Privatlivspolitik

• Personoplysninger betyder enhver form for information, som direkte identificerer - eller som sammen med andet information - kan være med til at identificere en fysisk person.
• Almindelige personoplysninger inkluderer navn, telefonnummer, adresse, fødselsdato, arbejdstider, økonomiske oplysninger mv. 
• Fortrolige oplysninger indebærer CPR-numre og andre nationale ID-numre.
• Følsomme personoplysninger er oplysninger, som indebærer høje risici for fysiske personer, og hvor der af den grund er skærpede krav til behandling og sikkerhed i forhold til almindelige oplysninger. Følsomme personoplysninger er oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, oplysninger om helbredsmæssige og seksuelle forhold, oplysninger om kriminalretlige forhold, væsentlige sociale problemer og andre rent private forhold. 
• Behandling betyder enhver aktivitet eller række af aktiviteter, som personoplysninger gøres til genstand for. Dette inkluderer f.eks. indsamling, registrering, organisering, opbevaring, tilpasning, ændring, genfinding, søgning, brug, videregivelse ved transmission eller overladelse, sammenstilling, begrænsning, sletning eller tilintetgørelse.
• Registrerede personer eller 'de registrerede' er fysiske personer, hvis personoplysninger behandles af Ilisimatusarfik. Ilisimatusarfik behandler blandt andet personoplysninger om følgende personer: medarbejdere, studerende, samarbejdspartnere (ikke udtømmende liste). 
• Persondataloven er det lovgrundlag, som gælder for behandlingen af personoplysninger i Grønland.

Hos Ilisimatusarfik har vi til opgave at drive forskning og give forskningsbaseret uddannelse indtil højeste internationale niveau inden for vores respektive fagområder. Vi skal sikre et ligeværdigt samspil mellem forskning, udvikling og uddannelse, foretage en løbende udvikling af vores forsknings- og uddannelsesmæssige fagområder og formidle samt udveksle viden om videnskabelige metoder og resultater. For at varetage denne opgave, er det nødvendigt at behandle en række almindelige, fortrolige og i visse tilfælde følsomme personoplysninger om bl.a. medarbejdere, studerende og samarbejdspartnere. 

Som følge af persondatalovens krav kan behandlingen af personoplysninger have direkte indflydelse på Ilisimatusarfiks omdømme. Derfor er det essentielt, at vi hos Ilisimatusarfik fastsætter retningslinjer for behandling af personoplysninger og sikrer, at alle dele af Ilisimatusarfiks organisation er bekendt med og følger retningslinjerne.

Retningslinjerne fastsættes med nærværende databeskyttelsespolitik, og formålet med databeskyttelsespolitikken er dermed at sikre, at alle vores medarbejdere og ledere, der arbejder med personoplysninger hos Ilisimatusarfik, kender til og overholder de regler, der gælder for håndtering af personoplysninger. Reglerne tager først og fremmest afsæt i lovgrundlaget.

Ilisimatusarfiks overordnede vision i forhold til beskyttelse af persondata kan defineres således:

"Ilisimatusarfik har en klar ambition om at opnå en høj grad af gennemsigtighed i forhold til universitetets behandling af data, der behandles både manuelt og digitalt. Det er essentielt at medarbejdere, studerende og samarbejdspartnere kan regne med, at it-sikkerheden er optimal, og at personoplysninger kun behandles til saglige og nødvendige formål. En sådan tilstand vil sikres ved at koncentrere de krævede ressourcer omkring de områder, der indebærer den højeste risiko i forhold til persondataloven og sikkerhedsbekendtgørelsen, og ved at skabe en kultur internt hos Ilisimatusarfik, hvor privatlivsbeskyttelse konsekvent har en høj prioritet".

Det overordnede mål med denne databeskyttelsespolitik er - i tråd med ovennævnte vision - at opretholde Ilisimatusarfiks integritet og troværdighed i forhold til universitetets behandling af personoplysninger.

Personoplysninger må kun behandles i overensstemmelse med denne politik, og kun efter instruks fra Ilisimatusarfik – f.eks. når arbejdsopgaver fordrer behandling af personoplysninger. Fejlagtig behandling af personoplysninger, eller behandling uden instruks eller vidende fra Ilisimatusarfik, kan have alvorlige retslige eller arbejdsmæssige konsekvenser for ansatte. 

Denne databeskyttelsespolitik fastlægger de overordnede retningslinjer for at sikre, at vi hos Ilisimatusarfik håndterer og beskytter personoplysninger i overensstemmelse med lovgrundlaget (ved lovgrundlaget henvises der til anordning nr. 1238 af 14. oktober 2016 om ikrafttræden for Grønland af lov om behandling af personoplysninger (persondataloven)).

Det er afgørende for databeskyttelsespolitikkens effektivitet og succes, at alle ansatte er i stand til at påvise kendskab til databeskyttelsespolitikken og er bekendt med dens indhold. 

Databeskyttelsespolitikken omfatter samtlige persondatabehandlingsaktiviteter, der udføres eller planlægges i vores organisation, og af vores ansatte.

Hermed forstås ikke kun udførelsen af Ilisimatusarfiks kerneaktiviteter, men også behandling i forbindelse med eksempelvis HR- eller økonomiprocesser mv.

Som ansat hos Ilisimatusarfik har man ansvar for at sikre, at databeskyttelsespolitikken overholdes i det daglige arbejde samt i de aktiviteter og processer, man har ansvaret for.

Som en del af Ilisimatusarfiks ledelse er man ansvarlig for Ilisimatusarfiks aktiviteter, inklusiv behandling af personoplysninger og deres overensstemmelse med lovgrundlaget. Man er med til at træffe de nødvendige beslutninger og passende foranstaltninger i forhold til databeskyttelsespolitikkens effektivitet og tilstrækkelighed. 

Ledelsen fastlægger en proces for periodisk review og opdatering af denne databeskyttelsespolitik. 

Datatilsynet fører eksternt tilsyn med Ilisimatusarfiks brug af personoplysninger.

Hos Ilisimatusarfik skal vores behandling af personoplysninger altid være i overensstemmelse med de grundprincipper, der er beskrevet, og som følger af lovgrundlaget.

Derudover gøres der opmærksom på, at lovgrundlaget for Ilisimatusarfik mv. kan fastsætte regler og betingelser om særlige behandlinger, der også finder anvendelse på universitetets behandlingsaktiviteter. Ilisimatusarfik sikrer, at interne regler, procedurer og instrukser omfatter eventuelle retlige krav, der følger af eventuel anden særlovgivning, hvor passende.

Hos Ilisimatusarfik foretager vi kun behandling af personoplysninger, når behandling er baseret på et lovligt grundlag, og når behandlingsaktiviteten står i rimeligt forhold til Ilisimatusarfiks formål med behandlingen.

Den lovlige behandling af personoplysninger kan kun være baseret på følgende grunde: 

• Offentlig myndighedsudøvelse: Behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som Ilisimatusarfik har fået pålagt, herunder afgørelser universitetet skal træffe.

Dette kan eksempelvis være i det tilfælde, hvor Ilisimatusarfik skal behandle personoplysninger i forbindelse med sin undervisningsvirksomhed. Det kan f.eks. også være, hvor der indhentes navn og andre oplysninger på studerende med henblik på udstedelse af studiekort. 

• Retlig forpligtelse eller retskrav: Behandlingen er nødvendig for at overholde Ilisimatusarfiks retlige forpligtelser, eller for at et retskrav kan fastlægges, gøres gældende eller forsvares. 

Dette kan f.eks. være i tilfælde, hvor Ilisimatusarfik skal videregive oplysninger om en ansat til skattemyndighederne.  

• Kontraktretlig / aftaleretlig forpligtelse: Behandlingen er nødvendig til brug for opfyldelse af en kontrakt / aftale, som den registrerede er part i, eller ved gennemførelse af kontraktuelle / aftalemæssige indledende aktiviteter.

Det er kun de aktiviteter, som er nødvendige for at opfylde kontrakten / aftalen, der er dækket af denne grund. F.eks. er behandling af ansattes bankkontodetaljer nødvendig for lønudbetaling og dermed opfyldelse af ansættelseskontrakten, mens videoovervågning af ansatte ikke er.

