English version of this page

Personvernerkl?ring for ansatte

Informasjon om hvordan Universitetet i Oslo (UiO) h?ndterer personopplysningene dine n?r du er ansatt.

1. Hva er en personvernerkl?ring?

En personvernerkl?ring beskriver hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter du har og hvem du kan kontakte om personopplysningene dine. Denne personvernerkl?ringen beskriver hvordan UiO h?ndterer personopplysningene dine dersom du er ansatt eller har s?kt p? en stilling ved Universitetet.

2. Hva er personopplysninger?

Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Det avgj?rende for om en opplysning er en personopplysning, er om opplysningene direkte eller indirekte kan identifisere en konkret person.

3. Kort om behandling av ansattes personopplysninger ved Universitetet i Oslo.

Universitetet i Oslo er en institusjon med over 7000 ansatte som i egenskap av sine ulike stillinger er registrert i ulike IT-systemer og tjenester som enten driftes av universitetet selv eller av eksterne leverand?rer. Felles for alle ansatte er ? v?re registrert i v?re sentrale system, slik som l?nns- og personaladministrasjonssystem, arkivsystem, adgangskontrollsystem og ulike IT-system for at vi skal kunne gi deg tilgang til basistjenester slik som e-post, Vortex og selvbetjeningsl?sningen DF?. I tillegg vil ulike ansatte v?re registrert i ytterligere systemer som benyttes i den konkrete stillingen for ? kunne utf?re arbeid for UiO.

4. Behandling av personopplysninger i sentrale system

4.1 Form?let med, og rettslig grunnlag for behandling av personopplysninger i sentrale system

4.1.1 Form?l

Form?let med behandlingen av personopplysninger i sentrale system er ? ivareta dine rettigheter som ansatt, for ? oppfylle UiOs oppgaver og plikter som arbeidsgiver, og for at du skal kunne gj?re jobben du er ansatt for ? gj?re.

Det er n?dvendig for UiO ? behandle personopplysningene dine slik at UiO eksempelvis kan

  • gi deg l?nn
  • utf?re n?dvendig administrasjon rundt arbeidsforholdet
  • sikre tilganger til IT-systemer og forvaltning av eiendommer

4.1.2 Rettslig grunnlag

Behandlingene hjemles i personvernforordningen artikkel 6 nr. 1 bokstaver b, c og e. Det vil si for ? oppfylle arbeidskontrakten med deg som ansatt og for ? oppfylle plikter vi er p?lagt i ?vrig lovgivning, slik som arbeidsmilj?loven, statsansatteloven, arkivloven og universitets- og h?yskoleloven, regnskapsloven og ligningsloven.

4.2 L?nns- og personaladministrasjonssystem

UiO benytter plattformen SAP som system for l?nns- og personaladministrasjon. Systemet drives i stor grad av en standardl?sning fra det tyske programvarefirmaet SAP, men det er gjort noen modifikasjoner. Denne tilpassede l?sningen har f?tt navnet SAPDF? og eies av Avdeling for ?konomi- og virksomhetsstyring (?VA). Selvbetjeningsportalen er SAPDF?s selvbetjeningsl?sning for ansatte i ulike roller.

Systemet benyttes i hovedsak til

  • personaladministrasjon
  • l?nnsbehandling
  • reise- og refusjonsoppgj?r
  • sykepengebehandling
  • intern og ekstern rapportering

4.2.1 Hvilke personopplysninger blir behandlet i SAPDF??

F?lgende personopplysninger kan bli behandlet:

  • navn
  • f?dselsnummer
  • ansattnummer
  • kontaktinformasjon
  • l?nnsinformasjon
  • betalingsinformasjon
  • arbeidstid
  • informasjon om sykefrav?r, sykemeldinger, avspasering, ferie og permisjon
  • skatteopplysninger
  • reise- og refusjonskrav
  • informasjon om sidegj?rem?l og eierinteresser
  • informasjon om n?rmeste p?r?rende.

4.2.2 Personopplysningene dine hentes inn til SAPDF? fra:

  • deg selv via selvbetjeningsportalen
  • folkeregisteret
  • enhetsregisteret
  • tidligere arbeidsgiver
  • sidegj?rem?ls- og eierinteressetjenesten ved UiO
  • skattedirektoratet

4.2.3 Automatisk saksbehandling i SAPDF?

SAPDF? gj?r flere automatiske behandlinger av dine personopplysninger. Dette vil kunne v?re for ? beregne antall feriedager du har krav p?, antall omsorgsdager du har krav p? basert p? antall barn som fors?rges.

