AAU logo

Administration - skemaer og vejledning

Behandling af personlige oplysninger i administrationen

Alle skabeloner på denne side følger gældende lovgivning indtil 25. maj 2018, hvor den nye databeskyttelsesforordning bliver indført. Derefter vil siden blive opdateret med de skabeloner, vejledninger etc., der følger den nye lovgivning.

 

  • +

    Databehandleraftaler

    Hvis det er nødvendigt, at andre end AAU-ansatte skal foretage behandling af personoplysninger på vegne af og efter instruks fra AAU, skal der indgås en databehandleraftale med vedkommende.

    En databehandler er en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på AAU’s vegne.

    Formålet med databehandleraftalen er at kunne dokumentere, at reglerne om persondatabeskyttelse overholdes i samarbejdet mellem AAU og databehandleren, samt sikre, at de registrerede, der behandles oplysninger om, opnår den bedste beskyttelse.

    Når AAU er dataansvarlig, er det AAU’s ansvar, at der indgås en databehandleraftale med databehandleren. 

    Databehandleraftaler skal som udgangspunkt indgås med udgangspunkt i AAU’s databehandleraftaleskabelon og i samarbejde med databehandleraftale-teamet.

    Skabelonen er i øjeblikket under opdatering og derfor for nuværende ikke tilgængelig. Kontakt venligst databehandleraftale-teamet på databehandleraftale@aau.dk, hvis du har brug for at indgå en databehandleraftale.

    Hvis man modtager en databehandleraftale fra en leverandør eller samarbejdspartner, skal denne sendes til gennemgang ved databehandleraftale-teamet. Databehandleraftalerne sendes til følgende mailadresse databehandleraftale@aau.dk.

    Hvis man har kendskab til samarbejdspartnere, fx leverandører, hvormed der skal indgås en databehandleraftale, skal man sende en mail til databehandleraftale-teamet på nævnte mailadresse med kontaktinformationer om samarbejdsparten. Herefter vil databehandleraftale-teamet tage kontakt til vedkommende med henblik på at få indgået en databehandleraftale.

    Der skal indgås en databehandleraftale med alle samarbejdspartere, der behandler (fx indsamler, opbevarer, anvender mv.) personoplysninger på vegne af AAU. Personoplysninger er enhver form for information, der kan henføres til en bestemt person, f.eks. navn, arbejdstelefon, mailadresse, CPR-nummer, eksamen, ansøgning, CV, fødselsdato mv.
    Underskrevne databehandleraftaler sendes til ovennævnte mailadresse, hvor databehandleraftale-teamet bag sikrer, at aftalen journaliseres.

    I alle tilfælde skal underskrevne databehandleraftaler sendes til mailadressen, hvor teamet bag sikrer journalisering af databehandleraftalen i ESDH.

  • +

    Fortegnelse over behandlingsaktiviteter - Artikel 30

  • +

    Oplysningspligt

    Efterlevelse af oplysningspligten 

    Vejledning ift. databeskyttelsesforordningens artikel 13 og 14

    Hvilke oplysninger vi skal give til den registrerede

    At AAU har oplysningspligt over for en registreret person indebærer, at vi på eget initiativ har pligt til at give den registrerede en række oplysninger, når vi indsamler personoplysninger om vedkommende. I databeskyttelsesforordningens artikel 13 og 14 skelnes der mellem, når vi indsamler personoplysninger hos den registrerede selv (artikel 13), og når vi indsamler oplysninger om den registrerede hos andre end den registrerede selv (artikel 14).

    Det er vigtigt, at vi giver oplysningerne til den registrerede. Det betyder, at vi som dataansvarlig skal tage aktive skridt til at give oplysningerne, og det vil derfor ikke være tilstrækkeligt at have oplysningerne liggende på en hjemmeside e4ller lignende, som den registrerede selv skal finde. Oplysningerne skal desuden gives til den registrerede på en tydelig, kortfattet og letforståelig måde.

    Skabeloner – samt vejledning til brug af skabelonen

    De udarbejdede skabeloner skal anvendes i det omfang, teksten er relevant for vores behandling af personoplysninger. I så fald er teksten/afsnittet opsat med en kursiv skrifttype. I skabelon til artikel 13 drejer det sig om punkt 4, 5, 7, 8 og 11, mens det i skabelon til artikel 14 drejer det sig om punkt 5, 6, 9, 10 og 13. De steder, hvor teksten optræder [tekst markeret med gul overstregning], er det hensigten, at dette udfyldes af dig/jer som er ansvarlig. Enkelte steder kan der i skabelonen forekomme ((tekst i dobbelt parentes)). Dette er en kommentar til dig/jer som er ansvarlig, der benytter skabelonen, og bør fjernes fra den endelige udgave.

