Du er her: Informationssikkerhed Databeskyttelse (GDPR) Om administration Særligt til studieadministrative medarbejdere

Særligt til studieadministrative medarbejdere

Her finder du en vejledning, som har til formål at oplyse om, hvordan du som medarbejder inden for studieadministration anvender, registrerer, behandler og opbevarer oplysninger om studerende i overensstemmelse med forvaltningsloven, offentlighedsloven, straffeloven og persondataretten.


Hjemler og retningslinjer for behandling af studerendes personoplysninger

Administration og sagsbehandling af studerendes personoplysninger i forbindelse med studerendes optagelse og studieforløb er omfattet af flere regelsæt, der ofte er i spil samtidigt:

  • Lov nr. 606 af 12.juni 2013 om offentlighed i forvaltningen,
  • Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om databeskyttelse (Persondataforordningen), særligt kapitel 6 stk. 1 litra c og e vedr. administration af studier. Vedr. SU artikel 6, stk. 1, litra a, c, og e, artikel 9, stk.2, litra f, artikel 10, artikel 45, stk.9 og artikel 49, stk.1, litra d og e. Vedr. Specialpædagogisk støtte artikel 6, stk.1, litra c og e, og artikel 9, stk.2, litra f
  • Databeskyttelsesloven nr. 502 af 23. maj 2018
  • Bekendtgørelse af Forvaltningsloven nr. 433 af 22. april 2014,
  • Bekendtgørelse af Straffeloven nr. 977 af 9. august 2017
  • Aarhus Universitets fortegnelser (tidligere anmeldelser til Datatilsynet)
  • Aarhus Universitets retningslinjer for databeskyttelse og datasikkerhed

Derudover findes retningslinjer for bevaring og kassation i arkivloven.

Principper for behandling af personoplysninger og tavshedspligt

Behandling af personoplysninger skal leve op til datarettens principper og til lovgivningen vedr. tavshedspligt.

Der skal være hjemmel til at registrere og anvende de studerendes personoplysninger. Det skal stå klart, hvilket formål oplysningerne skal bruges til, og formålet skal være sagligt. Der må ikke indsamles, registreres eller på anden måde behandles personoplysninger, hvis ikke der er et aktuelt formål med indsamlingen. De oplysninger, der registreres i de studieadministrative systemer og ESDH systemet, må ikke omfatte mere end det, der er nødvendigt for sagens behandling.

Som udgangspunkt er de fleste oplysninger i en studieadministrativ sammenhæng fortrolige, uanset om de er kategoriseret som almindelige eller særlige personoplysninger. Det gælder fx oplysninger om studerendes:

  • Cpr. nr.
  • Beskyttede adresser
  • Studieforløb
  • Karakterer
  • Helbredsoplysninger
  • Dispensations- og klagesager
  • Studentersager i øvrigt

Tavshedspligten ophører ikke, når du er fratræder din ansættelse ved Aarhus Universitet (jf. straffelovens bestemmelser).

Ikke fortrolige oplysninger er de relativt få personhenførbare oplysninger, som ikke kan nægtes udleveret efter offentlighedsloven.  Du må fx gerne oplyse at en navngivet person har opnået en uddannelsesgrad ved AU.

Hvad er personoplysninger i studieadministration?

En personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede). Ved identificerbar forstås en fysisk person, der direkte eller indirekte kan identificeres ved en identifikator (cpr.nr. studienummer, AU id, vpn-adresse o.l.). 

I databeskyttelsesforordningen opdeles personoplysninger i to kategorier:

  • Almindelige personoplysninger, inkl. cpr.nr.
  • Særlige kategorier af (følsomme) personoplysninger    

Cpr.nr.

Behandling af studerendes cpr.nr. er reguleret af den danske databeskyttelseslov (§ 11). Offentlige myndigheder kan anvende cpr.nr. som entydig personidentifikation og som journalnummer. Cpr.nr. er en fortrolig oplysning. Studerendes cpr.nr. må ikke offentliggøres, hverken fysisk på fx opslagstavler eller på web o.l. mails, afgørelser o.l., der indeholder cpr.nr. skal sendes sikkert enten til e-boks eller til den studerendes au-mail (inden for universitetets eget netværk).

Almindelige personoplysninger

Almindelige personoplysninger omfatter alle oplysninger, der ikke er klassificeret som særlige kategorier af oplysninger (følsomme personoplysninger, jf. artikel 6 i persondataforordningen).

