvendes i det enkelte projekt.

Behandlingsgrundlag for ikke-følsomme personoplysninger

Vi behandler dine personoplysninger på baggrund af:

Enten

databeskyttelsesforordningens artikel 6, stk. 1, litra e, fordi behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse. Her beder vi altså ikke om dit samtykke til behandling af dine personoplysninger.

eller

databeskyttelsesforordningens artikel 6, stk. 1, litra a, hvis du giver dit databeskyttelsesretlige samtykke til behandling af dine personoplysninger.

Behandlingsgrundlag for følsomme personoplysninger

Vi behandler dine personoplysninger på baggrund af:

Enten

databeskyttelsesforordningens artikel 9, stk. 2, litra j sammenholdt med databeskyttelseslovens § 10, stk. 1 og samtidig artikel 6, stk. 1, litra e, da det er nødvendigt at behandle oplysningerne til videnskabelige forskningsformål. Her beder vi altså ikke om dit samtykke til behandling af dine personoplysninger.

eller

databeskyttelsesforordningens artikel 9, stk. 2, litra a og samtidig artikel 6, stk. 1, litra a, hvis du giver dit databeskyttelsesretlige samtykke til behandling af dine personoplysninger.

Behandlingsgrundlag for personnummer (CPR)

Vi behandler udelukkende CPR-numre, hvor det er nødvendigt med henblik på entydig identifikation, jf. databeskyttelseslovens § 11, stk. 1.

Særlovgivningen

Nogle gange kan der være særlige regler, som gælder udover de almindelige databeskyttelsesregler. F.eks. vil vi i nogle forskningsprojekter være forpligtet til at efterleve sundhedslovens regler eller andre lovregler for at kunne behandle personoplysninger lovligt.

Særligt om databeskyttelsesretligt samtykke

Hvis vi behandler dine personoplysninger på baggrund af et databeskyttelsesretligt samtykke, så behandler vi kun oplysningerne til det, som du har givet lov til, og du kan til enhver tid tilbagekalde dit samtykke. Det vil dog ikke påvirke den behandling, der er sket før tilbagekaldelsen.

Hvem får adgang til dine personoplysninger?

Deling af viden er essentielt i forskningen, og forskere samarbejder på tværs af fag, universiteter og landegrænser. Vi sikrer os, at vi kun deler dine personoplysninger på et lovligt grundlag. Hvis samarbejdspartnere befinder sig uden for EU/EØS, sørger vi for at etablere et overførselsgrundlag, sådan at du er sikret rettigheder (i relation til beskyttelsen af dine personoplysninger), der i det væsentlige svarer til dem, du har inden for EU/EØS.

Hvor længe gemmer vi personlysninger?

Vi behandler dine personoplysninger, så længe det er nødvendigt for at opnå et eller flere forskningsformål. Vi er forpligtet til at opbevare forskningsdata, herunder personoplysninger, i mindst fem år efter den seneste forskningspublikation for at kunne dokumentere forskningens redelighed.

Hvordan er du beskyttet?

Beskyttelse af dine personoplysninger er vigtig og handler bl.a. om sikre systemer, begrænsning af adgang og krav til den enkelte forsker. Aarhus Universitet er som dataansvarlig forpligtet til at overholde alle regler i databeskyttelsesforordningen (GDPR), databeskyttelsesloven og andre særregler om behandling af personoplysninger.

Al behandling af personoplysninger sker desuden i overensstemmelse med vores informationssikkerhedspolitik og vores forskningsinstruks. Som eksempler kan fremhæves:

Personoplysninger, som forskere får adgang til via offentlige registre, er som udgangspunkt pseudonymiserede (dvs. at de ikke indeholder navn, CPR-nummer eller andre oplysninger, der kan knyttes direkte til dig). Indsamler forskere selv personoplysninger, har de pligt til selv at pseudonymisere oplysningerne i det omfang, at det ikke forhindrer forskningen.

Hvad er dine rettigheder?

Når dine personoplysninger bliver brugt i forskningsøjemed, har du som udgangspunkt følgende rettigheder:

  • Retten til at få dine personoplysninger slettet. Dog ikke i tilfælde, hvor sletningen vil gøre det umuligt at gennemføre eller i alvorlig grad hindre forskningen.
  • Ret til, at vi underretter modtagere, hvis vi imødekommer en anmodning om berigtigelse, begrænsning i behandlingen af personoplysninger eller sletning. Det kan f.eks. være andre forskningsinstitutioner, som oplysningerne er blevet videregivet til i forbindelse med et forskningsprojekt.

Hvis du vil klage

Hvis du vil klage over behandling af dine personoplysninger, sker det via Datatilsynets hjemmeside, hvor du får en vejledning i at klage.

Repræsenterer du en virksomhed, offentlig myndighed eller anden organisation?


Som virksomhed eller organisation kan I opleve, at forskere spørger, om I vil dele oplysninger om jeres medarbejdere til forskningsformål, f.eks. om ansættelsesforhold, interne medarbejderundersøgelser el. lign. Men hvad må man, og hvordan sikrer man sig, at man ikke overtræder databeskyttelsesreglerne.

På hvilke baggrunde kan min organisation/virksomhed videregive personoplysninger til forskning?

Personoplysninger til forskningsformål kan videregives til Aarhus Universitet på flere måder, som du kan læse om her.  

Forskningsdatakontoret på AU kan vejlede din organisation/virksomhed om, hvordan I lovligt kan videregive personoplysninger til forskning. 

Dine muligheder for at videregive personoplysninger lovligt til forskning:

  • Enten har din organisation/virksomhed har et lovligt behandlingsgrundlag til selve videregivelsen, f.eks. den registreredes samtykke. Det vil i praksis sige, at I indhenter samtykke hos de personer, hvis oplysninger I ønsker at videregive til forskningsformålet.
  • Eller din organisation/virksomhed kan basere videregivelsen på det behandlingsgrundlag, som organisationen selv benytter til behandlingen af personoplysningerne, fordi forskningsformål er undtaget i formålsbegrænsningsprincippet.

 

Hvilket databeskyttelsesretligt ansvar har Aarhus Universitet, når universitetet modtager oplysninger til brug for forskning?

Aarhus Universitet er som dataansvarlig forpligtet til at overholde alle regler i databeskyttelsesforordningen (GDPR), databeskyttelsesloven og andre særregler om behandling af personoplysninger. Al behandling af personoplysninger sker desuden i overensstemmelse med vores informationssikkerhedspolitik og vores forskningsinstruks.

Når vi behandler personoplysninger til forskning, sikrer vi, at oplysningerne kun bliver anvendt til forskning. Vi sikrer desuden, at der opstilles passende foranstaltninger til beskyttelse af personoplysninger og passende garantier i medfør af databeskyttelsesforordningens artikel 89.

Kan min organisation kontakte Aarhus Universitet, hvis der er spørgsmål i forbindelse med videregivelse til forskning?

Hvis der er spørgsmål i forbindelse med en videregivelse af personoplysninger til et forskningsformål på Aarhus Universitet, kan din organisation/virksomhed altid kontakte den ansvarlige forsker.