Samleside om GDPR og personvern

Temaside om informasjonssikkerhet | Sider merket med Personvern

Hold deg orientert

• Meld deg på Innsidakanalen og få nyheter fortløpende

Nyttige sider

GDPR FAQ Praktiske spørsmål og svar om personvern og GDPR for ansatte

• Kontaktpersoner personvern og GDPR
• Personvernombudet ved NTNU
• NTNUs personvernerklæring - sentral og for delsystemer
• NTNUs retningslinje for behandling av personopplysninger
• Samtykke for behandling av personopplysninger
• Samtykke ved foto - video - lyd
• Personvern i nettbasert undervisning
• Innsyn i personopplysninger lagret om deg
• Vurdere personvernkonsekvenser, med mal for slik vurdering
• Datatilsynets veileder og sjekkliste for vurdering av personvernkonsekvenser (DPIA)
• Overføring av personopplysninger - avtalemaler
• Behandle personopplysninger i student- og forskningsprosjekt

Du må ha et formål med å bruke persondata

Før du kan bruke persondata, må du dokumentere skriftlig behovet du har for å bruke persondataen. Det holder ikke at det er kjekt å ha eller å bruke generelle former som «driften av NTNU». Du må spesifikt liste opp hva du skal bruke de ulike dataene til og hvorfor. Dette skal ikke gjøres av hver enkelt person, men skal dokumenteres for hvert system/arbeidsprosess. For eksempel: Etter at du har gitt samtykke, samler vi inn din e-postadresse for å kunne sende deg nyhetsbrev fra dette forskningsprosjektet ca. en gang pr måned. Vi kommer ikke til å bruke e-postadressen din til andre formål og heller ikke gi den videre. Du kan når som helst melde deg av nyhetsbrevet. Se sjekkliste for Systemeiere/behandlinger

Den registrertes rettigheter

Rett til informasjon

Den registrertes rett til informasjon er regulert i GDPR artikkel 13 og 14.

Det viktigste med informasjonsplikten er at den skal sikre at de registrerte forstår hvordan personopplysninger blir behandlet, hvilke konsekvenser behandlingen kan ha, hvilke rettigheter han eller hun har og hvordan disse rettighetene kan tas i bruk. Først da vil vedkommende være i stand til å benytte rettighetene sine. Ved å informere, legger NTNU som behandlingsansvarlig til rette for at de registrerte kan benytte sine øvrige rettigheter som retten til innsyn, retting, sletting, trekke samtykke og så videre.

Enheter ved NTNU som har behandlingsansvar ved å være systemeiere eller prosesseiere, må vurdere om de behandlinger som skjer, krever at informasjon/ personvernerklæringer gis.

Informasjon som gis til den registrerte skal:

• Være lett tilgjengelig
• Være i et klart språk tilpasset målgruppen

Dersom behandlingen innebærer automatiserte avgjørelser eller profilering skal den registrerte også informeres om konsekvenser, ulemper og risiko ved behandlingen.

Er det informasjon som skal rettes mot barn er det særlig viktig at språket er klart og enkelt og at informasjonen er tilpasset barnets forståelsesnivå.

Informasjon skal være skriftlig og helst også tilgjengelig elektronisk.

Informasjon kan gjerne fremstilles grafisk om det bidrar til å gi en lett synlig, forståelig, lettlest og meningsfull oversikt over behandlingen. Hvis den grafiske fremstillingen er elektronisk må den også være maskinleselig.

