Personvernerklæring for IT-avdelingen

Dette er en generell personvernerklæring for IT-avdelingen ved Universitetet i Sørøst-Norge (USN). Her er link til flere personvernerklæringer med mer detaljerte opplysninger knyttet til hvilke personopplysninger som lagres om deg i ulike IT-systemer.

Denne personvernerklæringen er godkjent av IT-sjefen og sist endret 07.06.18 av IT-avdelingens GDPR-prosjektgruppe.

Innhold:

  1. Kort om IT-avdelingens systemer/tjenester
  2. Hva er en personvernerklæring?
  3. Hva regnes som personopplysninger?
  4. Formålet med og rettslig grunnlag for behandling av personopplysninger i IT-avdelingens systemer/tjenester
  5. Hvilke personopplysninger lagres, og hvor får IT-avdelingen personopplysningene om deg fra?
  6. Hva bruker vi dine personopplysninger til?
  7. Overføring av personopplysninger til systemer/tjenester IT-avdelingen ikke har ansvaret for
  8. Hvor lenge lagrer vi dine personopplysninger?
  9. Sikkerheten knyttet til dine personopplysninger
  10. Dine rettigheter
  11. Kontaktinformasjon

 

1. Kort om IT-avdelingens systemer/tjenester

IT-avdelingen har ansvar for sentral brukerkontokatalog, samhandlingstjenester som e-post, Skype og diverse applikasjoner i MS Office-pakken, lagring og backup av personlige data og fellesdata, tilgang til fast og trådløst nett, saksbehandling av supporthenvendelser, distribusjon av programvare og USN-oppsett av ansatt-PCer.  I tillegg leverer vi nødvendige personopplysninger til produksjon av student- og ansattkort, adgangskontrollsystemene, utskrift/kopi via student-/ansattkort, for tilgangsstyring i USNs intranett og personopplysninger for automatisk brukeroppretting i noen administrative systemer (gjelder bare for ansatte).  For disse andre systemene som vi leverer personopplysninger til, vil det være andre enheter enn IT-avdelingen som har behandlingsansvaret og som dermed har ansvaret for personvern­erklæringer knyttet til disse systemene/tjenestene.

 

 2. Hva er en personvernerklæring?

Denne personvernerklæringen beskriver hvordan IT-avdelingen ved USN håndterer dine personopplysninger i sine datasystemer. Formålet med denne personvernerklæringen er å informere deg om hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter du har, og hvem du kan kontakte.

 

3. Hva regnes som personopplysninger?

Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Det avgjørende for om en opplysning er en personopplysning, er om opplysningene kan identifisere en konkret person.

Opplysninger, som ikke alene kan knyttes til en enkeltperson, kan i tilfeller hvor opplysningen forekommer sammen med andre data utgjøre en personopplysning.

 

4. Formålet med og rettslig grunnlag for behandling av personopplysninger i IT-avdelingens systemer/tjenester

Formålet for IT-avdelingens behandling av personopplysninger er å gi studenter og ansatte brukerkonto og tilgang til de ulike systemene og tjenestene som de har bruk for.  Behandlingen av personopplysninger hjemles i Universitets- og høyskoleloven § 4-15 (studenter), arbeidsavtale og HTA (ansatte) og GDPR artikkel 6 pkt. 1b og i noen tilfeller 1e (både studenter og ansatte).

 

5. Hvilke personopplysninger lagres, og hvor får IT-avdelingen personopplysningene om deg fra?

Du vil finne en detaljert opplisting av hvilke personopplysninger vi lagrer i de spesifikke personvernerklæringene knyttet til hvert enkelt formål/system.  Generelt lagres personalia (navn, e-postadresse, mobilnummer) og organisatoriske data (hvilken enhet i USN du er student eller ansatt ved, for ansatte også stillingstittel og jobbtelefon).  Den tilgangen du har i en del systemer, vil ofte være basert på om du er student eller ansatt og hvilken organisatorisk tilknytning du har.  I tillegg logges noe aktivitet (bl. a. når du var innlogget) i tekniske systemlogger av sikkerhetshensyn.

IT får i hovedsak sine personopplysninger fra studentregisteret (FS).  Dette gjelder både studenter og ansatte siden ansatte opprettes som fagpersoner i FS.  I tillegg oppgir du i enkelte tilfeller noen tilleggsopplysninger selv, og noen opplysninger genereres automatisk ut fra din egen bruk av systemene.

 

6. Hva bruker vi dine personopplysninger til?

Som nevnt i pkt. 4, er hovedformålet med ITs bruk av personopplysninger å gi deg som student eller ansatt brukerkonto og tilgang til alle systemer/tjenester du har bruk for, men samtidig ikke til systemer/tjenester som du ut fra din rolle ikke skal ha tilgang til.  Vi bruker da personopplysninger til å styre tilganger og rettigheter.  Dette gjelder alle systemer/

tjenester IT-tjenesten har ansvaret for selv, men også IT-systemer som andre enheter ved USN har ansvaret for.