    Hvilke oplysninger skal gives til den registrerede, når personoplysninger indsamles direkte ved de registrerede (artikel 13)

    Når vi indsamler personoplysninger hos den registrerede, skal den registrerede oplyses om en række oplysninger. Der skal tages stilling til følgende oplysninger:

    1. Navn og kontaktoplysninger på den dataansvarlige.
    2. Kontaktoplysninger (telefonnummer, e-mailadresse eller lignende) på AAU’s databeskyttelsesrådgiver (DPO).
    3. Formålene og retsgrundlaget, som giver AAU lov til at behandle oplysningerne
    4. Beskrivelse af eventuelle modtagere eller kategorier af modtagere af oplysningerne.
    5. Informere hvis oplysningerne vil blive overført til tredjeland eller internationale organisationer
    6. Beskrivelse af hvor længe oplysningerne bliver opbevaret
    7. Forekomsten af automatiske afgørelser, herunder profilering (ved profilering krav om skærpet samtykke). 
    8. Retten til at trække et evt. samtykke tilbage
    9. Den registreredes rettigheder (Retten til at anmode om indsigt, berigtigelse, sletning, begrænsning, indsigelse eller transmittering (dataportabilitet)
    10. Retten til at klage til Datatilsynet.
    11. Agter AAU at behandle personoplysninger til andre formål

    Hvilke oplysninger skal gives til den registrerede, når personoplysninger indsamles gennem tredjepart (artikel 14)

    Når personoplysninger ikke indsamles hos den registrerede, skal vi først og fremmest give den registrerede de samme oplysninger, som vi er forpligtet til, når oplysningerne indsamles hos den registrerede selv. Derudover skal vi også give beskrivelse af hvilke kategorier af personoplysninger, der er tale om. Dette indebærer, at vi skal oplyse den registrerede om, hvorvidt de oplysninger, vi har indsamlet, er almindelige personoplysninger, oplysninger om straffedomme og lovovertrædelser (oplysninger om strafbare forhold) eller særlige kategorier af personoplysninger (følsomme personoplysninger). Desuden beskrives hvilken kilde personoplysningerne stammer fra, eventuelt hvorvidt de stammer fra offentligt tilgængelige kilder. Hvis ikke der kan informeres om personoplysningernes oprindelse, fordi der er anvendt forskellige kilder, bør der gives generelle oplysninger.

    Særregler og –love

    Vedrørende retsgrundlaget for behandlingen gælder følgende: hvis vi fx ifølge en lov eller bekendtgørelse har ret eller pligt til at indsamle personoplysningerne, skal vi oplyse om, hvilken lov eller bekendtgørelse der er tale om, og eventuelt angive det relevante kapitel. Her tages der udgangspunkt i den afdækning af særregler og –love, som er foretaget på AAU. For at få de nyeste informationer, kan der rettes henvendelse til den relevante enhed i Fælles Service. Hvis behandlingen er baseret på databeskyttelsesforordningens behandlingsbestemmelser, skal vi henvise til den relevante bestemmelse heri.

    AAU’s privatlivs- og cookiepolitik

    Udover at leve op til oplysningspligten, når det er relevant, kan der generelt henvises til AAU’s privatlivs- og cookiepolitik på universitetets hjemmeside. I forhold til privatlivspolitikken informeres om, at AAU er dataansvarlig, hvilke typer oplysninger vi registrerer og bruger, vores anvendelse af personoplysninger, tredjepart og personoplysninger, den registreredes rettigheder, sikkerhed og opbevaring samt kontaktoplysninger og hvordan der kan klages. I materialet indgår der også skabeloner for indsigtsanmodninger – såvel når den registrerede søger indsigt på egne vegne, som når der søges indsigt på vegne af en registreret ved fuldmagt, værgemål eller forældremyndighed. I forhold til cookiepolitik informeres om de to måder, som vi indsamler information på aau.dk på, hvordan vi bruger informationerne, de anvendte cookies samt hvad vi gør i forhold til personfølsomme oplysninger.   
    Se https://www.aau.dk/om-cookies

    Se skabelon vedr. artikel 13 og skabelon vedr. artikel 14

    Uddybning – bl.a. om tidsfrister

    Uddybning: når vi indsamler personoplysninger hos den registrerede (artikel 13)

    Personoplysninger indsamles hos den registrerede, når vedkommende selv – enten på vores opfordring eller uopfordret – giver os oplysningerne. Når personoplysninger indsamles hos den registrerede, skal vi som udgangspunkt give oplysningerne samtidig med, at vi indsamlinger oplysninger fra den registrerede. Hvis den registrerede skal udfylde en ansøgning, blanket eller lignende og indlevere den til os, kan oplysningerne derfor med fordel gives i selve ansøgningen eller blanketten. I andre tilfælde, hvor den registrerede selv – eventuelt uopfordret – henvender sig til os, skal oplysningerne gives snarest muligt.