Informasjon som skal gis ved innsamling av personopplysninger fra den registrerte (gdpr art. 13)

Følgende informasjon skal gis:

• Identiteten og kontaktopplysningene til den behandlingsansvarlige eller en representant for den behandlingsansvarlige
• Kontaktopplysninger til personvernombudet
• Formålene med behandlingen, samt det rettslige grunnlaget
• Hvilke legitime interesser den behandlingsansvarlige eller en tredjepart har dersom behandlingen er basert på interesseavveining
• Mottakere av personopplysninger eller kategorier av slike mottakere
• Informasjon om eventuell overføring av personopplysninger til et tredjeland eller internasjonal organisasjon
• Det som kreves av informasjon for at den registrerte skal vite om opplysningene er tilstrekkelig beskyttet eller ikke

Når det er nødvendig for å sikre en rimelig og gjennomsiktig behandling skal også følgende informasjon gis:

• Hvor lenge personopplysningene vil bli lagret, hvis dette ikke er mulig, skal det gis informasjon om kriteriene som brukes for å fastsette dette tidsrommet
• At den registrerte har følgende rettigheter:
  • Innsyn i personopplysninger registrert om seg selv
  • Korrigering av personopplysninger om seg selv
  • Sletting av personopplysninger om seg selv (dersom ikke arkivplikt)
  • Begrensning av behandlingen som gjelder seg selv
  • Innsigelsesrett (rett til å protestere på behandlingen)
  • Å få ta med seg personopplysninger om seg selv (dataportabilitet) (gjelder bare behandlinger der grunnlag er avtale eller samtykke)
• Retten til når som helst å trekke tilbake samtykke
• Retten til å klage til en tilsynsmyndighet
• Om det foreligger et lovfestet eller avtalefestet krav om å gi personopplysninger eller et krav som er nødvendig for å inngå en avtale, samt om den registrerte har plikt til å gi personopplysningene og om mulige konsekvenser dersom vedkommende ikke gjør det
• Om det treffes automatiserte avgjørelser inkludert profilering, basert på de innhentede opplysningene, i så fall skal det gis informasjon om den underliggende logikken bak de automatiserte avgjørelsene, samt forventede konsekvenser for de registrerte

Dersom den behandlingsansvarlige har planer om å behandle personopplysningene til et annet formål enn det opplysningene opprinnelig ble samlet inn for, skal de registrerte ha informasjon om dette. Da må informasjonen til den registrerte oppdateres. Det skal da gis informasjon om det nye formålet og annen relevant informasjon for eksempel om og hvordan man kan protestere på behandlingen til det nye formålet eller om man er forpliktet til å akseptere behandlingen. Det er ikke nødvendig å gi ovennevnte informasjon dersom den registrerte har informasjonen fra før.

Informasjon som skal gis når personopplysningene ikke er samlet inn fra den registrerte selv (gdpr art. 14)

Følgende informasjon skal gis:

• Identiteten og kontaktopplysningene til den behandlingsansvarlige, eller en representant for den behandlingsansvarlige
• Kontaktopplysninger til personvernombudet
• Formålene med behandlingen, samt det rettslige grunnlaget
• Hva slags personopplysninger som er samlet inn
• Mottakere eller kategorier av mottakere av personopplysningene
• Informasjon om at personopplysninger skal overføres til et tredjeland eller internasjonal organisasjon
• Det som kreves av informasjon for at den registrerte skal vite om opplysningene er tilstrekkelig beskyttet eller ikke

Når det er nødvendig for å sikre en rimelig og gjennomsiktig behandling skal også følgende informasjon gis:

• Hvor lenge personopplysningene blir lagret, hvis dette ikke er mulig skal det gis informasjon om kriteriene som brukes for å fastsette dette tidsrommet
• De berettigede interessene som den behandlingsansvarlige eller en tredjepart har når behandlingsgrunnlaget er interesseavveining
• At den registrerte har følgende rettigheter:
  • Innsyn i personopplysninger registrert om seg selv
  • Rett til å korrigere egne personopplysninger
  • Sletting av egne personopplysninger
  • Begrensning av behandlingen som gjelder seg selv
  • Å motsette seg behandlingen
  • Å få ta med seg egne personopplysninger (dataportabilitet)
• Retten til når som helst å trekke tilbake et samtykke
• Retten til å klage til en tilsynsmyndighet
• Fra hvilken kilde personopplysningene stammer og dersom det er relevant, om de stammer fra offentlig tilgjengelige kilder
• Om det treffes automatiserte avgjørelser inkludert profilering, basert på de innhentede opplysningene, i så fall skal det gis informasjon om den underliggende logikken bak de automatiserte avgjørelsene, samt forventede konsekvenser for de registrerte

