Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Like dokumenter
Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

ENDRINGER I UH-LOVEN Prop. L. 64 ( ) Ingrid Olsen Fossum Unit FS-Brukerforum 2018

Ny personvernforordning trer i kraft i mai 2018

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

OM PERSONVERN TRONDHEIM. Mai 2018

Personvernerklæring for EVUweb - søkere

Personvernerklæring for EVUweb - søkere

Personvernerklæring for Søknadsweb

Personvernerklæring for Søknadsweb

Personvernerklæring for Studentweb

Personvernerklæring for Søknadsweb

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Personvernerklæring for Flyt Høgskolen i Molde

Personvernerklæring for Studentweb

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personvernerklæring for Fagpersonweb

Personvernperspektivet og oppbevaring av intervjumateriale

Personvernerklæring for Studentweb

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

PERSONVERN I C-ITS

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Nytt personvernregelverk på 1-2-3

Rusmiddeltesting i arbeidslivet et personvernperspektiv

REKRUTTERING OG GDPR

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Implementering av det nye personvernregelverket ved UiB

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

GDPR Konkrete problemstillinger fra institusjonene. Ingrid Olsen Fossum og Sadia Zaka Jurister ved Unit FS-Brukerforum 2018

GDPR - viktige prinsipper og rettigheter

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Personvernerklæring for Edvarda (Consortia Manager)

Databehandleravtale. Charlotte Lindberg Difi

Personvernerklæring for Kong Arthur Admin (KA Admin)

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

GDPR Ny personvernforordning

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Høringsnotat forskrift om Nasjonal vitnemåls- og karakterportal

Policy for personvern

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Personvern, studentoppgaver og undervisning. Johannes Elgvin April 2019

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Personopplysningsloven (GDPR) 5. desember 2017

Skolen og personvern: Utfordringer for skoleeier, ledere og lærere Ann Elisabeth Gunnulfsen, førsteamanuensis og Jeffrey Hall,

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

GDPR HVA ER VIKTIG FOR HR- DATA

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

GDPR i et nøtteskall

Notat. Høringsnotat om endringer i fagskoleloven. Bestemmelser om behandling av personopplysninger

Høringsuttalelse forslag til endringer i universitets- og høyskoleloven

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Personvern - vurdering av personvernkonsekvenser - DPIA

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Utredning av personvernkonsekvenser: Lovhjemmel for behandling av personopplysninger i Samordna opptak og studieadministrative systemer

De nasjonale e-helseløsningene i Direktoratet for e-helse og nye personvernregler. Maryke Silalahi Nuth Normkonferansen

Informasjonssikkerhet og personvern i skole og klasserom NKUL 2018 Ida Thorsrud og Harald Torbjørnsen

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

Personvernforordningen en praktisk tilnærming

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Innføring av nytt personvernregelverk ved UiO

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Personvernerklæring for Kong Arthur Admin (KA Admin)

JURIDISKE AVKLARINGER OM PLANLAGT NY FUNKSJONALITET I EVUWEB 3

NINAs personverndokument

Personvernerklæring Urkund

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Arkivsystemer med skyløsninger

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Nye personvernregler (GDPR)

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Nye personvernregler

GDPR General Data Protection Regulativ

Personvernerklæring for Felles studentsystem (FS)

Hvilke krav stiller Folkehelseinstituttet ved søknad om data fra helseregistrene?

