Generelt om personvern

Personvern handler om at hver og en av oss skal få bestemme over alle opplysningene om oss selv. Vi har en grunnleggende rett til å ha privatlivet i fred, og til å ha innflytelse på bruken og spredningen av opplysninger om oss.

Hva er behandling av personopplysninger?

Med behandling av personopplysninger menes alle typer bruk av personopplysninger, som for eksempel:

  • registrering
  • lagring
  • sammenstilling
  • overføring
  • publisering
  • sletting

Med personopplysninger menes alle vurderinger eller opplysninger som kan knyttes til en bestemt person.

Vurderinger eller opplysninger regnes som personopplysninger uavhengig av om de foreligger som tekst, bilder, lyd- eller videoopptak.

Eksempler på personopplysninger kan være:

  • navn, adresse, alder, telefonnummer, e-postadresse og fødselsnummer
  • innholdet i eksamensbesvarelser, bachlor- eller masteroppgaver og kandidatenes karakterer
  • innhold i saksdokumenter, utredninger eller vurderinger som omhandler ansatte eller studenter
  • innholdet i e-postkommunikasjon mellom ansatte og studenter eller mellom to eller flere studenter
  • video- og lydopptak som gjøres ved bruk av overvåkningskamera og hvor enkeltpersoner kan gjenkjennes
  • bilder av ansatte eller studenter som publiseres på hjemmesiden
  • logging av aktivitet i datasystemer hvor loggene kan knyttes til bestemte ansatte eller studenter, for eksempel registrering av hvem som til enhver tid er pålogget ulike datasystemer

I personopplysningsloven med forskrift omtales enkeltpersoner som «de registrerte».

Hva er alminnelige personopplysninger?

Med alminnelige personopplysninger menes alle typer vurderinger og opplysninger som kan knyttes til en bestemt enkeltperson, men som personopplysningsloven ikke definerer som sensitive personopplysninger.

All administrativ behandling av alminnelige personopplysninger skal meldes til personvernombudet ved UiO.

All behandling av alminnelige personopplysninger i forskningsprosjekter skal meldes til Norsk Samfunnsvitenskapelig Datatjeneste (NSD).

Merk at fødselsnummer ikke regnes som en sensitiv personopplysning, men ettersom fødselsnummer ofte anvendes for å identifisere enkeltpersoner, inneholder personopplysningsloven spesielle vilkår for behandling av denne opplysningstypen.

Vilkårene i loven er at fødselsnummer bare kan brukes når:

  • det er saklig behov for sikker identifisering av enkeltpersoner
  • sikker identifisering ikke kan oppnås på andre måter, for eksempel ved bruk av ansatte- eller studentnummer

Les mer om reglene for bruk av fødselsnummer (datatilsynet.no).

Hva er sensitive personopplysninger?

Med sensitive personopplysninger menes alle typer vurderinger og opplysninger som kan knyttes til bestemte enkeltpersoner, og som omhandler:

  • helse og helserelaterte forhold
  • etnisk eller rasemessig bakgrunn
  • politiske eller religiøse oppfatninger og livssyn
  • seksuell legning
  • strafferettslige forhold
  • fagforeningsmedlemskap

Eksempler på sensitive personopplysninger kan være:

  • informasjon om studenters sykdom eller diagnoser
  • helseopplysninger registrert i forbindelse med ansattes sykefravær
  • informasjon om eksamensfusk eller forsøk på fusk
  • behov for tilrettelagt eksamen av helsemessige grunner
  • opplysninger om ansattes alkohol- eller rusmisbruk
  • opplysninger om fagforeningsaktivitet
  • mistanke om at ansatte eller studenter har utført straffbare handlinger
  • informasjon om holdninger til ulike religiøse eller politiske spørsmål som respondenter i spørreundersøkelser bes om å oppgi

Datatilsynet skal vanligvis gi godkjenning (konsesjon) for behandling av sensitive personopplysninger i forskning, undervisning, administrasjon og formidling. For noen typer forskningsprosjekter finnes det unntak fra konsesjonsplikten dersom andre vilkår er oppfylt.

Sensitive personopplysninger skal sikres ekstra godt mot brudd på informasjonssikkerheten.

