Hva er behandling av personopplysninger?
Med behandling av personopplysninger menes alle typer bruk av personopplysninger, som for eksempel:
- innsamling
- registrering
- lagring
- sammenstilling
- bruk
- overf?ring
- publisering
- sletting
Med personopplysninger menes enhver opplysning om en identifisert eller identifiserbar fysisk person.
Vurderinger eller opplysninger regnes som personopplysninger uavhengig av om de foreligger som tekst, bilder, lyd- eller videoopptak.
Eksempler p? personopplysninger kan v?re:
- navn, adresse, alder, telefonnummer, e-postadresse og f?dselsnummer
- innholdet i eksamensbesvarelser, bachelor- eller masteroppgaver og kandidatenes karakterer
- innhold i saksdokumenter, utredninger eller vurderinger som omhandler ansatte eller studenter
- innholdet i e-postkommunikasjon mellom ansatte og studenter eller mellom to eller flere studenter
- video- og lydopptak som gj?res ved bruk av overv?kningskamera og hvor enkeltpersoner kan gjenkjennes
- bilder av ansatte eller studenter som publiseres p? hjemmesiden
- logging av aktivitet i datasystemer hvor loggene kan knyttes til bestemte ansatte eller studenter, for eksempel registrering av hvem som til enhver tid er p?logget ulike datasystemer
I personvernlovgivningen omtales enkeltpersoner som ?de registrerte?.
Hva er alminnelige personopplysninger?
Med alminnelige personopplysninger menes alle typer vurderinger og opplysninger som kan knyttes til en identifisert eller identifiserbar fysisk person, men som personvernforordningen ikke definerer som s?rlige kategorier av personopplysninger (sensitive personopplysninger).
All administrativ behandling av personopplysninger skal registreres i oversikt over behandling av personopplysninger (meldeappen) .
All behandling av personopplysninger i forskningsprosjekter skal f?lge UiOs rutiner for forskning med personopplysninger og skal meldes til Norsk senter for forskningsdata (NSD). Dette gjelder ogs? for medisinsk og helsefaglig forskning.
Merk at f?dselsnummer ikke regnes som en s?rlig kategori av personopplysninger (sensitiv personopplysning), men ettersom f?dselsnummer ofte anvendes for ? identifisere enkeltpersoner, inneholder personopplysningsloven spesielle vilk?r for behandling av denne opplysningstypen.
Vilk?rene i loven er at f?dselsnummer bare kan brukes n?r:
- det er saklig behov for sikker identifisering av enkeltpersoner
- sikker identifisering ikke kan oppn?s p? andre m?ter, for eksempel ved bruk av ansatt- eller studentnummer
Les mer om reglene for bruk av f?dselsnummer (datatilsynet.no).
Hva er s?rlige (sensitive) kategorier av personopplysninger?
Med s?rlige kategorier av personopplysninger, ogs? kalt sensitive personopplysninger, menes vurderinger og opplysninger som kan knyttes til bestemte enkeltpersoner og som krever et s?rskilt vern. Spredning av disse opplysningene kan skape betydelig risiko for personer det gjelder. Kategoriene er hentet direkte fra personvernlovgivningen og omhandler:
- helseopplysninger og helserelaterte forhold
- genetiske og biometriske opplysninger med det form?l ? entydig identifisere en fysisk person
- etnisk eller rasemessig opprinnelse
- politiske, filosofiske eller religi?se oppfatninger og livssyn
- seksuell orientering eller seksuelle forhold
- fagforeningsmedlemskap
Eksempler p? sensitive personopplysninger kan v?re:
- informasjon om studenters sykdom eller diagnoser
- helseopplysninger registrert i forbindelse med ansattes sykefrav?r
- informasjon om eksamensfusk eller fors?k p? fusk
- behov for tilrettelagt eksamen av helsemessige grunner
- opplysninger om ansattes alkohol- eller rusmisbruk
- opplysninger om fagforeningsaktivitet
- informasjon om holdninger til ulike religi?se eller politiske sp?rsm?l som respondenter i sp?rreunders?kelser bes om ? oppgi.
S?rlige kategorier av personopplysninger skal sikres ekstra godt mot brudd p? informasjonssikkerheten.
Ved bruk av s?rlig kategori av personopplysninger i forskning gjelder UiOs rutiner for forskning med personopplysninger. For medisinsk og helsefaglig forskning gjelder det i tillegg egne rutiner og retningslinjer (Kvalitetssystemet for medisinsk og helsefaglig forskning).