4.2.4 Hvor lenge lagrer vi personopplysningene dine i SAPDF??

Opplysningene dine i SAP lagres i ti ?r f?r det slettes. Det f?lger av krav i bokf?ringsloven. 

4.3 Saksbehandlings- og arkivsystem

ePhorte er UiOs elektroniske saksbehandlings- og arkivsystem. Personalmapper opprettes i ePhorte. Personalmappen skal inneholde dokumentasjon som har betydning for den ansattes tjeneste- og pensjonsforhold.

4.3.1 Hvilke personopplysninger blir behandlet i systemet?

Personalmappen vil blant annet kunne inneholde

  • dokumenter fra s?knadsprosesser, slik som permisjonss?knader
  • ansettelseskontrakt
  • CV og jobbs?knad
  • l?nnsprosesser og -forhandlinger
  • arbeidsplan
  • advarsler
  • sykemeldinger
  • personalsaker
  • attester
  • vurderinger
  • referater fra arbeidssamtaler

Se rutiner for behandling av personalmapper i ePhorte.

4.3.2 Hvor lenge lagres personopplysninger i personalmappen?

Personopplysningene dine i ePhorte blir slettet s? snart det ikke er n?dvendig ? lagre dem lenger. Dette gjelder likevel kun dokumenter som ikke har varig virkning p? ansettelses- eller l?nnsforhold. For ?vrige dokumenter er UiO underlagt arkiveringsplikten i arkivloven, slik at informasjon i ePhorte i utgangspunktet ikke kan slettes uten uttalelse fra Riksarkivaren, jf. arkivloven |§ 9. Dette gjelder selv etter arbeidsforholdets opph?r.

4.4 Universitetets adgangskontrollanlegg

Adgangskontrollanlegget til Universitetet har som form?l ? forvalte Universitetets eiendommer og s?rge for sikkerhet ved, og autorisert tilgang til, v?re omr?der.

Det er eiendomsavdelingen ved UiO som er ansvarlig for anlegget.

Anlegget best?r av UiOs kortlesere og ca. 100 overv?kingskameraer som er plassert b?de ute og inne p? UiOs eiendommer.

4.4.1 Hvilke personopplysninger blir behandlet i systemet?

  • navn
  • adresse
  • telefonnummer
  • e-postadresse
  • kortnummer
  • passeringsdata n?r kortbruker registrerer kort i kortleser
  • opptak fra kameraoverv?king

4.4.2 Hvor lenge lagres personopplysninger i systemet?

Din kontaktinformasjon blir lagret s? lenge du har et gyldig adgangskort for ? ha tilgang til UiOs eiendommer.

Passeringsdata fra kortleser slettes etter 6 mnd.

Opptak fra videooverv?king lagres i 7 dager. Ved utlevering til politiet, kan opptak lagres i inntil 30 dager.

4.5 Cerebrum

Cerebrum er navet til nesten alle IT-systemer ved Universitetet. Cerebrum er et Identity Access Management system (IAM), og skal sikre enkel og trygg bruker- og gruppeadministrasjon for UiO.

Cerebrum er kildesystem for brukernavn, passord, e-postadresser og gruppeinformasjon, og integrerer med andre systemer. Med kildesystem menes et system som andre systemer henter informasjon fra. Cerebrum muliggj?r for eksempel innlogging i ulike tjenester med ditt UiO-brukernavn. Cerebrum skal oppleves som noe som bare fungerer, og skal v?re usynlig for brukeren.

Cerebrum selv henter sin grunndata fra SAPDF?, s? endrer du eller arbeidsgiver informasjon om deg i SAPDF?, s? vil det automatisk endres i Cerebrum, og med det i alle tilknyttede system.

Eksempler p? systemer som henter sin grunndata fra Cerebrum er skylagringstjenester, bibliotekstjenester, intranett, hjemmeomr?der, krisevarsling, FEIDE, e-postsystem, tilgangskontroll- og ulike innloggingstjenester. 

4.5.1 Hvilke personopplysninger blir behandlet i systemet?

  • brukernavn
  • passord
  • e-postadresse

4.5.2 Hvor lenge lagres personopplysninger i systemet?

Opplysninger i Cerebrum slettes innen 6 m?neder etter at ditt arbeidsforhold er avsluttet. Brukernavn vil ikke slettes fordi UiO har en regel om at brukernavn ikke resirkuleres av sikkerhetshensyn.

4.6 Nyhetsbrev

For at UiO skal kunne formidle informasjon til ansatte i nyhetsbrev beh?ver vi ? behandle dine personopplysninger. Dine personopplysninger blir, i tillegg til av oss, behandlet av v?r databehandler Make AS. De leverer den tekniske l?sningen for nyhetsbrevet til UiO.

