Behandling af personoplysninger til brug for administration - studerende

Aarhus Universitets retningslinier af 15. september 2002 om behandling af personoplysninger til brug for administration på Aarhus Universitet - studenterområdet

Personoplysninger er omfattet af regler om personoplysninger i Lov nr. 572 af 19. december 1985 om offentlighed i forvaltningen, Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger, Forvaltningsloven ( Lov nr. 571 af 19. december 1985 ), Straffeloven ( Lov nr. 808 af 14. september 2001 ) og Aarhus Universitets anmeldelser af registre.

Definition af personoplysninger:

Enhver form for information om en identificeret eller identificerbar fysisk person betragtes som en personoplysning. Personoplysninger opdeles i to kategorier:

  • ikke-fortrolige personoplysninger og
  • fortrolige personoplysninger (se bilag ).

Definition af behandling:

Ved behandling forstås enhver form for brug og registrering af personoplysninger uanset i hvilken form oplysningerne findes eller registreres. Registrering eller overførsel af oplysninger fra det studieadministrative system Delfi til dokumenter, registre, oversigter, kartoteker, lister, filer ol. er således omfattet af nedennævnte regler.

Registrering og evt. brug af fortrolige personoplysninger - som ikke allerede findes i det studieadministrative system Delfi - kan alene ske efter konkret aftale med den centralt ansvarlige afdeling, Registraturen.

I det følgende beskrives hovedretningslinier for, hvordan man skal behandle og opbevare personoplysninger.

Behandling og opbevaring af personoplysninger

Behandling af personoplysninger må alene ske når tjenestens udførelse betinger behandlingen.

Personoplysninger skal opbevares på betryggende vis, så ingen uvedkommende har adgang til dem. Medarbejdere med adgang til oplysninger i eller fra det studieadministrative system Delfi skal lukke for adgangen til oplysningerne, når de forlader den pc, der er anvendt til etablering af adgangen.

Personoplysninger må ikke opbevares uden for anmeldte arkiver eller registre efter endt brug. Personoplysninger i decentrale enheders egne kartoteker el. på pc'er og på eventuelle hjemmarbejdspladser, skal således slettes/makuleres efter endt brug.

Med mindre andet følger af lov, slettes og/eller makuleres arkiverede personoplysninger senest 5 år efter at personen de vedrører har forladt Aarhus Universitet.

Videregivelse af personoplysninger

A) Til anden medarbejder:

Til brug for løsning af tjenstlige arbejdsopgaver kan de nødvendige personoplysninger videregives til en anden medarbejder på Aarhus Universitet samt til medlemmer af styrende organer i henhold til Lov om Universiteter m.fl. indenfor det område, der dækkes af den administrative enhed, den der videregiver oplysningen er ansat i. Modtageren af personoplysningerne skal behandle de modtagne personoplysninger i overensstemmelse med dette regelsæt.

B) Til den person oplysningerne vedrører:

Den studerende har adgang til oplysninger om sig selv. Den studerende kan give tredjemand skriftlig fuldmagt til at rekvirere og modtage personoplysninger om vedkommende.

C) Til tredjemand:

Privatpersoner, private virksomheder, organisationer og udenforstående myndigheder har ikke adgang til personoplysninger med mindre andet følger af lov.

Enhver imødekommelse af anmodning om udlevering af personoplysninger til tredjemand skal derfor henvises til, eller aftales med, den centralt ansvarlige afdeling, Registraturen.

Fortrolige personoplysninger kan aldrig udleveres af andre end den centralt ansvarlige afdeling, Registraturen.

Aarhus Universitet, d. 15. september 2002

Niels Chr. Sidenius
rektor

Eva Teilmann
kontorchef

Disse regler erstatter universitetets retningslinier af 20. januar 1989

Bilag 1 15. september 2002

Vejledning om behandling af studenteroplysninger (DELFI).

I udgangspunktet har universitetet alene brug for personoplysninger om studerende, hvis de har betydning for den studerendes uddannelsesforløb. Personoplysninger der ikke kan/skal registreres i Delfi (evt. i form af en dispensation), eller som udgør en akt i en studentersag, må derfor ikke opbevares og skal makuleres.

Ved enhver form for tvivl om brug eller udlevering af personoplysninger til andre end den studerende oplysningerne vedrører, kontaktes Registraturen.

Tredjemand - som anmoder om udlevering af personoplysninger - bør altid henvises til at henvende sig skriftligt med sin anmodning med tydelig angivelse af hjemmel for indhentelse af personoplysningerne.

Ikke-fortrolige personoplysninger:

Eks: Navn, adresse, optagelsesoplysninger, indskrivningsoplysninger, eksamensoplysninger (til- og afmeldinger samt resultater).

Disse oplysninger må registreres, anvendes, opbevares og videregives til den studerende oplysningerne vedrører, og i tjenstligt øjemed til andre medarbejdere på universitetet.

Hvis det er hjemlet i lov, må oplysningerne videregives til tredjemand. Hvis oplysningerne kan findes andetsteds (f.eks. adresse som kan findes via Krak), bør tredjemand henvises til at søge oplysningerne der.

Fortrolige personoplysninger:

Fortrolige personoplysninger som forefindes i Delfi:

Eks: Cpr.nummer., studienummer/årskort, kodeord, dispensationer (f.eks. med baggrund i helbredsforhold, sociale problemer og foreningsmæssigt arbejde) og økonomiske oplysninger (SU og legater).

Disse oplysninger må registreres, anvendes, opbevares og videregives til den studerende oplysningerne vedrører, og i tjenstligt øjemed til andre medarbejdere på universitetet.

Anmodning om videregivelse til tredjemand skal henvises til/aftales med Registraturen.

Fortrolige personoplysninger som ikke forefindes i Delfi:

Eks: Religiøst tilhørsforhold, race, religion, hudfarve, politiske, seksuelle og strafbare forhold samt oplysninger om misbrug af nydelsesmidler og lignende.

Disse oplysninger registreres ikke i Delfi. Hvis en studerende oplyser sådanne forhold (f.eks. i en klagesag), må oplysningen opbevares og anvendes i den konkrete sag.

Videregivelse må alene ske til den studerende oplysningerne vedrører.

Arkivering og makulering/sletning af personoplysninger:

Personoplysninger må ikke opbevares uden for anmeldte arkiver eller registre efter endt brug. Hvis en personoplysning ikke indgår i en universitær studentersag, eller har medført en registrering i Delfi, skal oplysningen altså makuleres/slettes når den ikke længere er i brug.

Så længe en studerende er indskrevet på den uddannelse den konkrete personoplysning vedrører, vil oplysningen kunne være i brug - og den kan opbevares i lokale (ikke anmeldte) arkiver eller elektronisk.

Når den studerende ikke længere er indskrevet på den uddannelse den konkrete personoplysning vedrører er det mest sandsynligt at oplysningen ikke længere er i brug - og den bør ikke længere opbevares i lokale (ikke anmeldte) arkiver eller elektronisk.

Senest når den studerende i 5 år ikke har været indskrevet på den uddannelse den konkrete personoplysning vedrører, skal oplysningen makuleres/slettes - oplysningen kan ikke længere opbevares i lokale (ikke anmeldte) arkiver eller elektronisk.

kontorchef Eva Teilmann


www.au.dk/da/regler/2002/au10