English version of this page

Personvernerklæring for ansatte

Informasjon om hvordan Universitetet i Oslo (UiO) håndterer personopplysningene dine når du er ansatt.

1. Hva er en personvernerklæring?

En personvernerklæring beskriver hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter du har og hvem du kan kontakte om personopplysningene dine. Denne personvernerklæringen beskriver hvordan UiO håndterer personopplysningene dine dersom du er ansatt eller har søkt på en stilling ved Universitetet.

2. Hva er personopplysninger?

Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Det avgjørende for om en opplysning er en personopplysning, er om opplysningene direkte eller indirekte kan identifisere en konkret person.

3. Kort om behandling av ansattes personopplysninger ved Universitetet i Oslo.

Universitetet i Oslo er en institusjon med over 7000 ansatte som i egenskap av sine ulike stillinger er registrert i ulike IT-systemer og tjenester som enten driftes av universitetet selv eller av eksterne leverandører. Felles for alle ansatte er å være registrert i våre sentrale system, slik som lønns- og personaladministrasjonssystem, arkivsystem, adgangskontrollsystem og ulike IT-system for at vi skal kunne gi deg tilgang til basistjenester slik som e-post, Vortex og selvbetjeningsløsningen DFØ. I tillegg vil ulike ansatte være registrert i ytterligere systemer som benyttes i den konkrete stillingen for å kunne utføre arbeid for UiO.

4. Behandling av personopplysninger i sentrale system

4.1 Formålet med, og rettslig grunnlag for behandling av personopplysninger i sentrale system

4.1.1 Formål

Formålet med behandlingen av personopplysninger i sentrale system er å ivareta dine rettigheter som ansatt, for å oppfylle UiOs oppgaver og plikter som arbeidsgiver, og for at du skal kunne gjøre jobben du er ansatt for å gjøre.

Det er nødvendig for UiO å behandle personopplysningene dine slik at UiO eksempelvis kan

  • gi deg lønn
  • utføre nødvendig administrasjon rundt arbeidsforholdet
  • sikre tilganger til IT-systemer og forvaltning av eiendommer

4.1.2 Rettslig grunnlag

Behandlingene hjemles i personvernforordningen artikkel 6 nr. 1 bokstaver b, c og e. Det vil si for å oppfylle arbeidskontrakten med deg som ansatt og for å oppfylle plikter vi er pålagt i øvrig lovgivning, slik som arbeidsmiljøloven, statsansatteloven, arkivloven og universitets- og høyskoleloven, regnskapsloven og ligningsloven.

4.2 Lønns- og personaladministrasjonssystem

UiO benytter plattformen SAP som system for lønns- og personaladministrasjon. Systemet drives i stor grad av en standardløsning fra det tyske programvarefirmaet SAP, men det er gjort noen modifikasjoner. Denne tilpassede løsningen har fått navnet SAPDFØ og eies av Avdeling for økonomi- og virksomhetsstyring (ØVA). Selvbetjeningsportalen er SAPDFØs selvbetjeningsløsning for ansatte i ulike roller.

Systemet benyttes i hovedsak til

  • personaladministrasjon
  • lønnsbehandling
  • reise- og refusjonsoppgjør
  • sykepengebehandling
  • intern og ekstern rapportering

4.2.1 Hvilke personopplysninger blir behandlet i SAPDFØ?

Følgende personopplysninger kan bli behandlet:

  • navn
  • fødselsnummer
  • ansattnummer
  • kontaktinformasjon
  • lønnsinformasjon
  • betalingsinformasjon
  • arbeidstid
  • informasjon om sykefravær, sykemeldinger, avspasering, ferie og permisjon
  • skatteopplysninger
  • reise- og refusjonskrav
  • informasjon om sidegjøremål og eierinteresser
  • informasjon om nærmeste pårørende.

4.2.2 Personopplysningene dine hentes inn til SAPDFØ fra:

  • deg selv via selvbetjeningsportalen
  • folkeregisteret
  • enhetsregisteret
  • tidligere arbeidsgiver
  • sidegjøremåls- og eierinteressetjenesten ved UiO
  • skattedirektoratet

4.2.3 Automatisk saksbehandling i SAPDFØ

SAPDFØ gjør flere automatiske behandlinger av dine personopplysninger. Dette vil kunne være for å beregne antall feriedager du har krav på, antall omsorgsdager du har krav på basert på antall barn som forsørges.