• Samtykke: En behandling er lovlig, når der foreligger en frivillig, specifik, informeret og utvetydig indvilgelse i, at personoplysninger der vedrører den registrerede, gøres til genstand for behandling. 

Fordi samtykket skal være frivilligt, vil det oftest ikke foretrækkes i beskæftigelsesmæssige kontekster, hvor der kan være tvivl omkring en ansats mulighed for at afvise en anmodning om behandling af personoplysninger. 

• Berettiget interesse: Behandlingen er nødvendig for, at Ilisimatusarfik eller en tredjemand kan forfølge en berettiget interesse, medmindre den registreredes interesse eller grundlæggende rettigheder og frihedsrettigheder går forud herfor. 

Denne hjemmel kan ikke anvendes som grundlag for at behandle følsomme og semi-følsomme personoplysninger, såsom f.eks. oplysninger omkring folks handicap. Der henvises i stedet til de grundlag, der nævnes i persondatalovens § 6.

• Vitale interesser: Behandlingen er nødvendig for at beskytte en fysisk persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give samtykke, og ingen andre grundlag for behandling kan anvendes.

Hos Ilisimatusarfik opretholder vi gennemsigtighed vedrørende vores aktiviteter, især når disse kan påvirke fysiske personers rettigheder eller frihedsrettigheder. Gennemsigtigheden kommer især til udtryk ved, at det er nemt for de registrerede at gennemskue, hvorfor de afgiver deres personoplysninger, og hvad de bliver brugt til. Derudover sikrer vi, at enhver behandling er rimelig i forhold til formålet med behandlingen.

Hos Ilisimatusarfik indsamler og behandler vi kun personoplysninger til begrænsede, veldefinerede / udtrykkeligt angivne og legitime formål. 

Formålets omfang samt formålet ved en eventuel viderebehandling fastsættes inden personoplysninger indsamles. Såfremt vi viderebehandler personoplysninger til et nyt formål, sikres det, at der ligeledes eksisterer et lovgrundlag til den nye behandling, og at den nye behandling ligeledes står i et rimelig forhold til formålet med behandlingen.

Vores medarbejdere sørger for kun at behandle personoplysninger, som er nødvendige, relevante og tilstrækkelige i forhold til de formål, hvortil oplysningerne er indsamlet. Personoplysninger ajourføres løbende, således at der er sikkerhed omkring, at oplysningerne er korrekte. 

Vi sørger for, at man som medarbejder hos Ilisimatusarfik er bekendt med ovenstående retningslinjer, og vi sørger ligeledes for, at disse procedurer i vidt omfang bliver efterlevet.

Hos Ilisimatusarfik sørger vi løbende for at varetage de behandlede personoplysningers integritet. Dette indebærer, at der udelukkende behandles personoplysninger, som er komplette, korrekte og opdaterede. Såfremt det eksempelvis konkluderes - eller såfremt der har været mistanke om - at visse personoplysninger har været manipuleret eller ikke er korrekte, tages der rimelige skridt for at sikre, at oplysningerne bliver ajourført eller berigtiget mv.

Hos Ilisimatusarfik behandler vi personoplysninger på fortrolig vis ved at sikre, at det kun er autoriserede personer, der har ret til at tilgå de nødvendige systemer og personoplysninger. Disse systemer og oplysninger tilgås udelukkende, når der eksisterer et behov for at tilgå dem. 

Hos Ilisimatusarfik gennemfører vi løbende tekniske, administrative og fysiske foranstaltninger for at sikre, at det kun er medarbejdere med et arbejdsbetinget behov, der har adgang til de oplysninger, der er relevante for den pågældende medarbejder. På trods heraf, er det centralt for vores organisation, at de medarbejdere, der har et arbejdsmæssigt behov for at tilgå personoplysninger, har tilstrækkelig adgang til disse. 

Vi behandler personoplysninger på en måde, der sikrer tilstrækkelig sikkerhed i forhold til personoplysningers integritet og fortrolighed, dvs. beskytter dem mod ulovlig behandling og hændeligt tab, tilintetgørelse eller beskadigelse.

Hos Ilisimatusarfik opbevarer vi kun identificerende oplysninger, så længe de er nødvendige for behandling til et bestemt og specificeret formål.

Opbevaringsperioder fastsættes tidligst muligt i forhold til enhver af vores behandlingsaktiviteter hos Ilisimatusarfik.

Når personoplysninger ikke længere kræver behandling i forhold til formålet, skal de slettes eller anonymiseres, dvs. at en fysisk person ikke længere kan identificeres ved brug af disse oplysninger. Dette sker med hensyntagen til Ilisimatusarfiks journaliseringspligt og opbevaring som følge heraf. Et alternativ kan være at overføre visse godkendte oplysninger til opbevaring i arkiv efter reglerne i arkivlovgivningen.

Hos Ilisimatusarfik behandler vi i visse tilfælde en række følsomme personoplysninger. Eftersom lovgivningen stiller skærpede krav ved behandlingen af følsomme personoplysninger, sikrer vi, at sådanne oplysninger ikke behandles, medmindre mindst én af følgende omstændigheder er til stede:

• Behandlingen er nødvendig og er udtrykkeligt tilladt i medfør af lov.
• Den registrerede har givet sit udtrykkelige samtykke til behandlingen.
• Den registrerede har tydeligvis offentliggjort disse personoplysninger (forstået som offentliggørelse til den brede befolkning, og ikke blot eksempelvis når der uopfordret indsendes oplysninger til Ilisimatusarfik).
• En fysisk persons vitale interesser er i spil, og den registrerede er ikke i fysisk eller juridisk stand til at give samtykke til behandlingen.

I de tilfælde, hvor vi hos Ilisimatusarfik behandler oplysninger, der tilhører en særlig kategori af personoplysninger - eksempelvis for så vidt angår CPR-numre eller oplysninger om en persons kriminalretlige forhold - finder de behandlingsprincipper, der er fastsat her ligeledes anvendelse. Disse særlige kategorier af personoplysninger kan også udelukkende være genstand for behandling, hvis der eksisterer et lovgrundlag, og vi sikrer derfor ligeledes, at dette varetages.

Hos Ilisimatusarfik anmelder vi nye behandlingsaktiviteter til Datatilsynet i overensstemmelse med reglerne i persondatalovens kapitel 12.

Vi iværksætter først behandlingsaktiviteten, når anmeldelsen er foretaget, og i de tilfælde, hvor Datatilsynet skal afgive en udtalelse i forbindelse med anmeldelsen, iværksætter vi først behandlingsaktiviteten, når Datatilsynet har afgivet en positiv udtalelse herom.

Vi anmelder også væsentlige ændringer til allerede anmeldte behandlingsaktiviteter og iværksætter først ændringen, når anmeldelsen er foretaget.

I de tilfælde, hvor Datatilsynet skal afgive en udtalelse i forbindelse med ændringen af anmeldelsen, iværksætter vi først ændringen af behandlingsaktiviteten, når Datatilsynet har afgivet en positiv udtalelse herom.

Ilisimatusarfik lever op til de krav til teknisk og organisatorisk sikkerhed, som følger af sikkerhedsbekendtgørelsen.

Udover grundlæggende tekniske og organisatoriske sikkerhedsforanstaltninger tilpasses vores beskyttelsesniveau for personoplysninger til de faktiske risici, som knytter sig til de forskellige behandlingsaktiviteter. 

Hos Ilisimatusarfik behandler vi ikke personoplysninger, hvis risiciene ikke kan forebygges / beskyttes / afbødes (mitigeres) til et tilstrækkeligt sikkert og acceptabelt niveau.

Disse risici og de mitigerende sikkerhedsforanstaltninger vurderes derfor løbende - især i design- og forberedelsesfasen, inden behandling iværksættes eller ændres.

Når vi hos Ilisimatusarfik overvejer eller planlægger at foretage behandling af personoplysninger, tages der indledningsvist altid hensyn til, hvilke risici behandlingen kan have, og om behandlingen kan have konsekvenser for de registreredes rettigheder og frihedsrettigheder.

