Ofte stillede spørgsmål

FAQ - personoplysninger

Hvilke personoplysninger omfatter databeskyttelsesforordningen?

Se en oversigt over de forskellige typer af personoplysninger.

Er der forskel på, hvordan almindelige og følsomme personoplysninger skal behandles og opbevares?

Ja, læs mere om behandling og opbevaring

Hvad skal jeg være opmærksom på, når jeg behandler personoplysninger?

Læs om principperne for behandling af personoplysninger. 

Hvad omfatter de nye regler om personoplysninger vedr. børn?

De nye regler for databeskyttelse indebærer en særlig beskyttelse af oplysninger om børn, navnlig hvis der er tale om informationssamfundstjenester som fx sociale netværk. Der skal indhentes samtykke fra forældremyndighedsindehaverne og samtykket skal kunne dokumenteres. Al information, som retter sig mod børn skal være skrevet på en enkel og tydelig måde, som børn forstår.

Jeg registrerer ikke CPR. numre, så er der vel ikke tale om personoplysninger?

Personoplysninger omfatter ikke kun CPR numre. Læs om de forskellige typer personoplysninger

Hvilke oplysninger registrerer og behandler AU i forbindelse med mit ansættelsesforhold? Hvordan behandles oplysningerne og hvilke rettigheder, har jeg i den sammenhæng?

Find information om personoplysninger i ansættelsesforholdet. 

Må jeg have mine egne personlige oplysninger, ansættelseskontrakter mv. stående i fx et ringbind på mit eget kontor?

Som udgangspunkt må du gøre hvad du vil med dine egne personlige oplysninger, og de må derfor godt stå i fx et ringbind på dit kontor. Det er en god ide, at mærke ringbindet med 'Privat'. 

Hvordan krypterer jeg mail med følsomme personoplysninger?

AU IT tilbyder en løsning til afsendelse og modtagelse af krypteret og signeret mail. 

Læs mere om sikker mail. 

Skal alle medarbejdere skrive deres procedure for håndtering af personoplysninger ned (data mapping)?

Det er ikke nødvendigt, at den enkelte medarbejder skriver procedurer for håndtering af personoplysninger ned/laver data mapping. 

 

Hvis man selvstændigt er ansvarlig for en proces eller et IT-system, skal man se sine processer igennem og sikre, at de lever op til reglerne.

Hvordan krypterer jeg personoplysninger?

Læs mere om kryptering. 

Hvem må se de personoplysninger, som jeg behandler?

Internt på AU: Dem, for hvem det ifølge formålet og det retlige grundlag er nødvendigt at se personoplysningerne.

Udenfor AU: Dem, som det er oplyst til de registrerede, at oplysningerne vil blive videregivet til (hvad enten der er tale om andre dataansvarlige eller databehandlere for AU).

FAQ - sikkerhed

Hvilke overordnede krav er der til sikkerhed ifm. behandling af personoplysninger?

Reglerne for behandling af personoplysninger opstiller ingen specifikke krav til sikkerheden. Der findes således ikke krav om, at hverken følsomme eller almindelige personoplysninger kræver, at personerne som behandler oplysningerne har eget kontor, eller at personoplysninger kun må behandles elektronisk.

Den overordnede regel er, at både den dataansvarlige og databehandleren skal gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger ud fra en konkret risikovurdering. Den vurdering kan så betyde, at der skal foretages konkrete fysiske eller tekniske tiltag, som fx aflåsning af lokaler og anden sikring af, at følsomme oplysninger ikke kan tilgås af uvedkommende.

Læs mere om behandlingssikkerhed.

Hvornår er der tale om et brud på persondatasikkerheden?

Der er tale om et brud på persondatasikkerheden, når bruddet fører til en hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til personoplysninger, der sendes, lagres eller på anden måde behandles, hvad enten behandlingen foregår fysisk eller elektronisk.

Det er ikke alene fysiske eller tekniske sikkerhedsbrud, fx hvis en man bliver hacket og data bliver stjålet – men også tilfælde, hvor fx en ansat i strid med reglerne videregiver personoplysninger. Det afgørende er, om personoplysninger på den ene eller anden måde er blevet kompromittere. 

