Instruks for personvernombud ved OsloMet

Like dokumenter
Universitetet i Oslo Universitetsdirektøren

Hva betyr det for din virksomhet?

Norm for informasjonssikkerhet Personvernombud

Oslo kommune Bystyret

Personvernombudsordningen etter GDPR

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Nye personvernregler

Nye personvernregler

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Personvernombudsordningen etter GDPR

Innføring av ny personvernforordning (GDPR) på universitetet

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Rådmannen i kommunen er øverste ansvarlig for behandling av personopplysninger.

Personvernforordningen

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Databehandleravtale. Charlotte Lindberg Difi

Personvern - vurdering av personvernkonsekvenser - DPIA

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Perspektiver og planer ved Universitetet i Oslo

Del 2. Fagdag GDPR - Arkiv Troms

GDPR Hva, hvordan og når

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

EUs nye forordning for personvern

Rollefordeling og begrepsforståelse ved UiO etter nytt personvernregelverk

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".

Innføring av ny personvernforordning (GDPR) på universitetet

Personopplysningsvern med ProFundo som databehandler

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

Personvernforordningen

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

Min hverdag som personvernombud. KiNS 6. juni 2019

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Personvernforordningen

Nye personvernregler fra 2018

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

Databehandleravtaler og GDPR. Kristin Lyng Kategorileder Anskaffelser / Delprosjektleder i Skatteetatens GDPR-prosjekt 6 september 2018

EØS-tillegget til Den europeiske unions tidende Nr. 46/1 EØS-ORGANER EØS-KOMITEEN. EØS-KOMITEENS BESLUTNING nr. 154/2018. av 6.

Nytt personvernregelverk på 1-2-3

Nye personvernregler fra mai 2018

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvernerklæring i NOAH AS

Personvern - Hva er det

DATABEHANDLERAVTALE. 1.3 Denne Databehandleravtalen erstatter alle tidligere avtaler og bestemmelser Partene imellom hva gjelder personvern.

Kunden er behandlingsansvarlig Unifaun er databehandler

Nye personvernregler (GDPR)

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

Personvernforordningens krav til bruk av databehandlere

Nye personvernregler fra mai 2018, hva nå?

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

POWEL DATABEHANDLERAVTALE

DATABEHANDLERAVTALE. 1. Bakgrunn

Nye personvernregler fra mai 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvernkonsekvensvurderinger

Hva kan vi bruke NSD til?

Hva gjør så KiNS og KS med GDPR?

Krav til informasjonssikkerhet i nytt personvernregelverk

O-sak 2 - side 1 av 19

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Personvern i EPD-Norge

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler (GDPR)

Steinar Nørstebø, styreleder

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

Databehandler. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Registrerte og personopplysninger som behandles

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

KUNDEN, slik angitt i ordrebekreftelse fra, eller annen avtale med, ABAX (Behandlingsansvarlig, heretter "Kunden")

GDPR - PERSONVERN. Advokat Sunniva Berntsen

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Nytt i personopplysningsloven (trer i kraft i mai 2018)

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

AVTALE OM WEBSAK SYSTEM FOR ELEKTRONISK ADMINISTRATIV SAKSBEHANDLING OG ARKIV. Databehandleravtale. Arbeids-og velferdsdirektoratet

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Risikobasert etterlevelse av pvf

Bilag 14 Databehandleravtale

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Personvern i Otrera AS

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Nye personvernregler fra mai 2018, hva nå?

Transkript:

Instruks for personvernombud ved OsloMet Instruks 01.02.2019 Fastsatt av: HR-direktøren Side 1 av 6 1. Innledning Instruks for personvernombudet ved OsloMet storbyuniversitetet, definerer rolle, ansvar og myndighet som ligger til stillingen. Som offentlig virksomhet er OsloMet pliktig å utpeke et personvernombud, jf. personvernforordningen art. 37, nr. 1 a). OsloMet må offentliggjøre kontaktopplysningene til personvernombudet og meddele disse til tilsynsmyndigheten, jf. personvernforordningen art. 37, nr. 7. 1.1 Overordnet ansvar for personvern Direktør for digitalisering og infrastruktur (DI) er daglig behandlingsansvarlig og dermed ansvarlig for at behandlingen av personopplysninger ved OsloMet skjer i tråd med gjeldende regelverk. Rektor er formelt ansvarlig for universitetets behandling av personopplysninger. 1.2 Vedtakelse av og endringer i instruksen Instruksen fastsettes av HR-direktøren. Personvernombudet skal gjennomgå og revurdere instruksen årlig, og presentere eventuelle behov for endringer for direktør for DI. 2. Utpeking og kvalifikasjoner OsloMets personvernombud utpekes av direktør for DI, i samråd med HR-direktør, for en periode på to år av gangen. Personvernombudet utpekes på grunnlag av faglige kvalifikasjoner og særlig på grunnlag av dybdekunnskap om personvernlovgivning og praksis på området, samt evne til å utføre oppgavene nevnt i personvernforordningen art. 39, jf. art. 37 nr. 5. Dersom slik kompetanse ikke finnes hos fast ansatt ved OsloMet skal ordinær ansettelsesprosedyre følges. 3. Rolle og oppgaver Personvernombudet skal: 3.1 Kontrollere overholdelse av regelverket Gi informasjon, råd og anbefalinger til ledelse, ansatte og studenter for å sikre regeletterlevelse etter personvernlovgivningen og OsloMet sine egne interne retningslinjer for personvern. Gi OsloMet råd og veiledning om behandling av personopplysninger, jf. personvernforordningen art. 38 nr. 1 og 39. Gi råd om og delta i internkontroll av behandling av personopplysninger i samarbeid med utøver av behandleransvaret. Foreslå ansvarsfordeling for oppgaver knyttet til ivaretagelse av personvernet i virksomheten.

