DATABESKYTTELSESFORORDNING

Behandling af personoplysninger til forskningsformål

Når en virksomhed skal behandle personoplysninger til forskningsformål, skal virksomheden overholde specifikke regler i GDPR. Dette gælder både for behandling af personoplysninger til videnskabelige eller historiske forskningsformål.

Forskel mellem historiske forskningsformål og videnskabelige forskningsformål

Videnskabelige forskningsformål

Undersøgelser, der er metodisk og systematisk, der har til formål at udvikle ny forståelse eller viden på visse specifikke områder.

Historiske forskningsformål

Forskning og relateret arbejde, der har til formål at forstå, bevare, analysere eller dokumentere historiske begivenheder, personer, forhold, situationer og lignende, der er sket i fortiden.

Træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger

Virksomhederne skal beskytte de behandlede personoplysninger ved at træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger. Dette gælder også, når en virksomhed behandler personoplysninger til forskningsformål. Hvis det er muligt at opnå det samme resultat ved hjælp af anonyme data i stedet, bør personoplysningerne anonymiseres.

Eksempler på tekniske sikkerhedsforanstaltninger:

Pseudonymiseringeller anonymisering af personoplysninger.
Tofaktorgodkendelse (2FA), når du logger ind på systemer med personoplysninger.
Antivirusbeskyttelse i enheder og programmer, der behandler personoplysninger.

Eksempler på organisatoriske sikkerhedsforanstaltninger:

Fortrolighedsaftale med personale, der behandler personoplysninger.
Interne procedurer vedrørende behandling af personoplysninger og specifikke situationer såsom brud på persondatasikkerheden.
Adgangskontrol for at sikre, at kun autoriserede brugere har adgang til de personoplysninger, der behandles i et givet system.

Almindeligt forbundet med fælles kontrol

I forskning er det normalt, at to eller flere institutioner samarbejder. For eksempel forskere fra en institution fra Finland, der samarbejder med forskere fra en institution i England. I sådanne tilfælde er det vigtigt at definere rollerne mellem parterne. Det er ikke ualmindeligt, at der er fælles ansvar for personoplysninger i forskning, der involverer flere institutioner. Derudover kan der være et uafhængigt dataansvar for hver institution, eller alternativt kan der være et databehandlerforhold mellem institutionerne.

Er samtykke et fælles retsgrundlag, der skal anvendes ved behandling af personoplysninger til forskningsformål?

Nej, samtykke er et komplekst retsgrundlag for at understøtte behandlingen. Det kan dog være hensigtsmæssigt i visse tilfælde, som illustreret nedenfor, for følsomme personoplysninger.

Er det tilladt at behandle følsomme personoplysninger til forskningsformål?

Behandling af følsomme personoplysninger er ikke tilladt i henhold til den generelle regel i artikel 9 i GDPR. Der er dog undtagelser. For at behandle følsomme personoplysninger til forskningsformål skal den operatør, der ønsker at foretage behandlingen, finde en gældende undtagelse. For eksempel at indhente udtrykkeligt samtykke til behandling af følsomme personoplysninger fra den registrerede. Derudover kan der være nationale love, der regulerer specifikke undtagelser. Bemærk, at kravene til gennemførelse af passende tekniske og organisatoriske sikkerhedsforanstaltninger er højere, når behandlingen vedrører følsomme personoplysninger.

Behandle de samme personoplysninger igen til forskningsformål

I GDPR er hovedreglen, at hver ny behandling kræver et nyt retsgrundlag, selvom virksomheden allerede behandler de samme personoplysninger. Der er dog undtagelser. For eksempel er yderligere behandling uden et yderligere retsgrundlag tilladt til forskningsformål. Med andre ord gælder de samme regler som for arkiver af offentlig interesse med henblik på viderebehandling til forskningsformål.

Der kan være flere nationale love, der skal overholdes ved behandling med henblik på forskning

Mange lande i EU har supplerende nationale love, der regulerer behandlingen af personoplysninger til forskningsformål. Det er derfor vigtigt at være opmærksom på de nationale love i det land, hvor forskningen udføres, for at overholde dem.

GDPR - Databeskyttelsesforordningen

Behandling af personoplysninger på skoler

Skoler i EU/EØS-området, både private og statslige, behandler personoplysninger inden for deres aktiviteter, og de er dermed omfattet af GDPR. Derudover behandler de normalt personoplysninger, der tilhører børn, hvilket er en yderligere målgruppe, der er beskyttelsesværdig. Det er også almindeligt at behandle følsomme personoplysninger, såsom medarbejderes og studerendes mulige allergier og sygefravær. Det korrekte retsgrundlag for brug afhænger af behandlingen. Samtykke er normalt ikke hensigtsmæssigt, fordi der er et ulige magtforhold mellem eleverne og skolen. Offentlige skoler kan ikke have en legitim interesse i at behandle personoplysninger, da det er forbudt i henhold til GDPR. Dog kan det være tilladt for private skoler, men det er normalt uhensigtsmæssigt for dem så godt.