Personvern og GDPR

Samleside om GDPR og personvern

Temaside om informasjonssikkerhet | Sider merket med Personvern

Viktige datoer og hendelser #

Nyttige sider #

 GDPR FAQ  Praktiske spørsmål og svar om personvern og GDPR for ansatte

Du må ha et formål med å bruke persondata #

Før du kan bruke persondata, må du dokumentere skriftlig behovet du har for å bruke persondataen. Det holder ikke at det er kjekt å ha eller å bruke generelle former som «driften av NTNU». Du må spesifikt liste opp hva du skal bruke de ulike dataene til og hvorfor. Dette skal ikke gjøres av hver enkelt person, men skal dokumenteres for hvert system/arbeidsprosess. For eksempel: Etter at du har gitt samtykke, samler vi inn din e-postadresse for å kunne sende deg nyhetsbrev fra dette forskningsprosjektet ca. en gang pr måned. Vi kommer ikke til å bruke e-postadressen din til andre formål og heller ikke gi den videre. Du kan når som helst melde deg av nyhetsbrevet. Se sjekkliste for Systemeiere/behandlinger

Den registrertes rettigheter #

Et av de viktigste momentene ved GDPR er de styrkede rettighetene til borgerne når det gjelder rett til informasjon (GDPR artikkel 13 og 14). 

Datatilsynet har gjengitt kravene i forordningen om hva slags informasjon som skal gis til de registrerte (de fysiske personer som vi behandler personopplysninger om).

Enheter ved NTNU som har behandlingsansvar ved å være systemeiere eller prosesseiere, må vurdere om de behandlinger som skjer, krever at informasjon/ personvernerklæringer gis.

Det viktigste med informasjonsplikten er at den skal sikre at de registrerte forstår hvordan personopplysninger blir behandlet, hvilke konsekvenser behandlingen kan ha, hvilke rettigheter han eller hun har og hvordan disse rettighetene kan tas i bruk. Først da vil vedkommende være i stand til å benytte rettighetene sine. Ved å informere, legger NTNU som behandlingsansvarlig til rette for at de registrerte kan benytte sine øvrige rettigheter som retten til innsyn, retting, sletting, trekke samtykke og så videre. 

Informasjon som gis til den registrerte skal: #

  • Være lett tilgjengelig
  • Være i et klart språk tilpasset målgruppen

Dersom behandlingen innebærer automatiserte avgjørelser eller profilering skal den registrerte også informeres om konsekvenser, ulemper og risiko ved behandlingen.

Er det informasjon som skal rettes mot barn er det særlig viktig at språket er klart og enkelt og at informasjonen er tilpasset barnets forståelsesnivå. 

Informasjon skal være skriftlig og helst også tilgjengelig elektronisk.

Informasjon kan gjerne fremstilles grafisk om det bidrar til å gi en lett synlig, forståelig, lettlest og meningsfull oversikt over behandlingen. Hvis den grafiske fremstillingen er elektronisk må den også være maskinleselig.

Informasjon som skal gis ved innsamling av personopplysninger fra den registrerte (gdpr art. 13) #

Følgende informasjon skal gis: #

  • Identiteten og kontaktopplysningene til den behandlingsansvarlige eller en representant for den behandlingsansvarlige
  • Kontaktopplysninger til personvernombudet
  • Formålene med behandlingen, samt det rettslige grunnlaget
  • Hvilke legitime interesser den behandlingsansvarlige eller en tredjepart har dersom behandlingen er basert på interesseavveining
  • Mottakere av personopplysninger eller kategorier av slike mottakere
  • Informasjon om eventuell overføring av personopplysninger til et tredjeland eller internasjonal organisasjon
  • Det som kreves av informasjon for at den registrerte skal vite om opplysningene er tilstrekkelig beskyttet eller ikke 

Når det er nødvendig for å sikre en rimelig og gjennomsiktig behandling skal også følgende informasjon gis:  #