I en sådan indledende gennemgang vurderer vi blandt andet de tilknyttede risicis sandsynlighed. Der tages i den forbindelse udgangspunkt i behandlingens karakter, omfang, sammenhæng og formål. Når en sådan vurdering er foretaget, anvendes den til at afgøre om behandlingen af de pågældende personoplysninger kræver særlige kontrol- eller sikkerhedsforanstaltninger. 

Risikovurderingen kan omfatte flere lignende eller forbundne behandlingsaktiviteter, og skal derfor nødvendigvis ikke foretages på alle aktiviteter hver for sig. Imidlertid er det centralt, at vurderingen udføres før behandlingen iværksættes.

I forhold til de behandlingsaktiviteter, der udføres for nuværende, skal risikovurderinger gentages eller ajourføres, såfremt der sker en markant ændring i behandlingsformålet eller betingelserne. En fornyet risikovurdering af enhver behandlingsaktivitet foretages under alle omstændigheder senest tre år efter den seneste risikovurdering.

Hos Ilisimatusarfik bestræber vi os på selv at indføre passende tekniske, administrative og fysiske sikkerhedsforanstaltninger i persondatabehandlingsprocesser. Vi indretter os teknisk og organisatorisk, så vi er i stand til at opnå effektiv implementering af databeskyttelsesprincipperne - og således at kravene i persondataloven overholdes, og registreredes rettigheder beskyttes.  

Dette betyder, at vores processer og ændringer eller forbedringer dertil som udgangspunkt skal være gennemtænkt, minimere brugen af personoplysninger og begrænse risici for de registrerede. Derudover er vi hos Ilisimatusarfik påpasselige med at sikre, at processerne tillader korrekt udøvelse af de registreredes rettigheder. En indledende risikovurdering er et vigtigt udgangspunkt i gennemførelsen af beskyttelse af personoplysninger. 

Dette finder også anvendelse i forhold til vores udvikling eller brug af tekniske processer og systemer, hvor standardindstillinger så vidt muligt skal målrettes mod overensstemmelse med behandlingsprincipper og sikre passende behandlingssikkerhed.

Hos Ilisimatusarfik gennemfører og opretholder vi gennemsigtighed i enhver behandling af personoplysninger og omkring behandlingsaktiviteter.

Som udgangspunkt formidler vi derfor rettidige og fuldstændige oplysninger om vores behandlingsaktiviteter med passende undtagelse i forhold til fortrolige oplysninger eller retlig tavshedspligt. Vi imødekommer og understøtter de registreredes udøvelse af deres rettigheder.

Denne tilgang sikrer, at de registrerede er bevidste omkring, hvilke oplysninger der bliver behandlet af os hos Ilisimatusarfik og grunden hertil, samt tilgængelige klage- eller berigtigelsesmidler. Vores gennemsigtighedsregler, procedurer og principper, understøtter vores kontrol over behandlingsaktiviteters overensstemmelse med lovgrundlaget og denne databeskyttelsespolitik samt de registreredes rimelige forventninger.

Gennemsigtighed gennem behandling og omkring behandlingsaktiviteter betyder også, at vi hos Ilisimatusarfik kan påvise overensstemmelse med lovgrundlag og databeskyttelsespolitik til myndigheder og registrerede.

Vores kommunikation med de registrerede gennemføres i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog.

Vi kommunikerer skriftligt med de registrerede og så vidt muligt elektronisk.

Hvor mundtlig oplysning kræves af de registrerede, er vi i alle tilfælde være i stand til at påvise, hvilken information der blev givet, og at denne var i overensstemmelse med lovgrundlaget og databeskyttelsespolitikken.

Ilisimatusarfik har en særskilt politik for sikring af de registreredes rettigheder, hvortil henvises (se herunder).

Hos Ilisimatusarfik fører vi anmeldelser og en liste over behandlingsaktiviteter. Disse dokumenter understøtter styringen med vores aktiviteter, som vedrører personoplysninger og deres overensstemmelse med loven og denne databeskyttelsespolitik. 

Vores anmeldelser og liste over behandlingsaktiviteter beskriver de forskellige kategorier af behandlingsaktiviteter, inkl. kategorier af oplysninger, registrerede og modtagere, information om overførsler til tredjelande (ikke-EU lande) og, hvor muligt, forventet opbevaringsperiode og de tekniske og organisatoriske sikkerhedsforanstaltninger vedrørende behandlingen.

Definitioner

Begrebet 'overførsel' dækker både den situation, hvor en dataansvarlig videregiver personoplysninger til en dataansvarlig og den situation, hvor en dataansvarlig overlader en behandling af personoplysninger til en databehandler. 

Når personoplysninger transmitteres fra Ilisimatusarfik til andre dataansvarlige, foreligger der en 'videregivelse' af personoplysninger. 

Når personoplysninger transmitteres fra Ilisimatusarfik til en tredjepart med henblik på, at denne tredjepart skal foretage behandling af personoplysninger på vegne af Ilisimatusarfik, er tredjeparten at betegne som Ilisimatusarfiks 'databehandler', og transmissionen er i den forbindelse en 'overladelse', og ikke en 'videregivelse'. I disse situationer vil Ilisimatusarfik fortsat have (data)ansvaret for, at personoplysninger behandles sikkert, selvom de er overladt til en tredjepart.

En overførsel kan f.eks. bestå i en elektronisk transmission eller i en fremsendelse af en USB-nøgle - men en overførsel kan også bestå i, at personer blot gives 'se-adgang' til oplysninger.

Ilisimatusarfiks tilgang til overførsler af personoplysninger

Ilisimatusarfik er ansvarlig for beskyttelsen af de personoplysninger, universitetet behandler. Derfor vil Ilisimatusarfik som udgangspunkt ikke videregive personoplysninger til eksterne parter, medmindre der findes en hjemmel / et lovgrundlag til at foretage videregivelsen. Ved overladelse af personoplysninger til databehandlere vil Ilisimatusarfik sørge for, at relevante databehandleraftaler og eventuelle overførselsaftaler er indgået.

Ilisimatusarfiks overførsler må derfor være baseret på et lovligt grundlag og kun være udført til bestemte formål. Ilisimatusarfik opretholder gennemsigtighed ved overførsler af personoplysninger. 

Overførsler til offentlige myndigheder i Danmark og Grønland

Ilisimatusarfik videregiver personoplysninger til andre myndigheder, når videregivelse er nødvendig for Ilisimatusarfiks udførelse af de opgaver, der henhører under universitetets myndighedsudøvelse, og når der i øvrigt er hjemmel til at foretage en sådan videregivelse. 

Ilisimatusarfik må også videregive oplysninger til andre myndigheder ved andre formål, når der eksisterer et hjemmelsgrundlag herfor - som eksempelvis kan findes i anden lovgivning, herunder andre offentlige myndigheders særlovgivning.  

Ilisimatusarfik kan også overlade personoplysninger til offentlige myndigheder, som agerer databehandlere i den konstruktion, og sørger for at indgå relevante databehandleraftaler og eventuelle overførselsaftaler i den forbindelse.

Eksterne databehandlere

Ilisimatusarfik overlader kun personoplysninger til en ekstern behandler - som kan være en privat forretning eller en myndighed - når behandlingsvilkårene er fastsat i en kontrakt (databehandleraftale).

Disse vilkår specificerer bl.a. begrænsning af behandling og viderebehandling i forhold til formål, sikkerhedsforanstaltninger og databehandlerens underretnings- og støttepligt i forhold til de registreredes rettigheder og eventuelle sikkerhedsbrud.

Derudover fører Ilisimatusarfik passende kontroller med sine eksterne databehandlere for at sikre, at disse overholder lovgrundlaget og denne databeskyttelsespolitik, samt Ilisimatusarfiks instrukser i forhold til de relevante behandlingsaktiviteter. 

Internationale overførsler

Videregivelser eller overladelser (overførsler) af personoplysninger til andre EU-lande betragtes som værende på lige fod med overførsler inden for Danmark. 