4.2.4 Hvor lenge lagrer vi personopplysningene dine i SAPDFØ?

Opplysningene dine i SAP lagres i ti år før det slettes. Det følger av krav i bokføringsloven. 

4.3 Saksbehandlings- og arkivsystem

ePhorte er UiOs elektroniske saksbehandlings- og arkivsystem. Personalmapper opprettes i ePhorte. Personalmappen skal inneholde dokumentasjon som har betydning for den ansattes tjeneste- og pensjonsforhold.

4.3.1 Hvilke personopplysninger blir behandlet i systemet?

Personalmappen vil blant annet kunne inneholde

  • dokumenter fra søknadsprosesser, slik som permisjonssøknader
  • ansettelseskontrakt
  • CV og jobbsøknad
  • lønnsprosesser og -forhandlinger
  • arbeidsplan
  • advarsler
  • sykemeldinger
  • personalsaker
  • attester
  • vurderinger
  • referater fra arbeidssamtaler

Se rutiner for behandling av personalmapper i ePhorte.

4.3.2 Hvor lenge lagres personopplysninger i personalmappen?

Personopplysningene dine i ePhorte blir slettet så snart det ikke er nødvendig å lagre dem lenger. Dette gjelder likevel kun dokumenter som ikke har varig virkning på ansettelses- eller lønnsforhold. For øvrige dokumenter er UiO underlagt arkiveringsplikten i arkivloven, slik at informasjon i ePhorte i utgangspunktet ikke kan slettes uten uttalelse fra Riksarkivaren, jf. arkivloven |§ 9. Dette gjelder selv etter arbeidsforholdets opphør.

4.4 Universitetets adgangskontrollanlegg

Adgangskontrollanlegget til Universitetet har som formål å forvalte Universitetets eiendommer og sørge for sikkerhet ved, og autorisert tilgang til, våre områder.

Det er eiendomsavdelingen ved UiO som er ansvarlig for anlegget.

Anlegget består av UiOs kortlesere og ca. 100 overvåkingskameraer som er plassert både ute og inne på UiOs eiendommer.

4.4.1 Hvilke personopplysninger blir behandlet i systemet?

  • navn
  • adresse
  • telefonnummer
  • e-postadresse
  • kortnummer
  • passeringsdata når kortbruker registrerer kort i kortleser
  • opptak fra kameraovervåking

4.4.2 Hvor lenge lagres personopplysninger i systemet?

Din kontaktinformasjon blir lagret så lenge du har et gyldig adgangskort for å ha tilgang til UiOs eiendommer.

Passeringsdata fra kortleser slettes etter 6 mnd.

Opptak fra videoovervåking lagres i 7 dager. Ved utlevering til politiet, kan opptak lagres i inntil 30 dager.

4.5 Cerebrum

Cerebrum er navet til nesten alle IT-systemer ved Universitetet. Cerebrum er et Identity Access Management system (IAM), og skal sikre enkel og trygg bruker- og gruppeadministrasjon for UiO.

Cerebrum er kildesystem for brukernavn, passord, e-postadresser og gruppeinformasjon, og integrerer med andre systemer. Med kildesystem menes et system som andre systemer henter informasjon fra. Cerebrum muliggjør for eksempel innlogging i ulike tjenester med ditt UiO-brukernavn. Cerebrum skal oppleves som noe som bare fungerer, og skal være usynlig for brukeren.

Cerebrum selv henter sin grunndata fra SAPDFØ, så endrer du eller arbeidsgiver informasjon om deg i SAPDFØ, så vil det automatisk endres i Cerebrum, og med det i alle tilknyttede system.

Eksempler på systemer som henter sin grunndata fra Cerebrum er skylagringstjenester, bibliotekstjenester, intranett, hjemmeområder, krisevarsling, FEIDE, e-postsystem, tilgangskontroll- og ulike innloggingstjenester. 

4.5.1 Hvilke personopplysninger blir behandlet i systemet?

  • brukernavn
  • passord
  • e-postadresse

4.5.2 Hvor lenge lagres personopplysninger i systemet?

Opplysninger i Cerebrum slettes innen 6 måneder etter at ditt arbeidsforhold er avsluttet. Brukernavn vil ikke slettes fordi UiO har en regel om at brukernavn ikke resirkuleres av sikkerhetshensyn.

