Afklar, om du indsamler personoplysninger (se her). Vær opmærksom på, at personoplysninger skal forstås meget bredt, og at oplysninger, der kan henføres til en bestemt person, også er en personoplysning, selv hvis personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger.
Hvis der behandles personoplysninger i projektet, er der krav om, at du kan dokumentere, at du overholder reglerne om datasikkerhed. Opret derfor gerne en ”GDPR”-mappe under dit projekt, hvor du gemmer alle dokumenter omkring datasikkerhed (se mere her).
Hvis der behandles personoplysninger i projektet, skal du vurdere, om du (AU) er dataansvarlig eller databehandler, lige som det skal vurderes, hvilken rolle andre parter i projektet har (se her).
a) Hvis du bruger eksterne som databehandler (fx til at indsamle data eller til at opbevare data), skal du lave en databehandleraftale.
Hvis du behandler personoplysninger, skal du skal registrere dit projekt ved fortegnelsen (der er lidt forskel på, om man er dataansvarlig eller databehandler). For at gøre dette skal du yderligere tage stilling til følgende:
a) Hvad er dit behandlingsgrundlag (hjemmel) – samtykke eller forskningshjemmel (få information her)?
Forskningshjemmel: Du kan bruge forskningshjemlen som behandlingsgrundlag, hvis du alene behandler personoplysninger til videnskabelige eller statistiske formål, og hvor behandlingen er nødvendig for forskningen. Hvis du bruger forskningshjemlen som dit behandlingsgrundlag, skal du være opmærksom på, at du som udgangspunkt har pligt til at oplyse deltagerne om, at du behandler deres personoplysninger (AU har to skabeloner). Her skal du tydeligt angive dit/dine formål med behandlingen af personoplysningerne. I nogle tilfælde er det ikke er muligt at oplyse deltagerne, hvorfor du kan undlade at opfylde oplysningspligten (se mere her). OBS: Hvis du ønsker at bruge personoplysningerne i forbindelse med andet end forskning (fx undervisning), kan du ikke udelukkende henvise til forskningshjemlen, men er nødt til at indhente et samtykke fra deltagerne. Du kan sagtens stadig bruge forskningshjemlen som dit behandlingsgrundlag til behandling af data til forskning, men samtidig indhente samtykke til fx at dele data med studerende. Det er imidlertid meget vigtigt i informationsmaterialet at informere herom, så det er forståeligt for de registrerede, når der anvendes flere hjemmelgrundlag.
Samtykke: Det er vigtigt at skelne mellem samtykke til behandlede personoplysninger og samtykke, som følger af anden lovning, f.eks. etisk samtykke, der ikke har noget med databeskyttelse at gøre. Ganske ofte vil det ikke være hensigtsmæssigt at bruge samtykke som behandlingsgrundlag, hvis du kun ønsker at anvende data til forskning. Hvis du baserer behandlingen af personoplysninger på samtykke, skal du være opmærksom på at indhente og dokumentere disse på en gyldig måde. AU har to skabeloner hertil. Du har også oplysningspligt ved samtykke. Dette vil som oftest foregå, når man indhenter samtykke.
b) Planlægger du at dele personlysninger med eksterne?
c) Sker der en overførsel af personoplysninger til et land uden for EU/EØS? (Hvis ja, på hvilket grundlag?)
d) Påtænker du at publicere personoplysningerne (dvs. uden at de anonymiseres)?
e) Hvilke tiltag har du gjort/påtænker du dig at gøre for at beskytte personoplysningerne? (opbevaring, pseudoanonymisering, kryptering osv.)
f) Hvilke datakilder anvender du? (Hvor får du data fra? Danmarks Statistik, offentlige data, survey data, du selv indsamler eller lader andre indsamle osv.)
g) Oprettes der en forskningsdatabase på baggrund af forskningsprojektet?
Forud for enhver behandling af personoplysninger skal der foretages en skriftlig risikovurdering (se her).
I nogle tilfælde skal du også udarbejde en konsekvensanalyse. Det gælder fx, hvis din risikovurdering viser, at din behandling af personoplysninger vil medføre en høj risiko for deltagernes rettigheder og frihedsrettigheder. Der kan dog også være andre situationer, hvor det vil være nødvendigt at udarbejde en konsekvensanalyse. Find ud af, om du skal udarbejde en konsekvensanalyse ved at svare på AU’s spørgsmål omkring dette, og se, hvad en konsekvensanalyse skal indeholde.
Procedurer undervejs i forskningsprojektet
I al den tid du behandler personoplysningerne, skal du sikre dig, at data opbevares et sikkert sted (se mere her).
Løbende under dit forskningsprojekt skal du tage stilling til: a) Er der sket ændringer ift. fx antal deltagere, typen af personoplysninger, eller hvilke datakilder du anvender? b) Indgår der andre eksterne parter i dit projekt, end du havde planlagt? c) Er der ændringer i dit/dine formål? d) Har projektet fået en ny kontaktperson (fx hvis tidligere kontaktperson er stoppet på AU)?
Hvis der er opstået sådanne ændringer eller lignende, skal du kontakte fortegnelsen (fortegnelsen@au.dk).
Skal du dele eller videregive personoplysningerne med en ekstern aktør, som ikke er ansat på AU? (se her)
Har du modtaget en henvendelse fra en deltager, så har vedkommende en række rettigheder, som du skal sørge for at overholde. Dette afhænger blandt andet af, hvilket behandlingsgrundlag du har brugt (se mere her).
Hvis du gerne vil bruge studentermedhjælpere, skal du være opmærksom på, at disse også overholder databeskyttelsesforordningen. Dette betyder fx, at de ikke må have personoplysninger liggende på deres private computere.
Hvis der er sket et sikkerhedsbrud, som involverer personoplysninger (fx offentliggørelse, personoplysningerne er sendt til en forkert modtager, forkerte personoplysninger er sendt til en rigtig modtager, hacking, tyveri eller tab), er det vigtigt, at du oplyser AU om det ved at udfylde denne formular.
Procedurer efter forskningsprojektets afslutning
Find ud af, om det er nødvendigt at opbevare personoplysninger ifølge reglerne om ansvarlig forskningspraksis eller ifølge regler i særlovgivningen (det kan fx være sundhedslovgivningen).
Hvis ja: Så skal du stadig følge reglerne om ansvarlig forskningspraksis, da opbevaring også anses for at være en form for behandling af personoplysningerne. Du skal derfor sikre dig fx, at de er opbevaret et sikkert sted, og dit projekt skal forblive tilmeldt fortegnelsen.
Hvis nej: Så kan du vælge mellem fire muligheder og derefter afmelde dit projekt hos fortegnelsen. a) Du kan slette personoplysningerne. b) Du kan anonymisere personoplysningerne uigenkaldeligt (læs mere her). c) Du kan overføre personoplysningerne til Rigsarkivet (læs mere her). d) Du kan lovligt videregive personoplysningerne til en anden dataansvarlig – dvs. en ekstern aktør uden for AU (læs mere her).
For yderligere information om, hvad du som forsker skal være opmærksom på, når du behandler persondata, se AU's side 'GDPR: Personoplysning og forskning'.