Personvern og studieadministrasjon

Sadia ZakaJuridisk seniorrådgiver

Unit

Hva er personvern?

Retten til privatliv

- Familie, hjem og korrespondanse

Retten til å bestemme over egne personopplysninger

Vern av personopplysninger ved elektronisk behandling

Studieadministrasjon

Studieadministrative systemer: Felles studentsystem og FS-applikasjoner

Personopplysninger om studenter må behandles på et forsvarlig vis og i henhold til gjeldende regelverk

Gjeldende regelverk om personvern

o GPDR- General Data Protection Regulation

o GDPR gjelder som norsk lov, supplert med bestemmelser i den norske personopplysningsloven

o Hensikten med reglene er å ivareta personvernet og rettighetene til den enkelte borger

Viktige definisjoner/begreper

• Personopplysning: Enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person (identifisering kan skje både direkte eller indirekte)

• Den registrerte: Den fysiske personen som en personopplysning kan knyttes til

• Behandling: Enhver bruk av personopplysninger, som f.eks. innsamling, registrering, organisering, lagring, endring, tilpasning, gjenfinning, utlevering, overføring, spredning osv.

• Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes

• Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige

• Behandlingsgrunnlag: Behandlingen må være lovlig og ha et rettslig grunnlag. F.eks. samtykke eller lovhjemmel.

Rollefordeling – Institusjonene og Unit

• Utdanningsinstitusjonen er behandlingsansvarlig for personopplysninger som behandles i: • Felles studentsystem

• EVUweb

• Fagpersonweb

• Nomination

• Studentbevis-appen

• Studentweb

• Søknadsweb

• Datavarehus

• Unit er databehandler: • System- og tjenesteleverandør

• Forvaltning

• Administrering

• Drift

• Utvikling

Personvernprinsipper – GDPR artikkel 5

• Personopplysningene må behandles på en lovlig, rettferdig, og åpen måte med hensyn til den registrerte

• Formålsbegrensning – Personopplysninger skal kun samles inn og behandles til spesifikke, uttrykkelig angitte og berettigede formål

• Dataminimering – Behandlingsansvarlig skal kun behandle/samle inn de opplysninger som er nødvendig for å oppfylle det definerte formålet med behandlingen

• Riktighet - Korrekte og oppdaterte opplysninger. Krav om opplysningskvalitet.

• Lagringsbegrensning – Personopplysninger skal ikke lagres lenger enn nødvendig

• Ivareta integritet og konfidensialitet ved behandlingen

• Prinsippet om ansvarlighet – Plikt til ansvar og dokumentasjon

08.11.2018 7

Rettslig grunnlag – Studieadministrative formål

• Strenge krav til rettslig grunnlag for behandling av personopplysninger, jf. GDPR art. 6.

• Studieadministrative formål:

• GDPR artikkel 6 nr. 1 bokstav e): Behandlingen er nødvendig for å utøve offentlig myndighet

• GDPR artikkel 6 nr. 3: Krav om supplerende rettslig grunnlag i nasjonal lovgivning (lov eller forskrift)

• Grunnlaget for utøving av offentlig myndighet: Universitets- og høyskoleloven og tilhørende forskrifter

• Supplerende rettsgrunnlag for behandling av personopplysninger i studieadministrative systemer: Uhl. § 4-15

08.11.2018 8

Uhl. § 4-15. Innhenting og behandling av personopplysninger i studieadministrative systemer

(1) Utdanningsinstitusjonen kan behandle personopplysninger om en søker, student eller doktorgradskandidat når formålet med behandlingen er å ivareta den registrertes rettigheter, eller å oppfylle institusjonens oppgaver og plikter etter universitets- og høyskoleloven.

(2) Utdanningsinstitusjonen kan behandle opplysninger om navn, fødselsnummer, midlertidig fødselsnummer, D-nummer og karakterer fra videregående opplæring og universiteter og høyskoler hentet fra offentlige myndigheter, offentlige systemer for vitnemål, statlige, fylkeskommunale og private utdanningsinstitusjoner når dette er nødvendig for å oppfylle formålet som er nevnt i første ledd. Innhenting av opplysningene kan skje elektronisk.