Ved UiO gjelder egne rutiner og retningslinjer for godkjenning av behandling av sensitive personopplysninger (helseopplysninger) i medisinsk- og helsefaglig forskning.  

Hva er avidentifiserte og anonyme opplysninger?

Avidenfiserte opplysninger

Avidentifiserte (pseudonyme) opplysninger regnes som personopplysninger.

Avidentifisering oppnås vanligvis ved at informasjon som kan identifisere enkeltpersoner (navn, adresse, telefonnummer, osv.) enten fjernes eller ikke blir registrert, for eksempel ved at kandidatnummer registreres på eksamensbesvarelsen i stedet for studentens navn. Da vil det fortsatt være mulig å finne ut hvilken enkeltperson (student) som opplysningene (eksamensbesvarelsen) refererer til, for eksempel ved at ansatte i administrasjonen kobler sammen kandidatnummer og navn etter at sensuren har falt.

Avidentifiserte personopplysninger kan anonymiseres dersom koblingen mellom identifiserende opplysninger og øvrige vurderinger eller opplysninger slettes på forsvarlig måte, for eksempel ved at lister med oversikt over kandidatnummer og tilhørende navn på eksamenskandidater destrueres.

Anonymiserte opplysninger

Anonymiserte opplysninger regnes ikke som personopplysninger. Reglene i personopplysningsloven med forskrift gjelder derfor ikke for behandling av slike opplysninger.

Anonymisering oppnås vanligvis ved at informasjon som kan identifisere enkeltpersoner, for eksempel navn, adresse, telefonnummer, e-postadresse og fødselsnummer, slettes på forsvarlig måte. Det vil da ikke lenger være mulig å finne ut hvilken enkeltperson de gjenværende vurderingene eller opplysningene refererer seg til.

Hva er krenkelser av personvernet?

Det er behandlingsansvarlig (UiO) som er ansvarlig for at det ikke skjer krenkelser av personvernet ved elektronisk eller manuell behandling av personopplysninger i forskning, undervisning, administrasjon og formidling.

Krenkelser av personvernet kan skje på mange måter, for eksempel dersom:

  • uvedkommende får tak i helseopplysninger om ansatte eller studenter
  • sensitive opplysninger om respondenter eller informanter i forskning kommer på avveie
  • opplysninger om studenter eller ansatte som registreres i UiOs IT-systemer er utdaterte, misvisende eller svært mangelfulle
  • opplysninger om informanter eller respondenter i forskning brukes til helt andre formål enn hva de har samtykket til
  • ansatte registrerer, endrer eller sletter studentopplysninger i UiOs IT-systemer uten å ha lov til å gjøre dette
  • overvåkningskamera settes opp i eller utenfor universitetsbygninger uten at UiO har et godt begrunnet behov for slik overvåkning
  • ledere skaffer seg tilgang til ansatte eller studenters personlige lagringsområder eller private e-postkommunikasjon uten å ha rett til å gjøre dette
  • UiO publiserer detaljerte opplysninger om ansatte eller studenter på sine hjemmesider uten at det er gitt samtykke til publiseringen

Felles for disse (og andre) krenkelser av personvernet er at behandlingsansvarlig (UiO) håndterer personopplysninger på en slik måte at den som opplysningene gjelder har mistet medbestemmelse over og kontrollen med hva som skjer med sine opplysninger.

Den som utsettes for personvernkrenkelser kan kreve erstatning fra behandlingsansvarlig (UiO) dersom han/hun har lidd økonomisk eller ikke-økonomisk overlast som følge av dette.

Behandlingsansvarlig (UiO) kan ilegges overtredelsesgebyr fra Datatilsynet eller bli politianmeldt ved alvorlige krenkelser av personvernet.

Hva betyr det at UiO er behandlingsansvarlig?

Behandlingsansvarlig er et begrep som anvendes i personopplysningsloven om den personen, virksomheten eller institusjon som er ansvarlig for at elektronisk og manuell behandling av personopplysninger foregår på en lovlig og forsvarlig måte.

