Hva er behandling av personopplysninger?
Med behandling av personopplysninger menes alle typer bruk av personopplysninger, som for eksempel:
- innsamling
- registrering
- lagring
- sammenstilling
- bruk
- overføring
- publisering
- sletting
Med personopplysninger menes enhver opplysning om en identifisert eller identifiserbar fysisk person.
Vurderinger eller opplysninger regnes som personopplysninger uavhengig av om de foreligger som tekst, bilder, lyd- eller videoopptak.
Eksempler på personopplysninger kan være:
- navn, adresse, alder, telefonnummer, e-postadresse og fødselsnummer
- innholdet i eksamensbesvarelser, bachelor- eller masteroppgaver og kandidatenes karakterer
- innhold i saksdokumenter, utredninger eller vurderinger som omhandler ansatte eller studenter
- innholdet i e-postkommunikasjon mellom ansatte og studenter eller mellom to eller flere studenter
- video- og lydopptak som gjøres ved bruk av overvåkningskamera og hvor enkeltpersoner kan gjenkjennes
- bilder av ansatte eller studenter som publiseres på hjemmesiden
- logging av aktivitet i datasystemer hvor loggene kan knyttes til bestemte ansatte eller studenter, for eksempel registrering av hvem som til enhver tid er pålogget ulike datasystemer
I personvernlovgivningen omtales enkeltpersoner som «de registrerte».
Hva er alminnelige personopplysninger?
Med alminnelige personopplysninger menes alle typer vurderinger og opplysninger som kan knyttes til en identifisert eller identifiserbar fysisk person, men som personvernforordningen ikke definerer som særlige kategorier av personopplysninger (sensitive personopplysninger).
All administrativ behandling av personopplysninger skal registreres i oversikt over behandling av personopplysninger (meldeappen) .
All behandling av personopplysninger i forskningsprosjekter skal følge UiOs rutiner for forskning med personopplysninger og skal meldes til Norsk senter for forskningsdata (NSD). Dette gjelder også for medisinsk og helsefaglig forskning.
Merk at fødselsnummer ikke regnes som en særlig kategori av personopplysninger (sensitiv personopplysning), men ettersom fødselsnummer ofte anvendes for å identifisere enkeltpersoner, inneholder personopplysningsloven spesielle vilkår for behandling av denne opplysningstypen.
Vilkårene i loven er at fødselsnummer bare kan brukes når:
- det er saklig behov for sikker identifisering av enkeltpersoner
- sikker identifisering ikke kan oppnås på andre måter, for eksempel ved bruk av ansatt- eller studentnummer
Les mer om reglene for bruk av fødselsnummer (datatilsynet.no).
Hva er særlige (sensitive) kategorier av personopplysninger?
Med særlige kategorier av personopplysninger, også kalt sensitive personopplysninger, menes vurderinger og opplysninger som kan knyttes til bestemte enkeltpersoner og som krever et særskilt vern. Spredning av disse opplysningene kan skape betydelig risiko for personer det gjelder. Kategoriene er hentet direkte fra personvernlovgivningen og omhandler:
- helseopplysninger og helserelaterte forhold
- genetiske og biometriske opplysninger med det formål å entydig identifisere en fysisk person
- etnisk eller rasemessig opprinnelse
- politiske, filosofiske eller religiøse oppfatninger og livssyn
- seksuell orientering eller seksuelle forhold
- fagforeningsmedlemskap
Eksempler på sensitive personopplysninger kan være:
- informasjon om studenters sykdom eller diagnoser
- helseopplysninger registrert i forbindelse med ansattes sykefravær
- informasjon om eksamensfusk eller forsøk på fusk
- behov for tilrettelagt eksamen av helsemessige grunner
- opplysninger om ansattes alkohol- eller rusmisbruk
- opplysninger om fagforeningsaktivitet
- informasjon om holdninger til ulike religiøse eller politiske spørsmål som respondenter i spørreundersøkelser bes om å oppgi.
Særlige kategorier av personopplysninger skal sikres ekstra godt mot brudd på informasjonssikkerheten.
Ved bruk av særlig kategori av personopplysninger i forskning gjelder UiOs rutiner for forskning med personopplysninger. For medisinsk og helsefaglig forskning gjelder det i tillegg egne rutiner og retningslinjer (Kvalitetssystemet for medisinsk og helsefaglig forskning).
