Datatilsynet havde i det ene tilsyn udvalgt tre forskningsprojekter som genstand for et skriftligt tilsyn inden for emnerne ”behandlingsgrundlag” og ”ansvar og roller”.
Datatilsynet fandt, at der var uklarhed om hjemmelsgrundlaget i to af projekterne. I et andet projekt var der tvivl om, hvorvidt der var indgået en fyldestgørende databehandleraftale. Endelig fandt tilsynet, at der i to projekter ikke var ført tilstrækkeligt tilsyn med universitetets databehandlere.
Tilsynet udtalte derfor kritik af, at Aarhus Universitets behandling af personoplysninger i de tre projekter ikke var sket i overensstemmelse med de databeskyttelsesretlige regler.
Under det andet tilsyn havde Datatilsynet været på fysisk tilsynsbesøg hos Aarhus Universitet, hvor genstanden for tilsynet var en tilladelse til at videregive biologisk materiale fra et forskningsprojekt. Datatilsynet besluttede efterfølgende at udvide tilsynet til at omfatte alle forskningsprojekter baseret på databeskyttelseslovens § 10, og hvor der inden for de seneste to år var sket videregivelse omfattet af tilladelseskravet i § 10, stk. 3.
Datatilsynet fandt i sagen grundlag for at udtale kritik af Aarhus Universitet, fordi universitetet ikke havde sikret sig et overførselsgrundlag i forbindelse med videregivelse af personoplysninger fra et forskningsprojekt.
Endelig udtalte tilsynet alvorlig kritik af, at universitetet i flere tilfælde ikke havde indhentet Datatilsynets tilladelse til videregivelse af personoplysninger.
Vil du vide mere?
Læs de to afgørelser her og her.
Læs mere om databeskyttelse og forskning her.