Sådan anmelder du et sikkerhedsbrud. 

FAQ - forskningsprojekter

Hvordan anmelder jeg mit forskningsprojekt med personoplysninger?

Læs om anmeldelse af forskningsprojekter med personoplysninger.

 

Hvordan flytter jeg mit projekt fra privat anmeldelse til AU's interne anmeldelse?

Send en mail til legal@au.dk (Sekretariat og Jura ved Universitetsledelsens Stab) med information. 

Hvad skal jeg gøre, hvis jeg videregiver personoplysninger i Danmark/EU/3.-lande?

Du skal udfylde en formular for videregivelse af personoplysninger. Læs mere og find formular.

Hvordan ændrer jeg i en eksisterende anmeldelse?

Send en mail til legal@au.dk (Sekretariat og Jura ved Universitetsledelsens Stab) med ændringerne. 

Kan jeg forlænge min anmeldelse?

Send en mail til legal@au.dk (Sekretariat og Jura ved Universitetsledelsens Stab). 

Mange projektbeskrivelser indeholder navn og stilling på samarbejdspartnere. Hvordan kan jeg opbevare dem?

Du må opbevare personoplysninger, så længe det er nødvendigt for det formål, de er indsamlet til. Dvs. at du kan opbevare projektbeskrivelsen, så længe du arbejder med den eller med det efterfølgende bevilgede projekt. Derefter skal den slettes. Hvis projektet ikke bevilges, og du ønsker at opbevare projektbeskrivelsen til senere ansøgninger, skal du anonymisere den, så den ikke indeholder personoplysninger. Hvis der er følsomme personoplysninger, gælder andre regler for opbevaring (opbevaring i max. 30 dage).    

Jeg behandler personoplysninger om personer i et tredje land, skal det anmeldes?

Send en mail til legal@au.dk (Sekretariat og Jura ved Universitetsledelsens Stab).  

Hvad skal jeg gøre ved endelige kontrakter på forsknings- og rådgivningsprojekter?

Du skal sende endelige kontrakter på forsknings- og rådgivningsprojekter til tto@au.dk (Technology Transfer Office ved AU Forskning og Eksterne Relationer). 

Kan en deltager i et forskningsprojekt kræve indsigt i oplysninger?

Q: Kan en deltager i et forskningsprojekt kræve indsigt i oplysninger?

A: Som deltager i et forskningsprojekt har man ikke krav på indsigt i de oplysninger om sig selv (eller om andre), der indgår i projektet. Hvis deltageren har samtykket til at deltage i projektet, kan samtykket til deltagelsen altid trækkes tilbage. Men deltageren har ikke krav på at få oplysningerne om sig selv udleveret eller slettet, med mindre dette på forhånd er aftalt med forskeren.

FAQ - databehandler og dataansvarlig

Jeg er databehandler. Skal det anmeldes?

Send en mail til legal@au.dk (Sektretariat og Jura ved Universitetsledeldens Stab). 

Hvordan indgår vi Databehandleraftaler?

Du kan få bistand til udformning af databehandleraftaler ved at sende en mail til tto@au.dk (Technology Transfer Office ved AU Forskning og Eksterne Relationer).  

Hvad er en dataansvarlig?

Læs hvad en dataansvarlig er. 

Hvad er en databehandler?

Læs hvad en databehandler er.

Er jeg dataansvarlig eller databehandler?

Hvis du er i tvivl om, hvorvidt du er databehandler eller dataansvarlig, kan du sende en mail til tto@au.dk (Technology Transfer Office ved AU Forskning og Eksterne Relationer).  

Har jeg brug for en databehandleraftale?

Send en mail til tto@au.dk (Technology Transfer Office ved AU Forskning og Eksterne Relationer).  

Jeg bruger en ansat fra et andet institut som databehandler, skal vi indgå en databehandleraftale?

Nej, det er ikke nødvendigt, da i begge er en del af den dataansvarlige myndighed, Aarhus Universitet.

Kræver mit projekt en samarbejdsaftale?

