Del

Ofte stillede spørgsmål

Herunder har vi samlet en række forskellige relevante spørgsmål og grupperet dem i hovedoverskrifter.

FAQ - personoplysninger

Hvad omfatter de nye regler om personoplysninger vedr. børn?

De nye regler for databeskyttelse indebærer en særlig beskyttelse af oplysninger om børn, navnlig hvis der er tale om informationssamfundstjenester som fx sociale netværk. Der skal indhentes samtykke fra forældremyndighedsindehaverne og samtykket skal kunne dokumenteres. Al information, som retter sig mod børn skal være skrevet på en enkel og tydelig måde, som børn forstår.

Må jeg sende e-mails med CPR oplysninger?

CPR-nummeret betragtes ikke som en følsom personoplysning, men er en oplysning, der nyder en høj beskyttelse i Persondataloven, og som man skal have sikkerhedsforanstaltninger omkring. Læs mere om typer af personoplysninger.

Det anbefales at begrænse mængden af persondata i e-mails. Overvej eventuelt om der er andre identificerbare oplysninger på vedkommende. F.eks. medarbejder-ID eller studie-ID.

Hvis det er absolut nødvendigt at sende CPR-nummer via email, skal du sikre dig, at du sender oplysningerne via krypteret sikker post.

Alle INTERNE e-mails i Absalon er som standard krypterede, hvorfor sikkerhedsforanstaltningerne her er opfyldte for at sende CPR-nummer. Så snart du skal sende en e-mail til en ekstern modtager, er e-mailen ikke længere sikker.

Hvis modtageren af oplysningerne er en privatperson, kan enkelte afdelinger i Absalon sende til personens E-boks, hvilket betragtes som en sikker e-mailmetode. Læs mere om sikker post her.

Må jeg have mine egne personlige oplysninger, ansættelseskontrakter mv. stående i fx et ringbind på mit eget kontor?

Som udgangspunkt må du gøre hvad du vil med dine egne personlige oplysninger, og de må derfor godt stå i fx et ringbind på dit kontor. Det er en god ide, at mærke ringbindet med 'Privat'.

Hvordan krypterer jeg mail med følsomme personoplysninger?

DIGITAL tilbyder en løsning til afsendelse og modtagelse af krypteret og signeret mail.

Skal alle medarbejdere skrive deres procedure for håndtering af personoplysninger ned (data mapping)?

Det er ikke nødvendigt, at den enkelte medarbejder skriver procedurer for håndtering af personoplysninger ned/laver data mapping.
Hvis man selvstændigt er ansvarlig for en proces eller et IT-system, skal man se sine processer igennem og sikre, at de lever op til reglerne.

Hvem må se de personoplysninger, som jeg behandler?

Internt på Absalon: Dem, for hvem det ifølge formålet og det retlige grundlag er nødvendigt at se personoplysningerne.
Udenfor Absalon: Dem, som det er oplyst til de registrerede, at oplysningerne vil blive videregivet til (hvad enten der er tale om andre dataansvarlige eller databehandlere for Absalon).

FAQ - sikkerhed

Hvilke overordnede krav er der til sikkerhed ifm. behandling af personoplysninger?

Reglerne for behandling af personoplysninger opstiller ingen specifikke krav til sikkerheden. Der findes således ikke krav om, at hverken følsomme eller almindelige personoplysninger kræver, at personerne som behandler oplysningerne har eget kontor, eller at personoplysninger kun må behandles elektronisk.
Den overordnede regel er, at både den dataansvarlige og databehandleren skal gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger ud fra en konkret risikovurdering. Den vurdering kan så betyde, at der skal foretages konkrete fysiske eller tekniske tiltag, som fx aflåsning af lokaler og anden sikring af, at følsomme oplysninger ikke kan tilgås af uvedkommende.
Læs mere om behandlingssikkerhed.

Hvornår er der tale om et brud på persondatasikkerheden?

Der er tale om et brud på persondatasikkerheden, når bruddet fører til en hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til personoplysninger, der sendes, lagres eller på anden måde behandles, hvad enten behandlingen foregår fysisk eller elektronisk.
Det er ikke alene fysiske eller tekniske sikkerhedsbrud, fx hvis man bliver hacket og data bliver stjålet – men også tilfælde, hvor fx en ansat i strid med reglerne videregiver personoplysninger. Det afgørende er, om personoplysninger på den ene eller anden måde er blevet kompromittere. 
Sådan anmelder du et sikkerhedsbrud

FAQ - forskningsprojekter

Hvad skal jeg gøre, hvis jeg videregiver personoplysninger i Danmark/EU/3.-lande?