(3) Utdanningsinstitusjonen kan også behandle opplysninger om helse, sosiale forhold og andre sensitive opplysninger som studenten selv har gitt institusjonen, eller har samtykket til at institusjonene skal få, når disse opplysningene er nødvendige for formål som nevnt i første ledd. Disse begrensningene i institusjonens adgang til å behandle opplysninger om helse, sosiale forhold og andre sensitive opplysninger gjelder ikke for nødvendig behandling etter §§ 4-10 og 4-12.

(4) Utdanningsinstitusjonen kan fatte vedtak ved helt eller delvis automatisert saksbehandling i sine studieadministrative systemer.Den personen som vedtaket retter seg mot, kan kreve at vedtaket overprøves manuelt av utdanningsinstitusjonen.

(5) Utdanningsinstitusjonen kan motta og behandle studentens politiattest elektronisk i sine studieadministrative systemer på studier der det kreves at studenten skal legge frem politiattest, jf. § 4-9. Politiattest som er utstedt og signert digitalt, kan kun leveres til utdanningsinstitusjonen i digital form. Det forutsettes at studenten selv innhenter og formidler politiattesten til utdanningsinstitusjonen.

(6) Departementet kan gi forskrift om behandling og registrering av personopplysninger i studieadministrative systemer.

08.11.2018 9

Hva har vi oppnådd med den nye bestemmelsen i uhl. § 4-15?

• GDPR stiller krav om et supplerende rettslig grunnlag i nasjonal lovgivning – Ved utøvelse av offentlig myndighet

• Lik praksis i sektoren – Rettslig grunnlag og formål

• Åpenhet og forutsigbarhet om hvordan personopplysninger blir behandlet

• Lovhjemmel for behandling av sensitive personopplysninger

• Digitale politiattester – Hjemmel for elektronisk behandling (vil forhindre forfalskninger)

• Lovhjemmel for automatisert saksbehandling • I Felles studentsystem skjer det f.eks. innvilgelse av undervisnings- og eksamensmeldinger etter

helautomatisert saksbehandling.

08.11.2018 10

Den nye lovbestemmelsen vil fremme digitalisering og effektivisering

• Den nye lovbestemmelsen i uhl. § 4-15 vil bidra til å oppfylle kravene i personvernforordningen, og samtidig bidra til økt digitalisering og effektivisering innen studieadministrasjon:

• Innhentingen av nødvendige personopplysninger fra andre organer/systemer kan skje på en enklere måte – Klarere hjemmel for innhenting

• Mindre bruk av samtykker når behandlingen kan hjemles direkte i uhl.

• Enkeltvedtak og avgjørelser kan fattes ved helautomatisert saksbehandling

• Sensitive personopplysninger og politiattester vil kunne behandles elektronisk

08.11.2018 11

Litt om Units bidrag – GDPR og FS

• Fremmet forslag om supplerende rettsgrunnlag (høsten 2016)

• Utarbeidet personvernerklæringer for FS og applikasjonene

• Funksjonalitet for tilgjengeliggjøring av personvernerklæringer

• Kartlegging av opplysningstyper og datakilder

• Inngått nye databehandleravtaler

• https://www.fellesstudentsystem.no/applikasjoner/gdpr/index.html

Institusjonen erbehandlingsansvarlig- Institusjonen har flest plikter etter

GDPR, i rollen som behandlingsansvarlig for sine FS-data

- Institusjonen må ha sin «egen» dokumentasjon når det gjelder behandling av personopplysninger i FS, f. eks. protokoll og risikovurderinger

- Enkelte ting må være på plass på institusjonsnivå:

- Personvernombud- Rutiner for melding av avvik - Rutiner for behandling av henvendelser

fra de registrerte (studenter)- Rutiner for internkontroll

Personvern – Et ledelsesansvar

• GDPR, personvern og informasjonssikkerhet Et ledelsesansvar

• Ledelsen må forstå viktigheten av personvern og kjenne til regelverket

• Etterlevelse av GDPR og dokumentasjon

• Prioritere personvern og sette det på agendaen. Sette av nok ressurser.

• Manglende etterlevelse av GDPR – Store bøter og dårlig omdømme

Problemstillingerknyttet til personvern

- Oppsøk institusjonens personvernombud for bistand

- Evt. institusjonens sikkerhetsansvarlig

- Er problemstillingen systemrelatert og knyttet til FS? Send en henvendelse til Unit, evt. FS-planleggingsgruppe