Når du selv indsamler data til brug i din opgave, bachelorprojekt eller speciale er der en række ting, du som dataansvarlig skal tage stilling til. Herunder finder du en tjekliste over ting, som du som minimum bør forholde dig til.
Inden du påbegynder indsamling af personoplysninger til din opgave, skal du gøre dig nogle tanker om selve indsamlingen. Den skal foregå på en sikker måde – og derfor skal du undersøge mulighederne for at anvende sikre systemer og have en plan for, hvor data skal opbevares, hvordan du får indhentet samtykke, hvornår der skal ske sletning mv.
Det er et overordnet princip i GDPR at der ikke må behandles flere oplysninger end det er nødvendigt for at opfylde formålet. Det betyder, du skal gøre dig klart, hvilke oplysninger du har brug for og dermed ikke indsamle oplysninger, der ikke er relevante. Dette kaldes dataminimering. Undervejs i dine analyser skal du ligeledes holde for øje at du kun må gemme persondata, du har brug for.
Du anbefales desuden at lave en oversigt over hvilke personoplysninger, du indsamler, og til hvilket formål de skal benyttes - det er en hjælp til dig, hvis Datatilsynet eller dem du indsamler oplysninger om spørger. Herunder forslag til hvad du kan medtage i sådan en oversigt:
- Uddannelse
- Dit navn
- Din vejleders navn
- Titel på opgave
- Afleveringsdato
- Formål med behandling af oplysninger (f.eks. at afslutte bachelor eller kandidat)
- Kategorier af personer (f.eks. unge i alderen 15-20 år på erhvervsuddannelser)
- Antal personer pr. personkategori (f.eks. 500 personer ml. 15-20 på erhvervsuddannelser)
- Kategorier af personoplysninger (f.eks. alder, køn, holdninger til uddannelse, eksamenskarakterer mv.)
- Hvor data opbevares under indsamling og analyse
- Tidspunkt for sletning af oplysningerne
I forbindelse med indhentningen af samtykke, skal deltageren oplyses om sine rettigheder, så vedkommende kan vurdere om har lyst til at samtykke eller ej. Det er en del af betingelsen om at samtykket skal være informeret. Deltageren skal oplyses om:
- identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant,
- formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen,
- eventuelle modtagere eller kategorier af modtagere af personoplysningerne,
- når behandling er baseret på samtykke, skal der oplyses om retten til at trække samtykke tilbage på ethvert tidspunkt og
- retten til at indgive en klage til en tilsynsmyndighed (Datatilsynet).
Derudover kan du vælge at oplyse om nedenstående punkter (alt efter de konkrete omstændigheder)
- det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum,
- retten til at anmode den dataansvarlige om:
- indblik i de personoplysninger, der behandles om deltageren,
- at rette og tilpasse personoplysninger, som ikke er korrekte eller
- at slette personoplysninger eller
- at begrænse behandlingen vedrørende den registrerede eller
- retten til at gøre indsigelse mod behandling
Hvis du anvender SDU RIO’s samtykkeerklæring, er oplysningspligten en del skabelonen.
Du skal sørge for at have et gyldigt samtykke, fra den person, du vil indsamle oplysninger om - inden du starter indsamlingen af data. Dette gælder uanset om du skal optage video, tage billeder, have besvarelser på et spørgeskema eller noget helt fjerde. Der er fire betingelser, der skal være opfyldt, før et samtykke er gyldigt:
- Samtykket skal være specifikt, så det er tilpasset konkret til den opgave og det formål, der er relevant.
- Det skal være frivilligt, således at der ikke er nogle ulemper forbundet med at sige nej.
- Det skal være utvetydigt, så stiltiende/underforståede samtykker er ikke gyldige.
- Slutteligt skal det være informeret, så deltageren oplyses om, hvilke rettigheder vedkommende har.
En anmodning om samtykke skal være let tilgængelig, forståelig og være i et klart og enkelt sprog – undgå derfor faglige udtryk – hvis det er muligt. Vi anbefaler, du indhenter et skriftligt samtykke, da du skal kunne bevise, at der er givet samtykke - og hvad der specifikt er givet samtykke til. Dette er SDU's anbefaling, selvom et mundtligt samtykke er lige så gyldigt.
Deltageren kan til enhver tid trække sit samtykke tilbage. Hvis det sker, må du ikke længere behandle personoplysninger og skal derfor slette de oplysninger, du har om personen.
