Alle skabeloner på denne side følger gældende lovgivning indtil 25. maj 2018, hvor den nye databeskyttelsesforordning bliver indført. Derefter vil siden blive opdateret med de skabeloner, vejledninger etc., der følger den nye lovgivning.
Administration - skemaer og vejledning
Behandling af personlige oplysninger i administrationen
-
Hvis det er nødvendigt, at andre end AAU-ansatte skal foretage behandling af personoplysninger på vegne af og efter instruks fra AAU, skal der indgås en databehandleraftale med vedkommende.
En databehandler er en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på AAU’s vegne.
Formålet med databehandleraftalen er at kunne dokumentere, at reglerne om persondatabeskyttelse overholdes i samarbejdet mellem AAU og databehandleren, samt sikre, at de registrerede, der behandles oplysninger om, opnår den bedste beskyttelse.
Når AAU er dataansvarlig, er det AAU’s ansvar, at der indgås en databehandleraftale med databehandleren.
Databehandleraftaler skal som udgangspunkt indgås med udgangspunkt i AAU’s databehandleraftaleskabelon og i samarbejde med databehandleraftale-teamet.
Skabelonen er i øjeblikket under opdatering og derfor for nuværende ikke tilgængelig. Kontakt venligst databehandleraftale-teamet på databehandleraftale@aau.dk, hvis du har brug for at indgå en databehandleraftale.
Hvis man modtager en databehandleraftale fra en leverandør eller samarbejdspartner, skal denne sendes til gennemgang ved databehandleraftale-teamet. Databehandleraftalerne sendes til følgende mailadresse databehandleraftale@aau.dk.
Hvis man har kendskab til samarbejdspartnere, fx leverandører, hvormed der skal indgås en databehandleraftale, skal man sende en mail til databehandleraftale-teamet på nævnte mailadresse med kontaktinformationer om samarbejdsparten. Herefter vil databehandleraftale-teamet tage kontakt til vedkommende med henblik på at få indgået en databehandleraftale.
Der skal indgås en databehandleraftale med alle samarbejdspartere, der behandler (fx indsamler, opbevarer, anvender mv.) personoplysninger på vegne af AAU. Personoplysninger er enhver form for information, der kan henføres til en bestemt person, f.eks. navn, arbejdstelefon, mailadresse, CPR-nummer, eksamen, ansøgning, CV, fødselsdato mv.
Underskrevne databehandleraftaler sendes til ovennævnte mailadresse, hvor databehandleraftale-teamet bag sikrer, at aftalen journaliseres.I alle tilfælde skal underskrevne databehandleraftaler sendes til mailadressen, hvor teamet bag sikrer journalisering af databehandleraftalen i ESDH.
-
Skabeloner til brug, hvor AAU er dataansvarlig:
Fortegnelsesskabelon - Diverse administrative opgaver
Fortegnelsesskabelon - Kommunikation og markedsføring
Fortegnelsesskabelon - Personaleadministration
Fortegnelsesskabelon - Ph.d. og forskning
Fortegnelsesskabelon - Rekruttering
Fortegnelsesskabelon - Studieadministration
Fortegnelsesskabelon - Økonomi og budget
Skabelon til brug, hvor AAU er databehandler:
Fortegnelsesskabelon, hvor AAU er databehandler
Vejledninger:
Vejledning til udfyldelse af fortegnelse over behandlingsaktiviteter
Anvendelse af samtykkeskabelon
Intern vejledning for AAU-ansatte
Publiceret: 25.05.2018 (Sidst ændret: 08.06.2018)
Print som pdfIndhold
1 Introduktion
Når AAU foretager behandling af personoplysninger, skal dette ske i overensstemmelse med behandlingsreglerne i databeskyttelsesforordningen. Samtykke er en af flere mulige lovhjemler, der kan anvendes som retligt grundlag for en lovlig behandling af personoplysninger.
2 Særligt om samtykke
Når det juridiske behandlingsgrundlag er samtykke, skal hvert samtykke være frivilligt, specifikt, informeret og utvetydigt. Hvis der er tale om behandling af følsomme oplysninger, skal samtykket også være udtrykkeligt.
FRIVILLIGt
At samtykket skal være frivilligt, betyder, at den registrerede skal have et reelt og frit valg. Hvis det skader den registrerede ikke at give samtykket eller at trække samtykket tilbage senere, er samtykket ikke umiddelbart frivilligt.