Hva er avidentifiserte og anonyme opplysninger?
Avidenfiserte opplysninger
Avidentifiserte (pseudonyme) opplysninger regnes som personopplysninger.
Avidentifisering oppn?s vanligvis ved at informasjon som kan identifisere enkeltpersoner (navn, adresse, telefonnummer, osv.) enten fjernes eller ikke blir registrert, for eksempel ved at kandidatnummer registreres p? eksamensbesvarelsen i stedet for studentens navn. Da vil det fortsatt v?re mulig ? finne ut hvilken enkeltperson (student) som opplysningene (eksamensbesvarelsen) refererer til, for eksempel ved at ansatte i administrasjonen kobler sammen kandidatnummer og navn etter at sensuren har falt.
Avidentifiserte personopplysninger kan anonymiseres dersom koblingen mellom identifiserende opplysninger og ?vrige vurderinger eller opplysninger slettes p? forsvarlig m?te, for eksempel ved at lister med oversikt over kandidatnummer og tilh?rende navn p? eksamenskandidater destrueres.
Anonymiserte opplysninger
Anonymiserte opplysninger regnes ikke som personopplysninger. Reglene i personvernforordningen og personopplysningsloven med forskrift gjelder derfor ikke for behandling av slike opplysninger.
Anonymisering oppn?s vanligvis ved at informasjon som kan identifisere enkeltpersoner, for eksempel navn, adresse, telefonnummer, e-postadresse og f?dselsnummer, slettes p? forsvarlig m?te. Det vil da ikke lenger v?re mulig ? finne ut hvilken enkeltperson de gjenv?rende vurderingene eller opplysningene refererer seg til.
Hva er krenkelser av personvernet?
Det er behandlingsansvarlig (UiO) som er ansvarlig for at det ikke skjer krenkelser av personvernet ved elektronisk eller manuell behandling av personopplysninger i forskning, undervisning, administrasjon og formidling.
Krenkelser av personvernet kan skje p? mange m?ter, for eksempel dersom:
- uvedkommende f?r tak i helseopplysninger om ansatte eller studenter
- s?rlige kategorier av personopplysninger (sensitive opplysninger) om respondenter eller informanter i forskning kommer p? avveie
- opplysninger om studenter eller ansatte som registreres i UiOs IT-systemer er utdaterte, misvisende eller sv?rt mangelfulle
- opplysninger om informanter eller respondenter i forskning brukes til helt andre og uforenlige form?l enn hva de har samtykket til
- ansatte registrerer, endrer eller sletter studentopplysninger i UiOs IT-systemer uten ? ha lov til ? gj?re dette
- overv?kningskamera settes opp i eller utenfor universitetsbygninger uten at UiO har et godt begrunnet behov for slik overv?kning
- ledere skaffer seg tilgang til ansatte eller studenters personlige lagringsomr?der eller private e-postkommunikasjon uten ? ha rett til ? gj?re dette
- UiO publiserer detaljerte opplysninger om ansatte eller studenter p? sine hjemmesider uten at det er gitt samtykke til publiseringen
Felles for disse (og andre) krenkelser av personvernet er at behandlingsansvarlig (UiO) h?ndterer personopplysninger p? en slik m?te at den som opplysningene gjelder har mistet medbestemmelse over og kontrollen med hva som skjer med sine opplysninger.
Den som utsettes for personvernkrenkelser kan kreve erstatning fra behandlingsansvarlig (UiO) dersom han/hun har lidd ?konomisk eller ikke-?konomisk overlast som f?lge av dette.
Behandlingsansvarlig (UiO) kan ilegges overtredelsesgebyr fra Datatilsynet eller bli politianmeldt ved alvorlige krenkelser av personvernet.
Hva betyr det at UiO er behandlingsansvarlig?
Behandlingsansvarlig er et begrep som anvendes i personvernforordningen om den personen, virksomheten eller institusjonen som alene eller sammen med andre bestemmer form?let med behandlingen av personopplysninger og hvilke midler som skal benyttes.
Personer, virksomheter eller institusjoner blir behandlingsansvarlige for behandling av personopplysninger n?r de alene eller sammen med andre bestemmer:
- hvilke midler, herunder elektroniske hjelpemidler, som anvendes til ? behandle personopplysningene
- hva som er form?let eller hensikten med behandlingen av personopplysningene
Det betyr for eksempel at dersom UiO bestemmer at det skal anskaffes en nettbasert tjeneste hvor studenter, ansatte og gjesteforskere kan lagre og dele elektroniske dokumenter vil UiO v?re behandlingsansvarlig for disse personopplysningene (dokumentene).
