Informationssikkerhed

English

Du er her: Informationssikkerhed Databeskyttelse (GDPR) Til administrative medarbejdere og ledere Til sekretariatsmedarbejdere Fortrolighedsinstruks til medarbejdere, der arbejder med personaleadministrative opgaver

Fortrolighedsinstruks til medarbejdere, der arbejder med personaleadministrative opgaver

Som ansat sekretariatsmedarbejder på Aarhus Universitet, arbejder du dagligt med personoplysninger på medarbejdere og ansøgere på AU.

Formålet med denne instruks er at vejlede dig om, hvordan du korrekt anvender, registrerer, behandler og opbevarer disse oplysninger i overensstemmelse med forvaltningsloven, straffeloven og persondataretten.

Hver gang du behandler en personoplysning, skal du have et sagligt formål. Persondataretten giver den nødvendige hjemmel til at registrere og behandle de oplysninger, der er nødvendige for at administrere ansættelsesforhold.

Hvad er personoplysninger?

Persondataretten inddeler personoplysninger i særlige (følsomme) personoplysninger, cpr.-nummer og almindelige personoplysninger.

  1. De særlige personoplysninger er: Racemæssig eller etnisk oprindelse, politisk religiøs eller filosofisk overbevisning, fagforenings tilhørsforhold, seksuel orientering eller oplysninger om en persons seksuelle forhold og helbredsoplysninger. Derudover er genetiske og biometriske data omfattet. 

    De særlige personoplysninger, må du som udgangspunkt ikke indhente, registrere og behandle, medmindre der foreligger en hjemmel hertil i Databeskyttelsesforordningens artikel 9.stk.2.
    Hjemmelen til at behandle de særlige personoplysninger kan være enten udtrykkeligt samtykke eller hvis behandlingen af oplysningerne er nødvendig for at opfylde arbejdsretlige forpligtelser, f.eks. fagforeningstilhørsforhold. For så vidt angår helbredsoplysninger, må disse behandles uden udtrykkeligt samtykke, hvis det er nødvendigt for at universitetet overholder sine forpligtelser fx i forhold til forskelsbehandlingsloven og sygedagpengeloven. 
     
  2. Cpr. nummer er en almindelig oplysning, der fx kan anvendes som journalnummer, jf. Databeskyttelsesloven § 11.stk.1. Cpr. nummer må ikke offentliggøres.
     
  3. De almindelige oplysninger er alle andre oplysninger, f.eks. navn, adresse, telefon, fødselsdato, titel, familieforhold, bolig, løn, bil, statsborgerskab m.v.
    De almindelige personoplysninger må du behandle, når det er nødvendigt til overholdelse af ansættelseskontrakten eller for at overholde en retlig forpligtelse, der påhviler universitetet som arbejdsgiver.

Tavshedspligt

Du har tavshedspligt (jf. forvaltningsloven og straffeloven) med hensyn til de fortrolige oplysninger, du som led i dit arbejde har adgang til. Du må gerne udtale dig generelt om, hvilke arbejdsopgaver du løser, men du må ikke udtale dig om enkeltpersoners oplysninger til uvedkommende. Ifølge forvaltningsloven er oplysninger om enkeltpersoners private, herunder økonomiske forhold fortrolige.

Kerneområdet for tavshedspligt i HR-sammenhæng gælder f.eks. oplysninger om ansattes:

  • Cpr. nummer
  • Beskyttede adresser
  • Privatøkonomiske forhold, herunder f.eks. lønoplysninger og skatteforhold
  • Helbredsmæssige forhold
  • Personalesager

Du må ikke – hverken mundtligt eller skriftligt – videregive oplysninger om verserende eller afsluttede personalesager til udenforstående, kolleger eller ledere, der ikke tjenstligt har en anledning til at modtage disse oplysninger. Du må gerne oplyse, at en medarbejder er fratrådt.

Hvis du er i tvivl, om du i konkrete tilfælde er berettiget til at videregive oplysninger på ansatte, bør du søge tvivlen afklaret ved dialog med din nærmeste leder.

Tavshedspligten ophører ikke, når din ansættelse på AU ophører, jf. straffelovens bestemmelser.

Særligt om cpr. nummer

Universitetet må som offentlig myndighed gerne anvende cpr. nummer til identificering af medarbejdere også i korrespondance med andre offentlige myndigheder. Det afgørende er, at udveksling af oplysninger om cpr. nummer sker på en sikker måde.

