Innledende kommentarer
Eierskap og behandling av data
Data som eksisterer i en datamaskin vil som oftest finnes lagret som en fil. Enhver fil vil i utgangspunktet v?re merket med hvem som eier den. Ofte vil eierskapet v?re angitt som et brukernavn som er registrert i det respektive domenet. For eksempel vil en tekstfil kunne ha eieren ‘waltert’. Vi vet da at datamaskinen mener filen tilh?rer det individet som brukeren ?waltert? er laget for.
Data laget av brukeren eies i utgangspunktet av denne selv. I noen tilfeller kan eierskapet tilh?re andre, f.eks. brukerens arbeidsgiver. De fleste filene til teknisk/administrativt ansatte ved UiO vil v?re eid av arbeidsgiver. Ogs? endel av filene til vitenskapelig ansatte vil UiO ha eierskapet til.
Utgangspunktet er at data som er merket eid av en bruker antas ? v?re det om ikke andre hensyn tilsier det motsatte, og for det andre at slik merking ikke p? noe vis hverken for?rsaker eller medf?rer noen overgang av noe eierforhold til data. Data som skal brukes av andre enn brukeren selv, eller som UiO har behov for tilgang til eller oversikt over b?r lagres p? fellesomr?der el. l. Da vil ogs? eierskapet bli klarere.
Noen data er skapt av brukernes handlinger, men er ikke merket som brukerens filer. Dette gjelder i all hovedsak logger som produseres av UiO. Dette er heller ikke brukerens data, men UiOs. All den tid disse filene kan utgj?re personopplysninger om brukeren er behandling av dem underlagt reglene i personopplysningslovens.
Skulle man komme over filer uten eier vil de p? lik linje ikke bli ansett som abandonerte (uten eier) men med ukjent eier. En b?r ta sikkerhetskopi av disse, og oppbevare dem et sted hvor brukere som mener de har mistet data, kan f? se om deres data finnes der.
Innsyn i data, filer eller omr?der tilh?rende privat bruker
I utgangspunktet er det kun brukeren selv som har tilgang til dennes data. Av og til kan det imidlertid v?re n?dvendig for driftspersonell ? skaffe seg tilgang til en brukers private omr?de, dennes filer eller data. Dette gjelder tilfeller det er n?dvendig for ? hindre skade eller un?dig belastning av IT-ressursene eller deres integritet, hvor UiOs rykte trues eller UiO risikerer ? p?dra seg et ansvar.
Det finnes ogs? andre grunner til at man kan ?nsker innsyn i filer eller tilgang til omr?der. En s?rlig aktuell situasjon er hvor en tredjepart ?nsker en kopi av eller innsyn i slike filer eller opplysninger. Dette kan f.eks. v?re hvor politi eller p?talemyndighet vil ha kopi av en brukers e-post eller hvor noen som forvalter opphavsrettigheter ?nsker kjennskap til om en eller flere filer (f.eks. filmer eller musikkfiler) befinner seg p? en brukers omr?de. Som et generelt prinsipp i slike tilfeller skal dette avvises s? fremt det verken foreligger samtykke fra brukeren, beslutning fra norsk domstol eller annen lovhjemmel.
For UiOs som arbeidsgiver finnes en hjemmel for innsyn i personopplysningsforskriften kapittel 9. UiO kan etter denne skaffe seg tilgang enten n?r det er n?dvendig for ? ivareta den daglige driften eller andre berettigede interesser (ved UiO) eller, ved begrunnet mistanke om at arbeidstakers bruk medf?rer grovt brudd p? de plikter som f?lger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed. Arbeidstaker skal om det er mulig varsles f?r UiO skaffer seg slikt innsyn.
Skillet mellom filer og omr?der og f.eks. logger og lignende
Det er et konkret skille mellom brukerens filer og omr?der, og den logging av diverse ting som en institusjon foretar. Det er ikke et innsyn i s? m?te ? g? gjennom disse, men det m? til gjengjeld v?re slik at UiO ikke logger annet enn det som er forsvarlig, og at det opplyses om dette.
Hva menes med ‘skaffe seg innsyn’? Det er et konkret innsyn, typisk igangsatt av et individ som er underlagt disse reglene, ikke automatiske prosesser som foretar handlinger mot store grupper brukere. En prosess som automatisk g?r gjennom alle filer om natten p? jakt etter virus er dermed ikke et innsyn i denne forstand.