UiOs behandlingsansvar omfatter all behandling av alminnelige, sensitive og avidentifiserte/pseudonymiserte personopplysninger. Behandling av anonymiserte opplysninger faller utenfor behandlingsansvaret.
Behandlingsansvaret omfatter personopplysninger som behandles ved hjelp av UiOs egne elektroniske systemer og tjenester. Dette inkluderer behandling av personopplysninger i forbindelse med innf?ring og drift av elektroniske kontrolltiltak, for eksempel kameraoverv?kning eller systemer for elektronisk adgangskontroll til bygninger/rom.
Behandlingsansvaret omfatter ogs? personopplysninger som behandles ved hjelp av eksterne databehandlere.
Til slutt omfatter behandlingsansvaret personopplysninger som inng?r (eller er ment ? inng?) i manuelle personregistre. Dette er papirbaserte registre som er organisert p? en slik m?te at vurderinger eller opplysninger om bestemte enkeltpersoner, for eksempel ansatte eller studenter, lett kan gjenfinnes.
Den behandlingsansvarliges personvernplikter
I rollen som behandlingsansvarlig har UiO en rekke personvernplikter. Pliktene f?lger hovedsakelig av bestemmelsene i personvernforordningen og personopplysningsloven.
UiO skal s?rge for at:
- elektronisk og manuell behandling av personopplysninger skjer p? en lovlig og forsvarlig m?te i tr?d med personvernprinsippene
- den enkelte sikres medbestemmelse over og kontroll med hvordan UiO behandler hans/hennes personopplysninger
UiO har etablert interne rutiner, retningslinjer og gjennomf?rer egnede tekniske og organisatoriske tiltak som ivaretar de personvernplikter UiO er p?lagt.
Les mer om personvernforordningen (lovdata.no).
Den enkeltes personvernrettigheter
Som behandlingsansvarlig er UiO pliktig til ? ivareta personvernrettighetene til den som opplysningene gjelder, det vil si ansatte, studenter, gjesteforskere, gjester eller respondenter og informanter i forskningsprosjekter.
Den enkeltes personvernrettigheter gjelder ved all elektronisk behandling av alminnelige og s?rlige kategorier av personopplysninger som skjer i forskning, undervisning, administrasjon og formidling ved UiO. Rettighetene gjelder ogs? ved behandling av personopplysninger som inng?r (eller er ment ? inng?) i manuelle personregistre.
Form?let med personvernrettighetene er at de som opplysningene gjelder skal ha medbestemmelse over og kontroll med hvordan UiO behandlinger deres personopplysninger.
For ? sikre at de registrerte har medbestemmelse over og kontroll med hvordan UiO behandler deres personopplysninger, har den enkelte p? visse vilk?r disse rettigheter:
- rett til informasjon om behandlingsansvarlig, form?let med behandlingen av personopplysninger og eventuelle andre mottakere av personopplysningene
- rett til innsyn
- rett til retting/korrigering
- rett til sletting
- rett til begrensning av behandling
- rett til dataportabilitet
- rett til ? protestere
Hva er elektroniske hjelpemidler?
Personvernforordningen omfatter all behandling av personopplysninger, herunder hvor elektroniske hjelpemidler blir brukt.
Med elektroniske hjelpemidler menes for eksempel:
- datamaskiner
- programvare
- datanettverk
- b?rbare dataenheter (mobiltelefoner, nettbrett, pc, osv.)
- elektronisk adgangskontroll
- kameraoverv?kningssystemer
Elektroniske hjelpemidler omfatter ogs? datasystemer som benyttes ved UiO, for eksempel FS, SAPDF?, ePhorte eller Canvas.
I tillegg regnes nettbaserte ressurser, for eksempel hjemmesider, skytjenester eller pedagogiske nettjenester, som elektroniske hjelpemidler.
Hvilke regler gjelder for innf?ring og drift av elektroniske kontrolltiltak?
Elektroniske kontrolltiltak kan blant annet ha som form?l ? beskytte UiOs bygninger og verdier mot h?rverk, ?deleggelse eller tyveri. Slike tiltak omfatter for eksempel bruk av kameraoverv?kning og systemer for adgangskontroll hvor passeringsdata om studenter eller ansatte registreres og lagres.