    Det vil afhænge af sagens nærmere omstændigheder, på hvilket tidspunkt vi i disse tilfælde er forpligtet til at give oplysningerne til den registrerede. Vi skal dog altid – vurderet i forhold til den indsats, der kræves fra vores side – give oplysningerne så tidligt som muligt. Når vi skal foretage denne vurdering, skal vi på den ene side lægge vægt på vigtigheden af at skabe så meget gennemsigtighed i forhold til behandlingen for den registrerede som muligt og på den anden side vurdere den indsats, det vil kræve fra vores side at give oplysningerne. Det vil normalt betyde, at vi skal give oplysningerne inden for 10 dage.

    Oplysningerne skal som udgangspunkt kun gives én gang, medmindre vi på et senere tidspunkt vil behandle oplysningerne til andre formål end dem, vi oprindeligt indsamlede dem til.

    Uddybning: når vi indsamler oplysninger om den registrerede hos andre end den registrerede selv (artikel 14)

    Personoplysninger indsamles hos andre end den registrerede, når vi har fået oplysninger fra eksempelvis andre dataansvarlige, offentligt tilgængelige kilder eller andre registrerede. Når personoplysninger således ikke indsamles hos den registrerede, skal vi give oplysningerne så tidligt som muligt efter indsamlingen. Det vil afhænge af sagens nærmere omstændigheder, på hvilket tidspunkt vi som dataansvarlig er forpligtet til at give oplysningerne. Når vi skal foretage denne vurdering, skal vi på den ene side lægge vægt på vigtigheden af at skabe så meget gennemsigtighed i forhold til behandlingen for den registrerede som muligt og på den anden side vurdere den indsats, det vil kræve fra vores side at give oplysningerne. Det vil normalt betyde, at vi skal give oplysningerne inden for 10 dage.

    Hvis vi allerede på tidspunktet for indsamlingen ved, at vi i løbet af ganske kort tid herefter skal kommunikere med den registrerede, må vi godt vente med at give oplysningerne til denne senere kommunikation. Det kan fx være, at vi som offentlig myndighed inden for kort tid skal sende de indsamlede oplysninger i partshøring hos den registrerede. I de tilfælde, hvor de personoplysninger, vi indsamler, er bestemt til at blive videregivet til tredjemand, må vi godt vente med at give oplysningerne til første gang, vi videregiver oplysningerne til tredjemand. Det er dog en betingelse for at bruge denne frist, at det på tidspunktet for indsamlingen er klart, at vi skal videregive oplysningerne til tredjemand. Vær dog opmærksom på, at oplysningerne i alle tilfælde ikke må gives senere end en måned efter, at vi har indsamlet personoplysningerne.

    Oplysningerne skal som udgangspunkt kun gives én gang (også ved løbende indsamlinger), medmindre vi på et senere tidspunkt vil behandle oplysningerne til andre formål end dem, vi oprindeligt indsamlede dem til.

    Øvrige oplysninger samt undtagelser (for de meget interesserede)  

    I forhold til hvilke oplysninger vi efter en konkret vurdering udover de tidligere nævnte skal give til den registrerede samt undtagelser fra oplysningspligten henvises i øvrigt til ”Vejledning om de registreredes rettigheder”

    • Særligt når oplysningerne indsamles hos den registrerede (paragraf 13) side 17-19,
    • Særligt når personoplysninger ikke indsamles hos den registrerede (paragraf 14) side 19-23. 
    • Særligt om videre behandling til andre formål (artikel 13, stk. 3 og artikel 14, stk. 4) side 23-24

    Hele ”Vejledning om de registreredes rettigheder” findes her:
    https://www.datatilsynet.dk/media/6893/registreredes-rettigheder.pdf

Anvendelse af samtykkeskabelon

Intern vejledning for AAU-ansatte

Publiceret: 25.05.2018 (Sidst ændret: 19.11.2019)

Print som pdf

Indhold

1 Introduktion

Når AAU foretager behandling af personoplysninger, skal dette ske i overensstemmelse med behandlingsreglerne i databeskyttelsesforordningen. Samtykke er en af flere mulige lovhjemler, der kan anvendes som retligt grundlag for en lovlig behandling af personoplysninger.

2 Særligt om samtykke

Når det juridiske behandlingsgrundlag er samtykke, skal hvert samtykke være frivilligt, specifikt, infor­meret og utvetydigt. Hvis der er tale om behandling af følsomme oplysninger, skal samtykket også være udtryk­keligt.

