Personvern og GDPR

Personvern og GDPR - FAQ for ansatte

Praktiske spørsmål og svar på hvordan NTNU forholder seg til personvern og GDPR. Svarene er verifisert av NTNUs jurister og sortert etter tema.

Temaside om informasjonssikkerhet | Sider merket med Personvern

Sist oppdatert 20.sept 2018.

Hopp til riktig FAQ på denne side:

Generelle spørsmål

Spørsmål og svar om GDPR og personvern for ansatte.

Hva er en personopplysning?

En personopplysning er informasjon som både direkte og indirekte kan knyttes til en fysisk person.

For eksempel:

  • Navn
  • Fødselsnummer
  • Bilde
  • Video
  • Lydopptak
  • e-postadresse. 
  • IP-adresse
  • Fingeravtrykk
  • Bilnummer
  • + mer - dette er bare eksempler.

Du må ha ett tydelig grunnlag for å kunne bruke persondata. Dette kan være lovhjemmel, avtale, myndighetsutøvelse eller f.eks samtykke. Les mer på Sikresiden.no 


Hva er sensitive personopplysninger?

Sensitive personopplysninger (særlige kategorier) er i utgangspunktet forbudt å bruke, og du må ha særlig grunnlag for å bruke opplysningene.

For eksempel gjelder dette 

  • Helseforhold
  • Seksuelle forhold
  • Genetiske og biometriske opplysninger
  • Politiske og religiøse oppfatninger
  • Etnisk eller rasemessig bakgrunn.
  • + mer - dette er bare eksempler.

Slike opplysninger skal ikke samles inn dersom man ikke har et særlig grunnlag og behov for dette. Bruken av slike opplysninger må sikres særskilt. Les mer på Sikresiden.no 


Blir det strengere krav til samtykke etter den nye personvernforordningen?

Det stemmer at det blir strengere krav til samtykke. Vi blir nødt til å kunne dokumentere at samtykke er gitt. Behandlingsansvarlig har bevisbyrden.  

Må det innhentes nytt samtykke fra alle, f.eks. til bilder lagt ut på Facebook, som vi har samtykke for å bruke?

Har man fått samtykke tidligere og kan dokumentere at dette oppfyller kravene i den nye forordningen, behøver man ikke å innhente samtykke på nytt.


Hva er databehandleravtaler?

Databehandleravtaler er avtaler mellom NTNU og eksterne leverandører som behandler personopplysninger på vegne av NTNU. Avtalene skal sikre at personopplysninger behandles på en sikker måte og i tråd med behandlingsansvarliges (NTNUs) instrukser. En ekstern leverandør, databehandler, kan ikke behandle personopplysningene til ansatte, studenter, gjesteforskere, gjester eller respondenter/informanter sine personopplysninger ved NTNU på en annen måte enn det som er skriftlig avtalt med NTNU i databehandleravtalen (evt. i tjenesteavtalen). Vi skal i arbeidet som nå utføres både kartlegge og etablere en oversikt over hvilke avtaler vi har og sikre at de er oppdaterte og i samsvar med de nye personvernreglene. Databehandleravtaler skal arkiveres i ephorte sammen med inngått tjenesteavtale.

Databehandleravtalen skal lenkes til ephorte nr. 2017/13795 «oversikt databehandleravtaler».

Se lenke for mer informasjon om Databehandleravtaler: innsida.ntnu.no/wiki/-/wiki/Norsk/Databehandleravtale


Når trengs det personvernerklæringer?

Ved behandling av personopplysninger, plikter man å informere de registrerte om behandlingen (bruken av personopplysningene).

Nye personvernregler stiller skjerpede krav til informasjon om behandling av personopplysninger, og hva det skal informeres om. NTNU vil utarbeide en overordnet personvernerklæring som kan dekke mange områder. Allikevel vil det være nødvendig med egne personvernerklæringer på de store systemene vi har. Disse er under utarbeidelse for Paga, ephorte, FS, Blackboard, m.fl



Lagring og epost

Spørsmål og svar om lagring, epost, arkiveringsplikt og reiseregninger.

