Systemeier
Fagdirektørene sentralt og fakultetsdirektørene er utpekt som eiere av systemer og tjenester innenfor sine respektive ansvarsområder. System- og tjenesteeier er blant annet ansvarlig for spesifikasjon av funksjons- og kvalitetskrav til utvikling og drift av systemet. I dette inngår også ansvaret for enkelte personvernoppgaver ved behandling av personopplysninger i sine systemer eller tjenester.
Strategisk koordineringsgruppe for administrative IT-systemer (SKAIT) har utarbeidet en sjekkliste for administrative IT-system- og tjenester hvor også krav til behandling av personopplysninger fremgår. Se eksempelvis hvordan dette fremstår i praksis for analyseverktøyet Kuben.
Hvilket ansvar for personvernet har system- og tjenesteeiere (fagdirektører og fakultetsdirektører)?
System- og tjenesteeiernes (fagdirektører og fakultetsdirektører) ansvar for personvernet ved behandling av personopplysninger omfatter følgende oppgaver:
-
Ved innkjøp/utvikling av systemet eller tjenesten
- beskrive og dokumentere hva personopplysningene som behandles i systemet eller tjenesten skal brukes til: hva er formålet/hensikten med systemet eller tjenesten?
- beskrive og ha oversikt over hvilke typer personopplysninger som skal behandles i systemet eller tjenesten
- beskrive hvilken lovlig grunn UiO har til å behandle personopplysninger i systemet eller tjenesten
- beskrive kravene til nødvendig beskyttelse av personopplysningene som skal behandles i systemet eller tjenesten for å sikre at systemet eller tjenesten har tilstrekkelig teknologi og mekanismer for å oppfylle kravene.
-
Før bruken av systemet eller tjenesten starter
- foreta risikovurdering av informasjonssikkerheten til personopplysningene i systemet eller tjenesten.
- inngå avtale med eventuell databehandler som drifter systemet eller tjenesten på vegne av UiO.
- melde systemet eller tjenesten i UiOs protokoll over administrative behandlinger (meldeappen).
- utforme informasjon til ansatte, studenter, gjesteforskere eller gjester om deres personvernrettigheter
-
Mens systemet eller tjenesten er i bruk
- kontrollere at personopplysningene som behandles i systemet eller tjenesten ikke brukes til andre og uforenlige formål enn hva som er planlagt uten at behandlingsgrunnlaget dekker dette, herunder samtykke eller lovhjemmel. (lenke til behandlingsgrunnlag)
- kontrollere at personopplysningene som behandles i systemet eller tjenesten har tilfredsstillende kvalitet, det vil si at opplysningene er tilstrekkelige og relevante, korrekte og oppdaterte
- kontrollere at det ikke registreres overskuddsinformasjon i systemet eller tjenesten (personopplysninger som ikke er nødvendige for å ivareta formålet/hensikten med systemet eller tjenesten)
- slette eller anonymisere overskuddsinformasjon som likevel er blitt registrert i systemet eller tjenesten
- besvare henvendelser fra og ivareta rettighetene til den som personopplysningene gjelder
- foreta jevnlige risikovurderinger av informasjonssikkerheten til personopplysningene som behandles i systemet eller tjenesten
- iverksette tiltak som sørger for at informasjonssikkerheten til personopplysningene som behandles i systemet eller tjenesten er tilfredsstillende
- jevnlig kontrollere at eventuelle databehandlere overholder vilkårene i inngåtte databehandleravtaler.
- melde inn avvik som oppstår ved behandling av personopplysninger i systemet eller tjenesten.
- melde inn vesentlige endringer i bruken av systemet eller tjenesten i UiOs protokoll for administrative behandlinger (meldeappen)
- bistå ved årlig internkontroll (revisjon) og stedlige kontroller gjennomført av ansatte i IT-direktørens stab. Se veiledning for gjennomføring av årlig internkontroll.
-
Ved avvikling av systemet eller tjenesten
- avgjøre hvilke personopplysninger som skal slettes, eventuelt anonymiseres, og hvilke som skal arkiveres
- sørge for at alle personopplysninger som ikke skal arkiveres blir forsvarlig slettet eller anonymisert
- sørge for at personopplysninger som skal tas vare på blir arkivert