Hvis det er nødvendigt, at andre end AAU-ansatte skal foretage behandling af personoplysninger på vegne af og efter instruks fra AAU, skal der indgås en databehandleraftale med vedkommende.

En databehandler er en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på AAU’s vegne.

Formålet med databehandleraftalen er at kunne dokumentere, at reglerne om persondatabeskyttelse overholdes i samarbejdet mellem AAU og databehandleren, samt sikre, at de registrerede, der behandles oplysninger om, opnår den bedste beskyttelse.

Når AAU er dataansvarlig, er det AAU’s ansvar, at der indgås en databehandleraftale med databehandleren. 

Databehandleraftaler skal som udgangspunkt indgås med udgangspunkt i AAU’s databehandleraftaleskabelon og i samarbejde med databehandleraftale-teamet.

Skabelonen er i øjeblikket under opdatering og derfor for nuværende ikke tilgængelig. Kontakt venligst databehandleraftale-teamet på databehandleraftale@aau.dk, hvis du har brug for at indgå en databehandleraftale.

Hvis man modtager en databehandleraftale fra en leverandør eller samarbejdspartner, skal denne sendes til gennemgang ved databehandleraftale-teamet. Databehandleraftalerne sendes til følgende mailadresse databehandleraftale@aau.dk.

Hvis man har kendskab til samarbejdspartnere, fx leverandører, hvormed der skal indgås en databehandleraftale, skal man sende en mail til databehandleraftale-teamet på nævnte mailadresse med kontaktinformationer om samarbejdsparten. Herefter vil databehandleraftale-teamet tage kontakt til vedkommende med henblik på at få indgået en databehandleraftale.

Der skal indgås en databehandleraftale med alle samarbejdspartere, der behandler (fx indsamler, opbevarer, anvender mv.) personoplysninger på vegne af AAU. Personoplysninger er enhver form for information, der kan henføres til en bestemt person, f.eks. navn, arbejdstelefon, mailadresse, CPR-nummer, eksamen, ansøgning, CV, fødselsdato mv.
Underskrevne databehandleraftaler sendes til ovennævnte mailadresse, hvor databehandleraftale-teamet bag sikrer, at aftalen journaliseres.

I alle tilfælde skal underskrevne databehandleraftaler sendes til mailadressen, hvor teamet bag sikrer journalisering af databehandleraftalen i ESDH.

Skabeloner til brug, hvor AAU er dataansvarlig:

Fortegnelsesskabelon - Diverse administrative opgaver

Fortegnelsesskabelon - Kommunikation og markedsføring

Fortegnelsesskabelon - Personaleadministration

Fortegnelsesskabelon - Ph.d. og forskning

Fortegnelsesskabelon - Rekruttering

Fortegnelsesskabelon - Studieadministration

Fortegnelsesskabelon - Økonomi og budget

Skabelon til brug, hvor AAU er databehandler:

Fortegnelsesskabelon, hvor AAU er databehandler

Vejledninger:

Vejledning til udfyldelse af fortegnelse over behandlingsaktiviteter

Vejledning til personoplysninger

Vejledning til sikre tredjelande
 

Efterlevelse af oplysningspligten 

Vejledning ift. databeskyttelsesforordningens artikel 13 og 14

Hvilke oplysninger vi skal give til den registrerede

At AAU har oplysningspligt over for en registreret person indebærer, at vi på eget initiativ har pligt til at give den registrerede en række oplysninger, når vi indsamler personoplysninger om vedkommende. I databeskyttelsesforordningens artikel 13 og 14 skelnes der mellem, når vi indsamler personoplysninger hos den registrerede selv (artikel 13), og når vi indsamler oplysninger om den registrerede hos andre end den registrerede selv (artikel 14).

Det er vigtigt, at vi giver oplysningerne til den registrerede. Det betyder, at vi som dataansvarlig skal tage aktive skridt til at give oplysningerne, og det vil derfor ikke være tilstrækkeligt at have oplysningerne liggende på en hjemmeside e4ller lignende, som den registrerede selv skal finde. Oplysningerne skal desuden gives til den registrerede på en tydelig, kortfattet og letforståelig måde.