Frist for å gi informasjon

• Innen rimelig tid etter innsamling, men senest innen en måned
• Dersom formålet med innsamling er å kommunisere med den registrerte, skal informasjonen gis senest ved den første kommunikasjonen med vedkommende
• Dersom det er planlagt å utlevere personopplysningene til en annen mottaker, skal informasjonen gis senest når opplysningene utleveres første gang
• Dersom den behandlingsansvarlige har planer om å behandle personopplysningene til et annet formål enn det opplysningene opprinnelig ble samlet inn for, skal de registrerte ha informasjon om dette

Når gjelder ikke informasjonsplikten?

• Når informasjonen er allerede kjent for de registrerte
• Når det er umulig eller uforholdsmessig vanskelig å informere
• Når informasjonsplikt vil gjøre det umulig eller i alvorlig grad hindre at formålene med behandlingen kan nås
• Når innsamling eller utlevering av personopplysningene er uttrykkelig fastsatt ved lov
• Når unntak er begrunnet i taushetsplikt

Rettigheter til innsyn og sletting

NTNU har i mange tilfeller lovhjemmel for å lagre data om for eksempel ansatte og studenter for å kunne ivareta andre lovpålagte krav. I de tilfellene hvor vi ikke har hjemmel, skal det være tydelig for brukeren hva de aksepterer ved å bruke tjenesten/gi fra seg data gjennom samtykke. For eksempel ved å melde deg på et nyhetsbrev per epost aksepterer du å få det nyhetsbrevet, men ikke at din epost brukes til andre formål. Der hvor det ikke er lovhjemmel, kan personer be om å få vurdert utlevering eller sletting av data om seg. Ved en slik henvendelse må NTNU svare innen en måned.

Se hvordan du ber om innsyn i og/eller ber om å få data om deg utlevert eller slettet: Innsyn i behandling

Databegrensning - viktig å slette eller arkivere

Et viktig prinsipp er at vi ikke skal ta vare på personopplysninger lenger enn nødvendig. Sørg derfor for gode slette- og arkivrutiner. Enten at systemene du bruker, automatisk sletter eller arkiverer (innebygd personvern), eller at prosesseier utvikler gode interne rutiner for sletting og/eller arkivering og sjekker at de følges (internkontroll). Eksempel: Påmeldingsskjema til ekskursjon. Samles inn i godkjent skjemaverktøy og slettes 3 måneder etter at turen er avviklet. Ved behov for arkiv (må dokumentere behovet) kan uttrekk lagres i ePhorte.

Konsekvenser ved brudd på personvern

Personlige konsekvenser

Mangelfull behandling av personopplysninger kan ha store konsekvenser for enkeltpersoner som blir utsatt for det. Hvis opplysningene eksempelvis kommer på avveie som følge av at NTNU ikke overholder sine forpliktelser, kan det være en stor belastning for personen som blir utsatt for dette.

Konsekvenser for forskning og utdanning

• Stoppede eller forsinkede forskningsprosjekt
• Avbrutte eller forsinkede doktorgradsprosjekt

Økonomiske konsekvenser

Datatilsynet kan med nytt regelverk gi mye høyere overtredelsesgebyrer, ettersom maksimumsbeløpet heves betraktelig.

Omdømme

NTNUs gode anseelse i samfunnet vil kunne bli betydelig redusert. Vi er avhengig av at omverdenen har høy grad av tillit til oss.

Videre lesning, mer informasjon

• Dine rettigheter | Datatilsynet
• Temaside om informasjonssikkerhet
• Sikresiden.no
• Sikt sin veileder