Du skal udfylde en formular for videregivelse af personoplysninger. Læs mere og find formular.

Mange projektbeskrivelser indeholder navn og stilling på samarbejdspartnere. Hvordan kan jeg opbevare dem?

Du må opbevare personoplysninger, så længe det er nødvendigt for det formål, de er indsamlet til. Dvs. at du kan opbevare projektbeskrivelsen, så længe du arbejder med den eller med det efterfølgende bevilgede projekt. Derefter skal den slettes. Hvis projektet ikke bevilges, og du ønsker at opbevare projektbeskrivelsen til senere ansøgninger, skal du anonymisere den, så den ikke indeholder personoplysninger. Hvis der er følsomme personoplysninger, gælder andre regler for opbevaring (opbevaring i max. 30 dage).

Kan en deltager i et forskningsprojekt kræve indsigt i oplysninger?

Som deltager i et forskningsprojekt har man ikke krav på indsigt i de oplysninger om sig selv (eller om andre), der indgår i projektet. Hvis deltageren har samtykket til at deltage i projektet, kan samtykket til deltagelsen altid trækkes tilbage. Men deltageren har ikke krav på at få oplysningerne om sig selv udleveret eller slettet, med mindre dette på forhånd er aftalt med forskeren.

FAQ - databehandler og dataansvarlig

Jeg bruger en ansat fra et andet center som databehandler, skal vi indgå en databehandleraftale?

Nej, det er ikke nødvendigt, da i begge er en del af den dataansvarlige myndighed, Professionshøjskolen Absalon.

Hvornår er der tale om en overførsel af personoplysninger til et tredje land?

Overførsel til et tredjeland omfatter fysiske overførsler af personoplysninger, som efterfølgende lagres i landet. 

Hvad skal jeg gøre, hvis der er tale om en overførsel af personoplysninger til et tredje land?

Det vil typisk være i forbindelse med indgåelse af en databehandleraftale, at problematikken omkring overførsel af oplysninger til et tredjeland opstår.
Når du indgår aftaler, skal du vide, hvor personoplysningerne gemmes, og hvor modtager er registreret. Gemmes personoplysningerne på en server i et tredjeland, eller er der tale om en virksomhed i et tredjeland, der skal have adgang til oplysninger, som befinder sig i Danmark, er du forpligtet til at spørge ind til, om virksomheden har sikret sig ret til at overføre oplysninger til det pågældende land. 

FAQ - opbevaring

Hvor længe må jeg opbevare personoplysninger?

Du må opbevare personoplysninger, så længe det er nødvendigt for det formål, de er indsamlet til. 
Læs mere om opbevaring.

Hvordan opbevarer jeg fysisk materiale med personoplysninger?

Reglerne for sikker opbevaring af personoplysninger er principielt de samme for digitalt og fysisk materiale. Dvs. at kun betroede personer med et sagligt behov skal have adgang til personoplysningerne. Det fysiske materiale med personoplysninger skal opbevares aflåst, når det ikke bruges, og må kun være tilgængeligt for betroede personer. De fysiske materiale skal destrueres forsvarligt, når formålet med opbevaringen ophører.

Må man opbevare dokumenter til afregning af diverse rejseafgifter for andre medarbejdere end en selv?

Nej, bilag og kvitteringer, der indeholder personoplysninger, må kun gemmes, indtil afregningen er godkendt. Herefter findes dokumenterne elektronisk i rejseafregningssystemet og skal slettes både i mailboks, på netværksdrev mm.

Må jeg opbevare artikler og rapporter, der indholder navn, mail, stilling, tlf.nr. osv. på forfattere?

Ja, hvis der drejer sig om offentliggjorte artikler og rapporter, må du gerne opbevare dem. Er artiklerne og rapporterne endnu ikke offentliggjort, afhænger det af, hvad formålet med at opbevare dem er.

FAQ - studerende

Skal jeg indgå en databehandleraftale med de specialestuderende?

Er du i tvivl om, hvorvidt du skal indgå en databehandleraftale med de specialestuderende, kan du sende en mail til Absalons Databeskyttelseskoordinator (DPC): dpc@pha.dk.

