Rektor er behandlingsansvarlig for OsloMets behandling av personopplysninger. Behandlingsansvarliges oppgaver er delegert til linjelederne.
OsloMet behandler opplysninger:
- om deg som student
- om deg som tilsatt
- om forskningsdeltakere
- om pasienter
- om journalføring og arkivering av personopplysninger
- i informasjonskapsler
- i IT-logg
- ved sikring av OsloMets lokaler
Innhold
- Utlevering av personopplysninger
- Pressens og allmennhetens innsyn etter offentlighetsloven
- Sentrale lover for OsloMets behandling av personopplysninger
- Your rights
- Contact
1. Utlevering av personopplysninger
Som hovedregel kan høgskolen ikke utlevere dine opplysninger uten ditt samtykke. I noen tilfeller blir allikevel opplysninger utlevert uten samtykke. Dette gjelder f.eks. opplysninger til (ikke uttømmende liste):
- Den registrertes arbeidsgiver i den grad opplysningene gjelder arbeidstakerens skikkethet til et bestemt arbeid eller oppdrag når dette er hjemlet i lov.
- Forskning. Utlevering krever i utgangspunktet samtykke, men kan også gjøres uten samtykke hvis forskningsprosjektet har fått innvilget unntak fra taushetsplikten.
- NAV. NAV har rett til å innhente opplysninger i kontrolløyemed i forbindelse med behandling av en sak, jf. folketrygdloven § 21-4.
- Statens Lånekassen for utdanning, hjemlet i lov.
- Skattemyndigheter, hjemlet i lov.
- Nærmeste pårørende. De nærmeste pårørende har rett til informasjon for å kunne ta avgjørelser på vegne av en slektning som ikke selv er i stand til å ta avgjørelsen.
- Opplysninger som er nødvendige for behandling av visse typer saker vil bli utlevert til den nemnd/utvalg som skal behandle saken. Det betyr at nødvendige opplysninger i forbindelse med
- klagesaker og fuskesaker vil bli utlevert til klagenemnda som er OsloMets klageorgan
- skikkethetssaker vil bli utlevert til skikkethetsnemnda og
- enkeltsaker knyttet til vitenskapelig uredelighet vil bli utlevert til Forskningsetisk utvalg.
Mer om utlevering av personopplysninger.
2. Pressens og allmennhetens innsyn etter offentlighetsloven
Hovedregelen etter offentlighetsloven er at forvaltningsorganers saksdokumenter er tilgjengelige for offentligheten. Det betyr at alle som spør om det, presse og andre, vil kunne gjøre seg kjent med innholdet i dokumentene. Din henvendelse til OsloMet vil dermed også være offentlig, enten den kommer i form av brev, telefaks eller e-post (som blir skrevet ut og registrert).
En journal er Register over saksdokumenter som behandles i et organ. OsloMet sine postjournaler (hioa.no) legges tilgjengelige på nettsidene. Saksbehandler er ansvarlig for at dokumentasjon er unntatt korrekt og tilstrekkelig, SDI gjennomføre en kvalitetssikring av offentlig journal før publisering.
Per i dag blir alle innsynsforespørsler journalført. OsloMet håndterer imidlertid mye dokumentasjon som inneholder taushetsbelagte opplysninger. Dette er for eksempel sensitive opplysninger knyttet til både studenter og ansatte, pasientinformasjon knyttet til pasientbehandling/forskning og forretningshemmeligheter. Slike dokumenter blir unntatt fra offentligheten. Interne dokumenter kan også unntas offentligheten.
Mer om temaet:
3. Sentrale lover for OsloMets behandling av personopplysninger
Personvernforordningen og ny personopplysningslov inneholder regler om hvordan personopplysninger som samles inn vil bli behandlet, herunder hvordan de sikres, hvem som har tilgang og om de kan utleveres til andre eksternt. Personvernforordningen gir personvernrådgiver, Norges Samfunnsvitenskapelige Datatjeneste (NSD), grunnlag til å tilrå behandling av personopplysninger i registre som brukes i kvalitetsstudier og annen forskning på vegne av personvernombudet ved OsloMet. De regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) vurderer forsvarligheten av helseforskning iht. helseforskningsloven. I tillegg til personvernforordningen og personopplysningsloven har blant annet følgende lover betydning for OsloMets behandling av personopplysninger:
For tilsatte inneholder forvaltningsloven, og for studenter inneholder forvaltningsloven, universitets- og høgskoleloven og interne forskrifter, saksbehandlingsregler for hvordan sakene vil bli behandlet ved OsloMet. Som part i saken har man særskilte rettigheter, bl.a. om innsyn i sakens dokumenter.
Offentlighetsloven med forskrifter inneholder reglene for når et dokument er offentlig tilgjengelig for allmennheten, og når et dokument kan unntas offentlighet. OsloMet praktiserer meroffentlighet, det vil si at OsloMet så langt det er mulig etterstreber at dokumenter skal være offentlige.
