Personvernerklæring - ServiceNow

2.1. Formål

Det behandles personopplysninger for å kunne levere på samfunnsoppdraget OsloMet innehar innen utdanning og forskning gjennom god, effektiv og trygg saksbehandling på en slik måte at studenter og ansatte kan ha tillit til sikkerheten i den digitale infrastrukturen og ivaretagelsen av den enkeltes personvern. Behandlingen av personopplysningene benyttes til studie- og personaladministrative formål, herunder:

• Tilrettelegge for tjenesteleveranser.
  • Behandle henvendelser fra studenter, ansatte og gjester ved OsloMet som skal behandles og besvares av saksbehandlere i virksomheten.
  • Gi de registrerte god og rask saksbehandling og riktig informasjon ved henvendelser, samt sikre at det kun er rette personer som mottar opplysningene og sikre god offentlig forvaltning.
• Forbedre tjenestene som leveres gjennom dialog med og tilbakemeldinger fra de registrerte.
• Føre statistikk og forbedre tjenesteleveranser gjennom brukergruppetilpasning.

2.2. Behandling

2.2.1. Innsamling

Personopplysningene samles inn fra fire ulike kildesystemer. I kildesystemene er personopplysningene registrert fra deg direkte eller innhentet fra nasjonale registre.

• Felles studentsystem (FS)
• Forretningssystemet SAP (Systems, Applications and Products)
• Organisasjonsenhetsregister (ORGREG)
• Azure Active Directory (AAD)

2.2.2. Lagring

Personopplysninger lagres i skyløsningen til plattformen ServiceNow.

2.2.3. Sammenstilling og kobling

Dataflyten og prosessen hvor personopplysninger integreres inn i ServiceNow gjennom ulike kildesystem. Se pkt. 2.2.1. for oversikt over kildesystem.

2.2.4. Analysering

Analyse av hvilke personopplysninger som behandles, hvordan de behandles og kvalitetssikring at behandlingen er i samsvar med behandlingsformålet.

2.2.5. Gjenfinning

Gjenfinning av personopplysninger i ServiceNow ifm. behandlingsformål tilknyttet saksbehandlingsprosesser i behandlingen.

2.2.6. Sletting

Personopplysninger slettes fra plattformen ServiceNow etter tilknytningsforholdet mellom OsloMet og den registrerte opphører.

2.2. Rettslig grunnlag

For studenter:

Personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav e) «Behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt», jf. nr. 3 b) jf. universitets- og høyskoleloven (UH-loven) § 4-15.

For ansatte og gjester:

GDPR art. 6 nr. 1 f) «Berettiget interesse».

Det er gjennomført en interesseavveining for å vurdere forholdet mellom den enkeltes personvern og virksomhetens berettigete interesse. I hovedtrekk er det svært lav sannsynlighet at behandlingen vil medføre svært negative konsekvenser for enkeltpersoner grunnet personopplysningenes alminnelige art og at storparten av opplysningene allerede er offentlig tilgjengelig. Samtidig er det vurdert at OsloMet kan lide et omdømmetap på virksomhetsnivå i det offentlige dersom behandlingen ikke utføres og OsloMet dermed ikke klarer å opprettholde forventningsoppnåelsen virksomheten har hos sine brukere.

Vi behandler kun alminnelige personopplysninger. Følgende personopplysninger behandles om de ulike kategoriene:

3.1. Student

Navn, e-postadresse, privat adresse, privat telefonnummer, studentnummer, studieprogram/-retning og IP-adresse.

3.2. Ansatt

Navn, e-postadresse, arbeidsadresse, privat adresse, arbeidstelefonnummer, privat telefonnummer, organisasjonstilknytning og IP-adresse.

3.3. Gjest

Navn, e-postadresse, arbeidsadresse(*), privat adresse(*), arbeidstelefonnummer(*), privat telefonnummer(*), organisasjonstilknytning(*) og IP-adresse.

(*) Behandling av personopplysningen for kategorien "Gjest" avhenger av omfanget av tilknytningsforholdet til OsloMet.

Personopplysninger vil lagres så lenge den registrerte har et aktivt tilknytningsforhold til OsloMet. Arkivpliktige opplysninger vil arkiveres jf. arkivloven med forskrifter og OsloMet sine interne arkiveringsrutiner.

Utlevering eller eksport av data defineres som enhver avgivelse av data foruten til eget system/behandling eller til den registrerte selv eller noen som mottar data på dennes vegne. OsloMet kan utlevere eller eksportere data som inneholder personopplysninger til andre systemer, det vil si ekstern databehandler i de tilfellene der det anses som nødvendig.

Dine personopplysninger kan bli utlevert til følgende parter/virksomheter:

ServiceNow – Systemleverandør

• ServiceNow er, som nevnt innledningsvis, en skybasert plattform for automatisering av digital saksbehandling og tilknyttede arbeidsprosesser. Det vil si at ServiceNow er databehandler for OsloMet og har som funksjon å innhente, lagre og forvalte data. Personellet som drifter ServiceNow kan ha tjenstlig behov for tilgang til registrertes opplysninger for å utføre sitt arbeid og etterleve avtalevilkårene som er inngått mellom virksomheten og OsloMet. I utgangspunktet har databehandler ikke tilgang til å lese de registrertes opplysninger, men de kan bli tildelt dette av OsloMet ved forspurt behov for bistand. I et slikt tilfelle er det OsloMet som avgjør og godkjenner hvilke opplysninger databehandler skal få tilgang til.

OsloMet har gjennomført risiko- og sårbarhetsanalyse (ROS) og personvernkonsekvensvurdering (DPIA) av plattformen ServiceNow. Prosessene har konkludert at dine rettigheter og friheter tilknyttet personopplysningsbehandlingen ivaretas og at personvernrisikoen er redusert slik at behandlingen gjennomføres i samsvar med personvernforordningen (GDPR). Så lenge det behandles personopplysninger i ServiceNow vil det regelmessig gjennomføres risiko- og sårbarhetsanalyser for å opprettholde sikringen av dine personopplysninger. I tillegg er det iverksatt sikkerhetstiltak, slik som tilgangskontroller, for å forhindre at flere ansatte enn nødvendig får tilgang til dine personopplysninger. Ansatte har taushetsplikt rundt personopplysninger de får tilgang til gjennom sitt arbeide.

Samtlige data vil i utgangspunktet til enhver tid behandles innenfor EU/EØS, i ServiceNow sine europeiske datalagringssentre og dermed være underlagt europeisk personvernlovgivning. ServiceNow er derimot en amerikanskeid virksomhet og nasjonal amerikansk lovgivning kan potensielt medføre at personopplysninger overføres til USA, da lovgivningen i visse tilfeller vil gi amerikanske myndigheter innsynsrett i informasjon (inkl. personopplysninger) som behandles av amerikanske virksomheter. ServiceNow er selvsertifisert med «EU-U.S. Data Privacy Network», dvs. at tredjelandsoverføringer vil være lovlig og samsvare med GDPR art. 45. Virksomheten må re-sertifiseres årlig. Se DPF - Participant details - ServiceNow Inc. for utfyllende informasjon.

Du har krav på å få informasjon om hvordan OsloMet behandler personopplysningene dine. Denne informasjonsplikten oppfylles gjennom denne personvernerklæringen. Du har også følgende rettigheter:

• Rett til innsyn
• Rett til retting
• Rett til begrensing av behandling
• Rett til sletting
• Rett til å klage over behandlingen.

Se vår nettside om dine rettigheter for utfyllende informasjon.

Se hvem som er behandlingsansvarlige og personvernkontakter ved OsloMet.