Personer, virksomheter eller institusjoner blir behandlingsansvarlige for behandling av personopplysninger når de bestemmer:

  • hvilke elektroniske hjelpemidler som anvendes til å behandle personopplysningene
  • hva som er formålet eller hensikten med behandlingen av personopplysningene

Det betyr for eksempel at dersom UiO bestemmer at det skal anskaffes en nettbasert tjeneste hvor studenter, ansatte og gjesteforskere kan lagre og dele elektroniske dokumenter vil UiO være behandlingsansvarlig for disse personopplysningene (dokumentene).   

UiOs behandlingsansvar omfatter all behandling av alminnelige, sensitive og avidentifiserte personopplysninger. Behandling av anonymiserte opplysninger faller utenfor behandlingsansvaret.

Behandlingsansvaret omfatter personopplysninger som behandles ved hjelp av UiOs egne elektroniske systemer og tjenester. Dette inkluderer behandling av personopplysninger i forbindelse med innføring og drift av elektroniske kontrolltiltak, for eksempel kameraovervåkning eller systemer for elektronisk adgangskontroll til bygninger/rom.

Behandlingsansvaret omfatter også personopplysninger som behandles ved hjelp av eksterne databehandlere.  

Til slutt omfatter behandlingsansvaret personopplysninger som inngår (eller er ment å inngå) i manuelle personregistre. Dette er papirbaserte registre som er organisert på en slik måte at vurderinger eller opplysninger om bestemte enkeltpersoner, for eksempel ansatte eller studenter, lett kan gjenfinnes.

Den behandlingsansvarliges personvernplikter

I rollen som behandlingsansvarlig har UiO en rekke personvernplikter. Pliktene følger hovedsakelig av bestemmelsene i personopplysningsloven med forskrift.

UiO skal sørge for at:

  • elektronisk og manuell behandling av personopplysninger skjer på en lovlig og forsvarlig måte
  • den enkelte sikres medbestemmelse over og kontroll med hvordan UiO behandler hans/hennes personopplysninger

UiO har etablert interne rutiner, retningslinjer og tekniske løsninger som ivaretar de personvernplikter UiO er pålagt.

Les mer om personopplysningsloven med forskrift (lovdata.no).

Den enkeltes personvernrettigheter

Som behandlingsansvarlig er UiO pliktig til å ivareta personvernrettighetene til den som opplysningene gjelder, det vil si ansatte, studenter, gjesteforskere, gjester eller respondenter og informanter i forskningsprosjekter.

Den enkeltes personvernrettigheter gjelder ved all elektronisk behandling av sensitive og alminnelige personopplysninger som skjer i forskning, undervisning, administrasjon og formidling ved UiO. Rettighetene gjelder også ved behandling av personopplysninger som inngår (eller er ment å inngå) i manuelle personregistre.

Formålet med personvernrettighetene er at de som opplysningene gjelder skal ha medbestemmelse over og kontroll med hvordan UiO behandlinger deres personopplysninger.

Hva er elektroniske hjelpemidler?

Personopplysningsloven omfatter all behandling av personopplysninger hvor elektroniske hjelpemidler blir brukt.

Med elektroniske hjelpemidler menes for eksempel:

  • datamaskiner
  • programvare
  • datanettverk
  • bærbare dataenheter (mobiltelefoner, nettbrett, pc, osv.)
  • elektronisk adgangskontroll
  • kameraovervåkningssystemer

Elektroniske hjelpemidler omfatter også datasystemer som benyttes ved UiO, for eksempel FS, SAPUiO, ePhorte eller Fronter.

I tillegg regnes nettbaserte ressurser, for eksempel hjemmesider, skytjenester eller pedagogiske nettjenester, som elektroniske hjelpemidler.   

Hvilke regler gjelder for innføring og drift av elektroniske kontrolltiltak?

Elektroniske kontrolltiltak kan blant annet ha som formål å beskytte UiOs bygninger og verdier mot hærverk, ødeleggelse eller tyveri. Slike tiltak omfatter for eksempel bruk av kameraovervåkning og systemer for adgangskontroll hvor passeringsdata om studenter eller ansatte registreres og lagres.

Elektroniske kontrolltiltak omfatter også innsyn i ansatte eller studenters e-post, personlige lagringsområder, private datautstyr og internettbruk.

