Systemeier
Fagdirekt?rene sentralt og fakultetsdirekt?rene er utpekt som eiere av systemer og tjenester innenfor sine respektive ansvarsomr?der. System- og tjenesteeier er blant annet ansvarlig for spesifikasjon av funksjons- og kvalitetskrav til utvikling og drift av systemet. I dette inng?r ogs? ansvaret for enkelte personvernoppgaver ved behandling av personopplysninger i sine systemer eller tjenester.
Strategisk koordineringsgruppe for administrative IT-systemer (SKAIT) har utarbeidet en sjekkliste for administrative IT-system- og tjenester hvor ogs? krav til behandling av personopplysninger fremg?r. Se eksempelvis hvordan dette fremst?r i praksis for analyseverkt?yet Kuben.
Hvilket ansvar for personvernet har system- og tjenesteeiere (fagdirekt?rer og fakultetsdirekt?rer)?
System- og tjenesteeiernes (fagdirekt?rer og fakultetsdirekt?rer) ansvar for personvernet ved behandling av personopplysninger omfatter f?lgende oppgaver:
-
Ved innkj?p/utvikling av systemet eller tjenesten
- beskrive og dokumentere hva personopplysningene som behandles i systemet eller tjenesten skal brukes til: hva er form?let/hensikten med systemet eller tjenesten?
- beskrive og ha oversikt over hvilke typer personopplysninger som skal behandles i systemet eller tjenesten
- beskrive hvilken lovlig grunn UiO har til ? behandle personopplysninger i systemet eller tjenesten
- beskrive kravene til n?dvendig beskyttelse av personopplysningene som skal behandles i systemet eller tjenesten for ? sikre at systemet eller tjenesten har tilstrekkelig teknologi og mekanismer for ? oppfylle kravene.
-
F?r bruken av systemet eller tjenesten starter
- foreta risikovurdering av informasjonssikkerheten til personopplysningene i systemet eller tjenesten.
- inng? avtale med eventuell databehandler som drifter systemet eller tjenesten p? vegne av UiO.
- melde systemet eller tjenesten i UiOs protokoll over administrative behandlinger (meldeappen).
- utforme informasjon til ansatte, studenter, gjesteforskere eller gjester om deres personvernrettigheter
-
Mens systemet eller tjenesten er i bruk
- kontrollere at personopplysningene som behandles i systemet eller tjenesten ikke brukes til andre og uforenlige form?l enn hva som er planlagt uten at behandlingsgrunnlaget dekker dette, herunder samtykke eller lovhjemmel. (lenke til behandlingsgrunnlag)
- kontrollere at personopplysningene som behandles i systemet eller tjenesten har tilfredsstillende kvalitet, det vil si at opplysningene er tilstrekkelige og relevante, korrekte og oppdaterte
- kontrollere at det ikke registreres overskuddsinformasjon i systemet eller tjenesten (personopplysninger som ikke er n?dvendige for ? ivareta form?let/hensikten med systemet eller tjenesten)
- slette eller anonymisere overskuddsinformasjon som likevel er blitt registrert i systemet eller tjenesten
- besvare henvendelser fra og ivareta rettighetene til den som personopplysningene gjelder
- foreta jevnlige risikovurderinger av informasjonssikkerheten til personopplysningene som behandles i systemet eller tjenesten
- iverksette tiltak som s?rger for at informasjonssikkerheten til personopplysningene som behandles i systemet eller tjenesten er tilfredsstillende
- jevnlig kontrollere at eventuelle databehandlere overholder vilk?rene i inng?tte databehandleravtaler.
- melde inn avvik som oppst?r ved behandling av personopplysninger i systemet eller tjenesten.
- melde inn vesentlige endringer i bruken av systemet eller tjenesten i UiOs protokoll for administrative behandlinger (meldeappen)
- bist? ved ?rlig internkontroll (revisjon) og stedlige kontroller gjennomf?rt av ansatte i IT-direkt?rens stab. Se veiledning for gjennomf?ring av ?rlig internkontroll.
-
Ved avvikling av systemet eller tjenesten
- avgj?re hvilke personopplysninger som skal slettes, eventuelt anonymiseres, og hvilke som skal arkiveres
- s?rge for at alle personopplysninger som ikke skal arkiveres blir forsvarlig slettet eller anonymisert
- s?rge for at personopplysninger som skal tas vare p? blir arkivert