Om personvern, personopplysninger og personopplysningsvern

Hva er behandling av personopplysninger?

En behandlingsaktivitet er en konkret oppgave eller prosess der man gj?r noe med personopplysninger for et bestemt form?l.?

En behandling kan omfatte alle typer bruk av personopplysninger, som for eksempel:

• innsamling, registrering
• lagring
• bruk, sammenstilling
• publisering
• overf?ring, deling og utlevering
• sletting

Hva er en personopplysning?

En personopplysning er all informasjon som kan knyttes til en person, enten direkte eller indirekte.

Vurderinger eller opplysninger regnes som personopplysninger uavhengig av om de foreligger som tekst, bilder, lyd- eller videoopptak.

Eksempler p? personopplysninger kan v?re:

• navn, adresse, alder, telefonnummer, e-postadresse og f?dselsnummer
• innholdet i eksamensbesvarelser, bachelor- eller masteroppgaver og kandidatenes karakterer
• innhold i saksdokumenter, utredninger eller vurderinger som omhandler ansatte eller studenter
• innholdet i e-postkommunikasjon mellom ansatte og studenter eller mellom to eller flere studenter
• video- og lydopptak som gj?res ved bruk av overv?kningskamera og hvor enkeltpersoner kan gjenkjennes
• bilder av ansatte eller studenter som publiseres p? hjemmesiden
• logging av aktivitet i datasystemer hvor loggene kan knyttes til bestemte ansatte eller studenter, for eksempel registrering av hvem som til enhver tid er p?logget ulike datasystemer

Hva er s?rlige kategorier av?personopplysninger?

I utgangspunktet er det forbudt ? behandle visse kategorier av personopplysninger - s?kalte s?rlige kategorier av personopplysninger (tidligere kalt sensitive personopplysninger). Dette er typer opplysninger som lovgivningen har satt s?rskilte krav til behandling av. Det finnes mange unntak fra forbudet mot ? behandle disse, men det m? alltid foreligge et s?rskilt grunnlag i tillegg til vanlig behandlingsgrunnlag.

Kategoriene er hentet direkte fra personvernlovgivningen og omhandler:

• opplysninger om rasemessig eller etnisk opprinnelse
• opplysninger om politisk oppfatning
• opplysninger om religion
• opplysninger om filosofisk overbevisning
• opplysninger om fagforeningsmedlemskap
• genetiske opplysninger
• biometriske opplysninger (n?r behandlingsform?let er ? entydig identifisere noen)
• helseopplysninger
• opplysninger om seksuelle forhold
• opplysninger om seksuell legning

S?rlige kategorier av personopplysninger b?r ofte sikres ekstra godt mot brudd p? informasjonssikkerheten ettersom de ofte kan medf?re risiko for de ber?rte. Likevel trenger de ikke n?dvendigvis alltid ? v?re risikofylte. For eksempel kan det v?re en helseopplysning at du bruker briller, men det regnes normalt ikke som s?rlig beskyttelsesverdig. Du m? derfor alltid vurdere hvor stor risiko opplysningene faktisk inneb?rer for den det gjelder.

Ved bruk av s?rlig kategori av personopplysninger i forskning gjelder?UiOs rutiner for forskning med personopplysninger. For medisinsk og helsefaglig forskning gjelder det i tillegg egne rutiner og retningslinjer (Kvalitetssystemet for medisinsk og helsefaglig forskning).

Eksempler p? s?rlige kategorier personopplysninger som behandles p? UiO kan v?re:

• informasjon om studenters sykdom eller diagnoser
• helseopplysninger registrert i forbindelse med ansattes sykefrav?r
• informasjon om eksamensfusk eller fors?k p? fusk
• behov for tilrettelagt eksamen av helsemessige grunner
• opplysninger om ansattes alkohol- eller rusmisbruk
• opplysninger om fagforeningsaktivitet
• informasjon om holdninger til ulike religi?se eller politiske sp?rsm?l som respondenter i sp?rreunders?kelser bes om ? oppgi.

Unntak fra forbudet mot behandling av s?rlig kategori personopplysninger

Det er som hovedregel forbudt ? behandle s?rlige kategorier personopplysninger, men det finnes unntak.