Derimod er overførsler til lande uden for EU (herefter 'tredjelande') eller internationale organisationer kun tilladt under visse betingelser, og man skelner i den forbindelse mellem 'sikre' og 'usikre' tredjelande.

Videregivelser eller overladelser til 'sikre' tredjelande betragtes som lige så sikre, som at overføre til EU-lande. I de tilfælde skal der således ikke træffes særlige sikkerhedsforanstaltninger, men der skal være en hjemmel til at videregive personoplysninger osv. 

Sikre tredjelande, som er udpeget af EU-Kommissionen er følgende: Andorra, Argentina, Canada, Færøerne, Guernsey, Israel, Isle of Man, Jersey, New Zealand, Schweitz, Uruguay og USA. Vær dog opmærksom på, at Canada og USA kun er 'sikre' tredjelande i bestemte tilfælde.

Usikre tredjelande er alle andre lande end sikre tredjelande, og de lande, der befinder sig inden for EU / EØS-området.

Ilisimatusarfik sikrer, at enhver videregivelse eller overladelse af personoplysninger til et eller flere usikre tredjelande udelukkende foretages, når der er hjemmel til at foretage behandlingen, og når der desuden eksisterer et gyldigt overførselsgrundlag som f.eks. EU Kommissionens Standardkontrakter, Binding Corporate Rules eller tilsvarende sikkerhedsgarantier.

Behandlingssikkerhed sikrer, at vi hos Ilisimatusarfik altid er i stand til at styre vores aktiviteter, til at påvise aktiviteters overensstemmelse med lovgrundlaget og denne databeskyttelsespolitik samt til at understøtte udøvelsen af de registreredes rettigheder.

I vores behandling af personoplysninger er Ilisimatusarfiks informationssikkerhedspolitik målrettet til overordnet at sikre principperne for sikring af oplysninger og behandlingssystemer ift.:

• Fortrolighed, dvs. at modtagelse af eller adgang til personoplysninger er begrænset til dem, som skal udføre behandling.
• Integritet, dvs. at personoplysningers rigtighed og fuldstændighed bevares gennem hele behandlingen, og at oplysninger er beskyttet mod uautoriserede ændringer.
• Tilgængelighed, dvs. at personoplysninger altid er tilgængelige for dem, som har rettigheder dertil.

Hos Ilisimatusarfik opretholder vi robusthed i de systemer, som bruges ved behandling af personoplysninger, og gennemfører passende foranstaltninger for at være i stand til at retablere systemers tilgængelighed og integritet i tilfælde af fysiske eller tekniske hændelser.

De risici for registreredes rettigheder og frihedsrettigheder, der associeres med Ilisimatusarfiks behandlingsaktiviteter, varierer i sandsynligheden og alvorligheden i forhold til den pågældende behandlings karakter, omfang, sammenhæng og formål.

Ud over at leve op til kravene i sikkerhedsbekendtgørelsen, sikrer Ilisimatusarfik derfor, at behandlingssikkerhedsniveauet tilpasses tilstrækkeligt til de risici, som enhver behandlingsaktivitet indebærer. 

Ilisimatusarfik foretager løbende en vurdering af sikkerhedsforanstaltningers nødvendighed, tilstrækkelighed og effektivitet i forhold til dens behandlingsaktiviteter, og først når disse aktiviteter overvejes eller planlægges.

Ilisimatusarfik fastsætter en proces for jævnlig testning og vurdering af effektiviteten af de tekniske og organisatoriske foranstaltninger, der foretages, med henblik på at sikre behandlingssikkerhed.

Såfremt personoplysningers fortrolighed, integritet eller tilgængelighed kompromitteres, er der tale om et brud på persondatasikkerheden (herefter 'persondatabrud'). 

Et persondatabrud følges af et hændeligt eller intentionelt brud på Ilisimatusarfiks sikkerhed, som medfører, at vi hos Ilisimatusarfik ikke længere er i stand til at påvise, at personoplysninger kun behandles i overensstemmelse med de databehandlingsprincipper.

Eksempler på persondatabrud:

• Fortrolighed: Uautoriseret adgang til oplysninger, 'data læk', uberettiget videregivelse.
• Integritet: Utilsigtet ændring, hændelig sletning, virusangreb.
• Tilgængelighed: Strømafbrydelse i serverrum, midlertidigt forlagt usb, 'ransomware'-angreb.

Ilisimatusarfiks tilgang til persondatabrud

Et persondatabrud kan føre til alvorlige konsekvenser for de registreredes rettigheder og frihedsrettigheder og Ilisimatusarfiks integritet og troværdighed.

Hos Ilisimatusarfik er vi ansvarlige for beskyttelsen af de personoplysninger, vi behandler, og vi bestræber os derfor på at værne de registrerede mod de mulige farer og risici, som følger af et persondatabrud. Vi fører derfor tilstrækkelige og rimelige sikkerhedsforanstaltninger til forebyggelse af persondatabrud samt afbødningsforanstaltninger i tilfælde af persondatabrud.

Ansatte, som bliver bekendt med eller har mistanke om et persondatabrud i Ilisimatusarfik, skal øjeblikkeligt kontakte den nærmeste leder, der herefter iværksætter relevante tiltag i forhold til håndtering af bruddet, herunder eventuel underretning af den / de registrerede.

Persondataloven for Grønland (Anordning om ikrafttræden for Grønland af lov om behandling af personoplysninger, lov nr. 1238 af 14. oktober 2016 - herefter benævnt 'persondataloven') indeholder en række bestemmelser, som giver den enkelte borger (den registrerede) forskellige rettigheder over for myndigheder, virksomheder, foreninger mv. (den dataansvarlige), som behandler oplysninger om den pågældende.

Reglerne har til formål at styrke den registreredes retsstilling, bl.a. ved at skabe åbenhed og gennemsigtighed omkring behandlingen af oplysninger og ved at give registrerede personer adgang til eksempelvis at få indsigt i egne oplysninger, gøre indsigelse mod behandling af disse mv. 

Formålet med denne politik / instruks er at sikre en korrekt og ensartet håndtering af registreredes rettigheder efter persondataloven, herunder hvordan Ilisimatusarfik håndterer reglerne i praksis.

I denne politik benyttes en række begreber, som er fastlagt i den overordnede databeskyttelsespolitik for Ilisimatusarfik - eksempelvis hvad der menes med 'persondata / personoplysninger', 'den registrerede' mv.

Der henvises til databeskyttelsespolitikken for beskrivelser (se ovenfor).

Registreredes rettigheder følger af afsnit 3 i persondataloven.

Derudover er der en række rettigheder, som følger af praksis på det persondataretlige område.

Endelig vil det kunne forekomme, at der i særlovgivning på Ilisimatusarfiks område også allerede er fastsat udvidelser eller begrænsninger i forhold til de registreredes rettigheder. Ilisimatusarfik vil således også skulle påse, om relevant særlovgivning indeholder sådanne udvidelser eller begrænsninger.

Den registreredes rettigheder efter persondataloven er herefter følgende:

• Oplysningspligt ved indsamling af personoplysninger hos den registrerede - § 28.
• Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede - § 29.
• Den registreredes indsigtsret - § 31.
• Ret til indsigelse - § 35.
• Ret til berigtigelse, sletning eller blokering - § 37.
• Underretningspligt i forbindelse med berigtigelse, sletning eller blokering af personoplysninger - § 37.
• Ret til at trække samtykke tilbage - § 38.

Man skelner mellem proaktive og reaktive rettigheder, dvs. om Ilisimatusarfik selv skal tage initiativ i forhold til at sikre udøvelsen af den registreredes rettighed (proaktive rettigheder), eller om Ilisimatusarfik først skal reagere, hvis den registrerede anmoder herom (reaktive rettigheder).

Proaktive rettigheder:

• Oplysningspligten efter §§ 28 og 29 indtræder, når oplysninger indsamles om den registrerede.
• Oplysningspligten efter § 37 indtræder over for tredjemand ved eventuel berigtigelse, sletning eller blokering af behandling af personoplysninger.