4.6 Nyhetsbrev

For at UiO skal kunne formidle informasjon til ansatte i nyhetsbrev behøver vi å behandle dine personopplysninger. Dine personopplysninger blir, i tillegg til av oss, behandlet av vår databehandler Make AS. De leverer den tekniske løsningen for nyhetsbrevet til UiO.

Opplysningene behandles med rettslig grunnlag i arbeidskontrakten, jf. personvernforordningen artikkel 6 nr. 1 bokstav b. 

4.6.1 Hvilke personopplysninger blir behandlet i systemet?

  • navn
  • e-postadresse
  • informasjon om medlemsskap i mottaksgrupper i tjenesten

4.6.2 Hvor lenge lagres personopplysninger i systemet?

Opplysninger i forbindelse med nyhetsbrev lagres så lenge de er nødvendige for å oppnå formålet med behandlingen, og data slettes fortløpende.

5. Systemer knyttet til bestemte roller ved Universitetet i Oslo

I egenskap av din egen stilling på UiO kan det hende at det kreves at du bruker ulike IT-tjenester for å utføre ditt arbeid. Disse IT-tjenestene lagrer selv personopplysninger om deg. Det kommer helt an på hva tjenesten gjør, og hvilken funksjon du har på UiO.

Mange av disse tjenestene har en brukerprofil på deg for å sikre at du har lovlig tilgang til systemet. Noen tjenester vil også kunne logge din aktivitet av ulike hensyn, slik som sikkerhets-, drifts- eller tjenesteutviklingshensyn.

Du vet selv best hvilke tjenester du bruker i din hverdag, og kan forhøre deg med lokal IT hvordan disse tjenestene/systemene behandler dine personopplysninger. Du vil også kunne søke opp systemet/tjenesten i UiOs oversikt over behandling av personopplysninger.

Det vil være lagret personopplysninger om deg der du har logget deg inn med din UiO-bruker eller der du som ansatt ved UiO kan være registrert. Eksempler på slike er:

  • faktura-, innkjøps-, og øvrige økonomihåndteringssystemer
  • drifts- og sikkerhetsverktøy
  • HR-tjenester
  • skylagringstjenester
  • intranett
  • registre over forskning, slik som CRISTin, Sikt, REK, og Helseforsk.

5.1 Zoom

Zoom er UiOs foretrukne tjeneste for videostrømming. Når ansatte logger seg på med FEIDE-bruker sendes for-, etternavn og UiO-epostadresse til Uninett AS, som leverer Zoom til UiO.

Ved bruk av Zoom til undervisning, møte- og konferansevirksomhet må man som regel delta med bruk av bilde og/eller lyd under strømmingen. Dette styres av den ansatte med innstillinger ved tilkoblingen til undervisningsstrømmen. Dette kan også når som helst endres av den ansatte så lenge strømmingen foregår. Denne behandlingen er nødvendig for oppfyllelse av arbeidsavtalen, jf. personvernforordningen art. 6(1)(b).

I tillegg samles det inn analysedata om bruken av Zoom, slik som vertskap, deltagere, tidspunkt, maskinvare og IP-adresse. Dataene er strengt tilgangsbegrenset og tjener UiOs interesse i å optimalisere, feilrette, produsere statistikk for og forbedre tjenesten, jf. personvernforordningen art. 6(1)(f).

5.2 Sosiale medier

UiO benytter ulike sosiale kanaler for å nå ut til studenter, ansatte og publikum forøvrig. Når disse tjenestene benyttes gjelder tjenestens retningslinjer. Når UiO er felles behandlingsansvarlig med tjenesteleverandøren, blir det gitt informasjon om dette i tjenesten.

5.3 Canvas

Ansatte kan bli pålagt eller oppfordret til å gjennomføre kurs og/eller opplæring som ligger i Canvas.

Resultatet av kurset/opplæringen kan bli lagret i Canvas slik at det fremkommer hvorvidt du har gjennomført, bestått eller ikke bestått. Formålet med dette er å kunne dokumentere at du som ansatt har gjennomført et kurs som gir nødvendig kunnskap innenfor ulike fagområder som er relevant for dine arbeidsoppgaver. Dette innebærer at resultatet på kurset/opplæringen vil knyttes til deg som person.

Det som lagres er: resultat, bestått/ikke bestått, tidsbruk, antall poeng og svar for hvert forsøk.

Det rettslige grunnlaget for å lagre denne informasjonen er personvernforordningen art. 6(1)(b). Behandlingen ligger innenfor UiOs aktivitet som forsknings-, utdanningsinstitusjon og arbeidsgiver å lagre resultatet.