SPECIFIKT
At samtykket skal være specifikt, betyder, at det skal være klart og afgrænset for den registrerede, hvilke personoplysninger der skal behandles af hvem.
INFORMERET
At samtykket skal være informeret, betyder, at den registrerede skal have tilstrækkelig information om behandlingen til at vurdere, om personen ønsker at samtykke.
UTVETYDIGT
At samtykket skal være utvetydigt, betyder, at den registrerede kan give sit samtykke f.eks. ved en handling eller en erklæring.
UDTRYKKELIGT
Ved samtykke til f.eks. følsomme oplysninger, skal samtykket som nævnt være udtrykkeligt. Det skærper kravene til klarheden, hvormed samtykket er givet.
For at samtykket er gyldigt, skal den registrerede oplyses om, at samtykket kan trækkes tilbage. I skal have procedurer for tilbagekaldelser og eventuel følgende sletning af oplysninger.
Hvis et eksisterende samtykke ikke opfylder betingelserne, skal de registrerede personer give samtykke på ny inden den 25. maj 2018.
2.1 Formkrav
Ud over de faktiske formkrav til samtykket stilles der krav til, hvordan vi kommunikerer med de registrerede, som også påvirker, hvordan vi arbejder med indsamling af samtykke.
Generelt skal vi kommunikere med de registrerede på en kortfattet, gennemsigtig, letforståelig og lettilgængelig måde, og det skal ske i et klart og enkelt sprog.
2.2 Dokumentationskrav til AAU
Det er AAU, der skal kunne bevise, at der er indsamlet samtykke, der lever op til kravene i det ovenstående.
Den nødvendige dokumentation for et samtykke kan f.eks. sikres ved at gemme samtykkeerklæringer eller ved teknisk at indrette IT-systemer, så personoplysninger først kan indsamles efter, at den registrerede person har givet sit samtykke.
3 Anvendelse af samtykkeskabelonen
Såfremt skabelonen følges, vil det afgivne samtykke være gyldigt i medfør af henholdsvis databeskyttelsesforordningens artikel 6, stk. 1, litra a), artikel 7 og artikel 9, stk. 2, litra a.
Ved anvendelse af skabelonen skal der altid ske en konkret vurdering ift. situationen. Felterne vedr. eksterne parter skal slettes, hvis der ikke er tale om overladning af personoplysninger til eksterne parter.
Felter, som er markeret med gult, skal altid udfyldes i overensstemmelse med den konkrete situation. Vær opmærksom på, at eksempler ikke er angivet udtømmende.
3.1 Udfyld skabelonens gule felter
GRUND OG BEGRUNDELSE
Når du udfylder grunden og begrundelsen for behandlingen af den registreredes personoplysninger, så formuler det på en letlæselig og letforståelig måde, så den registrerede ikke er i tvivl om baggrunden for, at AAU skal behandle vedkommendes personoplysninger.
KONTAKTOPLYSNINGER
Det skal være kontaktoplysningerne på jer selv – jer der indsamler samtykket/jer der skal behandle den registreredes personoplysninger på baggrund af samtykket.
FORMÅL
Her skal du indsætte en kortfattet beskrivelse af, hvad formålet med behandlingen er, og det skal være i et klart og enkelt sprog. Vær opmærksom på at ’behandling’ bl.a. omfatter: indsamling, registrering, systematisering, samkøring af data, videregivelse, sletning. Vær specifik og tydelig i beskrivelsen, f.eks.: ”AAU skal behandle dine personoplysninger til udstedelse af adgangskort og registrering af arbejdsadresse, da AAU har krav om at vide, hvem der tager sig adgang til bygningerne uden for normal kontortid.”
KATEGORIER AF PERSONOPLYSNINGER
Angiv hvilke personoplysninger, AAU skal behandle. Dette gælder for alle typer af personoplysninger: både almindelige, fortrolige og følsomme. Eksempelvis: navn, adresse, kontaktoplysninger, oplysninger om pårørende, oplysninger om uddannelse.
TIDSANGIVELSE
Udfyld med den tidsperiode, som data bliver behandlet i, dette gælder også for en eventuelt efterfølgende opbevaringsperiode. Tidsangivelsen skal sættes efter, hvornår vi sletter personoplysninger. Vær opmærksom på, at en anonymisering eller aflevering til Statens Arkiver gælder som en sletning. Gør dig selv bekendt med reglerne for sletning.
EKSTERNE MODTAGERE
Beskriv begrundelsen for, at de eksterne parter får adgang til personoplysninger samt oprems hvem, de eksterne parter er.