Opbevaring af personoplysninger

Disclaimer: Teksten er ikke revideret i 2021. Ny information kommer senere.

Her kan du finde information om, hvordan du må opbevare personoplysninger.


 

Opbevaring af personoplysninger mens du behandler dem

Overordnede krav til sikkerhed

Reglerne for behandling af personoplysninger opstiller ingen specifikke krav til sikkerheden. Der findes således ikke krav om, at hverken følsomme eller almindelige personoplysninger kræver, at personerne som behandler oplysningerne har eget kontor, eller at personoplysninger kun må behandles elektronisk.

Den overordnede regel er, at både den dataansvarlige og databehandleren skal gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger ud fra en konkret risikovurdering. Den vurdering kan så betyde, at der skal foretages konkrete fysiske eller tekniske tiltag, som fx aflåsning af lokaler og anden sikring af, at følsomme oplysninger ikke kan tilgås af uvedkommende.

Læs mere om behandlingssikkerhed.


Hvem må se de personoplysninger, som jeg behandler?

  • Internt på AU: Dem, for hvem det ifølge formålet og det retlige grundlag er nødvendigt at se personoplysningerne.
  • Uden for AU: Dem, som det er oplyst til de registrerede, at oplysningerne vil blive videregivet til - hvad enten der er tale om andre dataansvarlige eller databehandlere for AU.

Særligt ift. opbevaring af følsomme personoplysninger

  • Du må aldrig opbevare eller behandle fortrolige eller følsomme personoplysninger på din private computer eller andet privat udstyr. Hvis du arbejder med personoplysninger, skal du altid benytte den computer, du som medarbejder har fået udleveret af Aarhus Universitet.
  • Du må ikke opbevare følsomme personoplysninger i endelig form i AU's mail- og kalendersystem (Outlook), da det ikke er beregnet til at opbevare denne type oplysninger.

Særligt ift. opbevaring af fysisk materiale med personoplysninger

Reglerne for sikker opbevaring af personoplysninger er principielt de samme for digitalt og fysisk materiale. Dvs. at kun betroede personer med et sagligt behov skal have adgang til personoplysningerne.

  • Det fysiske materiale med personoplysninger skal opbevares aflåst, når det ikke bruges.
  • Det fysiske materiale må kun være tilgængeligt for betroede personer.
  • Det fysiske materiale skal destrueres forsvarligt, når formålet med opbevaringen ophører.

Opbevaring af forskningsdata - endelig form

Når du er færdig med at arbejde med personoplysninger, og resultatet ligger i endelig form, skal du være opmærksom på, at der gælder andre regler. Fx må følsomme personoplysninger må ikke opbevares i endelig form i AU's mail- og kalendersystem (Outlook), da det ikke er beregnet til at opbevare denne type oplysninger. 

Opbevaring af primære oplysninger (følsomme personoplysninger)

Ifølge AU's Ansvarlig forskningspraksis SKAL du opbevare primære oplysninger (og hermed de følsomme personoplysninger) i minimum 5 år efter projektets ”afslutning” (dvs. i praksis i minimum 5 år efter den seneste offentliggørelses af nye resultater fra et givent datasæt).

I den forbindelse forpligter AU sig desuden til at stille servere, arkiver og lignende til rådighed. 

Eksempler på opbevaring af forskellige typer personoplysninger

 

Projektbeskrivelser som indeholder navn og stillingsbetegnelse på samarbejdspartnere.

Du må opbevare personoplysninger, så længe det er nødvendigt for det formål, de er indsamlet til. Dvs. at du kan opbevare projektbeskrivelsen, så længe du arbejder med den eller med det efterfølgende bevilgede projekt. Derefter skal den slettes. Hvis projektet ikke bevilges, og du ønsker at opbevare projektbeskrivelsen til senere ansøgninger, skal du anonymisere den, så den ikke indeholder personoplysninger. Hvis der er følsomme personoplysninger, gælder andre regler for opbevaring (opbevaring i max. 30 dage).


Artikler og rapporter, der indeholder navn, mail, stillingsbetegnelse, tlf. nr. osv. 

Drejer det sig om offentliggjorte artikler og rapporter, må du gerne opbevare dem. Er artiklerne og rapporterne endnu ikke offentliggjort, afhænger det af, hvad formålet med at opbevare dem er.  


 

Endelige kontrakter på forsknings- og rådgivningsprojekter

Du skal sende endelige kontrakter på forsknings- og rådgivningsprojekter til tto@au.dk (Technology Transfer Office ved AU Forskning og Eksterne Relationer).