REGLEMENT: EIERSKAP OG UTLEVERING AV DATA
Utgangspunkt
UiO forholder seg til en fil sin eier som en indikasjon p? hvem som eier data. Om dette eierskapet er korrekt eller ikke, skal ikke dette p? noe vis endre det reelle eierskapet til data.
Eierskap til data
UiO forholder seg til at den som er oppf?rt som eier av en fil, er disse datas eier, om ikke andre opplysninger tilsier det motsatte. Dette gjelder uansett hvor filen skulle befinne seg.
UiO vil kun utlevere filen til den som er oppf?rt som eier med mindre det ved beslutning av norsk domstol bestemmes noe annet.
Konflikt om eierskap til data mellom to 3. parter
Hvor to parter begge hevder ? v?re eier til data vil UiO i utgangspunktet utlevere data til parten som er oppf?rt som eier av filen. Hvor en part varsler rettslige skritt for ? f? fastsl?tt eierskapet kan UiO allikevel i en periode avvente utleveringen.
Hvis ikke en avgj?relse fattes, f?r ingen utlevert noe
Hvor det ikke er mulig ? sannsynliggj?re hvem som eier data, og flere hevder ? ha eiendomsretten til nevnte data, vil det ikke bli utlevert noe f?r det foreligger en avgj?relse fra norsk domstol omkring eierskapet til dataene.
Utlevering av data ved brukerforholdets opph?r
Brukerforholdets opph?r grunnet brukerens tilknytning til UiO
Hvor brukerens forhold til UiO opph?rer, f.eks. ved endt studium eller avsluttet arbeidsforhold skal brukeren selv bes?rge ? fjerne sine data fra UiO IT-ressurser, herunder ? ta kopier av de data brukeren ?nsker ? beholde. Brukeren skal derfor ha tilgang til sine data i tre m?neder etter at rollen som begrunnet brukerforholdet opph?rte. I l?pet av denne perioden m? brukeren motta varsel om at kontoen vil bli slettet og at alle data vil forsvinne. Etter dette skal UiO vente i ytterligere tre m?neder f?r kontoen inklusive all data blir slettet.
At brukeren skal ha tilgang til sine data betyr ikke at andre tjenester skal v?re tilgjengelige.
Brukerforholdets opph?r grunnet brukerens d?d
Hvor en bruker d?r, vil dennes arvinger (d?dsboet) tre inn i dennes sted hva ang?r rettigheter knyttet til s?vel fysiske som immaterielle goder og objekter. Retten til innholdet av dennes hjemmeomr?de er et slikt.
Det som m? fastlegges er at den eller de som ?nsker ? f? utlevert innholdet av hjemmeomr?det er rett arving. Dette gj?res ved fremleggelse av en skifteattest, hvor det fremg?r hvem arvingene er. UiO vil kunne gjennomg? materialet sammen med boet f?r utlevering for ? sikre at ikke taushetsbelagt informasjon eller andre data som ikke skal utleveres blir det.
Personlig innhold skal lagres p? hjemmeomr?de. Materiale som lagres p? arbeidsplassmaskin vil uten gjennomg?else av hva det inneholder, bli slettet ved en brukers d?d.
Innsyn i en brukers filer, e-postkasse mv.
UiO kan etter denne skaffe seg tilgang enten n?r det er n?dvendig for ? ivareta den daglige driften eller andre berettigede interesser (ved UiO) eller, ved begrunnet mistanke om at arbeidstakers bruk medf?rer grovt brudd p? de plikter som f?lger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed. Gjennomgang ifm. Med utlevering etter d?dsfall er en slik berettiget interesse.
Arbeidstaker skal om det er mulig varsles f?r UiO skaffer seg slikt innsyn.
Innsyn og saksbehandling skjer etter rutine for dette gitt av OPA.
Prosedyre for utlevering av data
Utfylling av erkl?ring
Utlevering skjer mot utfylling av en erkl?ring hvor mottaker av data underskriver p? at denne
-
Har mottatt data
-
Erkjenner at overleveringen ikke medf?rer noen endring i faktiske eierforhold.
-
Lover ? utlevere data som tilh?rer andre til riktig mottaker
Arkivering
En kort redegj?relse (f.eks en logg) for utleveringen, samt kopi av dokumenter som identifiserer rett mottaker (f.eks. skifteattest), erkl?ring og andre relevante dokumenter skal arkiveres.
Utlevering
Utlevering skjer p? egnet medium som kan deles ut i bytte mot erkl?ring.