Ofte stillede spørgsmål

Læs om de forskellige typer af personoplysninger ift. databeskyttelsesforordningen.

Se en oversigt over de forskellige typer af personoplysninger.

Ja, læs mere om behandling og opbevaring.

Læs om principperne for behandling af personoplysninger.

De nye regler for databeskyttelse indebærer en særlig beskyttelse af oplysninger om børn, navnlig hvis der er tale om informationssamfundstjenester som fx sociale netværk. Der skal indhentes samtykke fra forældremyndighedsindehaverne og samtykket skal kunne dokumenteres. Al information, som retter sig mod børn skal være skrevet på en enkel og tydelig måde, som børn forstår.

Personoplysninger omfatter ikke kun CPR numre. Læs om de forskellige typer personoplysninger.

CPR-nummeret betragtes ikke som en følsom personoplysning, men er en oplysning, der nyder en høj beskyttelse i Persondataloven, og som man skal have sikkerhedsforanstaltninger omkring. Læs mere om typer af personoplysninger.

Det anbefales at begrænse mængden af persondata i e-mails. Overvej eventuelt om der er andre identificerbare oplysninger på vedkommende. F.eks. medarbejder-ID eller studie-ID.

Som udgangspunkt må du gøre hvad du vil med dine egne personlige oplysninger, og de må derfor godt stå i fx et ringbind på dit kontor. Det er en god ide, at mærke ringbindet med 'Privat'.

DIGITAL tilbyder en løsning til afsendelse og modtagelse af krypteret og signeret mail.

Det er ikke nødvendigt, at den enkelte medarbejder skriver procedurer for håndtering af personoplysninger ned/laver data mapping.
Hvis man selvstændigt er ansvarlig for en proces eller et IT-system, skal man se sine processer igennem og sikre, at de lever op til reglerne.

Læs mere om kryptering.

Internt på Absalon: Dem, for hvem det ifølge formålet og det retlige grundlag er nødvendigt at se personoplysningerne.
Udenfor Absalon: Dem, som det er oplyst til de registrerede, at oplysningerne vil blive videregivet til (hvad enten der er tale om andre dataansvarlige eller databehandlere for Absalon).

Reglerne for behandling af personoplysninger opstiller ingen specifikke krav til sikkerheden. Der findes således ikke krav om, at hverken følsomme eller almindelige personoplysninger kræver, at personerne som behandler oplysningerne har eget kontor, eller at personoplysninger kun må behandles elektronisk.
Den overordnede regel er, at både den dataansvarlige og databehandleren skal gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger ud fra en konkret risikovurdering. Den vurdering kan så betyde, at der skal foretages konkrete fysiske eller tekniske tiltag, som fx aflåsning af lokaler og anden sikring af, at følsomme oplysninger ikke kan tilgås af uvedkommende.
Læs mere om behandlingssikkerhed.

Der er tale om et brud på persondatasikkerheden, når bruddet fører til en hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til personoplysninger, der sendes, lagres eller på anden måde behandles, hvad enten behandlingen foregår fysisk eller elektronisk.
Det er ikke alene fysiske eller tekniske sikkerhedsbrud, fx hvis man bliver hacket og data bliver stjålet – men også tilfælde, hvor fx en ansat i strid med reglerne videregiver personoplysninger. Det afgørende er, om personoplysninger på den ene eller anden måde er blevet kompromittere. 
Sådan anmelder du et sikkerhedsbrud. 

Læs om anmeldelse af forskningsprojekter med personoplysninger.

Du skal udfylde en formular for videregivelse af personoplysninger. Læs mere og find formular.

Du må opbevare personoplysninger, så længe det er nødvendigt for det formål, de er indsamlet til. Dvs. at du kan opbevare projektbeskrivelsen, så længe du arbejder med den eller med det efterfølgende bevilgede projekt. Derefter skal den slettes. Hvis projektet ikke bevilges, og du ønsker at opbevare projektbeskrivelsen til senere ansøgninger, skal du anonymisere den, så den ikke indeholder personoplysninger. Hvis der er følsomme personoplysninger, gælder andre regler for opbevaring (opbevaring i max. 30 dage).