  • Hvor lenge personopplysningene vil bli lagret, hvis dette ikke er mulig, skal det gis informasjon om kriteriene som brukes for å fastsette dette tidsrommet
  • At den registrerte har følgende rettigheter:
    • Innsyn i personopplysninger registrert om seg selv
    • Korrigering av personopplysninger om seg selv
    • Sletting av personopplysninger om seg selv (dersom ikke arkivplikt)
    • Begrensning av behandlingen som gjelder seg selv
    • Innsigelsesrett (rett til å protestere på behandlingen)
    • Å få ta med seg personopplysninger om seg selv (dataportabilitet) (gjelder bare behandlinger der grunnlag er avtale eller samtykke)
  • Retten til når som helst å trekke tilbake samtykke
  • Retten til å klage til en tilsynsmyndighet
  • Om det foreligger et lovfestet eller avtalefestet krav om å gi personopplysninger eller et krav som er nødvendig for å inngå en avtale, samt om den registrerte har plikt til å gi personopplysningene og om mulige konsekvenser dersom vedkommende ikke gjør det
  • Om det treffes automatiserte avgjørelser inkludert profilering, basert på de innhentede opplysningene, i så fall skal det gis informasjon om den underliggende logikken bak de automatiserte avgjørelsene, samt forventede konsekvenser for de registrerte

Dersom den behandlingsansvarlige har planer om å behandle personopplysningene til et annet formål enn det opplysningene opprinnelig ble samlet inn for, skal de registrerte ha informasjon om dette. Da må informasjonen til den registrerte oppdateres. Det skal da gis informasjon om det nye formålet og annen relevant informasjon for eksempel om og hvordan man kan protestere på behandlingen til det nye formålet eller om man er forpliktet til å akseptere behandlingen. Det er ikke nødvendig å gi ovennevnte informasjon dersom den registrerte har informasjonen fra før.

Informasjon som skal gis når personopplysningene ikke er samlet inn fra den registrerte selv (gdpr art. 14) #

Følgende informasjon skal gis: #

  • Identiteten og kontaktopplysningene til den behandlingsansvarlige, eller en representant for den behandlingsansvarlige
  • Kontaktopplysninger til personvernombudet
  • Formålene med behandlingen, samt det rettslige grunnlaget
  • Hva slags personopplysninger som er samlet inn
  • Mottakere eller kategorier av mottakere av personopplysningene
  • Informasjon om at personopplysninger skal overføres til et tredjeland eller internasjonal organisasjon
  • Det som kreves av informasjon for at den registrerte skal vite om opplysningene er tilstrekkelig beskyttet eller ikke

Når det er nødvendig for å sikre en rimelig og gjennomsiktig behandling skal også følgende informasjon gis:  #

  • Hvor lenge personopplysningene blir lagret, hvis dette ikke er mulig skal det gis informasjon om kriteriene som brukes for å fastsette dette tidsrommet
  • De berettigede interessene som den behandlingsansvarlige eller en tredjepart har når behandlingsgrunnlaget er interesseavveining
  • At den registrerte har følgende rettigheter:
    • Innsyn i personopplysninger registrert om seg selv
    • Rett til å korrige egne personopplysninger
    • Sletting av egne personopplysninger
    • Begrensning av behandlingen som gjelder seg selv
    • Å motsette seg behandlingen
    • Å få ta med seg egne personopplysninger (dataportabilitet)
  • Retten til når som helst å trekke tilbake et samtykke 
  • Retten til å klage til en tilsynsmyndighet
  • Fra hvilken kilde personopplysningene stammer og dersom det er relevant, om de stammer fra offentlig tilgjengelige kilder
  • Om det treffes automatiserte avgjørelser inkludert profilering, basert på de innhentede opplysningene, i så fall skal det gis informasjon om den underliggende logikken bak de automatiserte avgjørelsene, samt forventede konsekvenser for de registrerte