Hva er avidentifiserte og anonyme opplysninger?
Avidenfiserte opplysninger
Avidentifiserte (pseudonyme) opplysninger regnes som personopplysninger.
Avidentifisering oppnås vanligvis ved at informasjon som kan identifisere enkeltpersoner (navn, adresse, telefonnummer, osv.) enten fjernes eller ikke blir registrert, for eksempel ved at kandidatnummer registreres på eksamensbesvarelsen i stedet for studentens navn. Da vil det fortsatt være mulig å finne ut hvilken enkeltperson (student) som opplysningene (eksamensbesvarelsen) refererer til, for eksempel ved at ansatte i administrasjonen kobler sammen kandidatnummer og navn etter at sensuren har falt.
Avidentifiserte personopplysninger kan anonymiseres dersom koblingen mellom identifiserende opplysninger og øvrige vurderinger eller opplysninger slettes på forsvarlig måte, for eksempel ved at lister med oversikt over kandidatnummer og tilhørende navn på eksamenskandidater destrueres.
Anonymiserte opplysninger
Anonymiserte opplysninger regnes ikke som personopplysninger. Reglene i personvernforordningen og personopplysningsloven med forskrift gjelder derfor ikke for behandling av slike opplysninger.
Anonymisering oppnås vanligvis ved at informasjon som kan identifisere enkeltpersoner, for eksempel navn, adresse, telefonnummer, e-postadresse og fødselsnummer, slettes på forsvarlig måte. Det vil da ikke lenger være mulig å finne ut hvilken enkeltperson de gjenværende vurderingene eller opplysningene refererer seg til.
Hva er krenkelser av personvernet?
Det er behandlingsansvarlig (UiO) som er ansvarlig for at det ikke skjer krenkelser av personvernet ved elektronisk eller manuell behandling av personopplysninger i forskning, undervisning, administrasjon og formidling.
Krenkelser av personvernet kan skje på mange måter, for eksempel dersom:
- uvedkommende får tak i helseopplysninger om ansatte eller studenter
- særlige kategorier av personopplysninger (sensitive opplysninger) om respondenter eller informanter i forskning kommer på avveie
- opplysninger om studenter eller ansatte som registreres i UiOs IT-systemer er utdaterte, misvisende eller svært mangelfulle
- opplysninger om informanter eller respondenter i forskning brukes til helt andre og uforenlige formål enn hva de har samtykket til
- ansatte registrerer, endrer eller sletter studentopplysninger i UiOs IT-systemer uten å ha lov til å gjøre dette
- overvåkningskamera settes opp i eller utenfor universitetsbygninger uten at UiO har et godt begrunnet behov for slik overvåkning
- ledere skaffer seg tilgang til ansatte eller studenters personlige lagringsområder eller private e-postkommunikasjon uten å ha rett til å gjøre dette
- UiO publiserer detaljerte opplysninger om ansatte eller studenter på sine hjemmesider uten at det er gitt samtykke til publiseringen
Felles for disse (og andre) krenkelser av personvernet er at behandlingsansvarlig (UiO) håndterer personopplysninger på en slik måte at den som opplysningene gjelder har mistet medbestemmelse over og kontrollen med hva som skjer med sine opplysninger.
Den som utsettes for personvernkrenkelser kan kreve erstatning fra behandlingsansvarlig (UiO) dersom han/hun har lidd økonomisk eller ikke-økonomisk overlast som følge av dette.
Behandlingsansvarlig (UiO) kan ilegges overtredelsesgebyr fra Datatilsynet eller bli politianmeldt ved alvorlige krenkelser av personvernet.
Hva betyr det at UiO er behandlingsansvarlig?
Behandlingsansvarlig er et begrep som anvendes i personvernforordningen om den personen, virksomheten eller institusjonen som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.
Personer, virksomheter eller institusjoner blir behandlingsansvarlige for behandling av personopplysninger når de alene eller sammen med andre bestemmer:
- hvilke midler, herunder elektroniske hjelpemidler, som anvendes til å behandle personopplysningene
- hva som er formålet eller hensikten med behandlingen av personopplysningene
Det betyr for eksempel at dersom UiO bestemmer at det skal anskaffes en nettbasert tjeneste hvor studenter, ansatte og gjesteforskere kan lagre og dele elektroniske dokumenter vil UiO være behandlingsansvarlig for disse personopplysningene (dokumentene).