Dato: Versjon: 1.0 Forfatter: Berit Hartviksen Arkivref:

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

GDPR Hva, hvordan og når

Personvernerklæring for Cristin (Current Research Information System in Norway)

Transkript:

Personvern og studieadministrasjon Sadia Zaka Juridisk seniorrådgiver Unit

Hva er personvern? Retten til privatliv - Familie, hjem og korrespondanse Retten til å bestemme over egne personopplysninger Vern av personopplysninger ved elektronisk behandling

Studieadministrasjon Studieadministrative systemer: Felles studentsystem og FS-applikasjoner Personopplysninger om studenter må behandles på et forsvarlig vis og i henhold til gjeldende regelverk

Gjeldende regelverk om personvern o GPDR- General Data Protection Regulation o GDPR gjelder som norsk lov, supplert med bestemmelser i den norske personopplysningsloven o Hensikten med reglene er å ivareta personvernet og rettighetene til den enkelte borger

Viktige definisjoner/begreper Personopplysning: Enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person (identifisering kan skje både direkte eller indirekte) Den registrerte: Den fysiske personen som en personopplysning kan knyttes til Behandling: Enhver bruk av personopplysninger, som f.eks. innsamling, registrering, organisering, lagring, endring, tilpasning, gjenfinning, utlevering, overføring, spredning osv. Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige Behandlingsgrunnlag: Behandlingen må være lovlig og ha et rettslig grunnlag. F.eks. samtykke eller lovhjemmel.

Rollefordeling Institusjonene og Unit Utdanningsinstitusjonen er behandlingsansvarlig for personopplysninger som behandles i: Felles studentsystem EVUweb Fagpersonweb Nomination Studentbevis-appen Studentweb Søknadsweb Datavarehus Unit er databehandler: System- og tjenesteleverandør Forvaltning Administrering Drift Utvikling

Personvernprinsipper GDPR artikkel 5 Personopplysningene må behandles på en lovlig, rettferdig, og åpen måte med hensyn til den registrerte Formålsbegrensning Personopplysninger skal kun samles inn og behandles til spesifikke, uttrykkelig angitte og berettigede formål Dataminimering Behandlingsansvarlig skal kun behandle/samle inn de opplysninger som er nødvendig for å oppfylle det definerte formålet med behandlingen Riktighet - Korrekte og oppdaterte opplysninger. Krav om opplysningskvalitet. Lagringsbegrensning Personopplysninger skal ikke lagres lenger enn nødvendig Ivareta integritet og konfidensialitet ved behandlingen Prinsippet om ansvarlighet Plikt til ansvar og dokumentasjon 08.11.2018 7

Rettslig grunnlag Studieadministrative formål Strenge krav til rettslig grunnlag for behandling av personopplysninger, jf. GDPR art. 6. Studieadministrative formål: GDPR artikkel 6 nr. 1 bokstav e): Behandlingen er nødvendig for å utøve offentlig myndighet GDPR artikkel 6 nr. 3: Krav om supplerende rettslig grunnlag i nasjonal lovgivning (lov eller forskrift) Grunnlaget for utøving av offentlig myndighet: Universitets- og høyskoleloven og tilhørende forskrifter Supplerende rettsgrunnlag for behandling av personopplysninger i studieadministrative systemer: Uhl. 4-15 08.11.2018 8

Uhl. 4-15. Innhenting og behandling av personopplysninger i studieadministrative systemer (1) Utdanningsinstitusjonen kan behandle personopplysninger om en søker, student eller doktorgradskandidat når formålet med behandlingen er å ivareta den registrertes rettigheter, eller å oppfylle institusjonens oppgaver og plikter etter universitets- og høyskoleloven. (2) Utdanningsinstitusjonen kan behandle opplysninger om navn, fødselsnummer, midlertidig fødselsnummer, D-nummer og karakterer fra videregående opplæring og universiteter og høyskoler hentet fra offentlige myndigheter, offentlige systemer for vitnemål, statlige, fylkeskommunale og private utdanningsinstitusjoner når dette er nødvendig for å oppfylle formålet som er nevnt i første ledd. Innhenting av opplysningene kan skje elektronisk. (3) Utdanningsinstitusjonen kan også behandle opplysninger om helse, sosiale forhold og andre sensitive opplysninger som studenten selv har gitt institusjonen, eller har samtykket til at institusjonene skal få, når disse opplysningene er nødvendige for formål som nevnt i første ledd. Disse begrensningene i institusjonens adgang til å behandle opplysninger om helse, sosiale forhold og andre sensitive opplysninger gjelder ikke for nødvendig behandling etter 4-10 og 4-12. (4) Utdanningsinstitusjonen kan fatte vedtak ved helt eller delvis automatisert saksbehandling i sine studieadministrative systemer. Den personen som vedtaket retter seg mot, kan kreve at vedtaket overprøves manuelt av utdanningsinstitusjonen. (5) Utdanningsinstitusjonen kan motta og behandle studentens politiattest elektronisk i sine studieadministrative systemer på studier der det kreves at studenten skal legge frem politiattest, jf. 4-9. Politiattest som er utstedt og signert digitalt, kan kun leveres til utdanningsinstitusjonen i digital form. Det forutsettes at studenten selv innhenter og formidler politiattesten til utdanningsinstitusjonen. (6) Departementet kan gi forskrift om behandling og registrering av personopplysninger i studieadministrative systemer. 08.11.2018 9

