Databeskyttelsesforordningen (GDPR)

Et kort overblik over forordningen

Hvad er forordningen?

Den nye databeskyttelsesforordning (GDPR, General Data Protection Regulation) er ny lovgivning fra EU vedrørende behandlingen af personoplysninger. Der er tale om en forordning, hvilket betyder, at den har direkte retsvirkning i medlemslandende som lov, og ikke bygger på et direktiv, som den nuværende persondatalov gør. Grunden til at den nye lovgivning er udformet som en forordning, er for at sikre en langt større harmonisering af lovgivningen på området inden for hele EU. Det bliver således i udgangspunktet nemmere at arbejde med personoplysninger mellem EU’s medlemslande.

Hvad er personoplysninger?

Forordningen regulerer behandlingen af personoplysninger, derfor er det relevant, at man som forsker afklarer, om den data man arbejder med er personoplysninger eller ej. Forordningen definerer personoplysninger som ”enhver form for information om en identificeret eller identificerbar fysisk person”. Dette betyder, at stort set alt data, der på nogen måde vedrører en person, vil være defineret som personoplysninger og derfor omfattet af forordningens regler. Eksempelvis er navn, adresse, mail, telefonnummer, billede, helbredsoplysninger, IP-adresse og biometriske data alle personoplysninger og derfor omfattet af forordningens regler.

Hvornår må man behandle personoplysninger?

Hvis man som forsker vil behandle persondata, kræver det, at man har et legitimt formål med behandlingen samt, at der er tale om en lovlig behandling. Forordningens artikel 6 oplister en række forhold, der kan afgøre, om der er tale om en lovlig behandling af personoplysninger. Vær’ opmærksom på, at indsamling og lagring af personoplysninger begge er defineret som behandlinger.

Opmærksomhedspunkter i forbindelse med behandling af personoplysninger

Som forsker der ønsker at benytte personoplysninger i et forskningsprojekt, er der særligt to ting man skal være opmærksom på:
1) Skal der laves en konsekvensanalyse (Data Protection Impact Assessment, DPIA)?
2) Skal der laves en databehandleraftale?

Konsekvensanalysen er en ny ting i forordningen i forhold til persondataloven. Der er tale om en analyse, der skal vurdere rimeligheden mellem behandlingens formål og behandlingens omfang samt lave en vurdering af risikoen for at krænke de registreredes rettigheder. Konsekvensanalysen skal laves, hvis databehandlingen benytter ny teknologi, hvis der er høj risiko for de registrerede eller, hvis der er stor konsekvens for de registrerede.

En databehandleraftale er en aftale man altid skal indgå med leverandører, hvis data lagres eksternt eller, hvis leverandøren på nogen måde har adgang til data eksempelvis til at lave en behandling af data for en forsker. Det er en aftale mellem den dataansvarlige og en databehandler, der beskriver i hvilket omfang og på hvilken måde en databehandler må behandle data og aftalen skal også fastsætte sikkerheden hos databehandleren.

Hjælp at hente

Hvis man har brug for hjælp eller rådgivning i forbindelse med et forskningsprojekt, der inkluderer behandlingen af personoplysninger anbefales det, at man kontakter sin lokale databeskyttelsesrådgiver (DPO), hvis uddannelsesinstitutionen har ansat en sådan. Ellers bør man rette henvendelse til institutionens juridiske afdeling for hjælp og rådgivning.

DPO på dit universitet

Her kan du finde din databeskyttelsesrådgiver (DPO). Organiseringen er under opbygning på universiteterne.

Tabel 1. Oversigt over universiteter og navn på udpeget DPO.

 KU
 AAU
 SDU
 AU
 DTU
 ITU
 RUC
 CBS
 Lisa Ibenfeldt Schultz (Email: liis@science.ku.dk)
 Teia Melvej Stennevad (Email: tms@its.aau.dk)
 Morten Eeg Ejrnæs Nielsen (Email: morten.eeg@deic.dk)  (Midlertidig DPO)
 Information følger
 Information følger
 Information følger
 Information følger
 Information følger