Den st?rste utfordringen i forhold til henvendelser om personopplysninger er at ulike lover kan ?pne for ulike konklusjoner og det kan v?re vanskelig ? avgj?re hvilke hensyn som skal veie tyngst.
Behandlingsansvarlig
Universitetsdirekt?ren er behandlingsansvarlig for personopplysninger ved UiO. Juristene ved USIT har det daglige ansvaret for ? ivareta denne oppgaven.
Datakilder
Det finnes ved UiO flere datasystemer for tilgang til data over ansatte og studenter. Denne rutinebeskrivelsen ber?rer opplysninger som ligger i Felles studentsystem (FS).
Tilgang/Ansvar
Det er mer enn 700 FS-brukere ved UiO. For ? sikre lik behandling av denne typen henvendelser og at henvendelsene behandles i henhold til gjeldende regelverk skal alle henvendelser som ber?rer personopplysninger i FS behandles av Avdeling for studieadministarsjon (SADM).
Generelle retningslinjer ved henvendelser om tilgang til persondata
- Alle henvendelser om tilgang til data om studenter og doktorgradsstipendiater skal behandles og vurderes av SADM. Henvendelser som ber?rer ansatte ved UiO skal behandles og vurderes av Avdeling for personalst?tte. Det enkelte fakultet, institutt eller annen enhet som f?r en henvendelse ang?ende studenter eller tidligere studenter videresender disse til SADM, p? e-postadressen postmottak@admin.uio.no
- Henvendelser som skal v?re gjenstand for vurdering b?r v?re skriftlige.
- Henvendelsen skal alltid referere til en hjemmel/grunnlag for ? kunne v?re gjenstand for en vurdering. Er det ikke referert til en slik hjemmel/grunnlag, skal tilgang alltid avsl?s. Der det er referert til en hjemmel, m? det kontrolleres at det faktisk er en hjemmel som ?pner for tilgang og at den g?r foran generelle bestemmelser i personvernloven.
- Svar p? henvendelser skal alltid v?re skriftlige og det skal frakomme hvorfor henvendelse avsl?s/aksepteres med referanse til hvilke lover/forskrifter vurderingen baserer seg p?.
- Om data utleveres, b?r det som et minimum redegj?res for kvaliteten p? de data som utleveres. Kvaliteten kan vurderes som for d?rlig ut fra det form?let det er ment brukt. Dette kan i seg selv v?re ett grunnlag for ? avsl? utlevering.
- Studenter skal via Studentweb gj?res kjent med at opplysninger om deres status som student ved UiO, kan utleveres til tredjepart dersom det er hjemmel for dette, se personvernerkl?ringen.
- Data som er samlet inn for et bestemt form?l kan ikke brukes til andre form?l som er uforenlige med det opprinnelige form?let uten at den registrerte samtykker i dette. Hva som er uforenlig m? basere seg p? en skj?nnsmessig vurdering. Lovens forarbeider angir en del sentrale momenter i en slik vurdering, for eksempel ulemper for den registrerte.
- Dersom det er fattet en beslutning om at persondata kan utleveres, skal det ikke utleveres mer enn det som faktisk bes utlevert. Det kan ogs? vurderes slik at kun deler av de opplysningene som ettersp?rres skal utleveres, mens andre opplysninger holdes tilbake fordi det f.eks. ikke klart nok framkommer hvorfor akkurat disse opplysningene skal utleveres.
- Det m? etableres en praksis basert p? hvordan tidligere henvendelser er blitt vurdert. Dette for ? effektivisere behandlingen av saker og for ? oppn? likebehandling av henvendelser som like eller tiln?rmet like.
- Som generelt prinsipp er det ved vurdering av henvendelser bedre ? utlevere "for lite" informasjon framfor ? utlevere "for mye". Ved usikkerhet om den vurderingen som er gjort er "holdbar", b?r det innhentes innspill fra jurister eller fra kollegaer.