Det anses for sikkert at sende cpr. nummer inden for eget netværk, via en mailadresse der ender på ”au.dk”. Hvis du sender uden for AU´s netværk, skal det sendes sikkert fx krypteret eller i e-boks.

Du bør altid overveje, om det er nødvendigt at anvende cpr. nummer. Ofte er AUID tilstrækkeligt.

Pligt til videregivelse af oplysninger til andre

I en lang række tilfælde er universitetet som myndighed både berettiget og forpligtet til at videregive oplysninger om enkeltpersoner. Det drejer sig fx om oplysninger om sygemeldte til kommunerne i forbindelse med ansøgninger om barsels- og sygedagpengerefusion samt orlovsansøgninger, ligesom universitetet er forpligtet til at videregive indkomstoplysninger til SKAT.

Universitetet er også forpligtet til at videregive de lønoplysninger til tillidsrepræsentanter/de faglige organisationer, som er nødvendige for at tillidsrepræsentanterne/de faglige organisationer kan varetage lønforhandlingsopgaverne. Det betyder, at du må sende lønoplysninger – men ikke cpr. nummer til tillidsrepræsentanterne. Såfremt der er flere med samme navn i en enhed, kan AU ID anføres.

Anvendelse af IT-systemerne

Alle data gemmes i sikre IT-systemer, hvor man kun kan få adgang efter tildeling af password.

Du må kun slå op i og arbejde med de personoplysninger, der er relevante i forhold til de arbejdsopgaver, du skal løse. Det betyder, at du ikke må skaffe dig oplysninger om enkeltpersoner, som du ikke i kraft af dine arbejdsopgaver har behov for at få oplysninger om. Det betyder fx også, at du ikke må slå dine egne oplysninger op i AU´s IT-systemer.

Du har som medarbejder adgang til en række systemer, der indeholder persondata. Du skal ud over tavshedspligten være opmærksom på overholdelse af AU`s informationssikkerhedspolitik, herunder at:

  • Aktivere kodeordsbeskyttet skærmlås på din computer, når du forlader din arbejdsstation og den er uden for din synsvidde.
  • Sørge for at din computer og mobile enheder automatisk aktiverer skærmlås efter 5-10 min. inaktivitet
  • Aldrig at overdrage dit kodeord til HR-systemer til andre personer, heller ikke til kolleger.

Opbevaring og transport af personoplysninger

Du skal jf. AU`s informationssikkerhedspolitik påse, at de personoplysninger, du anvender opbevares, fragtes og beskyttes sikkert, så risikoen for at oplysningerne kommer til uvedkommendes kendskab mindskes mest muligt. Det gælder uanset om oplysningerne findes i papirform eller på elektroniske medier. Du skal påse, at data ikke opbevares i længere tid end det er nødvendigt for behandling af den konkrete sag. Anonymiserede dokumenter må gerne opbevares.

Arbejdsskadesager

Arbejdsskade-/arbejdsulykkesager skal kun registreres og behandles i AU HR, Udvikling og Arbejdsmiljø. Der må ikke ske sammenblanding af personalesager og arbejdsskadesager.

Papirdokumenter

Personoplysninger på papir skal opbevares aflåst, når de ikke er i brug (dvs. aflåst skab eller aflåst kontor). Dokumenter med personoplysninger må ikke unødigt tilgå andre.

Dokumenterne skal straks makuleres, når oplysningerne ikke længere er nødvendige i forhold til det formål, de er indsamlet. Dokumenter med lønoplysninger og andet i forbindelse med en ansættelsessag makuleres ved endelig godkendelse af ansættelsen. Dokumenter vedrørende personalesager makuleres ved endelig afslutning af den konkrete sag.

De relevante oplysninger på papirdokumenter journaliseres inden de slettes ved afslutning af den konkrete sagsbehandling. Alle personaledokumenter slettes efter medarbejderens fratrædelse.

Mailsignatur

Når du sender mails med personoplysninger, skal du anvende følgende tekst i din mailsignatur:
”Vær opmærksom på, at denne mail indeholder personoplysninger. Det betyder, at du dels skal sikre, at personoplysningerne ikke unødigt tilgår andre samt, at oplysningerne straks slettes, når oplysningerne ikke længere er nødvendige i forhold til det formål, de er fremsendt”.

Har du spørgsmål?

Har du spørgsmål til informationen på denne side, kan du kontakte HR. 
Revideret 24.10.2023
-
Webredaktionen, Universitetsledelsens Stab