Du kan behandle slike opplysninger hvis det finnes et s?rskilt grunnlag, for eksempel:

• Personen har gitt uttrykkelig samtykke
• Det er n?dvendig for arbeidsforhold, trygd eller sosiale rettigheter
• Det er n?dvendig for ? verne liv og helse (vitale interesser)
• Opplysningene er offentliggjort av personen selv
• Det er n?dvendig for rettskrav eller domstolsbehandling
• Det er n?dvendig for helse- og sosialtjenester
• Det er n?dvendig av hensyn til viktige samfunnsinteresser
• Det er n?dvendig for hensyn til folkehelse
• Det er n?dvendig for arkivform?l, forskning eller statistikk (med hjemmel i lov)

Hva er s?rlig beskyttelsesverdige personopplysninger?

S?rlig beskyttelsesverdige personopplysninger er opplysninger om enkeltpersoner som, som kan v?re s?rlig risikofylte, skadelige eller ubehagelig for den det gjelder hvis andre f?r tak i dem, eller det stilles s?rlige lovkrav til slike opplysninger.?

Selv om personopplysninger ikke regnes som s?rlig kategorier personopplysninger etter definisjonen i GDPR, kan de likevel v?re s?rlig beskyttelsesverdige.

Dette er alts? informasjon som krever ekstra beskyttelse utover vanlige personopplysninger.

Dette kan for eksempel v?re:

• F?dsels- og personnummer
• Opplysninger om familieforhold som kan avsl?re s?rbare situasjoner
• °ÄÃŻʹÚÌåÓý,»Ê¹Ú×ãÇò±È·Ö- og kontaktinformasjon som kan misbrukes, feks. hjemadresse til utsatte personer
• Opplysninger tilknyttet straffedommer, lovovertredelser eller sikkerhetstiltak tilknyttet disse
• Fortrolig adresse (kode 6 eller 7)
• Opplysninger om barn
• Opplysninger som er s?rlig sensitive i en bestemt kontekst
• Sensitive ansettelsesopplysninger som interne varsler, konflikter eller oppsigelse

Slike opplysninger vil ofte v?re ? anse som r?de data etter UiOs klassifiseringsguide (lenke), men gj?r alltid en konkret vurdering risikoen knyttet til dine data.

Merk at f?dsels- og personnummer og andre entydige identifikasjonsmidler kan bare brukes n?r

• det er saklig behov for sikker identifisering av enkeltpersoner og
• sikker identifisering ikke kan oppn?s p? andre m?ter.

Les mer om reglene for bruk av f?dselsnummer (datatilsynet.no).

Hva er indirekte identifiserbare og anonyme?opplysninger?

Indirekte identifiserbare opplysninger og pseudonym

Indirekte identifiserbare opplysninger er opplysninger der alle direkte identifikatorer (som navn, f?dselsnummer, adresse) er fjernet eller erstattet, s? man ikke kan finne ut hvem personen er uten ekstra informasjon.

Pseudonyme opplysninger er opplysninger hvor man har erstattet direkte identifikatorer med en kode eller et navn som ikke avsl?rer identiteten, men man beholder muligheten til ? koble opplysningene tilbake til personen hvis man har tilgang til koblingsn?kkelen.

B?de indirekte identifiserbare opplysninger og pseudonyme opplysninger regnes i utgangspunktet som personopplysninger for de som har en rimelig mulighet til ? identifisere enkeltpersonen.

Ved utlevering til tredjeparter vil indirekte identifiserbare og pseudonyme opplysninger regnes som personopplysninger hvis det er rimelig praktisk mulig ? identifisere personen ved ? bruke tilgjengelige data. Det er ikke avgj?rende om identifikasjonen krever ekstraarbeid; det avgj?rende er om identifikasjonen er mulig med rimelige midler og tilgjengelig informasjon.

N?r man vurderer om opplysninger er personopplysninger, ser man p? om personen kan identifiseres av virksomheten som behandler opplysningene, ikke bare av enkeltpersoner. Dette betyr at:

• Hvis noen p? UiO har tilgang til informasjon eller registre som kan identifisere en person, regnes opplysningene som identifiserbare for UiO, selv om ingen andre p? UiO kan identifisere personen.

Indirekte identifiserbare eller pseudonyme personopplysninger kan anonymiseres dersom koblingen mellom identifiserende opplysninger og ?vrige vurderinger eller opplysninger slettes p? forsvarlig m?te.

