Innføringen av GDPR

General Data Protection Regulation (GDPR) - ny personvernforordning trådte i kraft 25. mai 2018 (EU) / 1. juli 2018 (EØS).

I forkant av at den nye personvernforordning trådte i kraft gikk Unit igjennom hvilken betydning forordningen ville få for institusjonene og systemer vi tilbyr.

Plikter/rettigheter som skal oppfylles

1.Aktiv informasjonsplikt
2.Rett til sletting under visse vilkår
3.Rett til innsyn i «sine» personopplysninger (og kopi)
4.Rett til korrigering av uriktige personopplysninger
5.Rett til å begrense behandlingen under visse vilkår
6.Rett til dataportabilitet under visse vilkår

1. Aktiv informasjonsplikt

Den behandlingsansvarlige er pålagt å aktivt informere den registrerte om at vi behandler hans/hennes personopplysninger.

Informasjonsplikten oppfylles gjennom personvernerklæringer. Personvernerklæringene skal blant annet informere den registrerte om hvilke personopplysninger som behandles, hvor lenge de lagres, hvor de eventuelt sendes, hvilke rettigheter den registrerte har og hvem som kan kontaktes. Unit mener at personvernerklæringene bør være på systemnivå.

Unit utarbeidet personvernerklæringer for systemene hvor Unit er behandlingsansvarlig for personopplysningene. Det gjelder følgende systemer:

  • GAUS
  • RUST
  • Vitnemålsportalen
  • Samordna opptak
  • NVB
  • CRISTIN

Det er institusjonenes ansvar å utarbeide personvernerklæringer for systemene hvor institusjonene er behandlingsansvarlige og Unit er databehandler:

  • Datavarehus
  • EpN
  • EVUweb
  • Fagpersonweb
  • Felles studentsystem
  • Nomination
  • Studentbevis-appen

Merk! Selv om det var institusjonenes ansvar å utarbeide personvernerklæringer for systemene hvor institusjonene er behandlingsansvarlige, besluttet Unit å utarbeide forslag til personvernerklæringer også for disse systemene.

Personvernerklæringene må legges ut lett tilgjengelig hos institusjonene/Unit (gjerne på nettsidene) og vil også gjøres tilgjengelige inne i selve applikasjonene (fra bunnteksten/footeren). (For å få frem lenke til personvernerklæringene i applikasjonene må aktuelt modulvalg i FS aktiveres).

Forslag til personvernerklæringer

Tjeneste Bokmål (Sist oppdatert/hva ble endret) Engelsk (Sist oppdatert/hva ble endret)
Felles studentsystem (FS)

25.04.2018

31.05.2018: Fra KDTO til Unit

21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

FS eng

13.06.2018

22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

EpN

19.04.2018

31.05.2018: Fra KDTO til Unit

21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

EpN eng

13.06.2018

22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

EVUweb (for søkere)

26.04.2018 / 4 Rettslig grunnlag

31.05.2018: Fra KDTO til Unit

21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

EVUweb (søkere) eng

13.06.2018

22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

EVUweb (for foretaksregistratorer)

19.04.2018

31.05.2018: Fra KDTO til Unit

13.06.2018: Endret fra "datasystemet FS" til "EVUweb" i pkt 2

21.06.2018: Endret fra "EpN" til "Nomination" i pkt 7.3

21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

EVUweb (foretak) eng

13.06.2018

22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

Fagpersonweb

19.04.2018

31.05.2018: Fra KDTO til Unit

21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

Fagpersonweb eng

13.06.2018

22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

Flyt 11.03.2019 Flyt eng 11.03.2019
Nomination

19.04.2018

31.05.2018: Fra KDTO til Unit

21.06.2018: Endret fra "EpN" til "Nomination" i pkt 7.3

21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

Nomination eng

13.06.2018

21.06.2018: Endret fra "RUST" til "Nomination" i headingen til pkt 5

22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

Studentweb

25.04.2018

31.05.2018: Fra KDTO til Unit

21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

Studentweb eng

13.06.2018

22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

Studentbevis-appen

25.04.2018

31.05.2018: Fra KDTO til Unit

21.06.2018: "Hva er personopplysninger", henvisning til GDPR i pkt om behandlingsansvarlig og rettslig grunnlag

Studentbevis-appen eng

13.06.2018

22.06.2018: "Hva er personopplysninger", henvisning til GDPR i pkt om behandlingsansvarlig og rettslig grunnlag

Søknadsweb

25.04.2018

31.05.2018: Fra KDTO til Unit

21.06.2018: "Hva er personopplysninger", henvisning til GDPR i pkt om behandlingsansvarlig og rettslig grunnlag

Søknadsweb eng

13.06.2018

22.06.2018: "Hva er personopplysninger", henvisning til GDPR i pkt om behandlingsansvarlig og rettslig grunnlag

De engelske oversettelsene av personvernerklæringene er utført av et oversetterbyrå (disse ble klare 13. juni 2018).

Når skal den registrerte informeres?

I de tilfeller vi innhenter personopplysninger direkte fra den registrerte:

  • informasjonen skal gis til den registrerte med én gang, det vil si på det tidspunkt innsamlingen skjer

I de tilfeller vi innhenter personopplysninger fra andre organer/kilder enn den registrerte, skal denne informasjonen gis senest i henhold til ett av disse punktene, jf. GDPR artikkel 14 nr. 3:

  • innen en rimelig frist etter at personopplysningene er samlet inn
    • men senest innen én måned
  • dersom personopplysningene skal brukes til å kommunisere med den registrerte
    • senest på det tidspunkt for den første kommunikasjonen
  • dersom behandlingen innebærer at personopplysningene skal utleveres til andre
    • senest når personopplysningene blir utlevert til andre

2. Rett til sletting under visse vilkår

Unit gjorde en gjennomgang for å

  • se om det i dag tas vare på noe som med fordel kan slettes
  • vurdere hvilke data den registrerte har rett til å få slettet
  • vurdere om det trengs ny funksjonalitet for å håndtere sletting
  • se nærmere på utfordringen med å slette persondata fra back up hos USIT

Resultatet av dette arbeidet kan fås ved henvendelse til Unit.

3. Rett til innsyn i «sine» personopplysninger (og kopi)

Den registrerte kan få innsyn til mange av sine data via Søknadsweb, Studentweb, Studentbevis-appen og Vitnemålsportalen. I tilfeller hvor den registrerte ber om innsyn til alle personopplysinger i FS anbefaler vi institusjonene å ta ut en xml av personens data, printe det ut og sende via post. Rapporten FS200.020 kan da benyttes.

4. Rett til korrigering av uriktige personopplysninger

I løpet av prosjektperioden ble det ikke besluttet å utvikle funksjonalitet knyttet til å oppfylle den registrertes rett til korrigering.

5. Rett til å begrense behandlingen under visse vilkår

I løpet av prosjektperioden ble det ikke besluttet å utvikle funksjonalitet knyttet til å oppfylle den registrertes rett til begrenset behandling.

6. Rett til dataportabilitet under visse vilkår

I løpet av prosjektperioden ble det ikke besluttet å utvikle funksjonalitet knyttet til å oppfylle den registrertes rett til dataportabilitet.
Publisert 8. feb. 2018 15:10 - Sist endret 10. mai 2019 10:17