Ofte stillede spørgsmål

• Generelt om billeder og video

  Du må som udgangspunkt gerne tage billeder til arrangementer på SDU, hvis billederne/videoerne viser noget om det at bedrive universitet, har et sagligt formål og på ingen måde er krænkende eller udstillende.

  Du skal dog altid sikre dig, at oplysningspligten er opfyldt ved at informere deltagerne, inden billederne tages, om formål, retsgrundlag, evt. videregivelse, hvordan billederne opbevaret m.v.

  Eksempler på situationer, hvor det ikke er et krav at indhente et samtykke (men husk stadig oplysningspligten) kunne være:

  • Billeder/video fra en dimission
  • Billeder/video fra en faglig konference/event
  • Billeder/video fra Årsfesten (dog ikke fra baren eller andre steder, hvor folk kan føle sig udstillede).

  Ved fotografering af oplægsholder er det god skik at spørge vedkommende forinden – fx i forbindelse med dennes oplæg og offentliggøre dem.

  Du kan henvende dig til din lokale GDPR-koordinator, hvis du har konkrete spørgsmål til oplysningspligt.

  • Hvornår skal jeg have samtykke, og hvor finder jeg samtykkeerklæringen?

    I mange sammenhænge kan du tage billeder uden samtykke, fordi SDU har et andet behandlingsgrundlag. Du kan dog have brug for et samtykke, hvis:

    • Billedet afslører fortrolige og følsomme oplysninger.

    • Den måde du skal bruge billedet på, med rimelighed kan få personen/personerne på billedet til at føle sig udstillet, udnyttet eller krænket (fx hvis du vil offentliggøre billeder fra en fest, eller hvis du bruger billederne til markedsføring)

    • Billedet afbilder en konkret person i en situation, hvor de selv bør have mulighed for at bestemme, om de vil fotograferes (fx offentligt ansatte der er på arbejde)

    Hvis du er i tvivl, kan SDU RIO vejlede om, hvornår samtykke er den mest passende behandlingshjemmel. Hvis du har brug for en samtykkeerklæring, skal du kontakte SDU RIO.

    Hvis du ender med at basere din behandling af persondata på et samtykke, skal du sørge for at samtykkeerklæringerne opbevares forsvarligt. Det vigtigste er, at de opbevares i et godkendt SDU-system (fx OneDrive, SharePoint eller WorkZone), og at de hurtigt kan genfindes i tilfælde af, at den registrerede trækker sit samtykke tilbage.

    Hent samtykkeerklæringen her (pdf)
  • Må jeg lægge billeder fra et socialt arrangement, fx en julefrokost på nettet?

    Som hovedregel skal du ikke lægge billeder fra julefrokosten på nettet, uden at spørge vedkommende, der er afbilledet.

    Hvis du tager nogle billeder, du ønsker at lægge på nettet, skal du tænke over, hvad der egentlig er på billedet. Billeder der kan virke krænkende eller udstillende skal fx ikke lægges på nettet.

    Hvis du tager billeder i SDU-regi vil generelle billeder af arrangementet (fx spisning) falde ind under universitets virke og kan derved offentliggøres uden forudgående samtykke.

    Du skal altid sikre dig, at oplysningspligten er overholdt, så deltagerne til arrangementet ved, at der tages billeder, med hvilket formål, og hvor længe de opbevares. Sørg for, at der udelukkende tages billeder med et sagligt indhold – og derfor ikke ved kopimaskinen eller i baren.

    Kontakt din lokale GDPR-koordinator for vejledning
  • Huskeliste: Før, under og efter du tager billeder/video

    Før

    • Afklar om samtykke er den korrekte behandlingshjemmel, eller om du skal bruge en anden (mere passende) hjemmel.

    • Personerne som afbildes skal oplyses om (og evt. også indhentet samtykke), at der tages billeder/video (oplysningspligten).

    • I forbindelse med oplysningspligten skal du også overveje, hvad formålet med at tage billederne er, hvor de offentliggøres, hvor længe de gemmes, om de deles med andre og meget andet.

    Under

    • Tag kun billeder/video som er forenelige med det formål, du har oplyst i oplysningsteksten. Hvis du fx tager billeder til Årsfesten, et arrangement på instituttet eller andet (og det er det, du ønsker at vise), så skal du ikke pludselig tage billeder/video uforenelige med det formål (fx personer i baren, da de potentielt kan føle sig udstillede).

    • Hvis personerne ikke ønsker at medvirke på billederne/videoerne, skal du respektere det – også selvom du ikke baserer behandlingen på samtykke.

    Efter

    • Sørg for at du gør det, du har oplyst i oplysningsteksten. Materialet skal desuden fjernes fra fx hjemmesiden (og fra dit personlige arkiv), hvis du modtager en henvendelse herom(både ved samtykke og uden samtykke som behandlingshjemmel).

    • Sørg derfor også for at navngive eller "tagge" billeder, så du hurtigt kan finde dem igen.