Send en mail til tto@au.dk (Technology Transfer Office ved AU Forskning og Eksterne Relationer).  

Hvornår er der tale om en overførsel af personoplysninger til et tredje land?

Et tredjeland er et land uden for EU.

Overførsel til et tredjeland omfatter fysiske overførsler af personoplysninger, som efterfølgende lagres i landet. 

Hvad skal jeg gøre, hvis der er tale om en overførsel af personoplysninger til et tredje land?

Det vil typisk være i forbindelse med indgåelse af en databehandleraftale, at problematikken omkring overførsel af oplysninger til et tredjeland opstår.

Når du indgår aftaler, skal du vide, hvor personoplysningerne gemmes, og hvor modtager er registreret. Gemmes personoplysningerne på en server i et tredjeland, eller er der tale om en virksomhed i et tredjeland, der skal have adgang til oplysninger, som befinder sig i Danmark, er du forpligtet til at spørge ind til, om virksomheden har sikret sig ret til at overføre oplysninger til det pågældende land. 

FAQ - opbevaring

Hvor længe må jeg opbevare personoplysninger?

Du må opbevare personoplysninger, så længe det er nødvendigt for det formål, de er indsamlet til. 

Læs mere om opbevaring. 

Hvordan opbevarer jeg personoplysninger?

Læs mere om opbevaring af personoplysninger

Hvordan opbevarer jeg fysisk materiale med personoplysninger?

Reglerne for sikker opbevaring af personoplysninger er principielt de samme for digitalt og fysisk materiale. Dvs. at kun betroede personer med et sagligt behov skal have adgang til personoplysningerne. Det fysiske materiale med personoplysninger skal opbevares aflåst, når det ikke bruges, og må kun være tilgængeligt for betroede personer. De fysiske materiale skal destrueres forsvarligt, når formålet med opbevaringen ophører.

Må man opbevare dokumenter til afregning af diverse rejseafgifter for andre medarbejdere end en selv?

Nej, bilag og kvitteringer, der indeholder personoplysninger, må kun gemmes, indtil afregningen er godkendt. Herefter findes dokumenterne elektronisk i rejseafregningssystemet og skal slettes både i mailboks, på netværksdrev mm. 

Må jeg opbevare artikler og rapporter, der indholder navn, mail, stilling, tlf.nr. osv. på forfattere?

Ja, hvis der drejer sig om offentliggjorte artikler og rapporter, må du gerne opbevare dem. Er artiklerne og rapporterne endnu ikke offentliggjort, afhænger det af, hvad formålet med at opbevare dem er. 

FAQ - studerende

Hvilke krav er der til studerendes behandling af personoplysninger ved udarbejdelse af projekt- og specialeopgaver mv.?

INFORMATION KOMMER.   

Skal jeg indgå en databehandleraftale med de specialestuderende?

Er du i tvivl om, hvorvidt du skal indgå en databehandleraftale med de specialestuderende, kan du sende en mail til legal@au.dk (Sekretariat og Jura ved Universitetsledelsens Stab).  

Opfylder mit dokument til de registrerede eller deres børn oplysningspligten?

Hvis du er i tvivl, kan du sende en mail til tto@au.dk (Technology Transfer Office ved AU Forskning og Eksterne Relationer).  

Må jeg sende og modtage mails fra de studerende på andet end deres AU mail (xxxx@post.au.dk)?

Nej, når du kommunikerer med de studerende pr. mail, skal det altid foregå via de studerendes AU mail (xxxx@post.au.dk) eller de godkendte IT-systemer, BlackBoard, Digital Eksamen, WiseFlow, Syllabus og STADS, som AU stiller til rådighed.

FAQ - samtykke

Hvordan laver jeg en samtykkeerklæring til de registrerede i mit forskningsprojekt?

Find vejledning og skabelon til en samtykkeerklæring. 

Jeg er i tvivl om, hvorvidt jeg har brug for samtykke?

Send en mail til tto@au.dk (Technology Transfer Office ved AU Forskning og Eksterne Relationer). 

Hvad er aldersgrænsen for samtykke?

