Sadia Zaka CERES 1
Gjeldende regelverk: Personopplysningsloven og personopplysningsforskriften Ny personvernforordning trer i kraft i mai 2018 Forordningen pålegger den behandlingsansvarlige flere plikter, mens enkeltpersoner får flere rettigheter Enkeltpersoners rett til personvern skal ikke bli krenket ved (elektronisk) behandling og overføring av personopplysninger 2
Definisjoner Hva er en personopplysning? Personopplysning: Enhver opplysning (informasjon) som kan knyttes til en enkeltperson Anonymiserte opplysninger: Opplysningene kan ikke knyttes til en person 3
Den registrerte (the Data Subject): Den personen som en personopplysning kan knyttes til Behandling: Enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter Behandlingsansvarlig (the Controller): Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes Databehandler (the Processor): Den som behandler personopplysninger på vegne av den behandlingsansvarlige 4
Hvem er behandlingsansvarlig? Dette må vurderes på systemnivå FS og Datavarehus: Utdanningsinstitusjonen er behandlingsansvarlig CERES er databehandler for institusjonene SO, NVB, GAUS, RUST,Vitnemålsportalen og Cristin: CERES er behandlingsansvarlig 5
Rettslig grunnlag /Behandlingsgrunnlag Behandlingen må være lovlig Noen eksempler: Samtykke fra den registrerte Behandlingen er nødvendig for å utøve offentlig myndighet Behandlingen er nødvendig for å oppfylle en avtale med den registrerte Behandlingen er hjemlet i en særlov 6
Informasjonsplikt (artikkel 13 og 14) Ny personvernforordning: Informasjonsplikten til behandlingsansvarlig blir mer omfattende, jf. artikkel 13 og 14. Informasjon om formålet med behandlingen og det rettslige grunnlaget for behandlingen (behandlingsgrunnlaget) 7
Hvor lenge vil personopplysningene bli lagret Vil personopplysningene bli utlevert til andre Kontaktinformasjon til personvernombudet Klagerett (Datatilsynet) Rett til å kreve innsyn Rett til å kreve sperring eller sletting av opplysningene Rett til å kreve at behandlingen blir begrenset Automatisert saksbehandling 8
Forståelige personvernerklæringer Institusjonen bør innføre en fast rutine for utforming av personvernerklæringer for å overholde informasjonsplikten. Artikkel 12: Konsis, transparent, forståelig og lett tilgjengelig informasjon. Språket skal være klart, enkelt og tilpasset brukergruppen. 9
Automatisert saksbehandling (artikkel 22) Enkeltvedtak som fattes ved hjelp av et datasystem Informasjon om eksistensen av automatisert saksbehandling Informasjon om logikken som er involvert Hva skjer med personopplysningene i datasystemet? Rett til å motsette seg automatisert saksbehandling i enkelte tilfeller Unntak: Samtykke, avtale/kontrakt, lovhjemmel i særlov 10
Automatisert saksbehandling skjer i FS og de tilhørende applikasjonene Eksempel: Innvilgelse av undervisnings- og eksamensmeldinger i Studentweb Enkeltvedtak 11
Plikt til innebygd personvern (artikkel 25) Vern av personopplysninger må designes inn i nye systemløsninger fra begynnelsen av Løsninger som ivaretar personvernet på best mulig måte Særlig aktuelt for CERES ved utvikling av nye applikasjoner/systemer) Datatilsynet: Syv steg til innebygd personvern https://www.datatilsynet.no/teknologi/innebygd-personvern/ 12
Dataportabilitet (artikkel 20) Flere vilkår må være oppfylt før retten til dataportabilitet kan påberopes: Personen har selv oppgitt opplysningene til behandlingsansvarlig Behandlingen skjer ved hjelp av elektroniske hjelpemidler Behandlingsgrunnlaget er enten samtykke eller inngåelse/oppfyllelse av en avtale med personen Retten til dataportabilitet inntrer ikke dersom behandlingen er nødvendig for å utføre en oppgave av allmenn interesse eller dersom behandlingen er nødvendig for å utøve offentlig myndighet. 13
Format: Strukturert, allment brukt og maskinlesbart Rett til å overføre personopplysninger til en annen behandlingsansvarlig Rett til å få overført personopplysninger direkte fra en behandlingsansvarlig til en annen hvis det er teknisk mulig 14
De fleste behandlingene som skjer i FS er nødvendige for utøving av offentlig myndighet Hvilke behandlinger blir hjemlet i et samtykke eller avtale med den registrerte? Forordningen angir minstekravene Dataportabilitet kan tilbys som en tjeneste, selv om man ikke er forpliktet til det. 15
Databehandleravtaler (artikkel 28) Innholdet i en databehandleravtale (art. 28 nr. 3, bokstav a til h) Databehandleravtalene som er inngått mellom CERES og institusjonene må gjennomgås, og evt. oppdateres. 16
Veiledning: Datatilsynet: https://datatilsynet.no/regelverk/eus-personvernforordning/hva-betyr/ Forordningen på engelsk: http://eur-lex.europa.eu/legal-content/en/txt/pdf/?uri=oj:l:2016:119:full 17