FRIVILLIGt 

At samtykket skal være frivilligt, betyder, at den registrerede skal have et reelt og frit valg. Hvis det skader den registrerede ikke at give samtykket eller at trække samtykket tilbage senere, er sam­tykket ikke umiddelbart frivilligt.

SPECIFIKT

At samtykket skal være specifikt, betyder, at det skal være klart og afgrænset for den regi­strerede, hvilke personoplysninger der skal behandles af hvem.

INFORMERET

At samtykket skal være informeret, betyder, at den registrerede skal have tilstrækkelig information om behandlingen til at vurdere, om personen ønsker at samtykke.

UTVETYDIGT

At samtykket skal være utvetydigt, betyder, at den registrerede kan give sit samtykke f.eks. ved en handling eller en erklæring.

UDTRYKKELIGT

Ved samtykke til f.eks. følsomme oplysninger, skal samtykket som nævnt være udtryk­keligt. Det skærper kravene til klarheden, hvormed samtykket er givet.

For at samtykket er gyldigt, skal den registrerede oplyses om, at samtykket kan trækkes tilbage. I skal have procedurer for tilbagekaldelser og eventuel følgende sletning af oplysninger.

Hvis et eksisterende samtykke ikke opfylder betingelserne, skal de registrerede personer give samtykke på ny inden den 25. maj 2018.

2.1 Formkrav

Ud over de faktiske formkrav til samtykket stilles der krav til, hvordan vi kommunikerer med de registrerede, som også påvirker, hvordan vi arbejder med indsamling af samtykke.

Generelt skal vi kommunikere med de registrerede på en kortfattet, gennemsigtig, letforståelig og lettilgængelig måde, og det skal ske i et klart og enkelt sprog.

2.2 Dokumentationskrav til AAU

Det er AAU, der skal kunne bevise, at der er indsamlet samtykke, der lever op til kravene i det ovenstående.

Den nødvendige dokumentation for et samtykke kan f.eks. sikres ved at gemme samtykkeerklæringer eller ved teknisk at indrette IT-systemer, så personoplysninger først kan indsamles efter, at den registrerede person har givet sit samtykke.

 

3 Anvendelse af samtykkeskabelonen

Såfremt skabelonen følges, vil det afgivne samtykke være gyldigt i medfør af henholdsvis databeskyttelsesforordningens artikel 6, stk. 1, litra a), artikel 7 og artikel 9, stk. 2, litra a.

Ved anvendelse af skabelonen skal der altid ske en konkret vurdering ift. situationen. Felterne vedr. eksterne parter skal slettes, hvis der ikke er tale om overladning af personoplysninger til eksterne parter.

Felter, som er markeret med gult, skal altid udfyldes i overensstemmelse med den konkrete situation. Vær opmærksom på, at eksempler ikke er angivet udtømmende.

3.1 Udfyld skabelonens gule felter

GRUND OG BEGRUNDELSE

Når du udfylder grunden og begrundelsen for behandlingen af den registreredes personoplysninger, så formuler det på en letlæselig og letforståelig måde, så den registrerede ikke er i tvivl om baggrunden for, at AAU skal behandle vedkommendes personoplysninger.

KONTAKTOPLYSNINGER

Det skal være kontaktoplysningerne på jer selv – jer der indsamler samtykket/jer der skal behandle den registreredes personoplysninger på baggrund af samtykket.

FORMÅL

Her skal du indsætte en kortfattet beskrivelse af, hvad formålet med behandlingen er, og det skal være i et klart og enkelt sprog. Vær opmærksom på at ’behandling’ bl.a. omfatter: indsamling, registrering, systematisering, samkøring af data, videregivelse, sletning. Vær specifik og tydelig i beskrivelsen, f.eks.: ”AAU skal behandle dine personoplysninger til udstedelse af adgangskort og registrering af arbejdsadresse, da AAU har krav om at vide, hvem der tager sig adgang til bygningerne uden for normal kontortid.”

KATEGORIER AF PERSONOPLYSNINGER

Angiv hvilke personoplysninger, AAU skal behandle. Dette gælder for alle typer af personoplysninger: både almindelige, fortrolige og følsomme. Eksempelvis: navn, adresse, kontaktoplysninger, oplysninger om pårørende, oplysninger om uddannelse.

TIDSANGIVELSE

 Udfyld med den tidsperiode, som data bliver behandlet i, dette gælder også for en eventuelt efterfølgende opbevaringsperiode. Tidsangivelsen skal sættes efter, hvornår vi sletter personoplysninger. Vær opmærksom på, at en anonymisering eller aflevering til Statens Arkiver gælder som en sletning. Gør dig selv bekendt med reglerne for sletning.

EKSTERNE MODTAGERE

Beskriv begrundelsen for, at de eksterne parter får adgang til personoplysninger samt oprems hvem, de eksterne parter er.