Strafbare forhold er også i databeskyttelsesforordningen en almindelig personoplysning, men er desuden reguleret særskilt både i databeskyttelsesforordningen og i databeskyttelsesloven (§ 8). Strafbare forhold må ikke behandles, medmindre det er nødvendigt for at varetage en myndighedsopgave.

I databeskyttelsesforordningen skelnes ikke mellem almindelige personoplysninger og det, der efter den tidligere danske persondatalov blev defineret som andre mindre følsomme oplysninger som fx væsentlige sociale problemer, karakterer o.l. I praksis ændrer det ikke retstilstanden. Vær opmærksom på, at stort set alle almindelige personoplysninger er fortrolige.

Eksempler på almindelige personoplysninger i forbindelse med studieadministration: Navn, fødselsdato, adresse, e-mailadresse, studienummer, statsborgerskab, økonomiske oplysninger (SU og legater) optagelsesoplysninger, indskrivningsoplysninger og eksamensoplysninger (til- og afmeldinger samt resultater), karakterer, væsentlige sociale problemer, private forhold i øvrigt.

Oplysningerne må behandles og videregives til den studerende, oplysningerne vedrører og i tjenstligt øjemed til andre medarbejdere på universitetet. Navn må offentliggøres, medmindre der foreligger en navnebeskyttelse. Øvrige oplysninger må ikke offentliggøres, hverken fysisk på fx opslagstavler eller på web o.l.

Særlige kategorier af personoplysninger (følsomme personoplysninger)

Særlige kategorier af personoplysninger er oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering (jf. persondataforordningen artikel 9).

Som udgangspunkt må du ikke indhente, registrere eller behandle disse oplysninger uden udtrykkeligt samtykke. Dog kan helbredsoplysninger fremsendt som dokumentation i forbindelse med en dispensationssag behandles for, at universitetet kan overholde bestemmelserne i fx eksamensbekendtgørelsen vedr. studerende med fysisk eller psykisk funktionsnedsættelse o.l.

De særlige kategorier af personoplysninger registreres ikke i STADS. Hvis en studerende oplyser sådanne forhold (eksempelvis i en dispensationssag), må oplysningen behandles og opbevares i ESDH i overensstemmelse med de retningslinjer for journalisering, som gælder herfor.

Videregivelse af personoplysninger

Om videregivelse af personoplysninger kan finde sted afhænger af, hvilke oplysninger der er tale om, hvem der videregives til, om formålet med videregivelsen/behandlingen hos en anden part eller om videregivelse er fastsat ved lov, fx til en anden myndighed.

A) Til anden medarbejder:

De nødvendige personoplysninger må videregives til en anden medarbejder på Aarhus Universitet samt til medlemmer af styrende organer, fx Studienævn i henhold til Lov om Universiteter m.fl. inden for det område, der dækkes af det administrative område (fx studieadministrationscenteret ved et fakultet).

Modtageren af personoplysningerne skal behandle de modtagne personoplysninger i overensstemmelse med dette regelsæt og Universitetets retningslinjer for databeskyttelse i øvrigt.

B) Til den person oplysningerne vedrører:

Den studerende har adgang til oplysninger om sig selv. Den studerende kan give tredjemand skriftlig fuldmagt til at rekvirere og modtage personoplysninger om vedkommende.

C) Til tredjemand:

Som udgangspunkt udleveres personoplysninger kun til tredjemand, hvis der kan fremvises en underskrevet samtykkeerklæring/fuldmagt fra den oplysningerne vedrører.

Privatpersoner, private virksomheder, organisationer og udenforstående myndigheder har ikke adgang til personoplysninger med mindre andet følger af lov.

Enhver imødekommelse af anmodning om udlevering af personoplysninger til tredjemand skal aftales med eller henvises til Uddannelsesjura. Dog kan fakulteternes studieadministration bekræfte uddannelsesbevisers ægthed og verificere opnåede grader ved AU.

D) Offentliggørelse fx på web og opslagstavler o.l.

Navn må offentliggøres, medmindre der foreligger en navnebeskyttelse. Øvrige oplysninger inkl. cpr.nr. og studienummer må ikke offentliggøres, hverken fysisk på fx opslagstavler eller på web o.l

Behandling, opbevaring og sletning af personoplysninger i studieadministration

Behandling af personoplysninger må alene ske, når det er relevant i arbejdsmæssig sammenhæng.

Ved behandling forstås enhver form for brug med eller uden anvendelse af automatisk behandling som personoplysninger eller en samling af personoplysninger, gøres til genstand for. Det gælder fx indsamling, registrering, organisering, systematisering, opbevaring, ændring, genfinding, søgning, videregivelse, overladelse, samstilling, samkøring, begrænsning, sletning eller tilintetgørelse.