Opfylder mit dokument til de registrerede eller deres børn oplysningspligten?

Hvis du er i tvivl, kan du sende en mail  Absalons Databeskyttelseskoordinator (DPC): dpc@pha.dk.

Må jeg sende og modtage mails fra de studerende på andet end deres Absalon mail (xxxx@edu.pha.dk)?

Nej, når du kommunikerer med de studerende pr. mail, skal det altid foregå via de studerendes Absalon mail (xxxx@edu.pha.dk) eller de godkendte IT-systemer, som f.eks. WiseFlow, Fronter mm. som Absalon stiller til rådighed.

FAQ - samtykke

Jeg er i tvivl om, hvorvidt jeg har brug for samtykke?

Send en mail til  Absalons Databeskyttelseskoordinator (DPC): dpc@pha.dk.

Hvad er aldersgrænsen for samtykke?

Der er ingen fast aldersgrænse for, hvornår en person er moden nok til at kunne give et gyldigt samtykke, og det afhænger derfor af den enkelte person. Almindeligvis anser Datatilsynet en ung på 15 år eller derover som værende i stand til at give samtykke til behandling af oplysninger om vedkommende.
Ved direkte udbud af informationssamfundstjenester til børn, fx sociale medier, skal forældremyndighedsindehaver give eller godkende samtykke, hvis barnet er under 13 år.

Hvad er reglerne for tilbagekaldelse af et samtykke?

Et samtykke kan til enhver tid tilbagekaldes. Hvis et samtykke tilbagekaldes, skal behandlingen af oplysninger om den registrerede ophøre, hvis oplysningerne ikke kan behandles på et andet grundlag. En tilbagekaldelse af et samtykke har ikke tilbagevirkende kraft, og tilbagekaldelsen påvirker derfor ikke den behandling af oplysninger, der er sket forud for tilbagekaldelsen.

FAQ - undervisere og vejledere

Hvad skal jeg gøre ved mails fra studieadministrationen? Fx en mail om at en studerende skal forsvare sit speciale?

Mails fra Studieadministrationen skal behandles på samme måde som alle andre mails. Studieadministrationen sørger for at journalisere det nødvendige.

Hvad skal jeg gøre ved eksamensopgaver mv. - både i udprintet og digital form?

Eksamensopgaver er omfattet af ophavsretten og tilhører den studerende. Fx kan disse opgaver ikke som udgangspunkt benyttes frit af undervisere til undervisning.
Undervisere har ikke pligt til at opbevare disse opgaver, og opgaverne bør ikke gemmes i Absalons mail- og kalendersystem. Det vil være Studieadministrationen, der står for opbevaring af eksamensopgaver. 
Eksamensopgaver, som er indleveret elektronisk i et af Absalons systemer fx Fronter, er omfattet af en databehandleraftale.   

Hvordan skal jeg opbevare noter ift. bedømmelse af eksamensopgaver mv.?

Noter ifm. bedømmelse af eksamensopgaver skal opbevares sikkert i mindst 1 år eller længere, indtil en eventuel klagesag er afsluttet. Læs om hvordan du opbevarer personoplysninger.

Hvad skal jeg gøre ved holdoversigter, som jeg har liggende i mails og på fællesdrevet?

Holdlister mv. med personoplysninger kan opbevares på et af Absalons netværksdrev, fx N-drevet, så længe der er et behov. Læs mere om opbevaring af personoplysninger.

FAQ - registrerede

Har den registrerede rettigheder?

Ja. Når du behandler personoplysninger om den registrerede, har den registrerede nogle rettigheder, som er vigtige at kende. Den registreredes rettigheder sikrer, at den registrerede kan føle sig tryg, når du behandler personoplysninger om vedkommende – men de er også med til at sikre, at der er åbenhed, og at den registrerede kan varetage sine interesser.
Men for at den registrerede kan varetage sine interesser, har du pligt til at oplyse den registrerede om, at du behandler personoplysninger om vedkommende. Faktisk kan man sige, at oplysningspligten er fundamentet for rettighederne.

Hvad er oplysningspligt?

