Innføringen av GDPR

General Data Protection Regulation (GDPR) - ny personvernforordning som trer i kraft 25. mai (EU) / 1. juli (EØS) 2018.

Før den nye personvernforordning trer i kraft vil Unit gå igjennom hvilken betydning forordningen får for institusjonene og systemer vi tilbyr.

Plikter/rettigheter som skal oppfylles

1.Aktiv informasjonsplikt
2.Rett til sletting under visse vilkår
3.Rett til innsyn i «sine» personopplysninger (og kopi)
4.Rett til korrigering av uriktige personopplysninger
5.Rett til å begrense behandlingen under visse vilkår
6.Rett til dataportabilitet under visse vilkår

1. Aktiv informasjonsplikt

Den behandlingsansvarlige er pålagt å aktivt informere den registrerte om at vi behandler hans/hennes personopplysninger.

Informasjonsplikten oppfylles gjennom personvernerklæringer. Personvernerklæringene skal blant annet informere den registrerte om hvilke personopplysninger som behandles, hvor lenge de lagres, hvor de eventuelt sendes, hvilke rettigheter den registrerte har og hvem som kan kontaktes. Unit mener at personvernerklæringene bør være på systemnivå.

Unit har ansvar for å utarbeide personvernerklæringer for systemene hvor Unit er behandlingsansvarlig for personopplysningene. Det gjelder følgende systemer:

  • GAUS
  • RUST
  • Vitnemålsportalen
  • Samordna opptak
  • NVB
  • CRISTIN

Institusjonenes ansvar å utarbeide personvernerklæringer for systemene hvor institusjonene er behandlingsansvarlige og KDTO er databehandler:

  • Datavarehus
  • EpN
  • EVUweb
  • Fagpersonweb
  • Felles studentsystem
  • Nomination
  • Studentbevis-appen

Merk! Selv om det er institusjonenes ansvar å utarbeide personvernerklæringer for systemene hvor institusjonene er behandlingsansvarlige har Unit besluttet å utarbeide forslag til personvernerklæringer også for disse systemene.

Personvernerklæringene må legges ut på nettsidene til institusjonene/Unit og vil gjøres tilgjengelige fra bunnteksten (footeren) i webapplikasjonene via modulvalg i FS. Modulvalgene vil være på plass i forkant av 1. juli.

Forslag til personvernerklæringer

Tjeneste Bokmål (Sist oppdatert/hva ble endret) Engelsk (Sist oppdatert/hva ble endret)
Felles studentsystem (FS)

25.04.2018

31.05.2018: Fra KDTO til Unit

21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

FS eng

13.06.2018

22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

EpN

19.04.2018

31.05.2018: Fra KDTO til Unit

21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

EpN eng

13.06.2018

22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

EVUweb (for søkere)

26.04.2018 / 4 Rettslig grunnlag

31.05.2018: Fra KDTO til Unit

21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

EVUweb (søkere) eng

13.06.2018

22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

EVUweb (for foretaksregistratorer)

19.04.2018

31.05.2018: Fra KDTO til Unit

13.06.2018: Endret fra "datasystemet FS" til "EVUweb" i pkt 2

21.06.2018: Endret fra "EpN" til "Nomination" i pkt 7.3

21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

EVUweb (foretak) eng

13.06.2018

22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

Fagpersonweb

19.04.2018

31.05.2018: Fra KDTO til Unit

21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

Fagpersonweb eng

13.06.2018

22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

Nomination

19.04.2018

31.05.2018: Fra KDTO til Unit

21.06.2018: Endret fra "EpN" til "Nomination" i pkt 7.3

21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

Nomination eng

13.06.2018

21.06.2018: Endret fra "RUST" til "Nomination" i headingen til pkt 5

22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

Studentweb

25.04.2018

31.05.2018: Fra KDTO til Unit

21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

Studentweb eng

13.06.2018

22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig

Studentbevis-appen

25.04.2018

31.05.2018: Fra KDTO til Unit

21.06.2018: "Hva er personopplysninger", henvisning til GDPR i pkt om behandlingsansvarlig og rettslig grunnlag

