Journalnummer: 2023-421-0013.
Resumé
Datatilsynet havde i det ene tilsyn udvalgt tre forskningsprojekter som genstand for et skriftligt tilsyn inden for emnerne ”behandlingsgrundlag” og ”ansvar og roller”.
Datatilsynet fandt, at der var uklarhed om hjemmelsgrundlaget i to af projekterne. I et andet projekt var der tvivl om, hvorvidt der var indgået en fyldestgørende databehandleraftale. Endelig fandt tilsynet, at der i to projekter ikke var ført tilstrækkeligt tilsyn med universitetets databehandlere.
Tilsynet udtalte derfor kritik af, at Aarhus Universitets behandling af personoplysninger i de tre projekter ikke var sket i overensstemmelse med de databeskyttelsesretlige regler.
Under det andet tilsyn havde Datatilsynet været på fysisk tilsynsbesøg hos Aarhus Universitet, hvor genstanden for tilsynet var en tilladelse til at videregive biologisk materiale fra et forskningsprojekt. Datatilsynet besluttede efterfølgende at udvide tilsynet til at omfatte alle forskningsprojekter baseret på databeskyttelseslovens § 10, og hvor der inden for de seneste to år var sket videregivelse omfattet af tilladelseskravet i § 10, stk. 3.
Datatilsynet fandt i sagen grundlag for at udtale kritik af Aarhus Universitet, fordi universitetet ikke havde sikret sig et overførselsgrundlag i forbindelse med videregivelse af personoplysninger fra et forskningsprojekt.
Endelig udtalte tilsynet alvorlig kritik af, at universitetet i flere tilfælde ikke havde indhentet Datatilsynets tilladelse til videregivelse af personoplysninger.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor tilsynet den 24. august 2023 indledte et tilsyn af Aarhus Universitet.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Aarhus Universitet i et tilfælde har oplyst registrerede om, at deres samtykke udgjorde behandlingsgrundlaget, selvom dette ikke var tilfældet, og dermed har handlet i strid med princippet i databeskyttelsesforordningens[1] artikel 5, stk. 1, litra a.
Endvidere finder Datatilsynet, at der er grundlag for at udtale kritik af, at Aarhus Universitet har undladt at sikre sig et overførselsgrundlag i forbindelse med en videregivelse af personoplysninger og dermed ikke har handlet i overensstemmelse med databeskyttelsesforordningens artikel 44.
Endelig finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Aarhus Universitet har undladt at indhente Datatilsynets tilladelse til videregivelse af personoplysninger i medfør af databeskyttelseslovens[2] § 10, stk. 3.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Datatilsynet varslede den 24. august 2023 over for Aarhus Universitet, at tilsynet havde besluttet at gennemføre et tilsynsbesøg hos universitetet. Tilsynsbesøget skulle angå en tilladelse efter databeskyttelseslovens § 10, stk. 3, som tilsynet havde givet til universitetet, og ville omfatte en gennemgang af de i tilladelsen fastsatte vilkår.
Datatilsynet meddelte den 1. september 2023 universitetet, at tilsynet ville angå en tilladelse meddelt i medfør af databeskyttelseslovens § 10, stk. 3, nr. 2. Nærmere bestemt angik tilladelsen videregivelse af biologisk materiale fra et forskningsprojekt på Aarhus Universitet benævnt ”Effekten af lav-intens okklusionsbaseret træning hos ældre raske individer” til Region Hovedstaden.
Tilsynsbesøget blev afholdt den 28. september 2023.
Under tilsynsbesøget oplyste Aarhus Universitet blandt andet, at universitetet havde indhentet et databeskyttelsesretligt samtykke fra forsøgsdeltagerne, men at universitetet efterfølgende havde vurderet, at samtykket alene havde karakter af et etisk samtykke. Ifølge Aarhus Universitet måtte det dog anses for uklart for de registrerede, at der alligevel ikke var tale om et databeskyttelsesretligt samtykke.
Desuden kom det under tilsynsbesøget frem, at Aarhus Universitet – i tillæg til videregivelsen til Region Hovedstaden – havde videregivet personoplysninger fra forskningsprojektet til et anerkendt videnskabeligt tidsskrift med henblik på publicering i tidsskriftet. Der var imidlertid ikke indhentet tilladelse fra Datatilsynet til denne videregivelse.
Efterfølgende den 3. oktober 2023 oplyste Aarhus Universitet, at publiceringen af personoplysninger fra forskningsprojektet skete i tidsskriftet Journal of Applied Physiology. Derudover fremsendte Aarhus Universitet de til forskningsprojektet anvendte samtykkeerklæringer og dokumenter med deltagerinformation. Af samtykkeerklæringerne fremgik blandt andet sætninger som ”Deltagelse er frivillig, og du kan til enhver tid trække dit samtykke til behandling af personoplysninger tilbage” og ”I forbindelse med forskningsprojektet […] har vi brug for dit samtykke til, at vi må behandle dine personoplysninger i overensstemmelse med Databeskyttelsesforordningen”.
Datatilsynet anmodede den 13. november 2023 Aarhus Universitet om at oplyse, om det var korrekt, at Journal of Applied Physiology var etableret i USA. I bekræftende fald blev Aarhus Universitet anmodet om at oplyse, om universitetet havde sikret sig et overførselsgrundlag for videregivelsen.
Den 4. december 2023 bekræftede Aarhus Universitet, at Journal of Applied Physiology var etableret i USA. Derudover oplyste Aarhus Universitet, at universitetet ikke havde sikret sig et overførselsgrundlag for videregivelsen af personoplysninger.