    • Sørg for at billederne/videoerne opbevares forsvarligt i godkendte SDU-systemer (fx OneDrive, SharePoint eller WorkZone).
  • Jeg har taget billeder, som er i overensstemmelse med reglerne. Hvor må jeg opbevare dem?

    Du må kun opbevare billederne i systemer, som er godkendt på SDU. Her anbefales du at bruge fx OneDrive eller SharePoint.

  • Jeg har ældre billeder af ansatte, omgivelser og events – må jeg bruge dem til markedsføring eller på hjemmesiden?

    Du må gerne bruge ældre billeder på hjemmesiden, hvis der ikke er personoplysninger på dem, eller hvis der er et sagligt formål. Fx hvis det er en del af det at bedrive universitet – og kun hvis billedet indeholder almindelige personoplysninger. Hvis der er afbilledet følsomme eller fortrolige personoplysninger, skal du sørge for at indhente et gyldigt samtykke.

    Brug aldrig billeder, hvor personer fremstilles på en krænkende eller anden uhensigtsmæssig måde.

    Hvis du ønsker at bruge billederne til markedsføring, skal du dog være opmærksom på markedsføringsloven og sikre dig, at der er indhentet et samtykke efter markedsføringsloven. SDU RIO kan vejlede herom.

    Hvis du er I tvivl, er du altid velkommen til at spørge din lokale GDPR-koordinator.

  Læs mere om GDPR-regler på Datatilsynets hjemmeside.

  Læs vejledningen om oplysningspligten (SharePoint).

• Opbevaring og sletning af personoplysninger

  • Hvornår skal jeg slette personoplysninger i OneDrive, SharePoint og lignende?

    Du skal slette personoplysninger i Onedrive, SharePoint m.m., når du ikke længere har et formål med at opbevare dem, og når det ikke længere er relevant for dit arbejde.

    Vær opmærksom på om oplysningerne evt. skal journaliseres.

    Find vejledninger til journalisering
  • Må jeg gemme personoplysninger uendeligt?

    Som udgangspunkt, nej.

    Du skal altid have et sagligt formål med at opbevare personoplysninger. Det er heller ikke tilstrækkeligt blot at flytte alle mails over i OneDrive, ”for så ligger de et sikkert sted”,  jf. behandlingsprincipper. 

    Læs mere om typer af oplysninger her
• Hvordan beskytter jeg personoplysninger i mails?

  Mails fra interne mailadresser (som slutter på @sdu.dk) til interne mailadresser sendes altid krypteret. Her må du derfor gerne sende mails med alle typer personoplysninger, så længe du har et formål med det.

  Som udgangspunkt sender du ikke krypteret, når du sender til eksterne mailadresser, og du bør derfor ikke sende mails indeholdende følsomme eller fortrolige personoplysninger til disse.

  Der findes dog forskellige muligheder for at sende mails krypteret ud af huset:

  • Sikkermail mailboks (sikkerpost@sdu.dk), som er krypteret og signeret

  • E-boks: Denne metode findes i to varianter, en hvor du benytter din Outlook klient direkte til at sende til bestemte modtagere, og en anden, hvor mailen bliver sendt som at udskrive til en printer. Sidstnævnte sendes via KMD, og har den fordel, at hvis personer er fritaget Det Digitale Danmark, så kan brevet sendes som papirbrev.

  • Tunnelmail: Brug "Send Digitalt" plugin for at kontrollere, at din mail sendes krypteret til eksterne mailadresser. Der er oprettet tunnelmail til størstedelen af de offentlige myndigheder, og med dette plugin kan du kontrollere, at der er etableret en krypteret forbindelse.

  Hvis du har spørgsmål, skal du kontakte din lokale informationssikkerhedskoordinator. Find kontaktoplysninger nederst på siden.

  Vejledning til sikker mail (SharePoint)
• Må jeg uddele deltagerliste til arrangementer?

  Du må gerne dele deltagerlisten fra et arrangement, hvis du har en saglig grund til at dele den. En saglig grund kunne være, at en del af formålet med seminaret er at skabe netværk mellem deltagerne. Som udgangspunkt har SDU altid et sagligt formål med at afholde arrangementer/event, så længe det er i et fagligt regi.

  Du skal altid sikre dig, at oplysningspligten er overholdt. Her skal deltagerne bl.a. oplyses om formålet med at dele deres oplysninger. Du kan med fordel bruge nedenstående skabelon og indsætte den i forbindelse med tilmelding til arrangementet/eventet/andet:

  ”Vær opmærksom på at deltagerlisten og deltagernes e-mailadresser bliver delt med de andre deltagere i [kurset/seminaret]. Det gør den fordi [indsæt begrundelse, fx: fordi en del af formålet med seminaret er at skabe netværk mellem deltagerne]. Hvis du ikke ønsker at dit navn eller dine kontaktoplysninger bliver delt, kan du kontakte [indsæt kontaktperson/kontaktoplysninger]”.

  Hvis du er i tvivl, om du har et sagligt formål med at dele deltagerlisten, kan du altid kontakte din lokale GDPR-koordinator for vejledning.

  Find din lokale GDPR-koordinator