Opplysningene behandles med rettslig grunnlag i arbeidskontrakten, jf. personvernforordningen artikkel 6 nr. 1 bokstav b. 

4.6.1 Hvilke personopplysninger blir behandlet i systemet?

  • navn
  • e-postadresse
  • informasjon om medlemsskap i mottaksgrupper i tjenesten

4.6.2 Hvor lenge lagres personopplysninger i systemet?

Opplysninger i forbindelse med nyhetsbrev lagres s? lenge de er n?dvendige for ? oppn? form?let med behandlingen, og data slettes fortl?pende.

5. Systemer knyttet til bestemte roller ved Universitetet i Oslo

I egenskap av din egen stilling p? UiO kan det hende at det kreves at du bruker ulike IT-tjenester for ? utf?re ditt arbeid. Disse IT-tjenestene lagrer selv personopplysninger om deg. Det kommer helt an p? hva tjenesten gj?r, og hvilken funksjon du har p? UiO.

Mange av disse tjenestene har en brukerprofil p? deg for ? sikre at du har lovlig tilgang til systemet. Noen tjenester vil ogs? kunne logge din aktivitet av ulike hensyn, slik som sikkerhets-, drifts- eller tjenesteutviklingshensyn.

Du vet selv best hvilke tjenester du bruker i din hverdag, og kan forh?re deg med lokal IT hvordan disse tjenestene/systemene behandler dine personopplysninger. Du vil ogs? kunne s?ke opp systemet/tjenesten i UiOs oversikt over behandling av personopplysninger.

Det vil v?re lagret personopplysninger om deg der du har logget deg inn med din UiO-bruker eller der du som ansatt ved UiO kan v?re registrert. Eksempler p? slike er:

  • faktura-, innkj?ps-, og ?vrige ?konomih?ndteringssystemer
  • drifts- og sikkerhetsverkt?y
  • HR-tjenester
  • skylagringstjenester
  • intranett
  • registre over forskning, slik som CRISTin, Sikt, REK, og Helseforsk.

5.1 Zoom

Zoom er UiOs foretrukne tjeneste for videostr?mming. N?r ansatte logger seg p? med FEIDE-bruker sendes for-, etternavn og UiO-epostadresse til Uninett AS, som leverer Zoom til UiO.

Ved bruk av Zoom til undervisning, m?te- og konferansevirksomhet m? man som regel delta med bruk av bilde og/eller lyd under str?mmingen. Dette styres av den ansatte med innstillinger ved tilkoblingen til undervisningsstr?mmen. Dette kan ogs? n?r som helst endres av den ansatte s? lenge str?mmingen foreg?r. Denne behandlingen er n?dvendig for oppfyllelse av arbeidsavtalen, jf. personvernforordningen art. 6(1)(b).

I tillegg samles det inn analysedata om bruken av Zoom, slik som vertskap, deltagere, tidspunkt, maskinvare og IP-adresse. Dataene er strengt tilgangsbegrenset og tjener UiOs interesse i ? optimalisere, feilrette, produsere statistikk for og forbedre tjenesten, jf. personvernforordningen art. 6(1)(f).

5.2 Sosiale medier

UiO benytter ulike sosiale kanaler for ? n? ut til studenter, ansatte og publikum for?vrig. N?r disse tjenestene benyttes gjelder tjenestens retningslinjer. N?r UiO er felles behandlingsansvarlig med tjenesteleverand?ren, blir det gitt informasjon om dette i tjenesten.

5.3 Canvas

Ansatte kan bli p?lagt eller oppfordret til ? gjennomf?re kurs og/eller oppl?ring som ligger i Canvas.

Resultatet av kurset/oppl?ringen kan bli lagret i Canvas slik at det fremkommer hvorvidt du har gjennomf?rt, best?tt eller ikke best?tt. Form?let med dette er ? kunne dokumentere at du som ansatt har gjennomf?rt et kurs som gir n?dvendig kunnskap innenfor ulike fagomr?der som er relevant for dine arbeidsoppgaver. Dette inneb?rer at resultatet p? kurset/oppl?ringen vil knyttes til deg som person.

Det som lagres er: resultat, best?tt/ikke best?tt, tidsbruk, antall poeng og svar for hvert fors?k.

Det rettslige grunnlaget for ? lagre denne informasjonen er personvernforordningen art. 6(1)(b). Behandlingen ligger innenfor UiOs aktivitet som forsknings-, utdanningsinstitusjon og arbeidsgiver ? lagre resultatet.

