Oversikt over behandling av personopplysninger - Ansatt

Oversikt over behandling av personopplysninger (protokoll)

Oversikt over behandling av personopplysninger (protokoll)

De registrerte (ansatte, studenter, forskningsdeltakere osv.) har fått økte rettigheter, slik at du må ha mer kontroll på hvilke og hvordan personopplysninger behandles. Du skal derfor sørge for å ha en oversikt over alle behandlinger/arbeidsprosesser/ både i forskning, i administrasjon, i undervisning og i systemer og tjenester. Her får du vite hvor og hvordan du skal registrere disse behandlingene/arbeidsprosessene.
Publisert
Sist oppdatert

  • I forskning

    Kunnskapssektorens tjenesteleverandør (SIKT) - Personverntjenester

    Etter ikrafttredelse av ny personopplysningslov fungerer Personverntjenester (Sikt) som personvernrådgiver i forskning og vurderer behandlingsgrunnlag (lovligheten) og informasjonssikkerheten til personopplysninger i forskningsprosjekter på vegne av OsloMet og OsloMets personvernombud.

    Ved OsloMet vil det si at alle prosjekter skal meldes til Personverntjenester (Sikt), også helseforskning. Melding til Personverntjenester (Sikt) og søknad til De regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) bør sendes samtidig. Disse prosjektene registreres i Personverntjenester (Sikt) sitt meldearkiv, som er en del av OsloMet sin protokoll etter personvernforordningen art. 30, i tillegg til OsloMet sin forskningsdatabase.

    REK skal fremdeles gjøre etiske vurderinger og gi dispensasjon fra taushetsplikt, men skal ikke lenger vurdere om prosjektets behandling av personopplysninger oppfyller kravene i personvernregelverket.

    Personverntjenester (Sikt) tar kontakt med institusjonelt personvernombud ved vurdering av personvernkonsekvenser (DPIA) i de prosjektene dette er aktuelt. Personvernombudet gir sine anbefalinger med hensyn til vurderingen og forslag til tiltak. Dette forelegges instituttleder/dekan/senterleder som tar endelig beslutning i forhold til akseptabelt risikonivå.

    Forskningsdatabasen

    Forskningsdatabasen er en intern database der du skal registrere metainformasjon om forskningen. På denne måten blir forskningen søkbar og tilgjengelig for andre tilsatte ved OsloMet, og det blir lettere å orientere seg om relevante forskningsprosjekter. Forskningsdatabasen regnes som protokoll over personopplysninger i forskning etter personvernforordningen, og informasjonen brukes til lovpålagt internkontroll.

    Første versjon av Forskningsdatabasen ble lansert i juni 2020.

    Du kan lese mer om forskningsdatabasen i veileder for forskningsdatabasen, hvilke prosjekter som skal registreres der, hva som skal registreres og hvordan.

  • I administrasjon og undervisning

    Nye og endrede behandlingsaktiviteter innen administrasjon og undervisning skal registreres inn i systemet Ardoq av personvernkontakt opprettet i hver enkelt enhet/fakultet/senter. Link til systemet ligger i gruppen Personvernkontakter i Teams.

    Personvernkontakten og Personvernombudet skal bistå behandlingsansvarlig i å

    1. samle inn informasjon for å identifisere behandlingsaktiviteter
    2. analysere og sjekke at behandlingsaktivitetene er i tråd med regelverket

  • I systemer og tjenester

    Personvernvurdering (GDPR)

    Det skal gjøres en personvernvurdering (GDPR) av alle systemer og tjenester. Det er systemeier/tjenesteeier som skal sørge for dette, sammen med tjeneste/systemforvalter. Spørsmålene i kartleggingen bør besvares av personer som har god kjennskap til den tekniske løsningen (med tilhørende arbeidsprosesser) som OsloMet er ansvarlig for og hvor personopplysninger behandles. Imidlertid kan en med personvernkompetanse være behjelpelig i kartleggingen.

    Per i dag skal dere benytte skjema for kartlegging av systemer/applikasjoner/tjenester ved OsloMet.

    Ferdig utfylt skjema lastes opp i Teams (GDPR-vurdering av systemer/tjenester) under Filer i mappe for din enhet. Hvis ikke du har tilgang fra tidligere, sendes skjemaet til personvernombudet (PVO) ved OsloMet, Ingrid Jacobsen, personvernombud@oslomet.no som da laster skjemaet opp i Teams og gir deg som systemforvalter tilgang. Systemeier og personvernkontakt får også tilgang hvis de ikke har tilgang fra tidligere.

    Oppfølging

    Røde merknader fra PVO skal følges opp, og etter oppdatering lastes opp i Teams. Det er siste versjon som til enhver tid skal ligge i Teams. Tjeneste/systemforvalter har ansvar for at dette gjøres sammen med personvernkontakt (PVK).

    For alle system skal det minimum foreligge to, og ofte, fire av følgende dokument:

    1. Risikovurdering (ROS). Denne skal utføres med fokus på personvern og lagres i P360.

    2. DPIA: Utfylling av skjema for DPIA-vurdering skal gjøres for Alle behandlinger – skal signeres av systemeier. Det kan i tillegg være nødvendig å gjennomføre en DPIA, se eget skjema for gjennomføringen på nettsiden.

    3. Lovlig grunnlag «Berettiget interesse»: krever utfylling av eget skjema som skal lagres i P360.

    4. Databehandleravtale

    Det er personvernkontakt som i utgangspunktet skal lagre aktuelle dokument i P360.

    Andre oppfølgingspunkt:

    • Oppdatering av informasjon om systemet på nettsider.

    • Etablere rutiner (leverandørstyring, revisjon av informasjon, avvikshåndtering, …).

    • Eventuell dataoverføring til tredjeland - vurdering av overføringsgrunnlag.

    • Vurdere om systemet etterlever krav til styringssystem for informasjonssikkerhet.

    Løpende oppdatering av informasjon

    • Ved større endringer i system/tjenesten, skal det gjennomføres ny ROS-vurdering og aktuelle skjema skal oppdateres. Ny ROS-vurdering lagres i P360
    • Ved mindre endringer, bør skjema oppdateres og ny versjon lagres på opprettet Teams for formålet.
    • Generelt skal det foretas ROS-vurderinger hvert tredje år.