Hva har vi oppnådd med den nye bestemmelsen i uhl. 4-15? GDPR stiller krav om et supplerende rettslig grunnlag i nasjonal lovgivning Ved utøvelse av offentlig myndighet Lik praksis i sektoren Rettslig grunnlag og formål Åpenhet og forutsigbarhet om hvordan personopplysninger blir behandlet Lovhjemmel for behandling av sensitive personopplysninger Digitale politiattester Hjemmel for elektronisk behandling (vil forhindre forfalskninger) Lovhjemmel for automatisert saksbehandling I Felles studentsystem skjer det f.eks. innvilgelse av undervisnings- og eksamensmeldinger etter helautomatisert saksbehandling. 08.11.2018 10

Den nye lovbestemmelsen vil fremme digitalisering og effektivisering Den nye lovbestemmelsen i uhl. 4-15 vil bidra til å oppfylle kravene i personvernforordningen, og samtidig bidra til økt digitalisering og effektivisering innen studieadministrasjon: Innhentingen av nødvendige personopplysninger fra andre organer/systemer kan skje på en enklere måte Klarere hjemmel for innhenting Mindre bruk av samtykker når behandlingen kan hjemles direkte i uhl. Enkeltvedtak og avgjørelser kan fattes ved helautomatisert saksbehandling Sensitive personopplysninger og politiattester vil kunne behandles elektronisk 08.11.2018 11

Litt om Units bidrag GDPR og FS Fremmet forslag om supplerende rettsgrunnlag (høsten 2016) Utarbeidet personvernerklæringer for FS og applikasjonene Funksjonalitet for tilgjengeliggjøring av personvernerklæringer Kartlegging av opplysningstyper og datakilder Inngått nye databehandleravtaler https://www.fellesstudentsystem.no/applikasj oner/gdpr/index.html

Institusjonen er behandlingsansvarlig - Institusjonen har flest plikter etter GDPR, i rollen som behandlingsansvarlig for sine FS-data - Institusjonen må ha sin «egen» dokumentasjon når det gjelder behandling av personopplysninger i FS, f. eks. protokoll og risikovurderinger - Enkelte ting må være på plass på institusjonsnivå: - Personvernombud - Rutiner for melding av avvik - Rutiner for behandling av henvendelser fra de registrerte (studenter) - Rutiner for internkontroll

Personvern Et ledelsesansvar GDPR, personvern og informasjonssikkerhet Et ledelsesansvar Ledelsen må forstå viktigheten av personvern og kjenne til regelverket Etterlevelse av GDPR og dokumentasjon Prioritere personvern og sette det på agendaen. Sette av nok ressurser. Manglende etterlevelse av GDPR Store bøter og dårlig omdømme

Problemstillinger knyttet til personvern - Oppsøk institusjonens personvernombud for bistand - Evt. institusjonens sikkerhetsansvarlig - Er problemstillingen systemrelatert og knyttet til FS? Send en henvendelse til Unit, evt. FS-planleggingsgruppe

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding