Innføring av ny personvernforordning (GDPR) på universitetet

Transkript

1 Innføring av ny personvernforordning (GDPR) på universitetet Styringsdokument Styringsgruppemøte 3. mai 2018

2 Innhold Side Agendapunkter 3 Sak 1: Godkjenning av referat 4 Sak 2: Notat fra universitetsdirektøren om behovet for lokale, dedikerte personvernressurser 5 Sak 3: Informasjonsskriv til organisasjonen om hva som skjer 25. mai (1. juli) 6 Sak 4: Forordningens konsekvenser for UiOs forhold til NSD og REK 7-11 Sak 5: Behandleransvaret for Uniforum, Apollon, UiOs AS og randsoneenheter Sak 6: Status for prosjektet 14 Sak 7: Neste møte i styringsgruppen 15 Sak 8: Eventuelt Styringsdokument Side 2

3 Sak 1: Godkjenning av referat Godkjenning av referat fra Styringsdokument Side 3

4 Sak 2: Notat fra universitetsdirektøren om behovet for lokale, dedikerte personvernressurser Utkast ikke klart Momenter til innholdet i rollen: Forskningsstøtte etikk? Administrativ støtte Undervisning/studenter Kontaktperson for utøver av behandleransvaret og personvernombudet Få god og tilstrekkelig opplæring Gi opplæring på enheten Bistå i personvernkonsekvensvurderinger (DPIA) Ressurser på enhetene, noen felles? Ulike behov 4

5 Sak 3: Informasjonsskriv til organisasjonen om hva som skjer 25. mai (1. juli) Utkast ikke klart Basert på forslag til vedtak fra universitetsdirektøren/rektor på fullmakt, sak under eventuelt Usikkerhetsmomenter NSD REK Kvalitetssystem for behandling av personopplysninger i forskning

6 Sak 4:Forordningens konsekvenser for UiOs forhold til NSD og REK Dialog med REK Dialog med NSD Utkast tjenesteavtale Utfører for behandlingsansvarlig, ikke personvernombudet 6. desember 2017 Styringsdokument Side 6

7 Sak 5:Behandleransvaret for Uniforum, Apollon, UiOs AS og randsoneenheter Rekkevidde av behandlingsansvar interne universitetsaviser UiO er behandlingsansvarlig for behandling av personopplysninger som foretas av interne universitetsaviser Mulighet: delegere det daglige behandlingsansvaret, jf. personvernforordningen art. 24 nr. 1 Interne retningslinjer UiO er i siste rekke ansvarlig for avisenes eventuelle brudd på personvernforordningen Erstatningsansvar etter art. 82 Ilegges overtredelsesgebyr etter art. 83 Parallell til skl. 3-6 tredje ledd Styringsdokument Side 7

8 Personopplysningsloven 3: Særbestemmelse for utelukkende journalistiske formål Underlagt disse bestemmelsene i personvernforordningen: Artikkel 24: Den behandlingsansvarliges ansvar Artikkel 26: Felles behandlingsansvarlige Artikkel 28: Databehandler Artikkel 29: Behandling som utføres for den behandlingsansvarlige eller databehandleren Artikkel 32: Sikkerhet ved behandlingen Artikkel 40: Atferdsnormer Artikkel 41: Kontroll av godkjente atferdsnormer Artikkel 42: Sertifisering Artikkel 43: Sertifiseringsorganer Kapittel VI: Uavhengige tilsynsmyndigheter Kapittel VIII: Rettsmidler, ansvar og sanksjoner Underlagt disse bestemmelsene i personopplysningsloven: Kapittel 6: Tilsyn og klage Kapittel 7: Sanksjoner og tvangsmulkt