I lyset heraf valgte Datatilsynet den 22. februar 2024 at udvide tilsynet med Aarhus Universitet. Derfor anmodede Datatilsynet Aarhus Universitet om at fremsende en liste over alle forskningsprojekter, hvor behandlingsgrundlaget var databeskyttelseslovens § 10, stk. 1, og hvor der inden for de seneste to år var sket videregivelse af personoplysninger, når videregivelsen 1) var sket til behandling uden for databeskyttelsesforordningens territoriale anvendelsesområde, 2) havde vedrørt biologisk materiale eller 3) var sket med henblik på offentliggørelse i et anerkendt videnskabeligt tidsskrift eller lignende.
Aarhus Universitetet besvarede Datatilsynets anmodning den 15. marts 2024 og oplyste, at ud af seks forskningsprojekter, hvor der var sket videregivelse af personoplysninger behandlet i medfør af databeskyttelseslovens § 10, var der i yderligere to tilfælde sket videregivelse, uden at den fornødne tilladelse fra Datatilsynet var blevet indhentet.
3. Begrundelse for Datatilsynets afgørelse
3.1. Samtykke som behandlingsgrundlag
Det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra a, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.
Princippet om rimelighed indebærer blandt andet, at den dataansvarlige skal anerkende de registreredes rimelige forventninger, overveje eventuelle negative konsekvenser, som behandlingen kan have for de registrerede, og inddrage forhold og potentielle virkninger af ubalance mellem den dataansvarlige og de registrerede.[3]
Princippet om gennemsigtighed indebærer, at det bør være gennemsigtigt for de registrerede, at og i hvilket omfang personoplysninger behandles. Endvidere indebærer princippet, at enhver information og kommunikation vedrørende behandlingen af den registreredes oplysninger er lettilgængelig og letforståelig, og at der benyttes et klart og enkelt sprog.[4]
Aarhus Universitets vurdering af, at personoplysninger i det forskningsprojekt, som tilsynet oprindelig alene angik, behandles på grundlag af databeskyttelseslovens § 10, er i modstrid med universitetets kommunikation til de registrerede. I sin kommunikation med de registrerede, navnlig i samtykkeerklæringerne, fremgår det udtrykkeligt, at samtykke er en forudsætning for behandling af personoplysninger i medfør af databeskyttelsesforordningen. Ifølge Aarhus Universitet må forsøgsdeltagerne endda forventes fortsat at have det indtryk, at behandlingen af oplysninger om dem baseres på deres samtykke.
På den baggrund finder Datatilsynet grundlag for at udtale kritik af, at Aarhus Universitet ikke har handlet i overensstemmelse med princippet om rimelighed og gennemsigtighed efter databeskyttelsesforordningens artikel 5, stk. 1, litra a.
3.2. Overførselsgrundlag
Det fremgår af databeskyttelsesforordningens artikel 44, at enhver overførsel af personoplysninger, som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland, kun må finde sted, hvis betingelserne i forordningens kapitel V opfyldes af den dataansvarlige.
Aarhus Universitet har erkendt, at universitetet har videregivet personoplysninger fra det forskningsprojekt, som tilsynet oprindelig alene angik, til et tidsskrift etableret i USA uden at sikre et overførselsgrundlag efter databeskyttelsesforordningens kapitel V.
Datatilsynet finder på den baggrund grundlag for at udtale kritik af Aarhus Universitets manglende iagttagelse af pligten til at sikre et overførselsgrundlag.
3.3. Tilladelse til videregivelse
Det fremgår af databeskyttelseslovens § 10, stk. 1, at oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, og artikel 10, må behandles, hvis det alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig af hensyn til udførelsen af undersøgelserne.
Af bestemmelsens stk. 2 fremgår, at de oplysninger, der er omfattet af stk. 1, ikke senere må behandles i andet end videnskabeligt eller statistisk øjemed. Det samme gælder behandling af andre oplysninger, som alene foretages i statistisk eller videnskabeligt øjemed efter databeskyttelsesforordningens artikel 6.
Bestemmelsens stk. 3 angiver, at videregivelse af oplysninger omfattet af stk. 1 og 2 til tredjemand kræver forudgående tilladelse fra Datatilsynet, når videregivelsen:
- sker til behandling uden for databeskyttelsesforordningens territoriale anvendelsesområde, jf. databeskyttelsesforordningens artikel 3,
- vedrører biologisk materiale eller
- sker med henblik på offentliggørelse i et anerkendt videnskabeligt tidsskrift eller lignende.
Aarhus Universitet har oplyst, at universitetet i tre tilfælde de seneste to år – herunder i forbindelse med videregivelsen fra det forskningsprojekt, som tilsynet oprindeligt alene angik – har undladt at indhente Datatilsynets tilladelse til videregivelse af personoplysninger i medfør af databeskyttelseslovens § 10, stk. 3.
Kravet efter stk. 3 om, at der skal indhentes tilladelse til videregivelse, når oplysninger behandles på grundlag af databeskyttelseslovens § 10, udgør en garanti mod misbrug af personoplysninger,[5] og det giver derfor anledning til alvorlig kritik, at Aarhus Universitet har tilsidesat denne garanti ved ikke at have indhentet Datatilsynets tilladelse i flere tilfælde.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[3] Retningslinjer 2/2019 for behandling af personoplysninger i henhold til artikel 6, stk. 1, litra b), i GDPR i forbindelse med leveringen af onlinetjenester til registrerede, version 2.0, 8. oktober 2019, betragtning 12.
[4] Databeskyttelsesforordningens præambelbetragtning 39.
[5] Registerudvalgets betænkning nr. 1345/1997, s. 257 om den tidligere persondatalovs § 10, som databeskyttelseslovens § 10 er en videreførelse af.