Her kan du læse om, hvad en videregivelse af personoplysninger er, hvornår du må videregive personoplysninger og hvilke krav, der stilles når du videregiver personoplysninger.

Videregivelse er, når personoplysninger deles med tredjemand, og vedkommende skal bruge personoplysningerne til egne formål. En tredjemand er i denne sammenhæng en, der ikke er ansat på DMJX, fx en ekstern samarbejdspart, en kollega fra et andet universitet, en studerende mv.

Hvis en forsker skifter arbejde og i den forbindelse ønsker at tage datasæt, der indeholder personoplysninger med sig til en ny arbejdsplads, er dette videregivelse. Årsagen til dette er, at det ikke er forskeren personligt, der er dataansvarlig. Det er derimod den arbejdsgiver, som forskeren arbejder for, der er den dataansvarlige. DMJX er derfor dataansvarlig for den forskning, som DMJX-ansatte forskere gennemfører.

Virkningen af videregivelse er, at såvel den afgivende som den modtagende forskers institution er dataansvarlig for egne databehandlinger.

Vidergivelse ved forskningshjemlen

Forskningsdata, der indeholder personoplysninger, kan videregives til forskere fra andre institutioner, forudsat at betingelserne i databeskyttelsesreglerne er opfyldt. 

Data, der er blevet indsamlet eller modtaget med henblik på at blive brugt til forskning eller statistik, må alene anvendes til forskning og statistik. Forskningsdata kan altså aldrig videregives til andre formål end statistik og forskningsformål.

Eksempel: En forsker vil undersøge gymnasieelevers trivsel, og i den forbindelse indsamles data ved hjælp af et spørgeskema. Et af de deltagende gymnasier vil gerne modtage en kopi af de studerendes svar, således at de kan gå ind og hjælpe de studerende, som ikke trives. Dette må forskeren ikke udlevere til gymnasiet, da gymnasiets formål ikke er forskning, men derimod en trivselsindsats. Gymnasiet må derimod gerne modtage en rapport, hvor man kan se det aggregerede resultat, og hvor det ikke er muligt at identificere den enkelte elev. 

Reglerne om videregivelse gælder også, selvom man ikke umiddelbart kan identificere enkeltpersoner gennem oplysningerne, fx ved pseudonymisering. Det afgørende er, om det er muligt for nogen at tage personoplysningerne og koble disse til identificerbare enkelpersoner. Databeskyttelsesreglerne gælder også, selvom personoplysninger som navn, adresse mv. er fjernet, men der stadig er én eller flere oplysninger, der hver for sig eller sammen er så karakteristiske, at det er muligt for nogen at identificere den registrerede.

Det er ligeledes et krav, at videregivelse af forskningsdata indeholdende personoplysninger skal registreres hos den dataansvarlige – i dette tilfælde DMJX’s fortegnelse over behandlinger af personoplysninger på forskningsområdet.

De grundlæggende principper for behandling af personoplysninger i forbindelse med videregivelse skal overholdes, herunder kravet om dataminimering. Det betyder bl.a., at der kun må videregives de oplysninger, der er nødvendige for udførelsen af modtagerens undersøgelse.

Datatilsynet har bestemt, at den, der ønsker at videregive oplysninger, skal inden videregivelsen som minimum sikre – ved en skriftlig erklæring fra modtageren– følgende:

• At oplysningerne konkret er nødvendige for modtagerens undersøgelse
• At oplysningerne alene vil blive brugt i statistisk eller videnskabeligt øjemed
• At oplysningerne ved undersøgelsens afslutning vil blive slettet, anonymiseret eller tilintetgjort, således at det efterfølgende ikke er muligt at identificere enkeltpersoner, eller alternativt vil blive overført til opbevaring i arkiv efter reglerne i arkivlovgivningen.

I følgende tilfælde skal videregivelse af forskningsdata, der indeholder personoplysninger, til tredjemand have en forudgående tilladelse fra Datatilsynet:

• Hvis modtageren skal behandle data uden for EU/EØS’ grænser

Hvis der skal videregives forskningsdata til et forlag eller lignende i forbindelse med publicering i et anerkendt videnskabeligt tidsskrift eller lignende.

SAMTYKKEHJEMLEN

Er der anvendt en samtykkeerklæring til at indhente personoplysninger, vil det ikke være nødvendigt med en videregivelseserklæring, som beskrevet ovenfor. Man skal heller ikke søge en forudgående tilladelse fra Datatilsynet for at videregive menneskeligt biologisk materiale eller videregive forskningsdata til et forlag i forbindelse med publicering i et anerkendt videnskabeligt tidsskrift.

Det skal dog fremgå klart og tydeligt af samtykketeksten og forholdene omkring samtykkeafgivelsen, at den registrerede giver samtykke til videregivelse af sine personoplysninger, og hvem personoplysningerne videregives til.

Derudover skal selve samtykketeksten og forholdene omkring indhentelsen af samtykket leve op til nogle krav.

Vær opmærksom på, at man også bruger samtykke i anden lovgivning. Det er vigtigt, at være opmærksom på, at et samtykke efter anden lovgivning ikke automatisk betyder, at man har et lovligt samtykke til at behandle personoplysninger.​

Hvis du har indsamlet/indhentet data, der indeholder personoplysninger, ved brug af et samtykke, og du ønsker at videregive dette datasæt, bedes du kontakte GDPR-teamet på dpo@dmjx.dk og få hjælp til at vurdere om samtykket kan danne grundlag for en videregivelse.

Vejledning til vidergivelse:

Skabeloner til vidergivelse