AAU logo

beskyttelse af personoplysninger (GDPR)

Her på siden kan du læse og finde svar på spørgsmål omkring grundprincipperne indenfor beskyttelse af personoplysninger. Har du brug for mere specifik information omkring beskyttelse af personoplysninger, kan du klikke ind på siden for enten administration, forskning eller studerende. 

Grundlæggende principper ift. GDPR

  • +

    Hvad er databeskyttelse?

    Databeskyttelse handler om retten til beskyttelse af egne personoplysninger og forpligtigelsen til, i overensstemmelse med gældende regler, at yde tilstrækkelig beskyttelse når man i ikke-privat sammenhænge behandler andres personoplysninger

  • +

    Hvad er en personoplysning?

    Begrebet personoplysninger er defineret som ”enhver information om en identificeret eller identificerbar fysisk person”. Identificerbar betyder, at oplysningerne kan henføres til den fysiske person, som oplysningerne omhandler. En oplysning behøver ikke direkte at kunne identificere en person, så længe den indirekte kan benyttes til at identificere en person.

    EKSEMPEL: Ligeledes kan informationer som er kodet være personoplysninger, eksempelvis vil en patientjournal oversat

    Når man taler om personoplysninger, inddeles disse i tre forskellige grupper, Almindelige, følsomme –og fortrolige personoplysninger. Nedenfor ses en ikke udtømmende liste af, hvilke oplysninger der falder ind under de forskellige kategorier.

    Almindelige personoplysninger

    • Kontaktoplysninger (adresse, e-mail, tlf.nr., navn)
    • Uddannelse og/eller titel
    • Alder, køn, fødselsdato, vægt, højde og lignende ikke-fortrolige stamoplysninger
    • Fotografier, video og/eller lydoptagelser, hvor man kan genkende mennesker
    • Nationalitet (dansker, japaner mv.)
    • Indkomst
    • Familieforhold
    • Automatisk tracking af personaktiviteter (F.eks. GPS data) 
    • Medarbejdernummer
    • Arbejdsplads, branche og/eller titel
    • Selv-offentliggjort personoplysninger (f.eks. på Facebook)

    Fortrolige personoplysninger

    • CPR-nummer
    • CPR-nummer, hvor formålet alene er at betale forsøgspersoner
    • Nationalt ID-nummer (kun for udlændinge)
    • Strafbare forhold
    • Sociale forhold (kontanthjælp, førtidspension, langtidsledig mv.)
    • Menneskeligt materiale (blod, spyt, urin mv.)
    • Information, data eller biologiske signaler målt fra/i kroppen (EEG, EKG, pulsmåling mv.)
    • Personlige narrativer (egne historier om oplevelser, livshistorie, hændelser mv.)
    • Private forhold (karakterer, disciplinære sager, oplysninger om ulykkestilfælde, indtægt, interne familieforhold mv.)
    • Andre fortrolige oplysninger efter anden lovgivning

    Følsomme personoplysninger

    • Politisk overbevisning (holdninger til nedskæring i den offentlige sektor og lign. er ikke politisk overbevisning, hvorimod oplysning om hvilket parti, man stemte på/er medlem af, er politisk overbevisning)
    • Religiøs overbevisning (islam, kristendom, jødedom, mv.)
    • Filosofisk overbevisning (taoisme mv.)
    • Fagforeningsmæssigt tilhørsforhold (fagforeningsmedlemskab)
    • Genetiske data (data hidrørende fra analyse af biologisk materiale)
    • Biometriske data, der kan bruges til entydig identifikation (ansigtsbillede, fingeraftryk mv.)
    • Helbredsoplysninger (sygdom, misbrug, diagnose, sygefravær, medicin mv.)
    • En persons seksuelle forhold eller orientering
    • Race eller etnisk oprindelse (Nationalitet er ikke det samme som race eller etnisk oprindelse)
  • +

    Hvornår behandler du personoplysninger?

    En behandling af personoplysninger er defineret som ”enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger gøres til genstand for”. Som eksempler på behandling kan nævnes indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overdragelse, sammenstilling eller samkøring samt begrænsning, sletning eller tilintetgørelse. Dette er blot nogle eksempler på, hvad behandling er, og listen er således ikke udtømmende.

  • +

    Hvornår må du behandle personoplysninger?