Hvilket IT-verktøy skal jeg bruke til personopplysninger?

Det er veldig viktig å bruke riktig verktøy til riktig type informasjon. Det er ønskelig og nødvendig at man klassifiserer all informasjon, og behandler informasjonen iht retningslinjer for de ulike klassifiseringene.

NTNU kommer med mer informasjon om hvilke verktøy som kan brukes til hva, men hvis du er usikker, snakker du foreløpig med systemeieren. (En systemeier er en leder som er ansvarlig for å utvikle, forvalte og/eller drifte et informasjonssystem på vegne av NTNU. En som oppbevarer data kan også anses som systemeier.)  


Hva skal vi gjøre med sensitive data på de gamle fellesområdene til fusjonerte/nedlagte institutt?

Sensitive data, og andre personopplysninger på gamle fellesområder, skal slettes hvis det ikke er arkivpliktige dokumenter.

Hvis dokumentene er arkivpliktige (saksdokument), skal de arkiveres i Ephorte. Du kan lese mer om hva som er arkivpliktig på NTNUs nettsider om arkivering.


Kan sensitive personopplysninger sendes på e-post?

Nei. Sensitive og taushetsbelagte opplysninger skal ikke sendes på e-post. Heller ikke fødselsnummer, jf. Datatilsynets anbefalinger.. Men hvis det er vurdert som eneste mulighet må du kryptere e-posten eller vedleggene må være passordbeskyttet. Passordet må være sterkt.   Se veiledninger for sikker e-post.

Anbefalt alternativ

Se også: 


Bør jeg slette gamle e-poster med personopplysninger?

Ja.

E-poster med personopplysninger skal ikke oppbevares lenger enn det som er nødvendig ut fra formålet.  E-poster som inneholder taushetsbelagte eller sensitive personopplysninger, skal slettes hvis ikke e-posten er arkivpliktig. Det samme gjelder e-poster med opplysninger om mange personer, f.eks. med lister eller Excel-filer. Er e-posten arkivpliktig, dvs. er et saksdokument, skal den arkiveres i Ephorte som er NTNUs arkiv. 


Kan eksterne  sende reiseregningskjema på e-post?

Nei - det må sendes i vanlig post. 

Reiseregninger for eksterne timelærere, sensorer og studenter inneholder fødselsnummer og bankkontonummer. I og med at disse inneholder fødselsnummer og bankkontonummer skal de ikke sendes på e-post.

Dessverre har vi pr i dag ikke noe digitalt alternativ vi kan anbefale.



Digitale skjema 

Spørsmål og svar om skjema, påmeldinger, og spørreundersøkelser.

Skal data som er hentet inn i påmeldingsskjema, slettes etter at arrangementet er gjennomført?

Ja. Personopplysninger skal ikke lagres lenger enn det som er nødvendig ut fra formålet. Påmeldingsskjema og svar slettes etter at det ikke er nødvendig å lagre det lenger. Hvis arrangementet er gjennomført, skal dette slettes.

Må man også slette svarene som er lastet ned som Excel-fil? 

Ja.


Kan vi be kursdeltakere om å oppgi eventuell allergi når de melder seg?

Hvis kursdeltaker ønsker å oppgi dette så er det ok, men det må være frivillig.

Vær obs på at dette er helseopplysninger som er sensitive og krever ekstra sikkerhet til verktøyet du bruker.

Når opplysninger om behov for spesiell mat skal formidles videre, til f.eks et hotell, skal det skje i anonymisert form, ikke med navn på deltaker(e). Opplysningene må også slettes når kurset er avholdt.



Studier og vurdering

Dekker studier, eksamen, sensur og praksis-perioden.

Kan vi scanne vurderingsprotokoller før de sendes til Gløshaugen for sensurregistrering?