Studentbevis-appen eng

13.06.2018

22.06.2018: "Hva er personopplysninger", henvisning til GDPR i pkt om behandlingsansvarlig og rettslig grunnlag

Søknadsweb

25.04.2018

31.05.2018: Fra KDTO til Unit

21.06.2018: "Hva er personopplysninger", henvisning til GDPR i pkt om behandlingsansvarlig og rettslig grunnlag

Søknadsweb eng

13.06.2018

22.06.2018: "Hva er personopplysninger", henvisning til GDPR i pkt om behandlingsansvarlig og rettslig grunnlag

Unit har på vegne av sektoren bestilt engelske oversettelser av personvernerklæringene fra et oversetterbyrå. Disse ble klare 13. juni.

Når skal den registrerte informeres?

I de tilfeller vi innhenter personopplysninger direkte fra den registrerte:

  • informasjonen skal gis til den registrerte med én gang, det vil si på det tidspunkt innsamlingen skjer

I de tilfeller vi innhenter personopplysninger fra andre organer/kilder enn den registrerte, skal denne informasjonen gis senest i henhold til ett av disse punktene, jf. GDPR artikkel 14 nr. 3:

  • innen en rimelig frist etter at personopplysningene er samlet inn
    • men senest innen én måned
  • dersom personopplysningene skal brukes til å kommunisere med den registrerte
    • senest på det tidspunkt for den første kommunikasjonen
  • dersom behandlingen innebærer at personopplysningene skal utleveres til andre
    • senest når personopplysningene blir utlevert til andre

KDTO vil vurdere å tilpasse våre systemer slik at den aktive informasjonsplikten ivaretas best mulig og mest mulig automatisert. Videre vil vi vurdere om det er behov for tekniske løsninger for at det skal være mulig å informere den registrerte om endringer i personvernerklæringer på en effektiv måte.

2. Rett til sletting under visse vilkår

KDTO vil

  • gå igjennom og se om det i dag tas vare på noe som med fordel kan slettes
  • Vurdere hvilke data den registrerte har rett til å få slettet
  • Vurdere om det trengs ny funksjonalitet for å håndtere sletting
  • Se nærmere på utfordringen med å slette persondata fra back up hos USIT

3. Rett til innsyn i «sine» personopplysninger (og kopi)

Den registrerte kan få innsyn til mange av sine data via Søknadsweb, Studentweb, Studentbevis-appen og Vitnemålsportalen. I tilfeller hvor den registrerte ber om innsyn til alle personopplysinger i FS anbefaler vi institusjonene å ta ut en xml av personens data, printe det ut og sende via post.

KDTO vil vurdere hvordan institusjonene/KDTO på en enkel måte kan gi innsyn til en persons data som kun er knyttet applikasjonene (som som ikke ligger i FS. Eksempel på dette er fødselsnummer og institusjon i Vitnemålsportalen).

4. Rett til korrigering av uriktige personopplysninger

KDTO vil vurdere om det bør innføres funksjonalitet som gjør at institusjonene på en enkel måte kan oppfylle den registrertes rett til korrigering.

5. Rett til å begrense behandlingen under visse vilkår

KDTO vil vurdere i hvilke tilfeller den registrerte har rett til å få begrenset behandlingen.
KDTO vil vurdere om det bør innføres funksjonalitet som gjør at institusjonene på en enkel måte kan oppfylle den registrertes rett til å begrense behandling.

6. Rett til dataportabilitet under visse vilkår

KDTO vil vurdere i hvilke tilfeller den registrerte har rett til dataportabilitet.
KDTO vil vurdere om det bør innføres funksjonalitet som gjør at institusjonene på en enkel måte kan oppfylle den registrertes rett til dataportabilitet.
Publisert 8. feb. 2018 15:10 - Sist endret 22. juni 2018 14:40