I forkant av at den nye personvernforordning trådte i kraft gikk Unit igjennom hvilken betydning forordningen ville få for institusjonene og systemer vi tilbyr.
Plikter/rettigheter som skal oppfylles
1. Aktiv informasjonsplikt
Den behandlingsansvarlige er pålagt å aktivt informere den registrerte om at vi behandler hans/hennes personopplysninger.
Informasjonsplikten oppfylles gjennom personvernerklæringer. Personvernerklæringene skal blant annet informere den registrerte om hvilke personopplysninger som behandles, hvor lenge de lagres, hvor de eventuelt sendes, hvilke rettigheter den registrerte har og hvem som kan kontaktes. Unit mener at personvernerklæringene bør være på systemnivå.
Unit utarbeidet personvernerklæringer for systemene hvor Unit er behandlingsansvarlig for personopplysningene. Det gjelder følgende systemer:
Det er institusjonenes ansvar å utarbeide personvernerklæringer for systemene hvor institusjonene er behandlingsansvarlige og Unit er databehandler:
- Datavarehus
- EpN
- EVUweb
- Fagpersonweb
- Felles studentsystem
- Flyt
- Nomination
- Studentbevis-appen
- Studentweb
- Søknadsweb
Merk! Selv om det var institusjonenes ansvar å utarbeide personvernerklæringer for systemene hvor institusjonene er behandlingsansvarlige, besluttet Unit å utarbeide forslag til personvernerklæringer også for disse systemene.
Personvernerklæringene må legges ut lett tilgjengelig hos institusjonene/Unit (gjerne på nettsidene) og vil også gjøres tilgjengelige inne i selve applikasjonene (fra bunnteksten/footeren). (For å få frem lenke til personvernerklæringene i applikasjonene må aktuelt modulvalg i FS aktiveres).
Forslag til personvernerklæringer
Tjeneste | Bokmål (Sist oppdatert/hva ble endret) | Engelsk (Sist oppdatert/hva ble endret) | |
---|---|---|---|
Felles studentsystem (FS) |
25.04.2018 31.05.2018: Fra KDTO til Unit 21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig |
FS eng |
13.06.2018 22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig |
EpN |
19.04.2018 31.05.2018: Fra KDTO til Unit 21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig |
EpN eng |
13.06.2018 22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig |
EVUweb (for søkere) |
26.04.2018 / 4 Rettslig grunnlag 31.05.2018: Fra KDTO til Unit 21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig |
EVUweb (søkere) eng |
13.06.2018 22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig |
EVUweb (for foretaksregistratorer) |
19.04.2018 31.05.2018: Fra KDTO til Unit 13.06.2018: Endret fra "datasystemet FS" til "EVUweb" i pkt 2 21.06.2018: Endret fra "EpN" til "Nomination" i pkt 7.3 21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig |
EVUweb (foretak) eng |
13.06.2018 22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig |
Fagpersonweb |
19.04.2018 31.05.2018: Fra KDTO til Unit 21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig |
Fagpersonweb eng |
13.06.2018 22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig |
Flyt | 11.03.2019 | Flyt eng | 11.03.2019 |
Nomination |
19.04.2018 31.05.2018: Fra KDTO til Unit 21.06.2018: Endret fra "EpN" til "Nomination" i pkt 7.3 21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig |
Nomination eng |
13.06.2018 21.06.2018: Endret fra "RUST" til "Nomination" i headingen til pkt 5 22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig |
Studentweb |
25.04.2018 31.05.2018: Fra KDTO til Unit 21.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig |
Studentweb eng |
13.06.2018 22.06.2018: "Hva er personopplysninger" og henvisning til GDPR i pkt om behandlingsansvarlig |
Studentbevis-appen |
25.04.2018 31.05.2018: Fra KDTO til Unit 21.06.2018: "Hva er personopplysninger", henvisning til GDPR i pkt om behandlingsansvarlig og rettslig grunnlag |
Studentbevis-appen eng |
13.06.2018 22.06.2018: "Hva er personopplysninger", henvisning til GDPR i pkt om behandlingsansvarlig og rettslig grunnlag |
Søknadsweb |
25.04.2018 31.05.2018: Fra KDTO til Unit 21.06.2018: "Hva er personopplysninger", henvisning til GDPR i pkt om behandlingsansvarlig og rettslig grunnlag |
Søknadsweb eng |
13.06.2018 22.06.2018: "Hva er personopplysninger", henvisning til GDPR i pkt om behandlingsansvarlig og rettslig grunnlag |
De engelske oversettelsene av personvernerklæringene er utført av et oversetterbyrå (disse ble klare 13. juni 2018).
Når skal den registrerte informeres?
I de tilfeller vi innhenter personopplysninger direkte fra den registrerte:
- informasjonen skal gis til den registrerte med én gang, det vil si på det tidspunkt innsamlingen skjer
I de tilfeller vi innhenter personopplysninger fra andre organer/kilder enn den registrerte, skal denne informasjonen gis senest i henhold til ett av disse punktene, jf. GDPR artikkel 14 nr. 3:
- innen en rimelig frist etter at personopplysningene er samlet inn
- men senest innen én måned
- dersom personopplysningene skal brukes til å kommunisere med den registrerte
- senest på det tidspunkt for den første kommunikasjonen
- dersom behandlingen innebærer at personopplysningene skal utleveres til andre
- senest når personopplysningene blir utlevert til andre
2. Rett til sletting under visse vilkår
Unit gjorde en gjennomgang for å
- se om det i dag tas vare på noe som med fordel kan slettes
- vurdere hvilke data den registrerte har rett til å få slettet
- vurdere om det trengs ny funksjonalitet for å håndtere sletting
- se nærmere på utfordringen med å slette persondata fra back up hos USIT
Resultatet av dette arbeidet kan fås ved henvendelse til Unit.
3. Rett til innsyn i «sine» personopplysninger (og kopi)
Den registrerte kan få innsyn til mange av sine data via Søknadsweb, Studentweb, Studentbevis-appen og Vitnemålsportalen. I tilfeller hvor den registrerte ber om innsyn til alle personopplysinger i FS anbefaler vi institusjonene å ta ut en xml av personens data, printe det ut og sende via post. Rapporten FS200.020 kan da benyttes.
4. Rett til korrigering av uriktige personopplysninger
I løpet av prosjektperioden ble det ikke besluttet å utvikle funksjonalitet knyttet til å oppfylle den registrertes rett til korrigering.