Informasjonen vil bli lagret i Canvas. Resultater kan flyttes til og registreres i andre systemer ved UiO.

6. Sikkerheten rundt personopplysningene dine

UiO gjennomf?rer regelmessig risiko- og s?rbarhetsanalyser av datasystemene vi benytter for ? sikre personopplysningene dine. Vi har ogs? flere sikkerhetstiltak, som for eksempel tilgangskontroller for ? hindre at flere ansatte enn n?dvendig f?r tilgang til personopplysningene dine. Ansatte har taushetsplikt rundt personopplysninger de f?r i arbeidet. Hvordan vi sikrer dine opplysninger kan du lese om i LSIS – Ledelsessystem for informasjonssikkerhet.

7. Rettighetene dine

N?r UiO behandler personopplysninger om deg, enten i personalmappen, i vurderinger, i logger eller i andre registre/systemer, har du enkelte rettigheter etter personopplysningsloven.

7.1 Rett til innsyn

Du har rett til ? henvende deg til UiO for ? unders?ke hvorvidt vi behandler personopplysninger om deg. Hvis vi gj?r det har du krav p? ? f? vite blant annet hvilke personopplysninger dette er, hvor de stammer fra og hvorfor vi har dem. Du kan ogs? f? utlevert en kopi av de personopplysningene vi sitter p?. Du vil ikke har rett til ? f? informasjon om hvorvidt vi behandler opplysninger om andre. Universitetet behandler personopplysninger p? veldig mange omr?der. Vi har derfor en rett til ? be deg presisere fra hvilke system du ?nsker informasjon fra.

7.2 Rett til ? kreve retting

Hvis du etter ? ha gjort et innsyn i dine personopplysninger oppdager at informasjonen vi sitter p? er feil, ufullstendige eller un?yaktig, kan du be UiO rette opplysningene

7.3 Rett til sletting (retten til ? bli glemt)

UiO har allerede strenge sletterutiner, enten det er automatisk sletting av logger hvert kvartal eller automatisk sletting n?r du ikke lenger er registrert som ansatt. De opplysningene vi sitter p? har du i utgangspunktet rett til ? be oss slette. Dette er ikke en automatisk rett, men det kan skje p? enkelte vilk?r. Hvis vi har et rettslig grunnlag til ? sitte p? opplysningene, en annen lov nekter oss ? slette dem, eller du ikke har tungtveiende rettmessige grunner til ? kreve sletting, vil vi likevel fortsatt kunne behandle opplysninger om deg.

7.4 Rett til begrenset behandling

Denne retten gir deg mulighet til ? kreve at UiO midlertidig stopper bruken av dine personopplysninger. Du kan kreve det hvis du mener at opplysningene vi sitter p? er un?yaktige eller vi ikke har tilstrekkelig grunnlag for ? behandle opplysningene. Vi vil da stoppe behandlingen inntil vi har unders?kt innsigelsene dine.

7.5 Rett til dataportabilitet

Hvis UiO behandler dine personopplysninger basert p? ditt samtykke eller en avtale UiO har med deg, og behandlingen utf?res automatisk (for eksempel at data kalkuleres automatisk eller maskiner analyserer opplysningene), vil du kunne kreve at vi overf?rer flere av dine personopplysninger til deg eller en tredjepart.

7.6 Rett til ? protestere

Hvis du er i en s?regen situasjon som gj?r at UiOs behandling av dine personopplysninger skaper spesielle utfordringer for deg, kan du protestere mot universitetets behandling. Hvis dine interesser er tyngre enn universitetets skal vi ikke lenger behandle dine personopplysninger.

8. Kontakt

Behandlingsansvarlig

Universitetsdirekt?ren ved UiO er behandlingsansvarlig for personopplysninger vi behandler. Den daglige oppf?lgingen av dette ansvaret er delegert til IT-direkt?ren ved UiO.

Dersom du ?nsker ? benytte deg av dine rettigheter som er omtalt i punkt 7 over, kan du kontakte oss p? behandlingsansvarlig@uio.no. For retting av opplysninger, kan du kontakte oss her. Vi vil behandle din henvendelse uten ugrunnet opphold, og senest én m?ned etter vi mottar anmodningen. 

Personvernombud

UiO har et personvernombud som skal ivareta personverninteressene til b?de studenter og ansatte ved UiO. Personvernombud for administrative behandlinger av personopplysninger ved UiO kan n?s via e-post personvernombud@uio.no.

Publisert 20. juni 2018 15:27 - Sist endret 2. juni 2022 12:07