Lovgivning og juridiske aspekter ved databehandlingen i Unilogin

Unilogin behandler persondata. Dermed skal det være klart defineret, hvem der er dataansvarlig henholdsvis databehandler for de persondatabehandlinger, der foretages. 

Den dataansvarlige er ansvarlig for overholdelsen af persondataloven.

Databehandleren kendetegnes ved kun at behandle personoplysninger på vegne af (efter instruks fra) en dataansvarlig. Databehandleren behandler således aldrig personoplysninger til egne formål og må derfor ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige.

I forhold til persondatareglerne er skolerne dataansvarlige for databehandlinger i Unilogin og STIL er databehandler. Det er således skolerne, der har ansvaret for de data, der er UNI-login, herunder deres kvalitet og hvem der har adgang til at behandle dem.

Dette gælder også, når persondata via UNI-login og en af skolen godkendt dataaftale (instruks) stilles til rådighed for skolernes indkøbte tjenester. Skolerne skal således, som dataansvarlig, indgå databehandleraftaler med alle de tjenester, der behandler personoplysninger på skolernes vegne, også i de tilfælde hvor tjenesterne får skolernes personoplysninger fra Unilogin.

Derimod skal skolerne ikke indgå en skriftlig databehandleraftale med STIL. Dette krav er allerede opfyldt med Vejledningslovens § 15 g, som regulerer de forhold, der alternativt ville være krævet i en skriftlige databehandleraftale. Vejledningsloven §15g erstatter med andre ord en databehandleraftale mellem skolen og STIL.

Samlet understøttes dataflowet juridisk som skitseret nedenfor:

I de situationer, hvor Undervisningsministeriet anvender data fra institutionernes registreringer i Unilogin til statistiske formål (eller lovbestemt afrapportering og analyse) sker det via en videregivelse, hvorefter Undervisningsministeriet ved STIL er dataansvarlig.