Registrering eller overførsel af oplysninger fra det studieadministrative system til dokumenter, registre, oversigter, lister, filer ol. er en behandling af personoplysninger, og skal derfor overholdeprincipperne for behandling af personoplysninger.

Opbevaring

Personoplysninger skal opbevares sikkert efter de retningslinjer, der findes på AU’s hjemmeside om databeskyttelse. Ingen uvedkommende må have adgang til dem.  

Medarbejdere med adgang til oplysninger i eller fra de studieadministrative systemer skal lukke for adgangen til oplysningerne, når de forlader den pc, der er anvendt til etablering af adgangen.

Personoplysninger vedrørende den studerendes uddannelsesforløb skal som udgangspunkt altid registreres i det studieadministrative system.

Personoplysninger må ikke opbevares uden for de studieadministrative systemer, ESDH systemet eller sikre drev efter endt brug. Personoplysninger på netværksdrev, lokale drev eller lignende, skal slettes efter endt brug. Som udgangspunkt indebærer dette, at personoplysninger kan opbevares på egen pc og i mail i op til en måned eller til den konkrete behandling af en konkret sag eller henvendelse er afsluttet. Herefter slettes personoplysningerne, hvis der er tale om en personoplysning, som ikke skal indføres i de studieadministrative systemer. Har personoplysningen betydning for behandlingen af en konkret sag, arkiveres personoplysningen i det relevante studieadministrative system eller i ESDH systemet. Se nærmere om AU’s generelle retningslinjer vedr. databeskyttelse på medarbejdere.au.dk

Sletning

Hvis en personoplysning ikke indgår i en universitær sag, dokumenterer oplysninger i et sagsforløb, eller har medført en registrering i de studieadministrative systemer eller i ESDH systemet, skal oplysningen slettes.

Personoplysninger, som er arkiveret i de studieadministrative systemer, slettes i overensstemmelse med de principper, der fremgår af Fortegnelsen eller de tidligere anmeldelser af studieadministrativ behandling til Datatilsynet.

Universitetets oplysningspligt over for den studerende

Aarhus Universitet har som dataansvarlig oplysningspligt over for den studerende. Det betyder, at universitetet på eget initiativ har pligt til at give den registrerede studerende en række oplysninger, herunder oplysning om Aarhus Universitet (kontaktadresse) og kontaktoplysninger til Aarhus Universitets databeskyttelsesrådgiver. Disse oplysninger vil fremgå af studerende.au.dk, hvor der er oprettet en generel GDPR side.

Oplysningerne skal som udgangspunkt gives i forbindelse med indsamling af personoplysninger (fx et ansøgningsskema). Desuden skal den registrerede studerende have oplyst formålet med behandlingen og retsgrundlaget for behandlingen.

Studerendes indsigtsret

Den studerende har en række rettigheder, herunder retten til indsigt i de personoplysninger Aarhus Universitet har registreret om vedkommende, ret til at få urigtige oplysninger rettet, ret til ikke at være genstand for automatiske sagsbehandling og ret til sletning m.v.

Hvad angår retten til at få slettet oplysninger vil Aarhus Universitet kun i yderst begrænset omfang kunne imødekomme dette, da universitetet som offentlig myndighed er forpligtet til at kunne dokumentere sin sagsbehandling, ligesom hovedparten af den registrering, der foregår i studieadministrativt øjemed følger af bekendtgørelser m.v. 

Personoplysninger, der er indhentet efter samtykke som fx tilmelding til nyhedsbreve eller anden ikke-lov -eller bekendtgørelsesreguleret indgivelse af personoplysninger, kan slettes. Et samtykke kan tilbagekaldes til enhver tid, og den studerende har ret til at få slettet personoplysninger, der er behandles på grundlag af et samtykke.

Henvendelser fra studerende og dimittender om indsigt i registreringer om eget studieforløb m.v. besvares i samarbejde mellem Uddannelsesjura og den relevante studieadministrationscenter. Uddannelsesjura sender hurtigst muligt en kvitteringsmail til afsenderen med oplysning om, hvornår indsigtsanmodningen forventes at blive besvaret.

Hvis en indsigtsanmodning vedrører flere forvaltningsområder kontaktes Universitetsledelsens Stab, Att. Sekretariat og Jura, for samlet besvarelse af anmodningen.

Hvis der er uklarhed om, hvilke type oplysninger der anmodes om, afklares dette med afsenderen. 


1445537 / i40