     

    Inden man starter en behandling af personoplysninger, skal man sikre sig at behandlingen er baseret på et lovligt grundlag. Dette betyder at man skal fastlægge hvilken behandlingshjemmel man ønsker at ligge til grund for behandlingen.

    Der er i databeskyttelsesreglerne oplistet en række betingelser for, hvornår man lovligt kan behandle personoplysninger. Disse betingelser kaldes også behandlingshjemler.

    Hvilken behandlingshjemmel man kan ligge til grund for sin behandling af personoplysninger, afhænger af hvilken kategori af personoplysninger man behandler. 

    Behandling af almindelige personoplysninger

    Almindelige personoplysninger kan behandles hvis den registrerede har givet udtrykkeligt samtykke, eller hvis behandlingen er nødvendig:

    • Som følge af en kontrakt med den registrerede
    • For at den dataansvarlige kan overholde sine retlige forpligtigelser
    • For at beskytte den registreredes eller en anden fysisk persons vitale interesser
    • Af hensyn til udførelsen af en opgave i samfundets interesse eller offentlig myndighedsudøvelse (forskningshjemmel)
    • For at den dataansvarlige eller tredjemand kan forfølge e legitim interesse, som ikke overgås af den registreredes interesser eller rettigheder

    Behandling af følsomme personoplysninger

    Du må kun behandle følsomme personoplysninger, hvis den registrerede har afgivet sit udtrykkelige samtykke, eller hvis:

    • Det er nødvendigt af hensyn til den dataansvarliges eller den registreredes arbejds, sundheds- og socialretlige forpligtigelser og specifikke rettigheder.
    • Det er nødvendigt for at beskytte den registreredes eller en anden fysisk persons vitale interesser, hvis ikke det er muligt for denne af give samtykke.
    • Det er nødvendigt af hensyn til en politisk, filosofisk, religiøs eller fagforeningsmæssig non-profit organisations behandling af medlemsoplysninger eller regelmæssige kontaktoplysninger (personoplysningerne må ikke videregives uden for organet uden den registreredes samtykke)
    • Den registrerede tydeligvis selv har offentliggjort oplysningerne forud for behandlingen.
    • Behandlingen er nødvendig for at et retskrav kan fastlægges, gøres gældende eller forsvares, eller når domstole handler i deres egenskab af domstol.

    behandling på baggrund af Samtykke

    Man kan som udgangspunkt altid behandle personoplysninger, hvis den registrerede har givet sit samtykke hertil.

    Dog er der nogle krav som et samtykke skal leve op til, før det anses for at være gyldigt. Et samtykke skal være:

    • Udtrykkeligt
    • Frivilligt
    • Specifikt – Dette betyder, at det skal fremgå klart og tydeligt for den registrerede hvad den registrerede giver samtykke til, hvilke personoplysninger der behandles og hvem der behandler personoplysningerne og eventuelt modtager personoplysningerne
    • Informeret
    • Utvetydigt

    Du kan få mere specifik information omkring samtykke og kravene til samtykke under siderne Administration, forskning eller studerende. 

     

     

     

     

     

     

     

  • +

    Hvem er dataansvarlig?

    Den dataansvarlige er den fysiske eller juridiske person, offentlige myndighed, institution eller andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger

    Aalborg Universitet er dataansvarlig for de behandlinger de ansatte fortager i forbindelse med deres arbejde. Dette er uanset om det er køb af et nyt sofwaresystem eller udarbejdelsen af et forskningsprojekt. Vær dog opmærksom på, at AAU ikke er dataansvarlig for de aktiviteter de studerende foretager i forbindelse med dere studie. 

    Eksempler på hvornår man er dataansvarlig:

    • Når en forsker eller forskningsgruppe bruger personoplysninger til forskning, og i den forbindelse bestemmer formål og krav for behandling af personoplysningerne, vil forskeren/forskningsgruppen repræsentere AAU som dataansvarlig.
    • Hvis et institut hyrer et firma til at foretage en analyse af de studerendes mening omkring AAU håndbogen, så vil AAU være dataansvarlig og firmaet vil være databehandler, fordi firmaet udfører analysen udfra en instruks der er givet af AAU. Det er ligeledes AAU der bestemmer formålet med analysen og hvad firmaet må bruge de udleverede personoplysninger til. 