Frist for å gi informasjon #

  • Innen rimelig tid etter innsamling, men senest innen en måned
  • Dersom formålet med innsamling er å kommunisere med den registrerte, skal informasjonen gis senest ved den første kommunikasjonen med vedkommende
  • Dersom det er planlagt å utlevere personopplysningene til en annen mottaker, skal informasjonen gis senest når opplysningene utleveres første gang
  • Dersom den behandlingsansvarlige har planer om å behandle personopplysningene til et annet formål enn det opplysningene opprinnelig ble samlet inn for, skal de registrerte ha informasjon om dette

Når gjelder ikke informasjonsplikten? #

  • Når informasjonen er allerede kjent for de registrerte
  • Når det er umulig eller uforholdsmessig vanskelig å informere
  • Når informasjonsplikt vil gjøre det umulig eller i alvorlig grad hindre at formålene med behandlingen kan nås
  • Når innsamling eller utlevering av personopplysningene er uttrykkelig fastsatt ved lov
  • Når unntak er begrunnet i taushetsplikt 

Rettigheter til innsyn og sletting #

NTNU har i mange tilfeller lovhjemmel for å lagre data om for eksempel ansatte og studenter for å kunne ivareta andre lovpålagte krav. I de tilfellene hvor vi ikke har hjemmel, skal det være tydelig for brukeren hva de aksepterer ved å bruke tjenesten/gi fra seg data gjennom samtykke. For eksempel ved å melde deg på et nyhetsbrev per epost aksepterer du å få det nyhetsbrevet, men ikke at din epost brukes til andre formål. Der hvor det ikke er lovhjemmel, kan personer be om å få vurdert utlevering eller sletting av data om seg. Ved en slik henvendelse må NTNU svare innen en måned. 

Se hvordan du ber om innsyn i og/eller ber om å få data om deg utlevert eller slettet: Innsyn i behandling

Databegrensning - viktig å slette eller arkivere #

Et viktig prinsipp er at vi ikke skal ta vare på personopplysninger lenger enn nødvendig. Sørg derfor for gode slette- og arkivrutiner. Enten at systemene du bruker, automatisk sletter eller arkiverer (innebygd personvern), eller at prosesseier utvikler gode interne rutiner for sletting og/eller arkivering og sjekker at de følges (internkontroll). Eksempel: Påmeldingsskjema til ekskursjon. Samles inn i godkjent skjemaverktøy og slettes 3 måneder etter at turen er avviklet. Ved behov for arkiv (må dokumentere behovet) kan uttrekk lagres i ePhorte. 

GDPR blir norsk lov #

Ny personvernforordning med felles europeisk regelverk for personvern – General Data Protection Regulation (GDPR) –  er gjort til norsk lov som trådte i kraft 20. juli 2018. Personopplysningsloven fra 2000 med forskrift oppheves og erstattes med ny personopplysningslov. Den nye personopplysningsloven består av to hovedelementer. For det første gjøres EUs personvernforordning (GDPR) til norsk lov gjennom en inkorporasjonsbestemmelse. For det andre inneholder den en rekke bestemmelser som supplerer reglene i forordningen. 

Hva er nytt med GDPR #

Mye av tidligere regelverk er videreført. Regelverket vil ha betydning for alle som forvalter informasjon som inneholder personopplysninger.

Regelverket gir et felles europeisk regelverk for personvern og skal styrke europeiske borgeres rettigheter.  Regelverket skal også styrke tilliten til digitale tjenester og samtidig gjøre det enklere å utveksle personopplysninger over landegrenser.

Personopplysninger skal kun behandles der det finnes et tydelig spesifisert formål. Dersom man ønsker å behandle personopplysninger til andre formål enn de var innhentet for, må man forsikre seg om at det nye formålet er forenlig med det gamle. Nytt med GDPR er at behandlingsansvarlig får hjelp til å avgjøre hva som er forenlige formål og ikke, ved en «kompatibilitets-test» i forordningsteksten. Dersom konklusjonen er at det nye formålet er uforenlig med det gamle, skal det innhentes samtykke, eller behandlingen må hjemles i lov.