Skabeloner – samt vejledning til brug af skabelonen

De udarbejdede skabeloner skal anvendes i det omfang, teksten er relevant for vores behandling af personoplysninger. I så fald er teksten/afsnittet opsat med en kursiv skrifttype. I skabelon til artikel 13 drejer det sig om punkt 4, 5, 7, 8 og 11, mens det i skabelon til artikel 14 drejer det sig om punkt 5, 6, 9, 10 og 13. De steder, hvor teksten optræder [tekst markeret med gul overstregning], er det hensigten, at dette udfyldes af dig/jer som er ansvarlig. Enkelte steder kan der i skabelonen forekomme ((tekst i dobbelt parentes)). Dette er en kommentar til dig/jer som er ansvarlig, der benytter skabelonen, og bør fjernes fra den endelige udgave.

Hvilke oplysninger skal gives til den registrerede, når personoplysninger indsamles direkte ved de registrerede (artikel 13)

Når vi indsamler personoplysninger hos den registrerede, skal den registrerede oplyses om en række oplysninger. Der skal tages stilling til følgende oplysninger:

1. Navn og kontaktoplysninger på den dataansvarlige.
2. Kontaktoplysninger (telefonnummer, e-mailadresse eller lignende) på AAU’s databeskyttelsesrådgiver (DPO).
3. Formålene og retsgrundlaget, som giver AAU lov til at behandle oplysningerne
4. Beskrivelse af eventuelle modtagere eller kategorier af modtagere af oplysningerne.
5. Informere hvis oplysningerne vil blive overført til tredjeland eller internationale organisationer
6. Beskrivelse af hvor længe oplysningerne bliver opbevaret
7. Forekomsten af automatiske afgørelser, herunder profilering (ved profilering krav om skærpet samtykke). 
8. Retten til at trække et evt. samtykke tilbage
9. Den registreredes rettigheder (Retten til at anmode om indsigt, berigtigelse, sletning, begrænsning, indsigelse eller transmittering (dataportabilitet)
10. Retten til at klage til Datatilsynet.
11. Agter AAU at behandle personoplysninger til andre formål

Hvilke oplysninger skal gives til den registrerede, når personoplysninger indsamles gennem tredjepart (artikel 14)

Når personoplysninger ikke indsamles hos den registrerede, skal vi først og fremmest give den registrerede de samme oplysninger, som vi er forpligtet til, når oplysningerne indsamles hos den registrerede selv. Derudover skal vi også give beskrivelse af hvilke kategorier af personoplysninger, der er tale om. Dette indebærer, at vi skal oplyse den registrerede om, hvorvidt de oplysninger, vi har indsamlet, er almindelige personoplysninger, oplysninger om straffedomme og lovovertrædelser (oplysninger om strafbare forhold) eller særlige kategorier af personoplysninger (følsomme personoplysninger). Desuden beskrives hvilken kilde personoplysningerne stammer fra, eventuelt hvorvidt de stammer fra offentligt tilgængelige kilder. Hvis ikke der kan informeres om personoplysningernes oprindelse, fordi der er anvendt forskellige kilder, bør der gives generelle oplysninger.

Særregler og –love

Vedrørende retsgrundlaget for behandlingen gælder følgende: hvis vi fx ifølge en lov eller bekendtgørelse har ret eller pligt til at indsamle personoplysningerne, skal vi oplyse om, hvilken lov eller bekendtgørelse der er tale om, og eventuelt angive det relevante kapitel. Her tages der udgangspunkt i den afdækning af særregler og –love, som er foretaget på AAU. For at få de nyeste informationer, kan der rettes henvendelse til den relevante enhed i Fælles Service. Hvis behandlingen er baseret på databeskyttelsesforordningens behandlingsbestemmelser, skal vi henvise til den relevante bestemmelse heri.

AAU’s privatlivs- og cookiepolitik

Udover at leve op til oplysningspligten, når det er relevant, kan der generelt henvises til AAU’s privatlivs- og cookiepolitik på universitetets hjemmeside. I forhold til privatlivspolitikken informeres om, at AAU er dataansvarlig, hvilke typer oplysninger vi registrerer og bruger, vores anvendelse af personoplysninger, tredjepart og personoplysninger, den registreredes rettigheder, sikkerhed og opbevaring samt kontaktoplysninger og hvordan der kan klages. I materialet indgår der også skabeloner for indsigtsanmodninger – såvel når den registrerede søger indsigt på egne vegne, som når der søges indsigt på vegne af en registreret ved fuldmagt, værgemål eller forældremyndighed. I forhold til cookiepolitik informeres om de to måder, som vi indsamler information på aau.dk på, hvordan vi bruger informationerne, de anvendte cookies samt hvad vi gør i forhold til personfølsomme oplysninger.   
Se https://www.aau.dk/om-cookies