Eksempel p? indirekte identifiserbare personopplysninger: P? en eksamensbesvarelse brukes kandidatnummer i stedet for studentens navn. Selv om eksamensbesvarelsen ikke viser hvem studenten er direkte, kan administrasjonen likevel koble kandidatnummeret tilbake til navnet etter sensuren.

Eksempel p? anonymisering: Oversiktslister som kobler kandidatnummer til studentnavn blir destruert etter at sensuren er fullf?rt.

Anonyme opplysninger

Anonyme opplysninger er data som aldri kan kobles til en bestemt person.

Anonyme opplysninger regnes ikke som personopplysninger. Reglene i personvernforordningen og?personopplysningsloven gjelder derfor ikke for behandling av slike opplysninger.

Anonymisering oppn?s vanligvis ved at informasjon som kan identifisere enkeltpersoner, for eksempel navn, adresse, telefonnummer, e-postadresse og f?dselsnummer, slettes p? forsvarlig m?te. Det vil da ikke lenger v?re mulig ? finne ut hvilken enkeltperson de gjenv?rende vurderingene eller opplysningene refererer seg til.

Hva er krenkelser av personvernet?

Det er behandlingsansvarlig?(UiO) som er ansvarlig for at det ikke skjer krenkelser av personvernet ved elektronisk eller manuell behandling av personopplysninger i forskning, undervisning, administrasjon og formidling.

Krenkelser av personvernet kan skje p? mange m?ter, for eksempel dersom:

• uvedkommende f?r tak i helseopplysninger om ansatte eller studenter
• s?rlige kategorier av personopplysninger (sensitive opplysninger) om respondenter eller informanter i forskning kommer p? avveie
• opplysninger om studenter eller ansatte som registreres i UiOs IT-systemer er utdaterte, misvisende eller sv?rt mangelfulle
• opplysninger om informanter eller respondenter i forskning brukes til helt andre og uforenlige form?l enn hva de har samtykket til
• ansatte registrerer, endrer eller sletter studentopplysninger i UiOs IT-systemer uten ? ha lov til ? gj?re dette
• overv?kningskamera settes opp i eller utenfor universitetsbygninger uten at UiO har et godt begrunnet behov for slik overv?kning
• ledere skaffer seg tilgang til ansatte eller studenters personlige lagringsomr?der eller private e-postkommunikasjon uten ? ha rett til ? gj?re dette
• UiO publiserer detaljerte opplysninger om ansatte eller studenter p? sine hjemmesider uten at det er gitt samtykke til publiseringen

Felles for disse (og andre) krenkelser av personvernet er at behandlingsansvarlig (UiO) h?ndterer personopplysninger p? en slik m?te at den som opplysningene gjelder har mistet medbestemmelse over og kontrollen med hva som skjer med sine opplysninger.

Den som utsettes for personvernkrenkelser kan kreve erstatning fra behandlingsansvarlig (UiO) dersom han/hun har lidd ?konomisk eller ikke-?konomisk overlast som f?lge av dette.

Behandlingsansvarlig (UiO) kan ilegges overtredelsesgebyr fra Datatilsynet eller bli politianmeldt ved alvorlige krenkelser av personvernet.

Hva betyr det at UiO er behandlingsansvarlig?

Behandlingsansvarlig er et begrep som anvendes i personvernforordningen om den personen, virksomheten eller institusjonen som alene eller sammen med andre bestemmer form?let med behandlingen av personopplysninger og hvilke midler som skal benyttes.

Personer, virksomheter eller institusjoner blir behandlingsansvarlige for behandling av personopplysninger n?r de alene eller sammen med andre bestemmer:

• hvilke midler, herunder?elektroniske hjelpemidler,?som anvendes til ? behandle personopplysningene
• hva som er form?let eller hensikten med behandlingen av personopplysningene

Det betyr for eksempel at dersom UiO bestemmer at det skal anskaffes en nettbasert tjeneste hvor studenter, ansatte og gjesteforskere kan lagre og dele elektroniske dokumenter vil UiO v?re behandlingsansvarlig for disse personopplysningene (dokumentene).???

UiOs behandlingsansvar omfatter all behandling av alminnelige, sensitive og avidentifiserte/pseudonymiserte personopplysninger. Behandling av anonymiserte opplysninger?faller utenfor behandlingsansvaret.