Ved innføring av elektroniske kontrolltiltak ved UiO gjelder reglene i arbeidsmiljøloven kapittel 9. Reglene i arbeidsmiljøloven innebærer følgende:

  • Kontrolltiltak skal ikke innføres uten at det foreligger en saklig grunn for det.
  • Kontrolltiltak skal bare innføres dersom nytten av tiltaket klart overstiger den personvernulempen som det innebærer for ansatte, studenter, gjesteforskere og gjester.
  • Kontrolltiltak skal drøftes med representanter for ansatte og studenter før tiltakene innføres.
  • Det skal gis informasjon til ansatte og studenter om hvordan innførte kontrolltiltak er innrettet og fungerer.
  • Innførte kontrolltiltak skal jevnlig evalueres og behovet for å opprettholde tiltakene skal vurderes.

Les mer om reglene i arbeidsmiljøloven som gjelder ved innføring av kontrolltiltak (arbeidstilsynet.no).

Legg merke til at personopplysningsloven har særlige regler for bruk av kameraovervåkning (datatilsynet.no). Disse reglene kommer i tillegg til reglene i arbeidsmiljøloven kapittel 9.

Personopplysningsloven med forskrift har særlige regler om innsyn i ansatte eller studenters e-post, personlige lagringsområder, private datautstyr og internettlogger (datatilsynet.no). Også disse reglene kommer i tillegg til reglene i arbeidsmiljøloven kapittel 9.

Det er utnevnt system- eller tjenesteeiere for alle elektroniske kontrolltiltak som er innført ved UiO. System- eller tjenesteeierne er delegert ansvaret for at reglene om personvern og behandling av personopplysninger følges.

I tillegg til å ivareta de særlige reglene i arbeidsmiljø- og personopplysningsloven om innføring og drift av elektroniske kontrolltiltak, har system- eller tjenesteeierne for elektroniske kontrolltiltak de same pliktene som øvrige system- eller tjenesteeiere ved UiO.  

Personer som det registreres opplysninger om ved bruk av elektroniske kontrolltiltak, for eksempel ansatte eller studenter som filmes av overvåkningskamera, har de samme personvernrettighetene som gjelder generelt for behandling av personopplysninger ved UiO.

Hva er databehandlere?

Databehandlere er eksterne aktører (ofte kommersielle selskaper eller andre universiteter/høyskoler) som har fått i oppdrag å drifte et elektronisk system eller tjeneste på vegne av UiO.

Eksterne aktører blir databehandlere for UiO når driften av elektroniske systemer eller tjenester innebærer at de får tilgang til personopplysninger som UiO er behandlingsansvarlig for.

Som behandlingsansvarlig er UiO pliktig til å sørge for at databehandlere behandler opplysninger om ansatte, studenter, gjesteforskere, gjester eller respondenter/informanter i forskningsprosjekter på en trygg og sikker måte.

Dette skal først skje ved at det gjennomføres risikovurderinger av informasjonssikkerheten i de eksterne systemene eller tjenestene som UiO vurderer å anvende. Dersom risikovurderingen viser at informasjonssikkerheten er tilfredsstillende, skal det inngås skriftlige avtaler (databehandleravtaler) med databehandlerne.

Databehandleravtalene skal regulere

  • hva databehandlerne kan gjøre med personopplysninger som UiO er behandlingsansvarlig for
  • hvordan personopplysningene skal sikres mot uautorisert tilgang, endring, sletting, tap eller skade

Etter at systemer eller tjenester som driftes av eksterne databehandlere er tatt i bruk, er UiO pliktig til å kontrollere at de overholder vilkårene i inngåtte databehandleravtaler. Dette skjer blant annet ved at UiO får tilgang til og gjennomgår databehandlernes egne revisjoner av informasjonssikkerheten i aktuelle systemer eller tjenester.

Se mal for databehandleravtaler.

I tillegg til å anvende databehandlere, er UiO selv databehandler. UiO drifter for eksempel datatjenester for administrasjon og forskning som benyttes av andre institusjoner. UiO har rutiner og retningslinjer som ivaretar de personvernforpliktelser som dette innebærer.

Publisert 8. mars 2016 09:59 - Sist endret 16. des. 2016 14:00