Reaktive rettigheder:

• Indsigtsretten (§ 31).
• Ret til indsigelse (§ 35).
• Ret til berigtigelse (§ 37).
• Ret til sletning (§ 37).
• Ret til blokering af behandling (§ 37).

Gennemsigtighed

Ilisimatusarfik skal træffe passende foranstaltninger til at sikre, at oplysninger og meddelelser til den registrerede gives: 

• I en kortfattet, gennemsigtig, let forståelig og let tilgængelig form.
• I et klart og enkelt sprog.

For den offentlige forvaltning suppleres disse krav af de grønlandske sagsbehandlingsregler som eksempelvis begrundelseskravet i sagsbehandlingslovens §§ 22 – 24 mv. 

Form

Der gælder ingen formkrav til en anmodning om udøvelse af en registrerets rettigheder.

Anmodningen kan således fremsættes såvel mundtligt som skriftligt - dog skal Ilisimatusarfik sikre sig den registreredes identitet (se mere herunder).

Ilisimatusarfik skal dog dokumentere det, hvis en registreret fremsætter en sådan anmodning mundtligt. For offentlige myndigheder følger dokumentationskravet af notatpligten efter den grønlandske offentlighedslov, jf. lovens § 6.

En anmodning skal rettes mod den dataansvarlige, dvs. mod Ilisimatusarfik. Det kan dog aftales med databehandleren, at de skal være behjælpelige med at løfte universitetets forpligtelse over for den registrerede. Dette kan med fordel fremgå af databehandleraftalen.

Særligt for retten til indsigt gælder, at oplysningerne skal gives skriftligt. I tilfælde, hvor hensynet til den registrerede taler derfor, kan meddelelse dog gives mundtligt, forudsat at den registreredes identitet godtgøres med relevante midler. 

Omkostninger og nye meddelelser

Oplysninger og foranstaltninger, der træffes til opfyldelse af den registreredes rettigheder, er som udgangspunkt gratis.

Dog kan Justitsministeren fastsætte regler om betaling for meddelelser, som gives skriftligt af private virksomheder mv.

En registreret person, der har fået meddelt indsigt efter persondatalovens § 31, har ikke krav på ny meddelelse før 6 måneder efter sidste meddelelse, medmindre der godtgøres en særlig interesse heri.

Ilisimatusarfik skal i den situation kunne dokumentere, at den registrerede ikke har haft en særlig interesse i at få meddelt ny indsigt inden for de 6 måneder efter sidste meddelelse. 

Identifikation af den registrerede

Ilisimatusarfik skal sikre korrekt identifikation af den registrerede.

Ved rimelig tvivl om identiteten af den person, der fremsætter en anmodning omhandlende §§ 31, 35 og / eller 37, kan Ilisimatusarfik anmode om yderligere oplysninger, der er nødvendige for at bekræfte vedkommendes identitet.

Frister

Generelt:

Fristen for oplysning til den registrerede om, hvilke foranstaltninger (eksempelvis indsigtsret) den dataansvarlige (her Ilisimatusarfik) har iværksat som følge af en anmodning efter §§ 31, 35 og / eller 37, er 'snarest'. 

Derudover er det fristerne efter den grønlandske sagsbehandlingslov, som skal overholdes i forhold til besvarelse af de registreredes anmodninger, jf. dog nedenfor om indsigtsanmodninger.

Særligt angående indsigt:

For så vidt angår indsigtsanmodninger efter § 31 skal besvarelsen endvidere ske senest inden 4 uger efter modtagelsen. Er begæringen ikke besvaret inden 4 uger efter modtagelsen, skal den dataansvarlige underrette den pågældende om grunden hertil, samt om, hvornår afgørelsen kan forventes at foreligge.

Hvis Ilisimatusarfik således ikke senest inden 4 uger efter modtagelsen af anmodningen har truffet afgørelse eller beslutning om, hvorvidt den registreredes anmodning kan / skal imødekommes eller ej, skal den registrerede have oplysning herom samt om baggrunden herfor, og også hvornår afgørelsen da kan forventes at foreligge.

En registreret vil også skulle oplyses om en eventuel forlængelse samt underrettes om baggrunden for denne, hvis Ilisimatusarfik eksempelvis har tænkt sig at imødekomme en anmodning om at få indsigt i egne oplysninger (indsigtsret), men ikke rent praktisk kan få udtrukket oplysningerne inden for én måned efter anmodningens fremsættelse.

Hvis Ilisimatusarfik f.eks. imødekommer anmodningen om indsigtsret, skal afgørelsen herom - sammen med oplysningerne omfattet af indsigtsretten - være den registrerede i hænde senest inden 4 uger efter modtagelsen af anmodningen. 

Begrundelse og klagevejledning

Ilisimatusarfik skal give en begrundelse og en klagevejledning til den registrerede, såfremt vedkommendes anmodning hverken helt eller delvist kan imødekommes. Dette følger af persondataloven, og for Ilisimatusarfik som offentlig myndighed tillige af sagsbehandlingslovens krav til afgørelse angående begrundelse og klagevejledning.

Den registrerede skal oplyses om, at vedkommende kan klage til Datatilsynet og om muligheden for at indbringe en sag for domstolene.

Ilisimatusarfik skal som offentlig myndighed også være opmærksom på, hvorvidt der eksisterer et over- underordnelsesforhold mellem dem og en eventuelt overordnet forvaltningsmyndighed (eksempelvis mellem Ilisimatusarfik og Selvstyrets Departement for Uddannelse, Kultur & Kirke). I så fald vil der også skulle gives klagevejledning om, at den underordnede myndigheds afgørelse vil kunne indbringes for den overordnede myndighed som led i den almindelige administrative rekurs. 

Ilisimatusarfik skal såvel ved igangværende som nye behandlinger af personoplysninger sørge for at tilrettelægge arbejdet / systemerne på en sådan måde, at en registreret let og nemt kan udøve sine rettigheder.

Dette sker ved såvel organisatoriske som tekniske foranstaltninger, som Ilisimatusarfik fastlægger.

Persondatalovens § 28 omhandler den oplysningspligt, der indtræder, når der sker indsamling af personoplysninger om den registrerede direkte hos den registrerede. Det kunne eksempelvis være, hvis den registrerede udfylder en ansøgningsblanket, eller når den registrerede selv retter henvendelse til den dataansvarlige.

Oplysninger, der skal gives

I disse tilfælde skal Ilisimatusarfik på tidspunktet for indsamlingen af oplysningerne give den registrerede alle følgende oplysninger:

• Den dataansvarliges identitet og kontaktoplysninger samt dennes eventuelle repræsentant.
• Formålene med den behandling, som personoplysningerne skal bruges til.
• Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks. (ikke udtømmende liste):
  • Kategorierne af modtagere.
  • Om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt mulige følger af ikke at svare.
  • Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.

Ilisimatusarfik opfylder sin oplysningsforpligtelse over for den registrerede ved fremsendelse af udarbejdet standardmateriale. Oplysningerne i dette standardmateriale skal være overvejet i forhold til forordningens § 28, i forhold til den specifikke behandlingssituation, der har aktiveret oplysningsforpligtelsen.

Ilisimatusarfik kan også opfylde sin oplysningsforpligtelse ved at give oplysningerne på sin hjemmeside el.lign., hvis det i forhold til den specifikke behandlingsaktivitet kan gøres lovligt, relevant og tilstrækkeligt. 

Tidspunkt for oplysningspligt efter § 28, stk. 1

Ilisimatusarfik skal give oplysningerne samtidig med indsamlingen, idet oplysningspligten indtræder på tidspunktet for selve indsamlingen.

Undtagelser til oplysningspligten efter § 28, stk. 2

Den registrerede er allerede bekendt med oplysningerne.

Det følger af § 28, stk. 2, at oplysningspligten ikke gælder, hvis den registrerede allerede er bekendt med oplysningerne - eksempelvis:

• Hvor information gives i en ansøgningsblanket, den registrerede selv udfylder.
• Den registrerede sender uopfordret en henvendelse og kender den dataansvarliges identitet og formålet med behandlingen mv.