Inden deltageren giver samtykke, skal deltageren have oplysning om, at samtykket kan trækkes tilbage. Det må ikke være mere byrdefuldt at tilbagetrække samtykket, end det var at give det. Er der lavet en samtykkeerklæring vil det være fint at deltageren kan trække samtykket tilbage ved at sende en mail eller ringe ind. Deltageren skal have tilstrækkelig information om sine rettigheder og de konkrete omstændigheder i forhold til opgaven og behandlingen af data. Det er en betingelse for at samtykket er gyldigt.
Alle personer der er 15 år eller ældre kan afgive samtykke, hvis du vurderer, at personen kan forstå informationen samt overskue konsekvenserne ved at give samtykke til behandlingen af persondata. Læs mere i næste punkt i fold-ud-menuen.
SDU RIO har lavet en skabelon til en samtykkeerklæring, som du kan vælge at bruge.
Husk at samtykkeerklæringer skal opbevares sikkert nøjagtig som dine øvrige data. Samtykkeerklæringer skal kun opbevares så længe data behandles - dvs. til alle data er slettet eller anonymiseret.
Er der tale om oplysninger om børn, er det en konkret vurdering, om barnet selv kan give samtykke. Det skal vurdereres om barnet kan overskue konsekvenserne af et samtykke og her har karakteren af oplysningerne og barnets modenhed betydning. Generelt anses en almindelig 15-årig for tilstrækkelig moden til at kunne samtykke selv. Er der tale om en særlig gruppe som f.eks. har kognitive vanskeligheder, vil det kræve forældresamtykke.
Har barnet ikke den nødvendige modenhed til at samtykke, er det forældremyndighedsindehaveren, der skal samtykke. (hvis forældrene er skilt, men fortsat har fælles forældremyndighed, er det bopælsforælderen, der skal give samtykke). Barnet skal dog fortsat selv have oplysninger om projektet, i det omfang det giver mening - henset barnets alder mv.
Der er forskellige krav til håndtering og opbevaring af personoplysninger. Det skal ske på en betryggende måde – med en passende sikkerhed og privatlivsbeskyttelse. Det betyder, at du f.eks. ikke må have personoplysninger i din taske, på din Dropbox eller tale om det i offentlige rum. Se evt. disse gode råd for beskyttelse af data.
Der er nogle systemer, der er mere sikre end andre. Du kan kontakte SDU IT og få hjælp til at vælge en sikker opbevaringsløsning eller se oversigten her. Du kan opleve, at en Sikker Server-løsning (S4) er det mest hensigtsmæssige i dit tilfælde. Dette vedrører særligt studerende indskrevet på Det Sundhedsvidenskabelige Fakultet, men kan også være relevant for andre. Gå i dialog med din vejleder herom.
Husk desuden at slette/makulere 'rådata' i form af f.eks. lydfiler på optage device, papirspørgeskemaer ol., når du har flyttet det til en sikker opbevaringsløsning.
Du anbefales desuden:
- At bruge en systematisk navngivning af filer, så data om en person nemt kan genfindes - f.eks. hvis vedkommende trækker sit samtykke tilbage.
- Ikke at overføre data fra/til andre via. mail medmindre det sker via. en SDU-mail til en anden SDU-mail. Det er nemlig en usikker forbindelse. Husk at også kan deles via. Onedrive eller et krypteret USB-stick.
Databeskyttelsesreglerne gælder også, når det drejer sig om billeder og video, hvoraf der fremgår personoplysninger. Det kan være billeder af personer, nummerplader eller lyden af en stemme. Det betyder, at du skal indhente samtykke. Du kan finde en samtykkeskabelon her.
Vær opmærksom på at optræder børn under 15 år på lyd, billeder eller video skal samtykket indhentes ved barnets forældre.
Anvender du udstyr til f.eks. lyd- eller billedoptagelse, er du også ansvarlig for at passe på indholdet. Det betyder, at optagelser skal opbevares sikkert og slettes, når du ikke længere har brug for det. Hvis du låner optageudstyr af SDU, gælder det også.
SDU stiller OneDrive til rådighed for studerende, hvor du sikkert kan opbevare data. Du kan finde en samlet oversigt over systemer, hvor du kan behandle og opbevare personoplysninger her.