UiOs behandlingsansvar omfatter all behandling av alminnelige, sensitive og avidentifiserte/pseudonymiserte personopplysninger. Behandling av anonymiserte opplysninger faller utenfor behandlingsansvaret.
Behandlingsansvaret omfatter personopplysninger som behandles ved hjelp av UiOs egne elektroniske systemer og tjenester. Dette inkluderer behandling av personopplysninger i forbindelse med innføring og drift av elektroniske kontrolltiltak, for eksempel kameraovervåkning eller systemer for elektronisk adgangskontroll til bygninger/rom.
Behandlingsansvaret omfatter også personopplysninger som behandles ved hjelp av eksterne databehandlere.
Til slutt omfatter behandlingsansvaret personopplysninger som inngår (eller er ment å inngå) i manuelle personregistre. Dette er papirbaserte registre som er organisert på en slik måte at vurderinger eller opplysninger om bestemte enkeltpersoner, for eksempel ansatte eller studenter, lett kan gjenfinnes.
Den behandlingsansvarliges personvernplikter
I rollen som behandlingsansvarlig har UiO en rekke personvernplikter. Pliktene følger hovedsakelig av bestemmelsene i personvernforordningen og personopplysningsloven.
UiO skal sørge for at:
- elektronisk og manuell behandling av personopplysninger skjer på en lovlig og forsvarlig måte i tråd med personvernprinsippene
- den enkelte sikres medbestemmelse over og kontroll med hvordan UiO behandler hans/hennes personopplysninger
UiO har etablert interne rutiner, retningslinjer og gjennomfører egnede tekniske og organisatoriske tiltak som ivaretar de personvernplikter UiO er pålagt.
Les mer om personvernforordningen (lovdata.no).
Den enkeltes personvernrettigheter
Som behandlingsansvarlig er UiO pliktig til å ivareta personvernrettighetene til den som opplysningene gjelder, det vil si ansatte, studenter, gjesteforskere, gjester eller respondenter og informanter i forskningsprosjekter.
Den enkeltes personvernrettigheter gjelder ved all elektronisk behandling av alminnelige og særlige kategorier av personopplysninger som skjer i forskning, undervisning, administrasjon og formidling ved UiO. Rettighetene gjelder også ved behandling av personopplysninger som inngår (eller er ment å inngå) i manuelle personregistre.
Formålet med personvernrettighetene er at de som opplysningene gjelder skal ha medbestemmelse over og kontroll med hvordan UiO behandlinger deres personopplysninger.
For å sikre at de registrerte har medbestemmelse over og kontroll med hvordan UiO behandler deres personopplysninger, har den enkelte på visse vilkår disse rettigheter:
- rett til informasjon om behandlingsansvarlig, formålet med behandlingen av personopplysninger og eventuelle andre mottakere av personopplysningene
- rett til innsyn
- rett til retting/korrigering
- rett til sletting
- rett til begrensning av behandling
- rett til dataportabilitet
- rett til å protestere
Hva er elektroniske hjelpemidler?
Personvernforordningen omfatter all behandling av personopplysninger, herunder hvor elektroniske hjelpemidler blir brukt.
Med elektroniske hjelpemidler menes for eksempel:
- datamaskiner
- programvare
- datanettverk
- bærbare dataenheter (mobiltelefoner, nettbrett, pc, osv.)
- elektronisk adgangskontroll
- kameraovervåkningssystemer
Elektroniske hjelpemidler omfatter også datasystemer som benyttes ved UiO, for eksempel FS, SAPDFØ, ePhorte eller Canvas.
I tillegg regnes nettbaserte ressurser, for eksempel hjemmesider, skytjenester eller pedagogiske nettjenester, som elektroniske hjelpemidler.
Hvilke regler gjelder for innføring og drift av elektroniske kontrolltiltak?
Elektroniske kontrolltiltak kan blant annet ha som formål å beskytte UiOs bygninger og verdier mot hærverk, ødeleggelse eller tyveri. Slike tiltak omfatter for eksempel bruk av kameraovervåkning og systemer for adgangskontroll hvor passeringsdata om studenter eller ansatte registreres og lagres.