Som deltager i et forskningsprojekt har man ikke krav på indsigt i de oplysninger om sig selv (eller om andre), der indgår i projektet. Hvis deltageren har samtykket til at deltage i projektet, kan samtykket til deltagelsen altid trækkes tilbage. Men deltageren har ikke krav på at få oplysningerne om sig selv udleveret eller slettet, med mindre dette på forhånd er aftalt med forskeren.

Du kan læse mere om databehandleraftaler her.

Derudover kan du få bistand til udformning af databehandleraftaler ved at sende en mail til Absalons Databeskyttelseskoordinator (DPC): dpc@pha.dk.

Læs hvad en dataansvarlig er.

Læs hvad en databehandler er.

Du kan læse mere om databehandleraftaler her.

Derudover kan du rette henvendelse til  Absalons Databeskyttelseskoordinator (DPC): dpc@pha.dk, hvis du har yderligere spørgsmål.

Du kan læse mere om databehandleraftaler her.

Derudover kan du rette henvendelse til  Absalons Databeskyttelseskoordinator (DPC): dpc@pha.dk, hvis du har yderligere spørgsmål.

Nej, det er ikke nødvendigt, da i begge er en del af den dataansvarlige myndighed, Professionshøjskolen Absalon.

Du kan læse mere om databehandleraftaler her.

Derudover kan du rette henvendelse til Absalons Databeskyttelseskoordinator (DPC): dpc@pha.dk, hvis du har yderligere spørgsmål.

Overførsel til et tredjeland omfatter fysiske overførsler af personoplysninger, som efterfølgende lagres i landet. 

Det vil typisk være i forbindelse med indgåelse af en databehandleraftale, at problematikken omkring overførsel af oplysninger til et tredjeland opstår.
Når du indgår aftaler, skal du vide, hvor personoplysningerne gemmes, og hvor modtager er registreret. Gemmes personoplysningerne på en server i et tredjeland, eller er der tale om en virksomhed i et tredjeland, der skal have adgang til oplysninger, som befinder sig i Danmark, er du forpligtet til at spørge ind til, om virksomheden har sikret sig ret til at overføre oplysninger til det pågældende land. 

Du må opbevare personoplysninger, så længe det er nødvendigt for det formål, de er indsamlet til. 
Læs mere om opbevaring.

Læs mere om opbevaring af personoplysninger.

Reglerne for sikker opbevaring af personoplysninger er principielt de samme for digitalt og fysisk materiale. Dvs. at kun betroede personer med et sagligt behov skal have adgang til personoplysningerne. Det fysiske materiale med personoplysninger skal opbevares aflåst, når det ikke bruges, og må kun være tilgængeligt for betroede personer. De fysiske materiale skal destrueres forsvarligt, når formålet med opbevaringen ophører.

Nej, bilag og kvitteringer, der indeholder personoplysninger, må kun gemmes, indtil afregningen er godkendt. Herefter findes dokumenterne elektronisk i rejseafregningssystemet og skal slettes både i mailboks, på netværksdrev mm.

Ja, hvis der drejer sig om offentliggjorte artikler og rapporter, må du gerne opbevare dem. Er artiklerne og rapporterne endnu ikke offentliggjort, afhænger det af, hvad formålet med at opbevare dem er.

Er du i tvivl om, hvorvidt du skal indgå en databehandleraftale med de specialestuderende, kan du sende en mail til Absalons Databeskyttelseskoordinator (DPC): dpc@pha.dk.

Hvis du er i tvivl, kan du sende en mail  Absalons Databeskyttelseskoordinator (DPC): dpc@pha.dk.

Nej, når du kommunikerer med de studerende pr. mail, skal det altid foregå via de studerendes Absalon mail (xxxx@edu.pha.dk) eller de godkendte IT-systemer, som f.eks. WiseFlow, Fronter mm. som Absalon stiller til rådighed.

Find vejledning og skabelon til en samtykkeerklæring.

Send en mail til  Absalons Databeskyttelseskoordinator (DPC): dpc@pha.dk.

Der er ingen fast aldersgrænse for, hvornår en person er moden nok til at kunne give et gyldigt samtykke, og det afhænger derfor af den enkelte person. Almindeligvis anser Datatilsynet en ung på 15 år eller derover som værende i stand til at give samtykke til behandling af oplysninger om vedkommende.
Ved direkte udbud af informationssamfundstjenester til børn, fx sociale medier, skal forældremyndighedsindehaver give eller godkende samtykke, hvis barnet er under 13 år.