Norge har hatt en streng personvernlovgivning også før, men her lister vi opp noen av de største endringene:

  • Større krav til NTNUs internkontroll og risikovurderinger
  • Meldeplikt og konsesjonsplikt bortfaller
  • Skjerpet krav til formålsbegrensning og dataminimering
  • Større krav til dokumentasjon, system og oversikt over all persondata vi forvalter
  • Innskjerpede krav til varsling ved brudd på personvernet 
  • Innskjerpede krav til databehandleravtaler med leverandører
  • Større krav til informasjon til den registrerte om hva slags informasjon som brukes om den enkelte og bruken av slike persondata 
  • Innskjerpede frister
  • Offentlige virksomheter må ha personvernombud

Kort fortalt må NTNU totalt sett få bedre oversikt over systemer hvor personopplysninger behandles, risikovurdere og sikre systemet/behandlingen i henhold til gjeldende retningslinjer og utføre tiltak for å ordne opp i de utfordringene som avdekkes. 

Hva gjør vi på NTNU? #

  • Ansatt personvernombud
  • Etablert et personvernprosjekt 
  • Deltar i nasjonale nettverk og sektorsamarbeid. NTNU deltar i Samarbeidsgruppen for GDPR i UH-sektoren. Samarbeidsgruppen består av representanter fra UiO, UiS, UiB, UiT, NTNU, Oslo Met og NMBU. Samarbeidsgruppen ledes av Sekretariatet for informasjonssikkerhet i UH-sektoren.
  • Etablerer system for internkontroll.
  • Etablerer styringssystem for Informasjonssikkerhet. Godt personvern henger sammen med et systematisk arbeid med generell informasjonssikkerhet. NTNU jobber parallelt med implementering av nytt styringssystem for  informasjonssikkerhet. Det vil komme nettsider og veiledninger på informasjonssikkerhet etter hvert. I mellomtiden kan du lese mer om informasjonssikkerhet på sikresiden.no 
  • Har utarbeidet ny retningslinje for behandling av personopplysninger. 
  • Kartlegge NTNUs behandlinger av personopplysninger. 
  • NTNU lager system og rutine for innsyn og sletting

Personvern i forskning #

NSD har vært NTNUs personvernombud for forskning. Etter nytt regelverk legges det til grunn at institusjonen kan ha kun ett personvernombud. Personvernombudets rolle vil være en rådgivende rolle, med tilsvarende institusjonell plikt til å sørge for å innhente råd. Det er foreløpig usikkert hvilken rolle Norsk senter for forskningsdata (NSD) skal ha videre, men vi ser for oss at de vil kunne tilby rådgivningstjenester videre, men at de ikke kan oppgis som personvernombud. 

Inntil annen informasjon foreligger, skal ledere og ansatte fortsatt forholde seg til gjeldende rutiner.

Konsekvenser ved brudd på personvern #

Personlige konsekvenser #

Mangelfull behandling av personopplysninger kan ha store konsekvenser for enkeltpersoner som blir utsatt for det. Hvis opplysningene eksempelvis kommer på avveie som følge av at NTNU ikke overholder sine forpliktelser, kan det være en stor belastning for personen som blir utsatt for dette. 

Konsekvenser for forskning og utdanning #

  • Stoppede eller forsinkede forskningsprosjekt
  • Avbrutte eller forsinkede doktorgradsprosjekt

Økonomiske konsekvenser #

Datatilsynet kan med nytt regelverk gi mye høyere overtredelsesgebyrer, ettersom maksimumsbeløpet heves betraktelig.

Omdømme #

NTNUs gode anseelse i samfunnet vil kunne bli betydelig redusert. Vi er avhengig av at omverdenen har høy grad av tillit til oss. 

Videre lesning, mer informasjon #

2 Vedlegg
7090 Visninger
Gjennomsnitt (3 Stemmer)