Undtagelser til oplysningspligten efter § 30

Der er endvidere fastsat undtagelser fra oplysningspligten i § 30. 

Det følger af § 30, at oplysningspligten efter § 28 ikke gælder, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv. 

Oplysningspligten gælder heller ikke, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgøre hensyn til offentlige interesser, herunder navnlig til:

• Statens sikkerhed.
• Forsvaret.
• Den offentlige sikkerhed.
• Forebyggelse, efterforskning, afsløring eller retsforfølgning i kriminalsager eller i forbindelse med brud på etiske regler for lovregulerede erhverv.
• Væsentlige økonomiske eller finansielle interesser hos Grønland, en stat, der er medlem af Den Europæiske Union, eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender.
• Kontrol-, tilsyns- eller reguleringsopgaver af midlertidig karatker, der er et led i den offentlige myndighedsudøvelse på de i nr. 3-5 nævnte områder.

Ved tvivl

Hvis Ilisimatusarfik er i tvivl om, hvorvidt der består en oplysningspligt, skal Ilisimatusarfik rådføre sig med den databeskyttelsesansvarlige herom.

Persondatalovens § 29 omhandler den oplysningspligt, der indtræder, når der sker indsamling af personoplysninger om den registrerede hos andre end den registrerede.

Oplysninger, der skal gives

I disse tilfælde skal Ilisimatusarfik give den registrerede alle følgende oplysninger:

• Den dataansvarliges identitet og kontaktoplysninger samt dennes eventuelle repræsentant.
• Formålene med den behandling, hvortil oplysningerne er bestemt.
• Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks. (ikke udtømmende liste):
  • Hvilken type oplysninger det drejer sig om.
  • Kategorierne af modtagere.
  • Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.

Ilisimatusarfik opfylder sin oplysningsforpligtelse over for den registrerede ved fremsendelse af udarbejdet standardmateriale. Oplysningerne i dette standardmateriale skal være overvejet i forhold til persondatalovens § 29, i forhold til den specifikke behandlingssituation, der har aktiveret oplysningsforpligtelsen.

Ilisimatusarfik kan også opfylde sin oplysningsforpligtelse ved at give oplysningerne på sin hjemmeside el.lign., hvis det i forhold til den specifikke behandlingsaktivitet kan gøres lovligt, relevant og tilstrækkeligt. 

Tidspunkt for oplysningspligt efter § 29

Oplysningspligten efter § 29 aktiveres ved indsamlingen af personoplysningerne.

Oplysningerne skal meddeles: 

• Inden for en rimelig frist efter indsamlingen, hvilket i almindelig er inden for 10 dage efter registreringen.
• Hvis oplysningerne skal bruges til at kommunikere med den registrerede - senest på tidspunktet for den første kommunikation med den registrerede.
• Hvis oplysningerne er bestemt til videregivelse til en anden modtager – senest ved første videregivelse.

Undtagelser til oplysningspligten efter § 29, stk. 2 og 3

Den registrerede er allerede bekendt med oplysningerne

Ilisimatusarfik skal ikke opfylde oplysningsforpligtelsen efter § 29, hvis den registrerede allerede er bekendt med oplysningerne.

Umuligt eller uforholdsmæssigt vanskeligt

Ilisimatusarfik skal ikke opfylde oplysningsforpligtelsen efter § 29, hvis underretning er umulig eller vil kræve en uforholdsmæssig stor indsats.

Ilisimatusarfik kan i den forbindelse lægge vægt på:

• Den registreredes interesse i at modtage underretning – hvilke konsekvenser har behandlingen.
• Er der tale om bipersoner.
• Oplysningernes alder og karakter.
• Antallet af registrerede.
• Den dataansvarliges arbejdsindsats.

Indsamling eller videregivelse er udtrykkeligt fastsat ved lov

Ilisimatusarfik skal ikke opfylde oplysningsforpligtelsen efter § 29, hvis indsamlingen af personoplysningerne eller videregivelsen heraf udtrykkeligt er fastsat ved lov eller bestemmelser fastsat i henhold til lov, som Ilisimatusarfik er underlagt.

Undtagelser til oplysningspligten efter § 30 

Der er endvidere undtagelser fra oplysningspligten i § 30 i persondataloven.

Indsigtsretten understøtter behandlingsprincippet om gennemsigtighed ved, at den registrerede på begæring kan få oplyst, om Ilisimatusarfik behandler oplysninger om vedkommende.

Retten understøtter også den registreredes mulighed for at udøve sine øvrige rettigheder som eksempelvis sletning, berigtigelse mv. 

Der er ingen formkrav til anmodningen - dvs. den kan fremsættes såvel mundtligt som skriftligt.

Forholdet til retten til indsigt efter offentlighedsloven (Landstingslov nr. 9 af 13. juni 1994 om offentlighed i forvaltningen)

Som offentlig myndighed skal Ilisimatusarfik altid påse og foretage en vurdering af, hvorvidt en anmodning om indsigt skal behandles efter persondataloven eller efter offentlighedsloven.

Ilisimatusarfik kan i den forbindelse eksempelvis lægge vægt på følgende:

• Hvilket retsgrundlag der giver den registrerede den bedste retsstilling.
• Om borgeren / den registrerede har anmodet om indsigt efter et bestemt lovgrundlag.

Identifikation af den registrerede

Ilisimatusarfik skal sikre korrekt identifikation af den registrerede.

Ved rimelig tvivl om identiteten af den person, der fremsætter en anmodning omhandlende § 31 kan Ilisimatusarfik anmode om yderligere oplysninger, der er nødvendige for at bekræfte vedkommendes identitet.

Det bemærkes, at det er et sikkerhedsbrud, hvis Ilisimatusarfik udleverer en kopi af personoplysningerne til en person, som ikke er den registrerede.

Oplysninger der skal gives

Ved indsigt efter persondatalovens § 31 har den registrerede ved anmodning krav på at få oplyst, om personoplysninger om den pågældende selv behandles.

Hvis der ikke behandles oplysninger om den registrerede, har vedkommende krav på at få det at vide.

Hvis der bliver behandlet oplysninger om den registrerede, skal denne gives adgang til disse oplysninger samt oplysninger om: 

• Formålene med behandlingen.
• Kategorierne af modtagere af oplysningerne.
• Tilgængelig information om, hvorfra disse oplysninger stammer.

Hovedperson / biperson

Ilisimatusarfik skal være opmærksom på, at retten til indsigt kun gælder oplysninger om den registrerede selv og ikke eventuelle bipersoner.

Kun hvis der findes et særligt interessefællesskab mellem hovedpersonen og bipersonen, kan retten til indsigt også omfatte eventuelle oplysninger om bipersoner. Ilisimatusarfik skal foretage en konkret vurdering i hvert enkelt tilfælde.

Frister

Ilisimatusarfik skal sørge for, at kopi af den registreredes oplysninger samt de øvrige oplysninger skal være den registrerede i hænde snarest muligt ('uden unødig forsinkelse') og senest inden 4 uger efter modtagelsen af anmodningen. 

Hvis Ilisimatusarfik ikke straks træffer foranstaltninger i forhold til anmodningen om indsigt, skal Ilisimatusarfik straks underrette - og senest inden 4 uger efter modtagelsen af anmodningen - den registrerede om årsagen hertil og om, hvornår afgørelsen kan forventes at foreligge.

Undtagelser til indsigtsretten efter § 31

Generelt

Der er undtagelser fra indsigtsretten i persondatalovens § 32. Der skal således eksempelvis ikke gives oplysning til den registrerede i følgende tilfælde:  

• Hvis den registreredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.
• Hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til:
  • Statens sikkerhed.
  • Forsvaret.
  • Den offentlige sikkerhed.
  • Forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger.
  • M.fl.

Bemærk, at dette ikke er en udtømmende opregning af undtagelserne som nævnt i persondatalovens § 32, hvorfor Ilisimatusarfik skal orientere sig i bestemmelsen ved behov.