Der er ingen fast aldersgrænse for, hvornår en person er moden nok til at kunne give et gyldigt samtykke, og det afhænger derfor af den enkelte person. Almindeligvis anser Datatilsynet en ung på 15 år eller derover som værende i stand til at give samtykke til behandling af oplysninger om vedkommende.

Ved direkte udbud af informationssamfundstjenester til børn, fx sociale medier, skal forældremyndighedsindehaver give eller godkende samtykke, hvis barnet er under 13 år.

Hvad er reglerne for tilbagekaldelse af et samtykke?

Et samtykke kan til enhver tid tilbagekaldes. Hvis et samtykke tilbagekaldes, skal behandlingen af oplysninger om den registrerede ophøre, hvis oplysningerne ikke kan behandles på et andet grundlag. En tilbagekaldelse af et samtykke har ikke tilbagevirkende kraft, og tilbagekaldelsen påvirker derfor ikke den behandling af oplysninger, der er sket forud for tilbagekaldelsen.

FAQ - undervisere og vejledere

Hvad skal jeg gøre ved mails fra studieadministrationen? Fx en mail om at en studerende skal forsvare sit speciale.

Mails fra Studieadministrationen skal behandles på samme måde som alle andre mails. Studieadministrationen sørger for at journalisere det nødvendige. 

Hvad skal jeg gøre ved eksamensopgaver mv. - både i udprintet og digital form?

Eksamensopgaver er omfattet af ophavsretten og tilhører den studerende. Fx kan disse opgaver ikke som udgangspunkt benyttes frit af undervisere til undervisning. 

Undervisere har ikke pligt til at opbevare disse opgaver, og opgaverne bør ikke gemmes i AU's mail- og kalendersystem. Det vil være Studieadministrationen, der står for opbevaring af eksamensopgaver.  

Eksamensopgaver, som er indleveret elektronisk i et af AU's systemer fx Digital Eksamen, er omfattet af en databehandleraftale.   

Hvordan skal jeg opbevare noter ift. bedømmelse af eksamensopgaver mv.?

Noter ifm. bedømmelse af eksamensopgaver skal opbevares sikkert i mindst 1 år eller længere, indtil en eventuel klagesag er afsluttet. Læs om hvordan du opbevarer personoplysninger.  

Hvad skal jeg gøre ved holdoversigter, som jeg har liggende i mails og på fællesdrevet?

Holdlister mv. med personoplysninger kan opbevares på et AU netværksdrev, fx O-drevet, så længe der er et behov. Læs mere om opbevaring af personoplysninger.

FAQ - registrerede

Har den registrerede rettigheder?

Ja. Når du behandler personoplysninger om den registrerede, har den registrerede nogle rettigheder, som er vigtige at kende. Den registreredes rettigheder sikrer, at den registrerede kan føle sig tryg, når du behandler personoplysninger om vedkommende – men de er også med til at sikre, at der er åbenhed, og at den registrerede kan varetage sine interesser.

Men for at den registrerede kan varetage sine interesser, har du pligt til at oplyse den registrerede om, at du behandler personoplysninger om vedkommende. Faktisk kan man sige, at oplysningspligten er fundamentet for rettighederne.

Hvad er oplysningspligt?

At du har oplysningspligt over for en registreret person indebærer, at du på eget initiativ har pligt til at give den registrerede en række oplysninger, når du indsamler eller modtager personoplysninger om vedkommende. 

Hvornår kan en registreret person, fx en medarbejder, kræve at få slettet sine oplysninger?

En registreret person, fx en medarbejder eller en deltager i et forskningsprojekt, kan kræve at få slettet sine personoplysninger, når AU ikke længere har brug for oplysningerne, eller hvis samtykket tilbagetrækkes.

Det er dog vigtigt, at du altid sikrer dig, at der ikke er en anden lovlig grund eller lovforpligtelse til at beholde oplysningerne. 

Undtagelser: Oplysningerne er ikke omfattede af reglerne, hvis den registrerede er død for mere end 10 år siden, (forordningens præambelbetragtning nr. 27, databeskyttelseslovforslag § 2, stk. 5)