Administration - skemaer og vejledning

Behandling af personlige oplysninger i administrationen

Alle skabeloner på denne side følger gældende lovgivning indtil 25. maj 2018, hvor den nye databeskyttelsesforordning bliver indført. Derefter vil siden blive opdateret med de skabeloner, vejledninger etc., der følger den nye lovgivning.

 

  • +

    Databehandleraftaler

    Hvis det er nødvendigt, at andre end AAU-ansatte skal foretage behandling af personoplysninger på vegne af og efter instruks fra AAU, skal der indgås en databehandleraftale med vedkommende.

    En databehandler er en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på AAU’s vegne.

    Formålet med databehandleraftalen er at kunne dokumentere, at reglerne om persondatabeskyttelse overholdes i samarbejdet mellem AAU og databehandleren, samt sikre, at de registrerede, der behandles oplysninger om, opnår den bedste beskyttelse.

    Når AAU er dataansvarlig, er det AAU’s ansvar, at der indgås en databehandleraftale med databehandleren. 

    Databehandleraftaler skal som udgangspunkt indgås med udgangspunkt i AAU’s databehandleraftaleskabelon og i samarbejde med databehandleraftale-teamet.

    Skabelonen er i øjeblikket under opdatering og derfor for nuværende ikke tilgængelig. Kontakt venligst databehandleraftale-teamet på databehandleraftale@aau.dk, hvis du har brug for at indgå en databehandleraftale.

    Hvis man modtager en databehandleraftale fra en leverandør eller samarbejdspartner, skal denne sendes til gennemgang ved databehandleraftale-teamet. Databehandleraftalerne sendes til følgende mailadresse databehandleraftale@aau.dk.

    Hvis man har kendskab til samarbejdspartnere, fx leverandører, hvormed der skal indgås en databehandleraftale, skal man sende en mail til databehandleraftale-teamet på nævnte mailadresse med kontaktinformationer om samarbejdsparten. Herefter vil databehandleraftale-teamet tage kontakt til vedkommende med henblik på at få indgået en databehandleraftale.

    Der skal indgås en databehandleraftale med alle samarbejdspartere, der behandler (fx indsamler, opbevarer, anvender mv.) personoplysninger på vegne af AAU. Personoplysninger er enhver form for information, der kan henføres til en bestemt person, f.eks. navn, arbejdstelefon, mailadresse, CPR-nummer, eksamen, ansøgning, CV, fødselsdato mv.
    Underskrevne databehandleraftaler sendes til ovennævnte mailadresse, hvor databehandleraftale-teamet bag sikrer, at aftalen journaliseres.

    I alle tilfælde skal underskrevne databehandleraftaler sendes til mailadressen, hvor teamet bag sikrer journalisering af databehandleraftalen i ESDH.

  • +

    Fortegnelse over behandlingsaktiviteter - Artikel 30

Anvendelse af samtykkeskabelon

Intern vejledning for AAU-ansatte

Publiceret: 25.05.2018 (Sidst ændret: 08.06.2018)

Print som pdf

Indhold

1 Introduktion

Når AAU foretager behandling af personoplysninger, skal dette ske i overensstemmelse med behandlingsreglerne i databeskyttelsesforordningen. Samtykke er en af flere mulige lovhjemler, der kan anvendes som retligt grundlag for en lovlig behandling af personoplysninger.

2 Særligt om samtykke

Når det juridiske behandlingsgrundlag er samtykke, skal hvert samtykke være frivilligt, specifikt, infor­meret og utvetydigt. Hvis der er tale om behandling af følsomme oplysninger, skal samtykket også være udtryk­keligt.

FRIVILLIGt 

At samtykket skal være frivilligt, betyder, at den registrerede skal have et reelt og frit valg. Hvis det skader den registrerede ikke at give samtykket eller at trække samtykket tilbage senere, er sam­tykket ikke umiddelbart frivilligt.

SPECIFIKT

At samtykket skal være specifikt, betyder, at det skal være klart og afgrænset for den regi­strerede, hvilke personoplysninger der skal behandles af hvem.

INFORMERET

At samtykket skal være informeret, betyder, at den registrerede skal have tilstrækkelig information om behandlingen til at vurdere, om personen ønsker at samtykke.