Bistå ved gjennomføring av opplæring og bevisstgjøring av ansatte og studenter (elæring, foredrag, møter etc.). 3.2 På anmodning fra OsloMet gi råd om vurdering av mulige personvernkonsekvenser (Data Protection Impact Assessment - DPIA) og kontrollere gjennomføringen av denne. 3.3 Være kontaktpunkt for de registrerte ved spørsmål om behandling av deres personopplysninger og om utøvelsen av de rettigheter de har etter personvernforordningen. 3.4 Gi OsloMet råd i avvikssaker på anmodning fra behandlingsansvarlig. 3.5 Motta avviksrapporter fra behandlingsansvarlig og oversende dem til tilsynsmyndigheten der det er nødvendig etter personvernforordningen art. 33.3.6 Samarbeide med og fungere som et kontaktpunkt for tilsynsmyndighetene. 3.7 Samarbeide med interne og eksterne rådgivere for å ivareta personvern i forskning. Personvernombudet skal utøve sine oppgaver på en uavhengig måte, jf. personvernforordningen art. 38 nr. 3. Personvernombudet skal ikke instrueres om hva utfallet av en sak som er til vurdering hos personvernombudet skal være, hvordan personvernombudet skal undersøke en klage, eller hvorvidt personvernombudet skal rådføre seg med tilsynsmyndighetene eller andre eksterne rådgivere. Personvernombudet kan utføre andre oppgaver og ha andre plikter. OsloMet skal sikre at slike eventuelle oppgaver og plikter ikke fører til en interessekonflikt. Personvernombudet skal ikke kontrollere egne rutiner/oppgaver/plikter, og derfor ikke ha ansvar for gjennomføring av øvrige plikter i personvernforordningen. Hvis det blir reist tvil om uavhengigheten eller objektiviteten til personvernombudet, skal dette avklares med direktør for DI. 4. Personvernombudets involvering OsloMet skal sikre at personvernombudet blir involvert på riktig måte og til rett tid i alle spørsmål som gjelder vern av personopplysninger. OsloMet skal sikre at personvernombudets råd og vurdering blir hørt og tatt i betraktning. Personvernombudets råd og vurderinger til OsloMet skal dokumenteres og følge saken frem til beslutningstaker. Hvis det ved OsloMet blir tatt avgjørelser som kan være i strid med personvernlovgivningen eller det ikke blir tatt hensyn til personvernombudets råd, skal personvernombudet få mulighet til å legge frem sin vurderinger til dem som skal ta avgjørelsen, og om nødvendig virksomhetens øverste ledelse ved direktør for DI. Dersom forholdet ikke blir avklart, kan personvernombudet rapportere forholdet til universitetsstyret. 5. Personvernombudets ressurser og tilgang OsloMet skal støtte personvernombudet i utførelsen av rollen og tillagte oppgaver ved å stille til rådighet de ressurser og tilganger som er nødvendig for ivareta dette. Det inkluderer bl.a. tilgang til personopplysninger og behandlingsaktiviteter i den grad det er nødvendig for at personvernombudet skal kunne utføre sine oppgaver.

OsloMet skal gjøre det mulig for personvernombudet å opprettholde sin dybdekunnskap. 6. Taushetsplikt Personvernombudet er bundet av taushetsplikt etter personopplysningsloven 18, jf. personvernforordningen art. 38, nr. 5 og forvaltningsloven 13. 7. Rapportering Personvernombudet skal rapportere direkte til det høyeste ledelsesnivået ved OsloMet. Rapporteringen skal omfatte: Jevnlig rapportering til direktør for DI i enkeltsaker og generell status for OsloMets behandling av personopplysninger Årlig rapportering til universitetsstyret