Elektroniske kontrolltiltak omfatter ogs?, p? visse vilk?r, innsyn i ansatte eller studenters e-post, personlige lagringsomr?der, private datautstyr og internettbruk.
Ved innf?ring av elektroniske kontrolltiltak ved UiO gjelder reglene i arbeidsmilj?loven kapittel 9. Reglene i arbeidsmilj?loven inneb?rer f?lgende:
- Kontrolltiltak skal ikke innf?res uten at det foreligger en saklig grunn for det.
- Kontrolltiltak skal bare innf?res dersom nytten av tiltaket klart overstiger den personvernulempen som det inneb?rer for ansatte, studenter, gjesteforskere og gjester.
- Kontrolltiltak skal dr?ftes med representanter for ansatte og studenter f?r tiltakene innf?res.
- Det skal gis informasjon til ansatte og studenter om hvordan innf?rte kontrolltiltak er innrettet og fungerer.
- Innf?rte kontrolltiltak skal jevnlig evalueres og behovet for ? opprettholde tiltakene skal vurderes.
Les mer om reglene i arbeidsmilj?loven som gjelder ved innf?ring av kontrolltiltak (arbeidstilsynet.no).
Arbeidsmilj?loven har s?rlige regler om innsyn i ansattes e-post, personlige lagringsomr?der, private datautstyr og internettlogger (datatilsynet.no). Innsyn i studenters e-post, personlige lagringsomr?der, private datautstyr og internettlogger reguleres av personvernforordningen.
Det er utnevnt system- eller tjenesteeiere for alle elektroniske kontrolltiltak som er innf?rt ved UiO. System- eller tjenesteeierne er delegert ansvaret for at reglene om personvern og behandling av personopplysninger f?lges.
I tillegg til ? ivareta de s?rlige reglene i arbeidsmilj?loven og personvernforordningen om innf?ring og drift av elektroniske kontrolltiltak, har system- eller tjenesteeierne for elektroniske kontrolltiltak de samme pliktene som ?vrige system- eller tjenesteeiere ved UiO.
Personer som det registreres opplysninger om ved bruk av elektroniske kontrolltiltak, for eksempel ansatte eller studenter som filmes av overv?kningskamera, har de samme personvernrettighetene som gjelder generelt for behandling av personopplysninger ved UiO.
Hva er databehandlere?
Databehandlere er eksterne akt?rer (ofte kommersielle selskaper eller andre universiteter/h?yskoler) som har f?tt i oppdrag ? drifte et elektronisk system eller tjeneste p? vegne av UiO.
Eksterne akt?rer blir databehandlere for UiO n?r driften av elektroniske systemer eller tjenester inneb?rer at de f?r tilgang til personopplysninger som UiO er behandlingsansvarlig for.
Som behandlingsansvarlig er UiO pliktig til ? s?rge for at det bare brukes databehandlere som gir tilstrekkelige garantier for at de vil gjennomf?re egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen n?r de behandler opplysninger om ansatte, studenter, gjesteforskere, gjester eller respondenter/informanter i forskningsprosjekter.
Dette skal f?rst skje ved at det gjennomf?res risikovurderinger av informasjonssikkerheten i de eksterne systemene eller tjenestene som UiO vurderer ? anvende. Dersom risikovurderingen viser at informasjonssikkerheten er tilfredsstillende, skal det inng?s skriftlige avtaler (databehandleravtaler) med databehandlerne.
Databehandleravtalene skal regulere
- gjenstanden for og varigheten av behandlingen
- behandlingens art og form?l
- typen personopplysninger og kategorier av registrerte
- den behandlingsansvarliges rettigheter og plikter
- hva databehandlerne kan gj?re med personopplysninger som UiO er behandlingsansvarlig for
- hvordan personopplysningene skal sikres mot uautorisert tilgang, endring, sletting, tap eller skade
Etter at systemer eller tjenester som driftes av eksterne databehandlere er tatt i bruk, er UiO pliktig til ? kontrollere at de overholder vilk?rene i inng?tte databehandleravtaler. Dette skjer blant annet ved at UiO f?r tilgang til og gjennomg?r databehandlernes egne revisjoner av informasjonssikkerheten i aktuelle systemer eller tjenester.
Se mal for databehandleravtaler.
I tillegg til ? anvende databehandlere, er UiO selv databehandler. UiO drifter for eksempel datatjenester for administrasjon og forskning som benyttes av andre institusjoner. UiO har rutiner og retningslinjer som ivaretar de personvernforpliktelser som dette inneb?rer.