9 Bestemmelser behandling for utelukkende journalistiske formål er unntatt Personvernforordningen: Artikkel 1: Formål og mål Artikkel 2: Saklig virkeområde Artikkel 3: Geografisk virkeområde Artikkel 4: Definisjoner Artikkel 5: Prinsipper for behandling av personopplysninger Artikkel 6: Behandlingens lovlighet/behandlingsgrunnlag Artikkel 7: Vilkår for samtykke Artikkel 8: Vilkår for barns samtykke i forbindelse med informasjonssamfunnstjenester Artikkel 9: Behandling av særlige kategorier av personopplysninger Artikkel 10: Behandling av personopplysninger om straffedommer og lovovertredelser Artikkel 11: Behandling som ikke krever identifikasjon Kapittel III: Den registrertes rettigheter Avsnitt 1: Åpenhet og vilkår Avsnitt 2: Informasjon som skal gis ved innsamling av personopplysninger fra den registrerte Avsnitt 3: Retting og sletting Avsnitt 4: Rett til å protestere og automatiserte individuelle avgjørelser Avsnitt 5: Begrensninger Artikkel 25: Innebygd personvern og personvern som standardinnstilling Artikkel 27: Representanter for behandlingsansvarlige eller databehandlere som ikke er etablert i Unionen Artikkel 30: Protokoller over behandlingsaktiviteter Artikkel 31: Samarbeid med tilsynsmyndigheten Artikkel 33: Melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten

10 Unntak, forts. Artikkel 34: Underretning av den registrerte om brudd på personopplysningssikkerheten Artikkel 35: Vurdering av personvernkonsekvenser og forhåndsdrøftinger Artikkel 36: Forhåndsdrøftinger Artikkel 37-39: Personvernombud Kapittel V: Overføring av personopplysninger til tredjestater eller internasjonale organisasjoner Kapittel VII: Samarbeid og ensartet anvendelse Kapittel IX: Bestemmelser om særlige behandlingssituasjoner Personopplysningsloven: Kapittel 2: Lovens saklige og geografiske virkeområde Kapittel 3: Utfyllende regler om behandling av personopplysninger Kapittel 4: Unntak fra den registrertes rettigheter Kapittel 5: Personvernombud Kapittel 8: Uekte kameraovervåkingsutstyr mv.

11 Sak: 5 Rekkevidde av behandlingsansvar aksjeselskap og randsoneenheter Unirand AS og deres datterselskap er egne rettssubjekt Eget behandlingsansvar Vedtekter som angir ansvar MEN: Styret består av UiO-representanter Blir de instruert i formål av UiO? Uansett heleid av UiO Omdømmetap Tilsvarende vurdering for randsoneenheter

12 Sak 6: Status for prosjektarbeidet Framdrift Holder planen Fått noe mer tid grunnet forsinkelser i lovverket Ressursbruk Ingen endringer Vedtak Personvernombud i 100% stilling Rapporterer direkte til universitetsdirektøren Plassering i lederstøtte Tett dialog med utøver av behandleransvaret Styringsdokument Side 12

13 Sak 6: Status for prosjektarbeidet Kommunikasjon og dialog: Ett fakultet og ett museum gjenstår Dekanmøte Flere invitasjoner til allmøter Systemkartlegging Gir gode oversikter to stk rapporter Bestillinger har blitt og blir levert til Systemgruppeforum og USIT Kartlegging av systemer/tjenester innen forskning og utdanning ved de enkelte enheter frist 25. mai Oversikt forskningsprosjekter Bestilling til fakultetene, UB og museene Kartlegging av til sammen 12 forskningsprosjekter frist 25. mai Styringsdokument Side 13

14 Sak 6: Neste møte i styringsgruppen Forslag: uke 21, 22 eller desember 2017 Styringsdokument Side 14

15 Sak 7: Eventuelt Forslag til vedtak Konsesjoner gitt av Datatilsynet, tilrådinger fra NSD og REK Juridisk vurdering Risiko ved å fatte et slikt vedtak Internkontroll høst 2018/vår 2019 fokusområde Legges frem universitetsdirektøren neste uke Vedtas av universitetsdirektøren eller rektor på fullmakt fra styret 6. desember 2017 Styringsdokument Side 15