Særlig undtagelse angående administrativ sagsbehandling

Det følger af persondatalovens § 32, stk. 2, at oplysninger, der behandles for den offentlige forvaltning som led i administrativ sagsbehandling, kan undtages fra retten til indsigt efter persondatalovens § 31, i samme omfang som efter reglerne i landstingslov om offentlighed i forvaltningen § 2 samt §§ 7-11 og 14. Eksempelvis medfører § 7, at retten til indsigt ikke omfatter myndigheders interne arbejdsdokumenter, som bl.a. er dokumenter, der udarbejdes af en myndighed til eget brug. 

Særlig undtagelse angående oplysninger, der udelukkende behandles i videnskabeligt eller statistisk øjemed

Ilisimatusarfik skal påse, om der anmodes om indsigt i oplysninger, der udelukkende behandles i videnskabeligt eller statistisk øjemed. I bekræftende fald finder retten til indsigt ikke anvendelse, jf. persondatalovens § 32, stk. 3.

Det betyder, at en registreret ikke har ret til indsigt i oplysninger, som vil blive behandlet med hjemmel i persondatalovens § 6, stk. 1, nr. 5, (behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse) og § 10 i persondataloven (behandling sker alene med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning).

Ilisimatusarfik skal dog overveje, om universitetet efter princippet om meroffentlighed alligevel vil give indsigt i oplysninger, som behandles med hjemmel i ovenstående bestemmelser.

Den registrerede kan til enhver tid over for Ilisimatusarfik gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling. 

Hvornår skal en indsigelse følges/ikke følges

En indsigelse mod en behandling af personoplysninger vil være berettiget, hvis behandlingen ikke er lovlig, dvs. finder sted i strid med reglerne i persondataloven eller anden lovgivning.

En indsigelse vil imidlertid også kunne anses for berettiget, selvom behandlingen i øvrigt er lovlig. Dette vil være tilfældet, hvis den registrerede har anført tungtvejende grunde til støtte for, at behandlingen på grund af den registreredes særlige, individuelle situation ikke finder sted.

Eksempelvis kan man imødekomme en indsigelse mod fortsat behandling af personoplysninger, hvis en medarbejder på Ilisimatusarfik ikke ønsker sit navn anført i en medarbejderfortegnelse på hjemmesiden på internettet.

Der er også en række tilfælde, hvor en indsigelse ikke skal tages til følge. Det gælder blandt andet i tilfælde, hvor behandlingen af oplysninger om den registrerede sker i statistisk og / eller videnskabeligt øjemed eller er foreskrevet i lovgivningen.

Ilisimatusarfik skal derfor altid foretage en konkret vurdering af, om der foreligger sådanne særlige omstændigheder omkring den registrerede person, at behandlingen af oplysninger om den pågældende bør indskrænkes eller helt indstilles. 

For at understøtte den registreredes mulighed for at sikre, at der behandles korrekte og ajourførte oplysninger om vedkommende, har den registrerede ret til berigtigelse, sletning eller blokering af sine oplysninger, såfremt betingelserne i § 37 er opfyldt.

Generelt om retten til berigtigelse, sletning og / eller blokering efter § 37

Rettighederne indtræffer efter begæring og skal angå den registrerede selv.

Dog vil det efter omstændighederne påhvile Ilisimatusarfik at undersøge rigtigheden af henvendelser, der drejer sig om andre personer end den registrerede selv, idet det efter persondatalovens § 5, påhviler den dataansvarlige at sikre, at de personoplysninger, som den dataansvarlige behandler, er korrekte og ajourførte.

Der er ingen formkrav til, hvordan anmodningen skal fremsættes.

Ilisimatusarfik afgør som dataansvarlig selv og ud fra de konkrete omstændigheder, hvorvidt der skal foretages sletning, berigtigelse eller blokering. Ilisimatusarfik skal dog være opmærksom på, hvorvidt det følger af lovgivningen, at en bestemt korrigeringsmetode skal anvendes, da eventuelle særregler går forud for persondataloven.

Ilisimatusarfik skal snarest muligt ('uden unødig forsinkelse') tage stilling til anmodningen.

Ilisimatusarfik skal ved sin afgørelse til den registrerede om ikke eller kun delvist at følge anmodningen om berigtigelse/sletning/blokering begrunde dette og give klagevejledning.

Særlig underretningspligt efter § 37, stk. 2

Ilisimatusarfik skal i tilfælde af berigtigelse, sletning eller blokering af egen drift underrette enhver modtager, som oplysningerne er videregivet til, om at der er sket berigtigelse, sletning eller blokering af disse.

Undtagelse til underretningspligten efter § 37, stk. 2

Der er dog en undtagelse hertil: der er ikke pligt til at foretage underretning af modtagerne, hvis dette viser sig at være umuligt eller uforholdsmæssigt vanskeligt.

Berigtigelse 

Den registrerede har efter anmodning ret til berigtigelse og fuldstændiggørelse af oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov.

Retten omfatter:

• At få urigtige oplysninger om sig selv berigtiget.
• Under hensyn til formålet med behandlingen at få fuldstændiggjort ufuldstændige oplysninger.
• Dette kan eksempelvis ske ved, at den registrerede fremlægger en supplerende erklæring.
• Situationer, hvor en oplysning objektivt set er forkert.

Hvis en oplysning objektivt set er forkert, skal Ilisimatusarfik sørge for at rette denne.

I disse situationer giver retten til berigtigelse sjældent anledning til problemer, da en dataansvarlig typisk ikke er interesseret i at behandle forkerte oplysninger som eksempelvis navn, adresse mv. 

• Situationer, hvor en subjektiv oplysning gøres gældende at være forkert

Disse situationer kan give anledning til en del overvejelser. For offentlige myndigheder kan det have en betydning i forhold til afgørelsessager, og det må bero på en konkret vurdering, om en subjektiv oplysning, der gøres gældende at være forkert, skal berigtiges.

Ilisimatusarfik skal sørge for, at det er dokumenteret, hvis en registreret er uenig i en given faglig vurdering, og skal også dokumentere argumenterne for ikke at berigtige en angiveligt forkert subjektiv oplysning. 

Sletning - § 37

Den registrerede har efter anmodning ret til at få personoplysninger om sig selv slettet, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov.

Som offentlig myndighed har Ilisimatusarfik imidlertid i vidt omfang ikke en pligt til at slette på grund af dokumentationskravet efter sagsbehandlingsloven.

Hvis Ilisimatusarfik således behandler de omhandlede personoplysninger som led i sin offentlige myndighedsudøvelse, vil dette tale for, at oplysningerne ikke kan slettes. Videre kan der være særregler gældende for Ilisimatusarfik, der eventuelt udvider eller indskrænker retten til sletning.

Det vil således altid bero på en konkret vurdering, om en anmodning om sletning kan imødekommes, og Ilisimatusarfik skal altid dokumentere sin stillingtagen.

Blokering - § 37

Den registrerede har efter anmodning ret til at få sine personoplysninger blokeret, hvis oplysningerne viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov.

Blokering af oplysninger indebærer, at det fortsat er tilladt at opbevare indsamlede oplysninger, men at det ikke er tilladt i øvrigt at behandle og bruge oplysningerne, herunder navnlig videregive dem til tredjemand.

Blokering har dog ikke en betydning for eventuelle andre lovkrav omkring udlevering af oplysninger, eksempelvis retten til aktindsigt efter offentlighedsloven.

Retten til at tilbagekalde et samtykke

Den registrerede har ret til - på et hvilket som helst tidspunkt - at trække sit samtykke til en behandling tilbage, jf. persondatalovens § 38.

Ilisimatusarfik skal være opmærksom på, at det skal være lige så let at kunne trække sit samtykke tilbage, som det blev givet.

Retten til at gøre indsigelse mod automatiske afgørelser

Den registrerede har ret til - efter indsigelse - at være undergivet afgørelser, der har retsvirkninger for eller i øvrigt berører den pågældende i væsentlig grad, og som alene er truffet på grundlag af elektronisk databehandling af oplysninger, der er bestemt til at vurdere bestemte personlige forhold, jf. persondatalovens § 39.