Bakgrunn for spørsmålet: Skann blir sendt via epost (Ricoh printer) og lagret på fellesområdet. Begrunnelsen for rutinen er at det hender at protokoller forsvinner i internposten. Vi er i enkelte tilfeller, i forhold til behandling av klage/begrunnelse, nødt til å sjekke signatur på protokoll for å vite hvem som har sensurert. Er dette fortsatt ok?

Svar: På sensurlistene står kandidatnummer og karakter. Det er ikke anonymt, men for å gjøre kobling til person krever det tilgang til FS. av dette på fellesområdet er derfor ok. Dokumentene må slettes når det ikke lenger er behov for dem, dvs. når klagefristene er ute.


Kan studentene sende praksisrapport på e-post?

Praksisrapporter inneholder ofte taushetsbelagte opplysninger og skal da ikke sendes på e-post. Se mer forklaring under temaet e-post.


Er det greit å sende ut e-post til studenter med informasjon om manglende grunnlag for å kunne ta eksamen?

Ja, så lenge det bare er en e-post om manglende grunnlag og at grunnlaget er manglende obligatorisk deltagelse for eksempel. E-post må da ikke inneholde personnummer eller sensitiv informasjon.



Forskning

FAQ gjelder personvern forskning, EU/EØS prosjekter, samarbeid og publikasjoner.

Kan vi sende Cristin-rapporter med forskeres navn og publikasjoner i e-post?

Ja


Hvordan går vi fram i samarbeid med utenlandske forskere utenfor EU/EØS når prosjektet krever at vi deler sensitive personopplysninger?

Dette er et komplisert område, hvor det kan være greit å kontakte juridisk i avdeling for virksomhetsstyring. Generelt er det slik at overføring av personopplysninger til land utenfor EU/EØS reguleres i EUs personvernforordningen kap. V.  

Overføring kan skje til land utenfor EU/EØS hvis:

  • EU-kommisjonen har godkjent at vedkommende tredjeland eller angitte sektorer har et tilstrekkelig beskyttelsesnivå.
  • Virksomheten personopplysningene overføres til står på Privacy Shield-listen i USA. Dette er det amerikanske handelsdepartementets liste over virksomheter som har forpliktet seg til å følge reglene for behandling av personopplysninger i EU.
  • Bruke EUs standardavtaler som er tilgjengelig på Datatilsynet nettsider. Da forplikter databehandler, eventuelt behandlingsansvarlig seg til å behandle personopplysningene i samsvar med de krav som gjelder i EU/EØS området. Vær obs på at det kan være krav om varsling til Datatilsynet. Datatilsynet har nærmere informasjon på sine nettsider som vi anbefaler å lese hvis overføring til land utenfor EU/EØS er aktuelt, https://www.datatilsynet.no/

 



Kommunikasjon og formidling

Spørsmål og svar om kommunikasjon, web og formidling.

Må jeg slette alle gamle bilder på nettsider der jeg ikke kan dokumentere samtykke?

Nei (hvis det er personer over 18 år), men lag deg gode nye rutiner. Gjelder det bilder som er lagt ut på nettet uten at samtykke kan dokumenteres, og dette gjelder voksne personer som tidligere ikke har reagert på at bildet ble lagt ut, bør vi gå ut fra at det er ok og ikke bruke ressurser på å innhente nye samtykker. Vær heller opptatt av å etablere gode rutiner fremover slik at samtykke kan dokumenteres når det legges ut nye bilder. 


Kan jeg fortsette å sende ut nyhetsbrev på e-post hvis jeg ikke kan dokumentere at medlemmene har samtykket til å motta det?

Nei. Gjelder det samtykke til å sende ut nyhetsbrev, må det innhentes nytt samtykke hvis det er tvil om det gamle holder i forhold til nytt regelverk



0 Vedlegg
8729 Visninger
Gjennomsnitt (4 Stemmer)