Behandlingsansvaret omfatter personopplysninger som behandles ved hjelp av UiOs egne elektroniske systemer og tjenester. Dette inkluderer behandling av personopplysninger i forbindelse med innf?ring og drift av elektroniske kontrolltiltak, for eksempel kameraoverv?kning eller systemer for elektronisk adgangskontroll til bygninger/rom.

Behandlingsansvaret omfatter ogs? personopplysninger som behandles ved hjelp av eksterne databehandlere. ?

Til slutt omfatter behandlingsansvaret personopplysninger som inng?r (eller er ment ? inng?) i manuelle personregistre. Dette er papirbaserte registre som er organisert p? en slik m?te at vurderinger eller opplysninger om bestemte enkeltpersoner, for eksempel ansatte eller studenter, lett kan gjenfinnes.

Den behandlingsansvarliges personvernplikter

I rollen som behandlingsansvarlig har UiO en rekke personvernplikter. Pliktene f?lger hovedsakelig av bestemmelsene i personvernforordningen og personopplysningsloven.

UiO skal s?rge for at:

• elektronisk og manuell behandling av personopplysninger skjer p? en lovlig og forsvarlig m?te i tr?d med personvernprinsippene
• den enkelte sikres medbestemmelse over og kontroll med hvordan UiO behandler hans/hennes personopplysninger

UiO har etablert interne rutiner, retningslinjer og gjennomf?rer egnede?tekniske og organisatoriske tiltak?som ivaretar de personvernplikter UiO?er p?lagt.

Les mer om personvernforordningen (lovdata.no).

Den enkeltes personvernrettigheter

Som behandlingsansvarlig er UiO pliktig til ? ivareta personvernrettighetene til den som opplysningene gjelder, det vil si ansatte, studenter, gjesteforskere, gjester eller respondenter og informanter i forskningsprosjekter.

Den enkeltes personvernrettigheter gjelder ved all elektronisk behandling av alminnelige og s?rlige kategorier av personopplysninger som skjer i forskning, undervisning, administrasjon og formidling ved UiO. Rettighetene gjelder ogs? ved behandling av personopplysninger som inng?r (eller er ment ? inng?) i manuelle personregistre.

Form?let med personvernrettighetene er at?de som opplysningene gjelder?skal ha medbestemmelse over og kontroll med hvordan UiO behandlinger deres personopplysninger.

For ? sikre at de registrerte har medbestemmelse over og kontroll med hvordan UiO behandler deres personopplysninger, har den enkelte p? visse vilk?r disse rettigheter:

• rett til informasjon om behandlingsansvarlig, form?let med behandlingen av personopplysninger og eventuelle andre mottakere av personopplysningene
• rett til innsyn
• rett til retting/korrigering
• rett til sletting
• rett til begrensning av behandling
• rett til dataportabilitet
• rett til ? protestere

Hva er elektroniske hjelpemidler?

Personvernforordningen?omfatter all behandling av personopplysninger, herunder hvor elektroniske hjelpemidler blir brukt.

Med elektroniske hjelpemidler menes for eksempel:

• datamaskiner
• programvare
• datanettverk
• b?rbare dataenheter (mobiltelefoner, nettbrett, pc, osv.)
• elektronisk adgangskontroll
• kameraoverv?kningssystemer

Elektroniske hjelpemidler omfatter ogs? datasystemer som benyttes ved UiO, for eksempel FS, SAPDF?, ePhorte eller Canvas.

I tillegg regnes nettbaserte ressurser, for eksempel hjemmesider, skytjenester eller pedagogiske nettjenester, som elektroniske hjelpemidler.???

Hvilke regler gjelder for innf?ring og drift av elektroniske kontrolltiltak?

Elektroniske kontrolltiltak kan blant annet ha som form?l ? beskytte UiOs bygninger og verdier mot h?rverk, ?deleggelse eller tyveri. Slike tiltak omfatter for eksempel bruk av kameraoverv?kning og systemer for adgangskontroll hvor passeringsdata om studenter eller ansatte registreres og lagres.

Elektroniske kontrolltiltak omfatter ogs?, p? visse vilk?r, innsyn i ansatte eller studenters e-post, personlige lagringsomr?der, private datautstyr og internettbruk.