Retten gælder dog ikke, hvis afgørelsen træffes som led i indgåelsen eller opfyldelsen af en aftale, hvis den registreredes anmodning om indgåelse eller opfyldelse af aftalen er blevet efterkommet, eller der findes passende foranstaltninger til at beskytte den registreredes berettigede interesser.

Retten gælder heller ikke, hvis den pågældende afgørelse er hjemlet i en lov, der indeholder bestemmelser til beskyttelse af den registreredes berettigede interesser.

Den registrerede har ret til at få oplyst af den dataansvarlige, hvilke beslutningsregler, der ligger bag en automatisk afgørelse som nævnt ovenfor. Denne oplysning skal gives snarest muligt og uden ugrundet ophold efter modtagelsen af indsigelsen. Der er dog undtagelser til denne oplysningspligt, som står beskrevet nærmere i persondatalovens § 30.

Retten til at klage

Den registrerede har altid - og uden at det i øvrigt berører andre administrative klageadgange eller adgang til retsmidler - ret til at klage til Datatilsynet, jf. persondatalovens § 40.

Ilisimatusarfik skal derfor være opmærksom på at oplyse om dette i sine afgørelser og eventuelt også gøre opmærksom på dette andre relevante steder, eksempelvis i sin privatlivspolitik på hjemmesiden mv.

Indledning

Formålet med denne privatslivspolitik er at forklare, hvordan Ilisimatusarfik og vores samarbejdspartnere anvender de oplysninger, som indsamles fra din brug af vores hjemmeside og andre internetbaserede produkter.

Ilisimatusarfik forpligtes til i videst muligt omfang at beskytte dine personlige oplysninger og kun behandle de oplysninger, som er nødvendige for at drive hjemmesiden bedst muligt. Derudover forpligtes Ilisimatusarfik til at sikre, at indsamlede oplysninger om dig beskyttes mod uberettiget adgang og brug.

Ved køb hos Ilisimatusarfik forpligtes Ilisimatusarfik til kun at indsamle og behandle de oplysninger, som er nødvendige for at gennemføre handlen, og at disse opbevares på en sikker måde.

Ilisimatusarfik overholder den til enhver tid gældende grønlandske lovgivning om beskyttelse af personoplysninger. 

Hvem er Ilisimatusarfik?

• Ilisimatusarfik - Grønlands Universitet
• Manutooq 1
• 3905 Nuussuaq
• Postboks 1061
• Telefon: +299 38 56 00
• E-mail: mail@uni.gl

Kontaktperson hos Ilisimatusarfik vedrørende hjemmesiden samt privatlivs- og cookiepolitik er:

• Per Arnfjord
• Telefon +299 38 56 24
• E-mail: per@uni.gl 

Brugen af vores tjenester

Brugen omfatter din brug af vores hjemmeside https://www.uni.gl - og de dertilhørende sider som webshop https://webshop.uni.gl, og eventuelt intranet. Endvidere omfattes når du foretager køb, bestillinger, reklamationer og lignende henvendelser til os enten telefonisk eller skriftligt.

Ilisimatusarfiks behandling og bearbejdning af personoplysninger

Ilisimatusarfik overholder den til enhver tid gældende lovgivning for behandlingen af personlige oplysninger, som bl.a. betyder, at du skal gøres bekendt med en eventuel overdragelse af personoplysninger, såfremt Ilisimatusarfik ved lov, kendelse eller lignende bliver forpligtet til at overdrage de oplysninger, som er påkrævet af os, medmindre en sådan underretning strider mod lovgivningen.

Ilisimatusarfik indsamler ikke personoplysninger om dig, som du stiller offentligt tilgængelig på vores hjemmeside. I den forbindelse vil vi dog advare dig om, at vi ikke har mulighed for at forhindre, at tredjemand uberettiget indsamler og behandler dine personoplysninger, som du selv gør tilgængelig på vores hjemmeside.

Personoplysninger afgives aldrig til tredjepart, medmindre du selv udtrykkeligt giver tilsagn hertil - og vi indsamler aldrig personoplysninger, uden at du har givet os disse oplysninger ved registrering, køb eller deltagelse i en undersøgelse eller lignende. Her kan bl.a. indsamles oplysninger om navn, adresse, postnummer, e-mail, køn, alder, interesser m.v.

Personoplysninger bruges til at gennemføre det køb eller den tjeneste, som oplysningerne er indsamlet i forbindelse med. Oplysninger bruges derudover til at få et bedre kendskab til dig og øvrige brugere af vores hjemmesider.

Vi gemmer dine personlige oplysninger på computere med begrænset adgang, og som er placeret i adgangssikrede anlæg. Desuden kontrolleres vores sikkerhedsforanstaltninger løbende for at afgøre, om personoplysninger håndteres forsvarligt og under stadig hensyntagen til dine rettigheder som bruger. Der er dog ikke en 100 % garanti for sikkerhed ved dataoverførsler via internettet, hvilket betyder, at der kan være en risiko for, at andre uberettiget tiltvinger sig adgang til oplysninger, når data sendes og opbevares elektronisk. Du afgiver således dine oplysninger på eget ansvar.

Hvis du ønsker at få oplyst, hvilke personoplysninger Ilisimatusarfik har registreret om dig, kan du rette henvendelse til os. Såfremt det viser sig, at de oplysninger eller data, der behandles om dig, er urigtige eller vildledende, har du ret til at kræve disse berigtiget, slettet eller blokeret. Du kan til enhver tid gøre indsigelse mod, at oplysningerne om dig gøres til genstand for behandling. Du kan også til enhver tid tilbagekalde dit samtykke. Du har endvidere mulighed for at klage over behandlingen af oplysninger og data vedrørende dig ved at indgive en klage til Datatilsynet.

Brug af cookies 

For at sikre den bedst mulige oplevelse af Ilisimatusarfiks hjemmesider anvender Ilisimatusarfik cookien Google Analytics, som bearbejder oplysninger om, hvordan hjemmesiden bruges. For at få yderligere oplysninger om hvordan Google Analytics bruger oplysninger, henvises der her til Google Analytics egen privatlivspolitik.

Du kan læse hele Ilisimatusarfiks cookiepolitik her.

Link til andre hjemmesider 

På uni.gl kan man finde links til andre eksterne hjemmesider - herunder sociale medier som f.eks. Facebook, YouTube, Twitter, LinkedIN mv. Ved at bruge disse eksterne links skal du være opmærksom på, at Ilisimatusarfiks privatlivs- og cookiepolitik ikke gælder for disse eksterne sider. Der henvises derfor til disse hjemmesiders privatlivs- og cookiepolitik, som vi anbefaler dig at læse.

Ved køb på hjemmesidens webshop

Ved køb på vores hjemmesides webshop afgiver du oplysninger, som alene benyttes til gennemførelsen af købet, og oplysningerne oplagres eller videreoverdrages på ingen anden måde end for at sikre selve transaktionen. Vi deler ikke personoplysninger med nogen tredjepart i forbindelse med sådanne køb. Dog kan Ilisimatusarfik ved lov eller kendelse blive forpligtet til at overdrage sådanne oplysninger.

Ændringer i denne erklæring eller i Ilisimatusarfiks cookiepolitik

Vi forbeholder os retten til at ændre denne erklæring til hver en tid uden varsel. Hvis du har nogle kommentarer til vores erklæring eller vores cookiepolitik, så er du velkommen til at rette henvendelse til os.

Brud på Ilisimatusarfiks rettigheder eller udsættelse af fare for menneskeliv og lignende

Tilkendegivelser, gengivelser, trademarks mv. kan være beskyttet ved ophavsret, og en gengivelse af disse på vores hjemmeside er ikke afkald på sådanne rettigheder eller udtryk for, at ophavsretshaveren tillader videre udbredelse af sine værker. I sådanne eller lignende tilfælde kan Ilisimatusarfik finde det nødvendigt at dele oplysninger om dig, som Ilisimatusarfik har fået via hjemmesiden, eller som du har gjort tilgængelig på hjemmesiden.

Tilsvarende kan Ilisimatusarfik dele oplysninger med de rette myndigheder for beskyttelse af menneskeliv eller opretholdelse af ro og orden.