Elektroniske kontrolltiltak omfatter også, på visse vilkår, innsyn i ansatte eller studenters e-post, personlige lagringsområder, private datautstyr og internettbruk.
Ved innføring av elektroniske kontrolltiltak ved UiO gjelder reglene i arbeidsmiljøloven kapittel 9. Reglene i arbeidsmiljøloven innebærer følgende:
- Kontrolltiltak skal ikke innføres uten at det foreligger en saklig grunn for det.
- Kontrolltiltak skal bare innføres dersom nytten av tiltaket klart overstiger den personvernulempen som det innebærer for ansatte, studenter, gjesteforskere og gjester.
- Kontrolltiltak skal drøftes med representanter for ansatte og studenter før tiltakene innføres.
- Det skal gis informasjon til ansatte og studenter om hvordan innførte kontrolltiltak er innrettet og fungerer.
- Innførte kontrolltiltak skal jevnlig evalueres og behovet for å opprettholde tiltakene skal vurderes.
Les mer om reglene i arbeidsmiljøloven som gjelder ved innføring av kontrolltiltak (arbeidstilsynet.no).
Arbeidsmiljøloven har særlige regler om innsyn i ansattes e-post, personlige lagringsområder, private datautstyr og internettlogger (datatilsynet.no). Innsyn i studenters e-post, personlige lagringsområder, private datautstyr og internettlogger reguleres av personvernforordningen.
Det er utnevnt system- eller tjenesteeiere for alle elektroniske kontrolltiltak som er innført ved UiO. System- eller tjenesteeierne er delegert ansvaret for at reglene om personvern og behandling av personopplysninger følges.
I tillegg til å ivareta de særlige reglene i arbeidsmiljøloven og personvernforordningen om innføring og drift av elektroniske kontrolltiltak, har system- eller tjenesteeierne for elektroniske kontrolltiltak de samme pliktene som øvrige system- eller tjenesteeiere ved UiO.
Personer som det registreres opplysninger om ved bruk av elektroniske kontrolltiltak, for eksempel ansatte eller studenter som filmes av overvåkningskamera, har de samme personvernrettighetene som gjelder generelt for behandling av personopplysninger ved UiO.
Hva er databehandlere?
Databehandlere er eksterne aktører (ofte kommersielle selskaper eller andre universiteter/høyskoler) som har fått i oppdrag å drifte et elektronisk system eller tjeneste på vegne av UiO.
Eksterne aktører blir databehandlere for UiO når driften av elektroniske systemer eller tjenester innebærer at de får tilgang til personopplysninger som UiO er behandlingsansvarlig for.
Som behandlingsansvarlig er UiO pliktig til å sørge for at det bare brukes databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen når de behandler opplysninger om ansatte, studenter, gjesteforskere, gjester eller respondenter/informanter i forskningsprosjekter.
Dette skal først skje ved at det gjennomføres risikovurderinger av informasjonssikkerheten i de eksterne systemene eller tjenestene som UiO vurderer å anvende. Dersom risikovurderingen viser at informasjonssikkerheten er tilfredsstillende, skal det inngås skriftlige avtaler (databehandleravtaler) med databehandlerne.
Databehandleravtalene skal regulere
- gjenstanden for og varigheten av behandlingen
- behandlingens art og formål
- typen personopplysninger og kategorier av registrerte
- den behandlingsansvarliges rettigheter og plikter
- hva databehandlerne kan gjøre med personopplysninger som UiO er behandlingsansvarlig for
- hvordan personopplysningene skal sikres mot uautorisert tilgang, endring, sletting, tap eller skade
Etter at systemer eller tjenester som driftes av eksterne databehandlere er tatt i bruk, er UiO pliktig til å kontrollere at de overholder vilkårene i inngåtte databehandleravtaler. Dette skjer blant annet ved at UiO får tilgang til og gjennomgår databehandlernes egne revisjoner av informasjonssikkerheten i aktuelle systemer eller tjenester.
Se mal for databehandleravtaler.
I tillegg til å anvende databehandlere, er UiO selv databehandler. UiO drifter for eksempel datatjenester for administrasjon og forskning som benyttes av andre institusjoner. UiO har rutiner og retningslinjer som ivaretar de personvernforpliktelser som dette innebærer.