At du har oplysningspligt over for en registreret person indebærer, at du på eget initiativ har pligt til at give den registrerede en række oplysninger, når du indsamler eller modtager personoplysninger om vedkommende.
Hvornår kan en registreret person, fx en medarbejder, kræve at få slettet sine oplysninger?
En registreret person, fx en medarbejder eller en deltager i et forskningsprojekt, kan kræve at få slettet sine personoplysninger, når Absalon ikke længere har brug for oplysningerne, eller hvis samtykket tilbagetrækkes.
Det er dog vigtigt, at du altid sikrer dig, at der ikke er en anden lovlig grund eller lovforpligtelse til at beholde oplysningerne. 
Undtagelser: Oplysningerne er ikke omfattede af reglerne, hvis den registrerede er død for mere end 10 år siden, (forordningens præambelbetragtning nr. 27, databeskyttelseslovforslag § 2, stk. 5) 

FAQ - 20 spørgsmål og svar fra Plesner

Gælder forordningen for behandling af ustrukturerede data med elektroniske hjælpemidler?

Ja. Al elektronisk behandling er omfattet af forordningen, jf. GDPR art. 2. Det er ligegyldigt, om dataene er struktureret eller ustruktureret. 

Hvor hurtigt skal man svare på en indsigtsbegæring?

Uden unødig forsinkelse, dog senest efter en måned (perioden kan efter omstændighederne forlænges med to måneder), jf. GDPR art. 12, stk. 3. 

Hvor længe må man gemme persondata?

Så længe det er relevant og tjener et eller flere saglige formål, jf. GDPR art. 5, stk. 1, litra e. 

Hvad er 'pseudonyme persondata'?

Af GDPR art. 4, nr. 5, fremgår det, at pseudonyme persondata er personoplysninger, der ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger. Pseudonyme persondata adskiller sig således fra anonyme data, hvor det ikke længere er muligt at henføre oplysninger til en registreret. 

Gælder forordningen for 'pseudonyme persondata'?

Ja, pseudonyme persondata er omfattet af GDPR. 

Skal man oplyse datasubjektet om sin behandling, hvis man indsamler persondata fra en anden end datasubjektet?

Ja, jf. GDPR art. 14, stk. 1. Der er dog undtagelser til hovedreglen, jf. GDPR art. 14, stk. 5. 

En tidligere medarbejder beder om kopi af alle e-mails, som vedkommende er afsender/modtager af. Har medarbejderen krav på disse e-mails?

Forholdet er reguleret af GDPR art. 15 om den registreredes indsigtsret. Medarbejderne har således efter GDPR art. 15, stk. 3, ret til at få en kopi af de typer informationer, der fremgår af GDPR art. 15, stk. 1. 

Må man som offentlig myndighed anvende CPR-numre?

Ja, Databeskyttelseslovens § 11, stk. 1.

I har registreret, at en studerende er udeblevet fra undervisning som følge af stress. Hvilken karakter har denne personoplysning? Ville det have gjort nogen forskel, hvis I blot havde registreret, at den pågældende var syg uden angivelse af årsagen herti

Oplysningen har karakter af en helbredsoplysning, og der er således tale om behandling af følsomme oplysninger, jf. GDPR art. 9. Det er ikke en helbredsoplysning, hvis man blot har registreret, at den pågældende var syg. Oplysninger om sygedage og antallet heraf er som udgangspunkt ikke en følsom oplysning, og behandlingen kan derfor ske med hjemmel i GDPR art. 6. Der er dog tale om en følsom oplysning, hvis antallet af sygedage er meget højt, hvorefter oplysningen skal behandles i overensstemmelse med GDPR art. 9.

I har oprindeligt indsamlet personoplysninger med henblik på personaleadministration, men det viser sig, at personoplysningerne også kan bruges i forbindelse med udarbejdelse af markedsføringsmateriale. Må I anvende de indsamlede oplysninger uden videre?

Personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål, jf. GDPR art. 5, stk. 1, litra b. Såfremt personoplysningerne kan anvendes til et andet formål end det oprindelige, skal den dataansvarlige efter GDPR art. 6, stk. 4, vurdere, om behandlingen til det andet formål er foreneligt med det oprindelige formål. Såfremt det vurderes, at personoplysningerne kan viderebehandles efter et andet formål end det oprindelige, skal der gives oplysning til den registrerede efter GDPR art. 13, stk. 3. 

Skal man opdatere de personoplysninger man behandler?

Ja, den registreredes personoplysninger skal være korrekte og om nødvendigt ajourførte, jf. rigtighedsprincippet i GDPR art. 5, stk. 1, litra d. 

