Information om persondata i videnskabelige publikationer
Her kan du læse om offentliggørelse af persondata i videnskabelige tidsskrifter og publikationer og om redaktørens adgang til persondata med henblik på at verificere kildedata.
Videnskabelige artikler og andre videnskabelige publikationer kan bygge på forskning med personhenførbare data. I denne information beskrives de regler i persondataforordningen, GDPR, og i dansk lovgivning om databeskyttelse, som handler om behandling af persondata i forbindelse med publicering af videnskabelige artikler og andre videnskabelige publikationer.
Personhenførbare data omfatter data i form af personers navne, adresser, personnumre eller fotografier, hvor det er muligt at identificere en bestemt person. Sådanne data kaldes for almindelige persondata. Endvidere kan følsomme persondata indgå i videnskabeligt arbejde. Ved følsomme persondata forstås oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, helbred, seksuelle forhold eller seksuel orientering samt genetiske data og biometriske data, som behandles med henblik på entydig identifikation. Herudover betragtes oplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger som følsomme persondata.
Videregivelse af data til redaktøren med henblik på verifikation af kildedata
Personhenførbare forskningsdata kan videregives til redaktøren af et videnskabeligt tidsskrift eller en videnskabelig publikation med henblik på verifikation af kildedata. Redaktørens verifikation af kildedata betragtes som viderebehandling til forskningsformål. Det vil sige, at redaktørens verifikation af kildedata anses for at være en del af forskningsprojektet.
Videregivelsen af persondata til redaktøren med henblik på verifikation af kildedata kan ske på samme grundlag som behandlingen af persondata i forskningsprojektet. Redaktøren skal afgive en erklæring om overholdelse af Københavns Universitets vilkår for videregivelse af persondata, når der videregives personhenførbare data til redaktøren også selv om data videregives i pseudonymiseret form. Pseudonymiserede persondata betragtes som persondata, selv om redaktøren ikke får adgang til oplysninger, som kan koble data med de registrerede personer. Er redaktøren etableret uden for EU, skal den projektansvarlige indgå en aftale med redaktøren, hvori indgår de standardbestemmelser for videregivelse af personhenførbare forskningsdata, som er vedtaget af Europa-Kommissionen.
Personhenførbare forskningsdata, som videregives til redaktøren af et videnskabeligt tidsskrift eller en videnskabelig publikation med henblik på verifikation, skal så vidt muligt videregives i pseudonymiseret form. Redaktøren skal slette eller tilbagelevere de modtagne persondata, når de ikke længere er nødvendige med henblik på verifikation.
Videregivelse skal ske til personer i redaktionen af det videnskabelige tidsskrift, som er bemyndigede til at have adgang til de pågældende personoplysninger. Der må kun bemyndiges personer, der har et sagligt behov for at behandle personoplysningerne. De enkelte personer må ikke bemyndiges til anvendelser, som de ikke har behov for. Redaktøren skal sørge for at give den fornødne instruktion til de medarbejdere, som behandler oplysningerne.
Offentliggørelse af anonyme og aggregerede persondata
Det er lovligt at offentliggøre anonyme persondata. Ved anonyme persondata forstås data, hvor det ikke – eller ikke længere – er muligt at koble data med en bestemt person. Pseudonymiserede persondata betragtes ikke som anonyme, såfremt Københavns Universitet, en databehandler eller andre er besiddelse af den nøgle, som forbinder data med en deltager i et forskningsprojekt.
Det er lovligt at offentliggøre aggregerede data. Det vil sige tabeller eller andre oversigter, hvor projektets eller et delprojekts resultater præsenteres samlet. Det må ikke være muligt at identificere enkeltpersoner ud fra de aggregerede data.
Persondata må offentliggøres i videnskabelige publikationer og databaser med personens samtykke
Det er lovligt at offentliggøre såvel almindelige som følsomme persondata i en videnskabelig artikel, en videnskabelig publikation eller i en offentligt tilgængelig forskningsdatabase, hvis de omfattede personer har givet et informeret og specifikt samtykke til, at deres persondata må offentliggøres i den omhandlede publikation eller forskningsdatabase.
Almindelige persondata må offentliggøres i pseudonymiseret form uden personens samtykke
Det er lovligt at offentliggøre en videnskabelig artikel eller en anden videnskabelig publikation, som indeholder almindelige persondata. Det er en betingelse, at offentliggørelsen af de almindelige personoplysninger i den videnskabelig artikel eller videnskabelige publikation er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse. Det vil sige, at det skal være nødvendigt at offentliggøre personoplysningerne for at formidle forskningsprojektets resultat. Personoplysningerne skal så vidt muligt offentliggøres i pseudonymiseret form.
Indeholder den videnskabelige artikel eller videnskabelige publikation billeder af genkendelige personer, skal de omfattede personer informeres om den påtænkte offentliggørelse og have adgang til at gøre indsigelse mod offentliggørelsen. Hvis personen gør indsigelse, må billedet ikke offentliggøres.
Tilsvarende er det lovligt at offentliggøre almindelige persondata i offentligt tilgængelige databaser, såfremt data er pseudonymiserede og offentliggørelsen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse.
Følsomme persondata må offentliggøres i pseudonymiseret form med tilladelse fra det danske Datatilsyn
Det er som udgangspunkt ikke lovligt at offentliggøre følsomme personhenførbare forskningsdata i videnskabelige publikationer uden personens samtykke.
Er der tale om offentliggørelse af følsomme personhenførbare forskningsdata i et anerkendt videnskabeligt tidsskrift, vil de følsomme data kunne offentliggøres med tilladelse fra det danske Datatilsyn. I praksis har det danske Datatilsyn givet tilladelse til videregivelse af persondata med henblik på offentliggørelse i tidsskrifter, som fremgår af BFI-listen på Uddannelses- og Forskningsministeriets hjemmeside på niveau 2 (højt niveau).
Der kan ikke gives tilladelse til offentliggørelse af følsomme persondata i videnskabelige tidsskrifter, som ikke fremgår af BFI-listen på Uddannelses- og Forskningsministeriets hjemmeside på niveau 2 (højt niveau).
Offentliggørelse af følsomme personoplysninger i andre tidsskrifter eller publikationer kan derfor kun ske med de berørte personers samtykke.
Tilladelse til at offentliggøre personhenførbare forskningsdata indhentes af den projektansvarlige på Københavns Universitet.
Der skal indhentes tilladelse til videregivelse af følsomme persondata med henblik på fagfællesbedømmelse (peer-review) af en videnskabelige artikel, da fagfællesbedømmelsen sidestilles med offentliggørelse af artiklen indeholdende pseudonymiserede persondata.
Det danske Datatilsyn giver alene tilladelse til offentliggørelse af pseudonymiserede persondata. Der gives således ikke tilladelse til offentliggørelse af persondata, herunder fotografier, hvor det umiddelbart er muligt at identificere enkeltpersoner.
Tilladelser fra det danske Datatilsyn gives efter § 10, stk. 3, nr. 3, i den danske databeskyttelseslov, lov nr. 502 af 23. maj 2018.
Datatilsynets tilladelser til videregivelse af følsomme persondata med henblik på offentliggørelse i anerkendte videnskabelige tidsskrifter offentliggøres på dansk på det danske Datatilsyns hjemmeside.