Personvernforordningen (GDPR)

Momenter bearbeidet etter idé fra Asbjørn Tingulstad Hem, jurist på USIT.

Nytt regelverk

EU har vedtatt ny personvernforordning - General Data Protection Regulation (GDPR)

Trådte i kraft 20. juli 2018 i Norge.

  • Ikke veldig mye nytt, men mer detaljert, strengere, og større bøter.
  • Integrert i den norske personopplysningsloven
  • Har også ført til nye paragrafer i universitets- og høgskoleloven.

Personvern

  • Retten til privatliv – en menneskerettighet
  • Vi eier opplysninger om oss selv, og vi skal kunne ha kontroll over våre eiendeler. De skal ikke brukes uten at vi vet det og ikke brukes urettmessig.

Nyttige begreper

Behandlingsgrunnlag

Et behandlingsgrunnlag er den lov og paragraf (hjemmel) som tillater behandling av personopplysninger.

Behandlingsgrunnlag finnes KUN i artikkel 6.

  • samtykke (art. 6 nr. 1a)
  • oppfylle avtale med den registrerte (art. 6 nr. 1b)
  • oppfylle en rettslig forpliktelse (art. 6 nr. 1c)
  • verne noens vitale interesse (art. 6 nr. 1d)
  • utføre en oppgave i allmennhetens interesse en lov pålegger oss (art. 6 nr. 1e)
  • nødvendig for å oppfylle en berettiget interesse som veier tyngre enn personvernet (art. 6 nr. 1f)

Personopplysning

«personopplysning» enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte») – alt som kan knyttes til en enkeltperson, direkte eller indirekte. Kort sagt: så å si alt – studentnummer, bilskilt, bilde, en sammenstilling av nasjonalitet, emne, år, telefonnummer, e-postadresse, IP-adresse  - Hvis man kan finne ut av hvem det er.

Anonymt? Opplysninger som ikke kan føres tilbake til en bestemt person er ikke en personopplysninger.

Artikkel 9: Særlig kategori av personopplysninger (før het det sensitive personopplysninger)

  • rasemessig eller etnisk opprinnelse
  • politisk oppfatning
  • religion
  • filosofisk overbevisning
  • fagforeningsmedlemskap
  • genetiske, biometriske opplysninger
  • helseopplysninger
  • seksuelle forhold eller seksuell orientering

Uhl § 4-15 (3) åpner for å ha opplysninger om helse, sosiale forhold og andre sensitive opplysninger i studieadministrative systemer, men merk at tilgangssikring til FS-data per i dag ikke er streng nok til at vi kan ha personopplysninger av særlig kategori i FS.

Fødselsnummer er en personopplysning, men ikke av særlig kategori. Fødselsnummer skal bare brukes hvis helt nødvendig og skal ikke sendes på e-post.

Artikkel 10: Straffedommer og lovovertredelser

Personopplysninger om straffedommer og lovovertredelser er ikke lenger en sensitiv personopplysning, men har fått sin egen artikkel 10.:

"Behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak på grunnlag av artikkel 6 nr. 1 skal bare utføres under en offentlig myndighets kontroll eller dersom behandlingen er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som sikrer nødvendige garantier for de registrertes rettigheter og friheter. Alle omfattende registre over straffedommer må bare føres under en offentlig myndighets kontroll."

Det betyr strengere regler enn for særlig kategori av personopplysninger (artikkel 9).

Samtykke

  • Skal være frivillig, spesifikk, informert og utvetydig (GDPR artikkel 4 punkt 11)
  • Må kunne dokumenteres – beviselig (i skrift, på bånd, på film)
  • Klar, forståelig og tydelig informasjon
  • Mange krav til et samtykke i GDPR artikkel 13 og 14. Personvernkontaktpersonen i avdeling/seksjon kan mer om dette.
  • UiO innhenter noen samtykker i Søknadsweb og Studentweb.

 

De ti personvernprinsippene – GDPR artikkel 5

  • Lovlighet: Vi må ha grunnlag i loven ved  samtykke eller hjemmel i spesiallov (eksempelvis UH-loven, arkivloven, arbeidsmiljøloven) eller i avtale med den registrerte
  • Rettferdighet: Vi må ikke misbruke vår posisjon
  • Åpenhet: Den registrerte skal vite hva vi gjør med personopplysningene. Den registrerte skal ha kontroll (informasjon før innsamling, personvernerklæring).
  • Formålsbegrensning: Personopplysninger skal samles inn for spesifikke angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene.
  • Dataminimering: Personopplysninger skal være begrenset til det som er nødvendig for formålene de behandles for. Ikke lagre 100 ting om en person hvis du faktisk ikke trenger mer enn 10. Ikke sitt på info bare fordi det er kjekt å ha.
  • Riktighet: Personopplysninger skal være korrekte. Uriktige opplysninger skal rettes eller slettes. Vi har systemer som f.eks. FS for å finne tilbake til opplysningene.
  • Lagringsbegrensning: Personopplysninger skal ikke lagres lenger enn det som er nødvendig for å oppfylle formålet. De skal enten slettes eller anonymiseres.
  • Integritet og konfidensialitet: Personopplysninger behandles på en måte som sikrer tilstrekkelig sikkerhet, vern mot uautorisert eller ulovlig behandling, forhindrer utilsiktet tap, utlevering, endring, eller skade. Pass f.eks. på å ha tilgangsbegrensning, innlogging, sikre servere, ikke utlevere til uautoriserte, lagre i sikre systemer, lagre på fellesområder, ikke private hjemmeområder eller e-postkasser, ha gode rutiner.
  • Behandlingsgrunnlag: Nødvendig administrasjon av studenter faller som regel inn under de plikter vi er pålagt i UH-loven, eksempelvis §1-3 om institusjonenes virksomhet. Sommeren 2018 fikk UH-loven nye paragrafer, blant dem § 4-15 Innhenting og behandling av personopplysninger i studieadministrative systemer

Ha kontroll

UiO må ha full kontroll på hvor vi behandler personopplysninger. Oversikt over behandling av personopplysninger i meldeappen.

UiO er ansvarlig for og skal kunne påvise at alle prinsippene og GDPR for øvrig overholdes.

Avvik?

Har ting gått galt, kontakt nærmeste leder så raskt som mulig. Leder vet hvordan avvik skal håndteres.

 

Publisert 25. okt. 2018 15:49 - Sist endret 11. des. 2018 09:00