Se skabelon vedr. artikel 13 og skabelon vedr. artikel 14

Uddybning – bl.a. om tidsfrister

Uddybning: når vi indsamler personoplysninger hos den registrerede (artikel 13)

Personoplysninger indsamles hos den registrerede, når vedkommende selv – enten på vores opfordring eller uopfordret – giver os oplysningerne. Når personoplysninger indsamles hos den registrerede, skal vi som udgangspunkt give oplysningerne samtidig med, at vi indsamlinger oplysninger fra den registrerede. Hvis den registrerede skal udfylde en ansøgning, blanket eller lignende og indlevere den til os, kan oplysningerne derfor med fordel gives i selve ansøgningen eller blanketten. I andre tilfælde, hvor den registrerede selv – eventuelt uopfordret – henvender sig til os, skal oplysningerne gives snarest muligt.

Det vil afhænge af sagens nærmere omstændigheder, på hvilket tidspunkt vi i disse tilfælde er forpligtet til at give oplysningerne til den registrerede. Vi skal dog altid – vurderet i forhold til den indsats, der kræves fra vores side – give oplysningerne så tidligt som muligt. Når vi skal foretage denne vurdering, skal vi på den ene side lægge vægt på vigtigheden af at skabe så meget gennemsigtighed i forhold til behandlingen for den registrerede som muligt og på den anden side vurdere den indsats, det vil kræve fra vores side at give oplysningerne. Det vil normalt betyde, at vi skal give oplysningerne inden for 10 dage.

Oplysningerne skal som udgangspunkt kun gives én gang, medmindre vi på et senere tidspunkt vil behandle oplysningerne til andre formål end dem, vi oprindeligt indsamlede dem til.

Uddybning: når vi indsamler oplysninger om den registrerede hos andre end den registrerede selv (artikel 14)

Personoplysninger indsamles hos andre end den registrerede, når vi har fået oplysninger fra eksempelvis andre dataansvarlige, offentligt tilgængelige kilder eller andre registrerede. Når personoplysninger således ikke indsamles hos den registrerede, skal vi give oplysningerne så tidligt som muligt efter indsamlingen. Det vil afhænge af sagens nærmere omstændigheder, på hvilket tidspunkt vi som dataansvarlig er forpligtet til at give oplysningerne. Når vi skal foretage denne vurdering, skal vi på den ene side lægge vægt på vigtigheden af at skabe så meget gennemsigtighed i forhold til behandlingen for den registrerede som muligt og på den anden side vurdere den indsats, det vil kræve fra vores side at give oplysningerne. Det vil normalt betyde, at vi skal give oplysningerne inden for 10 dage.

Hvis vi allerede på tidspunktet for indsamlingen ved, at vi i løbet af ganske kort tid herefter skal kommunikere med den registrerede, må vi godt vente med at give oplysningerne til denne senere kommunikation. Det kan fx være, at vi som offentlig myndighed inden for kort tid skal sende de indsamlede oplysninger i partshøring hos den registrerede. I de tilfælde, hvor de personoplysninger, vi indsamler, er bestemt til at blive videregivet til tredjemand, må vi godt vente med at give oplysningerne til første gang, vi videregiver oplysningerne til tredjemand. Det er dog en betingelse for at bruge denne frist, at det på tidspunktet for indsamlingen er klart, at vi skal videregive oplysningerne til tredjemand. Vær dog opmærksom på, at oplysningerne i alle tilfælde ikke må gives senere end en måned efter, at vi har indsamlet personoplysningerne.

Oplysningerne skal som udgangspunkt kun gives én gang (også ved løbende indsamlinger), medmindre vi på et senere tidspunkt vil behandle oplysningerne til andre formål end dem, vi oprindeligt indsamlede dem til.

Øvrige oplysninger samt undtagelser (for de meget interesserede)  

I forhold til hvilke oplysninger vi efter en konkret vurdering udover de tidligere nævnte skal give til den registrerede samt undtagelser fra oplysningspligten henvises i øvrigt til ”Vejledning om de registreredes rettigheder”

• Særligt når oplysningerne indsamles hos den registrerede (paragraf 13) side 17-19,
• Særligt når personoplysninger ikke indsamles hos den registrerede (paragraf 14) side 19-23. 
• Særligt om videre behandling til andre formål (artikel 13, stk. 3 og artikel 14, stk. 4) side 23-24

Hele ”Vejledning om de registreredes rettigheder” findes her:
https://www.datatilsynet.dk/media/6893/registreredes-rettigheder.pdf