Et samtykke kan til enhver tid tilbagekaldes. Hvis et samtykke tilbagekaldes, skal behandlingen af oplysninger om den registrerede ophøre, hvis oplysningerne ikke kan behandles på et andet grundlag. En tilbagekaldelse af et samtykke har ikke tilbagevirkende kraft, og tilbagekaldelsen påvirker derfor ikke den behandling af oplysninger, der er sket forud for tilbagekaldelsen.

Mails fra Studieadministrationen skal behandles på samme måde som alle andre mails. Studieadministrationen sørger for at journalisere det nødvendige.

Eksamensopgaver er omfattet af ophavsretten og tilhører den studerende. Fx kan disse opgaver ikke som udgangspunkt benyttes frit af undervisere til undervisning.
Undervisere har ikke pligt til at opbevare disse opgaver, og opgaverne bør ikke gemmes i Absalons mail- og kalendersystem. Det vil være Studieadministrationen, der står for opbevaring af eksamensopgaver. 
Eksamensopgaver, som er indleveret elektronisk i et af Absalons systemer fx Fronter, er omfattet af en databehandleraftale.   

Noter ifm. bedømmelse af eksamensopgaver skal opbevares sikkert i mindst 1 år eller længere, indtil en eventuel klagesag er afsluttet. Læs om hvordan du opbevarer personoplysninger.

Holdlister mv. med personoplysninger kan opbevares på et af Absalons netværksdrev, fx N-drevet, så længe der er et behov. Læs mere om opbevaring af personoplysninger.

Ja. Når du behandler personoplysninger om den registrerede, har den registrerede nogle rettigheder, som er vigtige at kende. Den registreredes rettigheder sikrer, at den registrerede kan føle sig tryg, når du behandler personoplysninger om vedkommende – men de er også med til at sikre, at der er åbenhed, og at den registrerede kan varetage sine interesser.
Men for at den registrerede kan varetage sine interesser, har du pligt til at oplyse den registrerede om, at du behandler personoplysninger om vedkommende. Faktisk kan man sige, at oplysningspligten er fundamentet for rettighederne.

At du har oplysningspligt over for en registreret person indebærer, at du på eget initiativ har pligt til at give den registrerede en række oplysninger, når du indsamler eller modtager personoplysninger om vedkommende.
Hvornår kan en registreret person, fx en medarbejder, kræve at få slettet sine oplysninger?
En registreret person, fx en medarbejder eller en deltager i et forskningsprojekt, kan kræve at få slettet sine personoplysninger, når Absalon ikke længere har brug for oplysningerne, eller hvis samtykket tilbagetrækkes.
Det er dog vigtigt, at du altid sikrer dig, at der ikke er en anden lovlig grund eller lovforpligtelse til at beholde oplysningerne. 
Undtagelser: Oplysningerne er ikke omfattede af reglerne, hvis den registrerede er død for mere end 10 år siden, (forordningens præambelbetragtning nr. 27, databeskyttelseslovforslag § 2, stk. 5) 

Ja. Al elektronisk behandling er omfattet af forordningen, jf. GDPR art. 2. Det er ligegyldigt, om dataene er struktureret eller ustruktureret. 

Uden unødig forsinkelse, dog senest efter en måned (perioden kan efter omstændighederne forlænges med to måneder), jf. GDPR art. 12, stk. 3. 

Så længe det er relevant og tjener et eller flere saglige formål, jf. GDPR art. 5, stk. 1, litra e. 

Af GDPR art. 4, nr. 5, fremgår det, at pseudonyme persondata er personoplysninger, der ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger. Pseudonyme persondata adskiller sig således fra anonyme data, hvor det ikke længere er muligt at henføre oplysninger til en registreret. 

Ja, pseudonyme persondata er omfattet af GDPR. 

Ja, jf. GDPR art. 14, stk. 1. Der er dog undtagelser til hovedreglen, jf. GDPR art. 14, stk. 5. 

Forholdet er reguleret af GDPR art. 15 om den registreredes indsigtsret. Medarbejderne har således efter GDPR art. 15, stk. 3, ret til at få en kopi af de typer informationer, der fremgår af GDPR art. 15, stk. 1. 

Ja, Databeskyttelseslovens § 11, stk. 1.