Ved innf?ring av elektroniske kontrolltiltak ved UiO gjelder reglene i arbeidsmilj?loven kapittel 9. Reglene i arbeidsmilj?loven inneb?rer f?lgende:

• Kontrolltiltak skal ikke innf?res uten at det foreligger en saklig grunn for det.
• Kontrolltiltak skal bare innf?res dersom nytten av tiltaket klart overstiger den personvernulempen som det inneb?rer for ansatte, studenter, gjesteforskere og gjester.
• Kontrolltiltak skal dr?ftes med representanter for ansatte og studenter f?r tiltakene innf?res.
• Det skal gis informasjon til ansatte og studenter om hvordan innf?rte kontrolltiltak er innrettet og fungerer.
• Innf?rte kontrolltiltak skal jevnlig evalueres og behovet for ? opprettholde tiltakene skal vurderes.

Les mer om reglene i arbeidsmilj?loven som gjelder ved innf?ring av kontrolltiltak (arbeidstilsynet.no).

Arbeidsmilj?loven har?s?rlige regler om innsyn i ansattes e-post, personlige lagringsomr?der, private datautstyr og internettlogger (datatilsynet.no). Innsyn i studenters e-post, personlige lagringsomr?der, private datautstyr og internettlogger reguleres av personvernforordningen.

Det er utnevnt system- eller tjenesteeiere for alle elektroniske kontrolltiltak som er innf?rt ved UiO. System- eller tjenesteeierne er delegert ansvaret for at reglene om personvern og behandling av personopplysninger f?lges.

I tillegg til ? ivareta de s?rlige reglene i arbeidsmilj?loven?og personvernforordningen?om innf?ring og drift av elektroniske kontrolltiltak, har system- eller tjenesteeierne for elektroniske kontrolltiltak?de samme?pliktene som ?vrige system- eller tjenesteeiere ved UiO. ?

Personer som det registreres opplysninger om ved bruk av elektroniske kontrolltiltak, for eksempel ansatte eller studenter som filmes av overv?kningskamera, har de samme personvernrettighetene som gjelder generelt for behandling av personopplysninger ved UiO.

Hva er databehandlere?

Databehandlere er eksterne akt?rer (ofte kommersielle selskaper eller andre universiteter/h?yskoler) som har f?tt i oppdrag ? drifte et elektronisk system eller tjeneste p? vegne av UiO.

Eksterne akt?rer blir databehandlere for UiO n?r driften av elektroniske systemer eller tjenester inneb?rer at de f?r tilgang til personopplysninger som UiO er?behandlingsansvarlig for.

Som behandlingsansvarlig er UiO pliktig til ? s?rge for at det bare brukes databehandlere som gir tilstrekkelige garantier for at de vil gjennomf?re egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen n?r de behandler opplysninger om ansatte, studenter, gjesteforskere, gjester eller respondenter/informanter i forskningsprosjekter.

Dette skal f?rst skje ved at det gjennomf?res risikovurderinger av informasjonssikkerheten?i de eksterne systemene eller tjenestene som UiO vurderer ? anvende. Dersom risikovurderingen viser at informasjonssikkerheten er tilfredsstillende, skal det inng?s skriftlige avtaler (databehandleravtaler) med databehandlerne.

Databehandleravtalene skal regulere

• gjenstanden for og varigheten av behandlingen
• behandlingens art og form?l
• typen personopplysninger og kategorier av registrerte
• den behandlingsansvarliges rettigheter og plikter
• hva databehandlerne kan gj?re med personopplysninger som UiO er behandlingsansvarlig for
• hvordan personopplysningene skal sikres mot uautorisert tilgang, endring, sletting, tap eller skade

Etter at systemer eller tjenester som driftes av eksterne databehandlere er tatt i bruk, er UiO pliktig til ? kontrollere at de overholder vilk?rene i inng?tte databehandleravtaler. Dette skjer blant annet ved at UiO f?r tilgang til og gjennomg?r databehandlernes egne revisjoner av informasjonssikkerheten i aktuelle systemer eller tjenester.

Se mal for databehandleravtaler.

I tillegg til ? anvende databehandlere, er UiO selv databehandler. UiO drifter for eksempel datatjenester for administrasjon og forskning som benyttes av andre institusjoner. UiO har rutiner og retningslinjer som ivaretar de personvernforpliktelser som dette inneb?rer.