Vedlegg Relevante lovbestemmelser: Personopplysningsloven 18.Personvernombudets taushetsplikt Personvernombud plikter å hindre at andre får adgang eller kjennskap til det de i forbindelse med utførelsen av sine oppgaver får vite om a) noens personlige forhold b) tekniske innretninger, produksjonsmetoder, forretningsmessige analyser og beregninger og forretningshemmeligheter ellers når opplysningene er av en slik art at andre kan utnytte dem i sin egen næringsvirksomhet c) sikkerhetstiltak etter personvernforordningen artikkel 32 d) enkeltpersoners varsling om overtredelser av loven her. Taushetsplikten gjelder ikke dersom personvernombudet får samtykke fra den opplysningene gjelder, til å legge dem frem, eller dette er nødvendig for gjennomføring av personvernombudets lovpålagte oppgaver. Taushetsplikten gjelder også etter at personvernombudet har avsluttet tjenesten eller arbeidet. Opplysninger som nevnt i denne paragraf kan heller ikke utnyttes i egen virksomhet eller i tjeneste eller arbeid for andre. Personvernforordningen Avsnitt 4 Personvernombud Artikkel 37.Utpeking av et personvernombud 1. Den behandlingsansvarlige og databehandleren skal utpeke et personvernombud når a. behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som opptrer innenfor rammen av sin domsmyndighet, b. den behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller c. den behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9 eller personopplysninger om straffedommer og lovovertredelser som nevnt i artikkel 10. 2. Et konsern kan utnevne ett personvernombud, forutsatt at alle virksomhetene har enkel tilgang til vedkommende. 3. Dersom den behandlingsansvarlige eller databehandleren er en offentlig myndighet eller et offentlig organ, kan det utpekes ett personvernombud for flere av nevnte myndigheter eller organer, idet det tas hensyn til deres organisasjonsstruktur og størrelse.

4. I andre tilfeller enn dem nevnt i nr. 1 kan eller, dersom det kreves i unionsretten eller i medlemsstatenes nasjonale rett, skal den behandlingsansvarlige eller databehandleren eller sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, utpeke et personvernombud. Personvernombudet kan handle på vegne av nevnte sammenslutninger og andre organer som representerer behandlingsansvarlige eller databehandlere. 5. Personvernombudet skal utpekes på grunnlag av faglige kvalifikasjoner og særlig på grunnlag av dybdekunnskap om personvernlovgivning og praksis på området samt evne til å utføre oppgavene nevnt i artikkel 39. 6. Personvernombudet kan være en ansatt hos den behandlingsansvarlige eller databehandleren eller utføre oppgavene på grunnlag av en tjenesteavtale. 7. Den behandlingsansvarlige eller databehandleren skal offentliggjøre kontaktopplysningene til personvernombudet og meddele disse til tilsynsmyndigheten. Artikkel 38.Personvernombudets stilling 1. Den behandlingsansvarlige og databehandleren skal sikre at personvernombudet på riktig måte og i rett tid involveres i alle spørsmål som gjelder vern av personopplysninger. 2. Den behandlingsansvarlige og databehandleren skal støtte personvernombudet i forbindelse med utførelsen av oppgavene nevnt i artikkel 39 ved å stille til rådighet de ressurser som er nødvendig for å utføre nevnte oppgaver, samt gi tilgang til personopplysninger og behandlingsaktiviteter og gjøre det mulig for vedkommende å opprettholde sin dybdekunnskap. 3. Den behandlingsansvarlige og databehandleren skal sikre at personvernombudet ikke mottar instrukser om utførelsen av nevnte oppgaver. Vedkommende skal ikke avsettes eller straffes av den behandlingsansvarlige eller databehandleren for å utføre sine oppgaver. Personvernombudet skal rapportere direkte til det høyeste ledelsesnivået hos den behandlingsansvarlige eller databehandleren. 4. De registrerte kan kontakte personvernombudet angående alle spørsmål om behandling av deres personopplysninger og om utøvelsen av de rettighetene de har i henhold til denne forordning. 5. Personvernombudet skal være bundet av taushetsplikt eller en plikt til konfidensiell behandling av opplysninger ved utførelse av sine oppgaver i samsvar med unionsretten eller medlemsstatenes nasjonale rett. 6. Personvernombudet kan utføre andre oppgaver og ha andre plikter. Den behandlingsansvarlige eller databehandleren skal sikre at nevnte opgaver eller plikter ikke fører til en interessekonflikt. Artikkel 39.Personvernombudets oppgaver 1. Personvernombudet skal minst ha følgende oppgaver: a. informere og gi råd til den behandlingsansvarlige eller databehandleren og de ansatte som utfører behandlingen, om de forpliktelsene de har i henhold til denne forordning, og i henhold til andre av Unionens eller medlemsstatenes bestemmelser om vern av personopplysninger,

b. kontrollere overholdelsen av denne forordning, av andre av Unionens eller medlemsstatenes personvernregler og den behandlingsansvarliges eller databehandlerens personvernretningslinjer, herunder fordeling av ansvar, holdningsskapende tiltak og opplæring av personellet som er involvert i behandlingsaktivitetene, og tilhørende revisjoner, c. på anmodning gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføringen av den i henhold til artikkel 35, d. samarbeide med tilsynsmyndigheten, e. fungere som kontaktpunkt for tilsynsmyndigheten ved spørsmål om behandlingen, herunder forhåndsdrøftingene nevnt i artikkel 36, og ved behov rådføre seg med tilsynsmyndigheten om eventuelle andre spørsmål. 2. Personvernombudet skal ved utførelsen av sine oppgaver ta behørig hensyn til risikoene forbundet med behandlingsaktivitetene, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i Datatilsynets nettside om personvernombud: https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/personvernombud/

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding