Personvernforordningen (GDPR)

Nytt regelverk

EU har vedtatt ny personvernforordning - General Data Protection Regulation (GDPR)

Tr?dte i kraft 20. juli 2018 i Norge.

• Ikke veldig mye nytt, men mer detaljert, strengere, og st?rre b?ter.
• Integrert i den norske personopplysningsloven
• Har ogs? f?rt til nye paragrafer i universitets- og h?gskoleloven.

Personvern

• Retten til privatliv ¨C en menneskerettighet
• Vi eier opplysninger om oss selv, og vi skal kunne ha kontroll over v?re eiendeler. De skal ikke brukes uten at vi vet det og ikke brukes urettmessig.

Nyttige begreper

Behandlingsgrunnlag

Et behandlingsgrunnlag er den lov og paragraf (hjemmel) som tillater behandling av personopplysninger.

Behandlingsgrunnlag finnes KUN i artikkel 6.

• samtykke (art. 6 nr. 1a)
• oppfylle avtale med den registrerte (art. 6 nr. 1b)
• oppfylle en rettslig forpliktelse (art. 6 nr. 1c)
• verne noens vitale interesse (art. 6 nr. 1d)
• utf?re en oppgave i allmennhetens interesse en lov p?legger oss (art. 6 nr. 1e)
• n?dvendig for ? oppfylle en berettiget interesse som veier tyngre enn personvernet (art. 6 nr. 1f)

Personopplysning

?personopplysning? enhver opplysning om en identifisert eller identifiserbar fysisk person (?den registrerte?) ¨C alt som kan knyttes til en enkeltperson, direkte eller indirekte. Kort sagt: s? ? si alt ¨C studentnummer, bilskilt, bilde, en sammenstilling av nasjonalitet, emne, ?r, telefonnummer, e-postadresse, IP-adresse  - Hvis man kan finne ut av hvem det er.

Anonymt? Opplysninger som ikke kan f?res tilbake til en bestemt person er ikke en personopplysninger.

Artikkel 9: S?rlig kategori av personopplysninger (f?r het det sensitive personopplysninger)

• rasemessig eller etnisk opprinnelse
• politisk oppfatning
• religion
• filosofisk overbevisning
• fagforeningsmedlemskap
• genetiske, biometriske opplysninger
• helseopplysninger
• seksuelle forhold eller seksuell orientering

Uhl ¡ì 4-15 (3) ?pner for ? ha opplysninger om helse, sosiale forhold og andre sensitive opplysninger i studieadministrative systemer, men merk at tilgangssikring til FS-data per i dag ikke er streng nok til at vi kan ha personopplysninger av s?rlig kategori i FS.

F?dselsnummer er en personopplysning, men ikke av s?rlig kategori. F?dselsnummer skal bare brukes hvis helt n?dvendig og skal ikke sendes p? e-post.

Artikkel 10: Straffedommer og lovovertredelser

Personopplysninger om straffedommer og lovovertredelser er ikke lenger en sensitiv personopplysning, men har f?tt sin egen artikkel 10.:

"Behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak p? grunnlag av artikkel 6 nr. 1 skal bare utf?res under en offentlig myndighets kontroll eller dersom behandlingen er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som sikrer n?dvendige garantier for de registrertes rettigheter og friheter. Alle omfattende registre over straffedommer m? bare f?res under en offentlig myndighets kontroll."

Det betyr strengere regler enn for s?rlig kategori av personopplysninger (artikkel 9).

Samtykke

• Skal v?re frivillig, spesifikk, informert og utvetydig (GDPR artikkel 4 punkt 11)
• M? kunne dokumenteres ¨C beviselig (i skrift, p? b?nd, p? film)
• Klar, forst?elig og tydelig informasjon
• Mange krav til et samtykke i GDPR artikkel 13 og 14. Personvernkontaktpersonen i avdeling/seksjon kan mer om dette.
• UiO innhenter noen samtykker i S?knadsweb og Studentweb.

De ti personvernprinsippene ¨C GDPR artikkel 5

• Lovlighet: Vi m? ha grunnlag i loven ved  samtykke eller hjemmel i spesiallov (eksempelvis UH-loven, arkivloven, arbeidsmilj?loven) eller i avtale med den registrerte
• Rettferdighet: Vi m? ikke misbruke v?r posisjon
• ?penhet: Den registrerte skal vite hva vi gj?r med personopplysningene. Den registrerte skal ha kontroll (informasjon f?r innsamling, personvernerkl?ring).
• Form?lsbegrensning: Personopplysninger skal samles inn for spesifikke angitte og berettigede form?l og ikke viderebehandles p? en m?te som er uforenlig med disse form?lene.
• Dataminimering: Personopplysninger skal v?re begrenset til det som er n?dvendig for form?lene de behandles for. Ikke lagre 100 ting om en person hvis du faktisk ikke trenger mer enn 10. Ikke sitt p? info bare fordi det er kjekt ? ha.
• Riktighet: Personopplysninger skal v?re korrekte. Uriktige opplysninger skal rettes eller slettes. Vi har systemer som f.eks. FS for ? finne tilbake til opplysningene.
• Lagringsbegrensning: Personopplysninger skal ikke lagres lenger enn det som er n?dvendig for ? oppfylle form?let. De skal enten slettes eller anonymiseres.
• Integritet og konfidensialitet: Personopplysninger behandles p? en m?te som sikrer tilstrekkelig sikkerhet, vern mot uautorisert eller ulovlig behandling, forhindrer utilsiktet tap, utlevering, endring, eller skade. Pass f.eks. p? ? ha tilgangsbegrensning, innlogging, sikre servere, ikke utlevere til uautoriserte, lagre i sikre systemer, lagre p? fellesomr?der, ikke private hjemmeomr?der eller e-postkasser, ha gode rutiner.
• Behandlingsgrunnlag: N?dvendig administrasjon av studenter faller som regel inn under de plikter vi er p?lagt i UH-loven, eksempelvis ¡ì1-3 om institusjonenes virksomhet. Sommeren 2018 fikk UH-loven nye paragrafer, blant dem ¡ì 4-15 Innhenting og behandling av personopplysninger i studieadministrative systemer

Ha kontroll

UiO m? ha full kontroll p? hvor vi behandler personopplysninger. Oversikt over behandling av personopplysninger i meldeappen.

UiO er ansvarlig for og skal kunne p?vise at alle prinsippene og GDPR for ?vrig overholdes.

• Kan vi dokumentere rutinene?
• Kan vi dokumentere samtykkene?
• Kan vi dokumentere/spore hva som har skjedd hvis noe komme p? avveie?
• N?r det gjelder opplysninger i Felles studentsystem (FS), har vi egne nettsider om personvern for ansatte.

Avvik?

Har ting g?tt galt, kontakt n?rmeste leder s? raskt som mulig. Leder vet hvordan avvik skal h?ndteres.