UTVETYDIGT

At samtykket skal være utvetydigt, betyder, at den registrerede kan give sit samtykke f.eks. ved en handling eller en erklæring.

UDTRYKKELIGT

Ved samtykke til f.eks. følsomme oplysninger, skal samtykket som nævnt være udtryk­keligt. Det skærper kravene til klarheden, hvormed samtykket er givet.

For at samtykket er gyldigt, skal den registrerede oplyses om, at samtykket kan trækkes tilbage. I skal have procedurer for tilbagekaldelser og eventuel følgende sletning af oplysninger.

Hvis et eksisterende samtykke ikke opfylder betingelserne, skal de registrerede personer give samtykke på ny inden den 25. maj 2018.

2.1 Formkrav

Ud over de faktiske formkrav til samtykket stilles der krav til, hvordan vi kommunikerer med de registrerede, som også påvirker, hvordan vi arbejder med indsamling af samtykke.

Generelt skal vi kommunikere med de registrerede på en kortfattet, gennemsigtig, letforståelig og lettilgængelig måde, og det skal ske i et klart og enkelt sprog.

2.2 Dokumentationskrav til AAU

Det er AAU, der skal kunne bevise, at der er indsamlet samtykke, der lever op til kravene i det ovenstående.

Den nødvendige dokumentation for et samtykke kan f.eks. sikres ved at gemme samtykkeerklæringer eller ved teknisk at indrette IT-systemer, så personoplysninger først kan indsamles efter, at den registrerede person har givet sit samtykke.

 

3 Anvendelse af samtykkeskabelonen

Såfremt skabelonen følges, vil det afgivne samtykke være gyldigt i medfør af henholdsvis databeskyttelsesforordningens artikel 6, stk. 1, litra a), artikel 7 og artikel 9, stk. 2, litra a.

Ved anvendelse af skabelonen skal der altid ske en konkret vurdering ift. situationen. Felterne vedr. eksterne parter skal slettes, hvis der ikke er tale om overladning af personoplysninger til eksterne parter.

Felter, som er markeret med gult, skal altid udfyldes i overensstemmelse med den konkrete situation. Vær opmærksom på, at eksempler ikke er angivet udtømmende.

3.1 Udfyld skabelonens gule felter

GRUND OG BEGRUNDELSE

Når du udfylder grunden og begrundelsen for behandlingen af den registreredes personoplysninger, så formuler det på en letlæselig og letforståelig måde, så den registrerede ikke er i tvivl om baggrunden for, at AAU skal behandle vedkommendes personoplysninger.

KONTAKTOPLYSNINGER

Det skal være kontaktoplysningerne på jer selv – jer der indsamler samtykket/jer der skal behandle den registreredes personoplysninger på baggrund af samtykket.

FORMÅL

Her skal du indsætte en kortfattet beskrivelse af, hvad formålet med behandlingen er, og det skal være i et klart og enkelt sprog. Vær opmærksom på at ’behandling’ bl.a. omfatter: indsamling, registrering, systematisering, samkøring af data, videregivelse, sletning. Vær specifik og tydelig i beskrivelsen, f.eks.: ”AAU skal behandle dine personoplysninger til udstedelse af adgangskort og registrering af arbejdsadresse, da AAU har krav om at vide, hvem der tager sig adgang til bygningerne uden for normal kontortid.”

KATEGORIER AF PERSONOPLYSNINGER

Angiv hvilke personoplysninger, AAU skal behandle. Dette gælder for alle typer af personoplysninger: både almindelige, fortrolige og følsomme. Eksempelvis: navn, adresse, kontaktoplysninger, oplysninger om pårørende, oplysninger om uddannelse.

TIDSANGIVELSE

 Udfyld med den tidsperiode, som data bliver behandlet i, dette gælder også for en eventuelt efterfølgende opbevaringsperiode. Tidsangivelsen skal sættes efter, hvornår vi sletter personoplysninger. Vær opmærksom på, at en anonymisering eller aflevering til Statens Arkiver gælder som en sletning. Gør dig selv bekendt med reglerne for sletning.

EKSTERNE MODTAGERE

Beskriv begrundelsen for, at de eksterne parter får adgang til personoplysninger samt oprems hvem, de eksterne parter er.