Oplysningen har karakter af en helbredsoplysning, og der er således tale om behandling af følsomme oplysninger, jf. GDPR art. 9. Det er ikke en helbredsoplysning, hvis man blot har registreret, at den pågældende var syg. Oplysninger om sygedage og antallet heraf er som udgangspunkt ikke en følsom oplysning, og behandlingen kan derfor ske med hjemmel i GDPR art. 6. Der er dog tale om en følsom oplysning, hvis antallet af sygedage er meget højt, hvorefter oplysningen skal behandles i overensstemmelse med GDPR art. 9.

Personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål, jf. GDPR art. 5, stk. 1, litra b. Såfremt personoplysningerne kan anvendes til et andet formål end det oprindelige, skal den dataansvarlige efter GDPR art. 6, stk. 4, vurdere, om behandlingen til det andet formål er foreneligt med det oprindelige formål. Såfremt det vurderes, at personoplysningerne kan viderebehandles efter et andet formål end det oprindelige, skal der gives oplysning til den registrerede efter GDPR art. 13, stk. 3. 

Ja, den registreredes personoplysninger skal være korrekte og om nødvendigt ajourførte, jf. rigtighedsprincippet i GDPR art. 5, stk. 1, litra d. 

Forholdet er reguleret af GDPR art. 15 om den registreredes indsigtsret, hvorefter den studerende har ret til at få en bekræftelse på, om personoplysninger vedrørende den pågældende behandles. Skolen skal give den studerende en kopi af de oplysninger, der er registreret om den pågældende episode. Hvis der ikke er registreret noget om episoden, skal skolen blot bekræfte dette over for den studerende.

Ved brud på persondatasikkerheden anmelder den dataansvarlige uden nødig forsinkelse og om muligt senest 72 timer bruddet til datatilsynet, efter at den dataansvarlige er blevet bekendt med dette, jf. GDPR art. 33, stk. 1. 

Ja, der er tale om en behandling ved indsamling af persondata, da ansøgningerne og CV'erne indeholder oplysninger om identificérbare, fysiske personer, jf. GDPR art. 4, nr. 1, som vil blive behandlet af arbejdsgiveren. Persondataforordningen finder således anvendelse, jf. art. 2, stk. 1. 

Ja, betingelserne for et gyldigt samtykke fremgår af forordningens art. 7. Anmodningen om samtykket skal være klart og præcist, jf. GDPR art. 7, stk. 2, og den registrerede skal, inden der gives samtykke, informeres om, at samtykket kan trækkes tilbage, jf. GDPR art. 7, stk. 3. Se mere i præambelbetragtning 42 og 43.

En dataansvarlig er kort sagt den, der træffer beslutninger om formålet med behandlingen. Se også definitionen i GDPR art. 4, nr. 7. En databehandler er den, der behandler personoplysninger på den dataansvarliges vegne. Se også definitionen i GDPR art. 4, nr. 8.

Den registreredes personoplysninger skal være korrekte og om nødvendigt ajourførte, jf. rigtighedsprincippet i GDPR art. 5, stk. 1, litra d. Der er således pligt til at rette oplysningerne, hvilket skal ske straks. 

En registreret person har ret til sletning/at "blive glemt" i det omfang, den registrerede kan påberåbe sig GDPR art. 17. Den registrerede har fx ret til sletning, hvis behandlingen ikke længere er nødvendige til opfyldelse af det formål, som oplysningerne blev indsamlet til, jf. art. 17, stk. 1, litra a. 

Den tidligere studerende gør brug af sin indsigtsret, jf. art. 15, stk. 1, og den studerende har krav på en kopi af de oplysninger, der behandles, jf. art. 15, stk. 3. Den første kopi er gratis, men for de efterfølgende kopier kan den dataansvarlige opkræve et rimeligt gebyr, jf. art. 15, stk. 3, 2. pkt. Der er ikke hjemmel til at afvise den tredje anmodning. 

Oplysningspligten betyder, at hvis personoplysninger om en registreret indsamles hos den registrerede selv eller hos tredjeparter, skal den registrerede oplyses om flere forhold, herunder identiteten på og kontaktoplysninger for den dataansvarlige. Reglerne fremgår af GDPR art. 13 (indsamling hos den registrerede selv) og art. 14 (tredjepartsindsamling).