Informasjonen vil bli lagret i Canvas. Resultater kan flyttes til og registreres i andre systemer ved UiO.

6. Sikkerheten rundt personopplysningene dine

UiO gjennomfører regelmessig risiko- og sårbarhetsanalyser av datasystemene vi benytter for å sikre personopplysningene dine. Vi har også flere sikkerhetstiltak, som for eksempel tilgangskontroller for å hindre at flere ansatte enn nødvendig får tilgang til personopplysningene dine. Ansatte har taushetsplikt rundt personopplysninger de får i arbeidet. Hvordan vi sikrer dine opplysninger kan du lese om i LSIS – Ledelsessystem for informasjonssikkerhet.

7. Rettighetene dine

Når UiO behandler personopplysninger om deg, enten i personalmappen, i vurderinger, i logger eller i andre registre/systemer, har du enkelte rettigheter etter personopplysningsloven.

7.1 Rett til innsyn

Du har rett til å henvende deg til UiO for å undersøke hvorvidt vi behandler personopplysninger om deg. Hvis vi gjør det har du krav på å få vite blant annet hvilke personopplysninger dette er, hvor de stammer fra og hvorfor vi har dem. Du kan også få utlevert en kopi av de personopplysningene vi sitter på. Du vil ikke har rett til å få informasjon om hvorvidt vi behandler opplysninger om andre. Universitetet behandler personopplysninger på veldig mange områder. Vi har derfor en rett til å be deg presisere fra hvilke system du ønsker informasjon fra.

7.2 Rett til å kreve retting

Hvis du etter å ha gjort et innsyn i dine personopplysninger oppdager at informasjonen vi sitter på er feil, ufullstendige eller unøyaktig, kan du be UiO rette opplysningene

7.3 Rett til sletting (retten til å bli glemt)

UiO har allerede strenge sletterutiner, enten det er automatisk sletting av logger hvert kvartal eller automatisk sletting når du ikke lenger er registrert som ansatt. De opplysningene vi sitter på har du i utgangspunktet rett til å be oss slette. Dette er ikke en automatisk rett, men det kan skje på enkelte vilkår. Hvis vi har et rettslig grunnlag til å sitte på opplysningene, en annen lov nekter oss å slette dem, eller du ikke har tungtveiende rettmessige grunner til å kreve sletting, vil vi likevel fortsatt kunne behandle opplysninger om deg.

7.4 Rett til begrenset behandling

Denne retten gir deg mulighet til å kreve at UiO midlertidig stopper bruken av dine personopplysninger. Du kan kreve det hvis du mener at opplysningene vi sitter på er unøyaktige eller vi ikke har tilstrekkelig grunnlag for å behandle opplysningene. Vi vil da stoppe behandlingen inntil vi har undersøkt innsigelsene dine.

7.5 Rett til dataportabilitet

Hvis UiO behandler dine personopplysninger basert på ditt samtykke eller en avtale UiO har med deg, og behandlingen utføres automatisk (for eksempel at data kalkuleres automatisk eller maskiner analyserer opplysningene), vil du kunne kreve at vi overfører flere av dine personopplysninger til deg eller en tredjepart.

7.6 Rett til å protestere

Hvis du er i en særegen situasjon som gjør at UiOs behandling av dine personopplysninger skaper spesielle utfordringer for deg, kan du protestere mot universitetets behandling. Hvis dine interesser er tyngre enn universitetets skal vi ikke lenger behandle dine personopplysninger.

8. Kontakt

Behandlingsansvarlig

Universitetsdirektøren ved UiO er behandlingsansvarlig for personopplysninger vi behandler. Den daglige oppfølgingen av dette ansvaret er delegert til IT-direktøren ved UiO.

Dersom du ønsker å benytte deg av dine rettigheter som er omtalt i punkt 7 over, kan du kontakte oss på behandlingsansvarlig@uio.no. For retting av opplysninger, kan du kontakte oss her. Vi vil behandle din henvendelse uten ugrunnet opphold, og senest én måned etter vi mottar anmodningen. 

Personvernombud

UiO har et personvernombud som skal ivareta personverninteressene til både studenter og ansatte ved UiO. Personvernombud for administrative behandlinger av personopplysninger ved UiO kan nås via e-post personvernombud@uio.no.

Publisert 20. juni 2018 15:27 - Sist endret 2. juni 2022 12:07