    Den dataansvarlige har ansvaret for, at sikkerhedsregler for behandling og opbevaring af personoplysninger overholdes.

  • +

    Hvem er databehandler?

    "En databehandler er den institution, studerende, offentlige myndighed, virksomhed, webhotel mv., der behandler personoplysninger på vegne af og efter instruks fra den dataansvarlige".

    Eksempler på databehandlere og databehandlingsopgaver: 

    • En studerende, der ikke er ansat på AAU, som skal transskribere et interview
    • Et hospital, der foretager scanninger til brug for et forskningsprojekt, hvor forskeren har givet instrukser om, hvad formålet med scanningen er
    • Rambølls platform for spørgeskemaundersøgelser, SurveyXact, der bruges af en projektleder til at indsamle data. Her opbevares spørgeskemaerne i SurveyXact og der er dermed tale om en behandling.
    • Gallup, der indsamler data efter aftale med projektlederen.
    • Danmarks Statistik, der opbevarer eller samkører data
    • En cloud-løsning
  • +

    Hvad er dine forpligtigelser når du behandler personoplysninger?

    Som dataansvarlig er det som udgangspunktdig, som har ansvaret for, at din behandling af personoplysninger lever op til databeskyttelsesreglerne.

    Som dataansvarlig skal du, i samarbejde med eventuelle databehandlere, sikre, at du:

    • Har et lovligt behandlingsgrundlag. Dette betyder, at du skal sikre, at du har lov til at behandle de personoplysninger og eventuelt dine databehandlere er i besiddelse af.
    • Får din behandling af personoplysninger registreret i AAU’s fortegnelse over igangværende behandlinger (artikel 30 fortegnelse) for henholdsvis forskning og administration.
    • Er i stand til at efterleve reglerne om de registreredes rettigheder, som for eksempel at overholde oplysningspligten, den registreredes ret til indsigt, retten til at gøre indsigelse mm.
    • Får indgået databehandleraftaler med de personer der skal behandle personoplysninger på vegne af dig.
    • Kan dokumentere, at du har sikret personoplysningerne ved at foretage de passende tekniske og organisatoriske foranstaltninger.
  • +

    Anonymisering VS. Pseudonymiseret?

    Anonymisering

    Ved anonymisering af personoplysninger fjernes alle de faktorer, der gør det muligt at identificere den enkelte person. Ved anonymiserede personoplysninger i databeskyttelsesreglernes forstand er det ikke muligt for nogen at identificere personen på noget tidspunkt.

    Hvis en forsker har erstattet en personoplysning (fx navn, cpr, adresse eller lignende) med et kodenummer, men beholdt en ”nøgle”, hvorved der ved at sammenholde kodenummeret og nøglen, kan ske identificering af fysiske personer, er personoplysningerne ikke anonymiseret i databeskyttelsesreglernes forstand. Hvis en forsker modtager personoplysninger fra Danmarks Statistik via Forskerservice, er disse personoplysninger ikke anonymiseret i databeskyttelsesreglernes forstand, da Danmarks Statistik kan identificere personerne.

    For at personoplysningerne er anonymiseret, må det derfor ikke være muligt for nogen at identificere enkelte personer, hverken direkte ud fra oplysningerne eller ved at sammenholde dem med andre oplysninger.

    Pseudeonymisering

    Pseudonymisering er, når personoplysninger (navne, CPR-numre el. lign.) erstattes af løbenumre, samtidig med at der oprettes et dokument – en ”nøgle” - hvori der noteres hvilke løbenumre, der hører til hvilke personer. 

    Pseudonymiserede persondata er fortsat personoplysninger, da det fortsat er muligt at identificere enkeltpersoner. 

    Pseudonymisering er først og fremmest en sikkerhedsforanstaltning. Sikkerheden består i, at en uvedkommende person vil skulle skaffe både de pseudonymiserede personoplysninger og ”nøglen” (dokumentet, der kobler løbenumre og identitetsoplysninger) for at kunne identificere enkeltpersoner. Der bør derfor så vidt muligt pseudonymiseres, når der videregives datasæt, der indeholder personoplysninger, for at beskytte de personer, som oplysningerne relaterer til.

Beskyttelse af personoplysninger for

Kontakt vedr. databeskyttelse

Kontraktenhedens Persondatateam
Niels Jernes Vej 10
Mail: persondata@adm.aau.dk