Innføringen av GDPR

I forkant av at den nye personvernforordning trådte i kraft gikk Unit igjennom hvilken betydning forordningen ville få for institusjonene og systemer vi tilbyr.

Plikter/rettigheter som skal oppfylles

1. Aktiv informasjonsplikt

Den behandlingsansvarlige er pålagt å aktivt informere den registrerte om at vi behandler hans/hennes personopplysninger.

Informasjonsplikten oppfylles gjennom personvernerklæringer. Personvernerklæringene skal blant annet informere den registrerte om hvilke personopplysninger som behandles, hvor lenge de lagres, hvor de eventuelt sendes, hvilke rettigheter den registrerte har og hvem som kan kontaktes. Unit mener at personvernerklæringene bør være på systemnivå.

Unit utarbeidet personvernerklæringer for systemene hvor Unit er behandlingsansvarlig for personopplysningene. Det gjelder følgende systemer:

• GAUS
• RUST
• Vitnemålsportalen
• Samordna opptak
• NVB
• CRISTIN

Det er institusjonenes ansvar å utarbeide personvernerklæringer for systemene hvor institusjonene er behandlingsansvarlige og Unit er databehandler:

• Datavarehus
• EpN
• EVUweb
• Fagpersonweb
• Felles studentsystem
• Flyt
• Nomination
• Studentbevis-appen
• Studentweb
• Søknadsweb

Merk! Selv om det var institusjonenes ansvar å utarbeide personvernerklæringer for systemene hvor institusjonene er behandlingsansvarlige, besluttet Unit å utarbeide forslag til personvernerklæringer også for disse systemene.

Personvernerklæringene må legges ut lett tilgjengelig hos institusjonene/Unit (gjerne på nettsidene) og vil også gjøres tilgjengelige inne i selve applikasjonene (fra bunnteksten/footeren). (For å få frem lenke til personvernerklæringene i applikasjonene må aktuelt modulvalg i FS aktiveres).

Forslag til personvernerklæringer

De engelske oversettelsene av personvernerklæringene er utført av et oversetterbyrå (disse ble klare 13. juni 2018).

Når skal den registrerte informeres?

I de tilfeller vi innhenter personopplysninger direkte fra den registrerte:

• informasjonen skal gis til den registrerte med én gang, det vil si på det tidspunkt innsamlingen skjer

I de tilfeller vi innhenter personopplysninger fra andre organer/kilder enn den registrerte, skal denne informasjonen gis senest i henhold til ett av disse punktene, jf. GDPR artikkel 14 nr. 3:

• innen en rimelig frist etter at personopplysningene er samlet inn
  • men senest innen én måned
• dersom personopplysningene skal brukes til å kommunisere med den registrerte
  • senest på det tidspunkt for den første kommunikasjonen
• dersom behandlingen innebærer at personopplysningene skal utleveres til andre
  • senest når personopplysningene blir utlevert til andre

2. Rett til sletting under visse vilkår

Unit gjorde en gjennomgang for å

• se om det i dag tas vare på noe som med fordel kan slettes
• vurdere hvilke data den registrerte har rett til å få slettet
• vurdere om det trengs ny funksjonalitet for å håndtere sletting
• se nærmere på utfordringen med å slette persondata fra back up hos USIT

Resultatet av dette arbeidet kan fås ved henvendelse til Unit.

3. Rett til innsyn i «sine» personopplysninger (og kopi)

Den registrerte kan få innsyn til mange av sine data via Søknadsweb, Studentweb, Studentbevis-appen og Vitnemålsportalen. I tilfeller hvor den registrerte ber om innsyn til alle personopplysinger i FS anbefaler vi institusjonene å ta ut en xml av personens data, printe det ut og sende via post. Rapporten FS200.020 kan da benyttes.

4. Rett til korrigering av uriktige personopplysninger

I løpet av prosjektperioden ble det ikke besluttet å utvikle funksjonalitet knyttet til å oppfylle den registrertes rett til korrigering.

5. Rett til å begrense behandlingen under visse vilkår

6. Rett til dataportabilitet under visse vilkår