Arkivloven inneholder regler om hvordan sakens dokumenter skal oppbevares, herunder om lagring i arkivinstitusjon.
Helseregisterloven, inneholder regler om hvordan helseopplysninger som samles inn vil bli behandlet, herunder hvordan de sikres, hvem som har tilgang og om de kan utleveres til andre.
Helsepersonelloven, regulerer bruk av personopplysninger til kvalitetsregistre for å evaluere pasientbehandling ved OsloMet og inneholder regler om helsepersonells taushetsplikt.
Helseforskningsloven, regulerer bruk av personopplysninger til medisinsk og helsefaglig forskning og må vurderes av REK.
Universitets- og høgskoleloven, regulerer på enkelte områder universitetene og høgskolen sin saksbehandling, mens den på andre områder kun legger føringer for det interne regelverket ved den enkelte utdanningsinstitusjon.
4. Your rights
Right to information and access
You have the right to information about how OsloMet processes your personal data. The purpose of this privacy policy is to provide you with any and all information you have the right to get.
You also have the right to view/access any and all personal data registered about you at <Navn på utdanningsinstitusjon>. You also have the right to request a copy of the personal data registered about you if you so wish.
Right to correction
You have the right to have corrected any and all incorrect personal data about you. You also have the right to supplement any and all incomplete data registered about you. Please contact us if you believe we have registered incorrect or incomplete personal data about you. It is important that you justify and, if relevant, document why you believe the personal data registered is incorrect or incomplete.
Right to limit processing
In certain circumstances, you have the right to demand limited processing of your personal data. Limiting the processing of personal data means that your personal data will still be registered, but the opportunities for further processing are limited.
If you believe that personal data about you is incorrect or incomplete, or you have filed a complaint against the processing of your data (read more about this below), you have the right to demand to demand that the processing of your personal data be limited temporarily. This means that processing will be limited until, if relevant, we have rectified your personal data, or until we have been able to assess whether your complaint is justified.
In other circumstances you may also demand a more permanent limitation on the processing of your personal data. In order to qualify for the right to limit processing of your personal data, the conditions established by the Personal Data Act and Article 18 of the GDPR must be met. If we receive a request from you to limit processing of your personal data, we will assess whether the statutory conditions have been met.
Right to erasure
In certain circumstances you have the right to demand that we erase your personal data. The right to erasure is not unconditional, and whether this applies to your situation must be assessed in light of relevant privacy legislation, i.e. the Personal Data Act and GDPR. Please contact us if you want to have your personal data erased. It is important that you justify why you want the personal data erased, and, if possible, that you also specify which personal data you want erased. We will den consider whether the conditions for erasure, as established by law, have been met.
Please be advised that the law allows for us to make exceptions to your right to erasure. For example, we may need to store personal data for the purpose of performing a task in compliance of the Act Relating to Universities and University Colleges, or for reasons of public interest, such as archiving, research and statistics.
Right to object
You may have the right to file an objection against the processing, i.e. object to the processing, on grounds that you have a specific need to stop the processing, e.g. if you have a need for protection, have a secret address, etc. The right to object is not unconditional, and it is contingent upon the legal basis for the processing, and on your particular circumstances. The conditions are established by Article 21 of the GDPR. If you object to processing of your personal data, we will consider whether the conditions for filing an objection have been met. If we find that you have the right to object to the processing and that your objection is justified, we will discontinue processing, and you will have the right to demand erasure of the data.
Please be advised that we, under certain circumstances, may make exceptions from erasure, e.g. if we have to store your personal data for the purpose of performing a task in compliance with the Act Relating to Universities and University Colleges, or for reasons of public interest.
Right to file complaint against processing
If you believe we processed your personal data incorrectly or unlawfully, or if you believe we failed to protect your rights, you have the right to file a complaint against processing. Please see item 10 below for how to contact us.
If we dismiss your complaint, you may file your complaint with the Norwegian Data Protection Authority (DPA). The DPA is responsible for making sure Norwegian enterprises comply with the provisions of the Personal Data Act and the GDPR in their processing of personal data.
5. Contact
Data controller
OsloMet is the data controller of personal data in EpN, cf. GDPR Article 4 no. 7.
If you wish to exercise your rights as established in items 4 above, see webpadge Gain access to your own information (in Norwegian only) where you can find who to contact. We will process your request as soon as possible and within 30 days at the latest.
Read more about Processing of access requirement (in Norwegian only).
Data protection officer
OsloMet has appointed a data protection officer whose responsibility it is to protect the personal data interests of both students and staff at OsloMet.
You may contact the data protection officer about the administrative processing of personal data at OsloMet via e-mail: ingrid.jacobsen@oslomet.no.