En studerende er gået fra undervisning midt i en time uden forklaring. Den pågældende studerende ringer efterfølgende til jer og forlanger at få oplyst, om I har registreret noget om episoden. Har den studerende ret, og hvad skal I oplyse den studerende?

Forholdet er reguleret af GDPR art. 15 om den registreredes indsigtsret, hvorefter den studerende har ret til at få en bekræftelse på, om personoplysninger vedrørende den pågældende behandles. Skolen skal give den studerende en kopi af de oplysninger, der er registreret om den pågældende episode. Hvis der ikke er registreret noget om episoden, skal skolen blot bekræfte dette over for den studerende.

Der er sket et brud på jeres datasikkerhed! Hvor hurtigt skal I underrette datatilsynet?

Ved brud på persondatasikkerheden anmelder den dataansvarlige uden nødig forsinkelse og om muligt senest 72 timer bruddet til datatilsynet, efter at den dataansvarlige er blevet bekendt med dette, jf. GDPR art. 33, stk. 1. 

I forbindelse med jobsamtaler har I fået tilsendt en masse ansøgninger og CV'er. Er der tale om indsamling af persondata?

Ja, der er tale om en behandling ved indsamling af persondata, da ansøgningerne og CV'erne indeholder oplysninger om identificérbare, fysiske personer, jf. GDPR art. 4, nr. 1, som vil blive behandlet af arbejdsgiveren. Persondataforordningen finder således anvendelse, jf. art. 2, stk. 1. 

Stiller persondataforordningen nogle krav til karakteren af et samtykke?

Ja, betingelserne for et gyldigt samtykke fremgår af forordningens art. 7. Anmodningen om samtykket skal være klart og præcist, jf. GDPR art. 7, stk. 2, og den registrerede skal, inden der gives samtykke, informeres om, at samtykket kan trækkes tilbage, jf. GDPR art. 7, stk. 3. Se mere i præambelbetragtning 42 og 43.

Hvornår er man henholdsvis dataansvarlig og databehandler?

En dataansvarlig er kort sagt den, der træffer beslutninger om formålet med behandlingen. Se også definitionen i GDPR art. 4, nr. 7. En databehandler er den, der behandler personoplysninger på den dataansvarliges vegne. Se også definitionen i GDPR art. 4, nr. 8.

I har registreret nogle forkerte oplysninger om en studerendes sygdomsforløb. Den studerende gør jer opmærksom på det og beder jer rette det. Har I pligt til at rette oplysningerne? I givet fald hvor hurtigt skal det gøres?

Den registreredes personoplysninger skal være korrekte og om nødvendigt ajourførte, jf. rigtighedsprincippet i GDPR art. 5, stk. 1, litra d. Der er således pligt til at rette oplysningerne, hvilket skal ske straks. 

Hvornår har en registreret person ret til at få slettet oplysninger om sig selv?

En registreret person har ret til sletning/at "blive glemt" i det omfang, den registrerede kan påberåbe sig GDPR art. 17. Den registrerede har fx ret til sletning, hvis behandlingen ikke længere er nødvendige til opfyldelse af det formål, som oplysningerne blev indsamlet til, jf. art. 17, stk. 1, litra a. 

En tidligere studerende beder om indsigt i hvilke oplysninger, I behandler om vedkommende. Efter at I har besvaret anmodningen, beder vedkommende to gange mere om indsigt i oplysningerne. Kan I afvise vedkommendes tredje anmodning eller kræve et gebyr?

Den tidligere studerende gør brug af sin indsigtsret, jf. art. 15, stk. 1, og den studerende har krav på en kopi af de oplysninger, der behandles, jf. art. 15, stk. 3. Den første kopi er gratis, men for de efterfølgende kopier kan den dataansvarlige opkræve et rimeligt gebyr, jf. art. 15, stk. 3, 2. pkt. Der er ikke hjemmel til at afvise den tredje anmodning. 

Hvad betyder oplysningsforpligtelsen?

Oplysningspligten betyder, at hvis personoplysninger om en registreret indsamles hos den registrerede selv eller hos tredjeparter, skal den registrerede oplyses om flere forhold, herunder identiteten på og kontaktoplysninger for den dataansvarlige. Reglerne fremgår af GDPR art. 13 (indsamling hos den registrerede selv) og art. 14 (tredjepartsindsamling). 

Kan du ikke finde svar på dit spørgsmål, kan du finde hjælp hos Absalon DIGITAL.

Find kontaktoplysninger