 

7. Overføring av personopplysninger til systemer/tjenester IT-avdelingen ikke har ansvaret for

Noen systemer/tjenester får sine persondata direkte fra FS slik som IT.  Det gjelder for eksempel Canvas og Bibsys/Oria.  IT-avdelingen leverer imidlertid også et utvalg av sine persondata til systemer/tjenester som andre enheter i USN har ansvaret for.  Det gjelder bl. a. til systemer for produksjon av student- og ansattkort, adgangskontrollsystemene, databasen for kopi/utskrift og en mengde Feide-tjenester.  For Feide-tjenester er rutinene slik at du selv må akseptere listen med personopplysninger som overføres til tjenesten første gang du logger inn på den.  Se for øvrig mer detaljert beskrivelse i personvern­erklæringen for katalogtjenester og brukeradministrasjon.  IT-avdelingen leverer ikke fra seg dine personopplysninger til tredjepart som vi ikke har skriftlig avtale med.  Det vil ikke være aktuelt å inngå skriftlig avtale om utlevering av personopplysninger hvis ikke formålet er å gi deg som student eller ansatt tilgang til systemer/tjenester du har behov for.  Unntaket vil være rettslig krav om utlevering i forbindelse med mistanke om straffbare handlinger.  IT-avdelingen har systemer/tjenester der personopplysninger lagres i land utenfor EØS.  Dette er nærmere beskrevet i personvernerklæring for systemer/tjenester dette gjelder for.

 

8. Hvor lenge lagrer vi dine personopplysninger?

I de fleste av ITs systemer/tjenester vil alle opplysninger om deg bli slettet automatisk noen måneder etter at du har sluttet som student eller ansatt.  Det er noen få unntak.  Se nærmere presiseringer i de spesifikke personvernerklæringene knyttet til hvert formål/system.

 

9. Sikkerheten knyttet til dine personopplysninger

IT-avdelingen gjennomfører risiko- og sårbarhetsanalyser (ROS) for alle sine systemer/tjenester.  I forbindelse med ROS vurderes teknisk sikkerhet i USNs datasentre, tilgang til servere basert på aksesslister, hvem som har tilgang til nødvendige administratorkontoer for å kunne administrere ulike systemer og faren for at uvedkommende skal få tilgang til personopplysninger.  Siden kilden for personopplysninger i hovedsak bare er FS, og FS også er kilde for andre systemer/tjenester enn IT sine, er vi rimelig trygge på at feil i personopplysninger vil bli oppdaget og rettet raskt.

 

10. Dine rettigheter

Rett til informasjon og innsyn

Du har krav på å få informasjon om hvordan IT-avdelingen ved USN behandler dine personopplysninger. Denne personvernerklæringen er ment å inneholde den informasjonen du har rett til å få.

Du har også rett til å se/få innsyn i alle personopplysninger som er registrert om deg hos IT-avdelingen ved USN.  Du har også rett til å få utlevert en kopi av personopplysninger vi har registrert på deg, dersom du ønsker det.

Rett til korrigering

Du har rett til å få uriktige personopplysninger om deg korrigert. Du har også rett til å få ufullstendige personopplysninger om deg supplert. Dersom du mener vi har registrert feil eller mangelfulle personopplysninger om deg, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner og eventuelt dokumenterer hvorfor du mener personopplysningene er feil eller mangelfulle.  Siden FS er kilden for de fleste personopplysningene, vil du som student selv kunne korrigere enkelte feil ved å logge inn i StudentWeb.  Ansatte må ta kontakt med PO-avdelingen.

 Rett til å begrense behandlingen

I enkelte tilfeller kan du har rett til å kreve at behandlingen av dine personopplysninger blir begrenset. Begrensning av personopplysninger vil si at personopplysningene fortsatt blir lagret, men at mulighetene for videre behandling blir begrensede.

Dersom du mener at personopplysningene er feil eller mangelfulle, eller har fremmet en innsigelse mot behandlingen (se mer om dette under), har du rett til å kreve at behandlingen av dine personopplysninger midlertidig blir begrenset. Det vil si at behandlingen blir begrenset inntil vi eventuelt har rettet dine personopplysninger, eller har fått vurdert om innsigelsen din er berettiget.

I andre tilfeller kan du også kreve en mer permanent begrensning av dine personopplysninger. For å ha rett til å kreve begrensning av dine personopplysninger, må vilkårene i personopplysningsloven og GDPR artikkel 18 være oppfylte. Dersom vi mottar en henvendelse fra deg om begrensning av personopplysninger, vil vi vurdere om lovens vilkår er oppfylte.

Rett til sletting

I noen tilfeller har du rett til å kreve at vi sletter personopplysninger om deg. Retten til sletting er ikke en ubetinget rett, og hvorvidt du har rett til sletting må vurderes i lys av gjeldende lover om personvern, det vil si personopplysningsloven og GDPR. Dersom du ønsker å få slettet dine personopplysninger, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, og om mulig også opplyser hvilke personopplysninger du ønsker å få slettet. Vi vil da vurdere om vilkårene for å kreve sletting i loven er oppfylt. Vær oppmerksom på at lovverket i enkelte tilfeller gir oss anledning til å gjøre unntak fra retten til sletting. For eksempel vil dette være tilfelle når vi er nødt til å lagre personopplysningene for å oppfylle en oppgave vi er pålagt etter universitets- og høyskoleloven, eller for å ivareta viktige samfunnsinteresser som arkivering, forskning og statistikk.

Rett til å fremme innsigelse

Du kan ha rett til å fremme en innsigelse mot behandlingen, det vil si protestere mot behandlingen, dersom du har et særskilt behov for å få stanset behandlingen, f. eks. hvis du har et beskyttelsesbehov, fortrolig adresse, eller lignende. Innsigelsesretten er ikke en ubetinget rett, og den avhenger av hva som er det rettslige grunnlaget for behandlingen, og om du har et særskilt behov. Vilkårene går frem av GDPR artikkel 21. Hvis du fremmer en innsigelse mot behandlingen, vil vi vurdere om vilkårene for å fremme en innsigelse er oppfylt. Dersom vi kommer til at du har rett til å protestere mot behandlingen, og at innsigelsen er berettiget, vil vi stanse behandlingen og du vil også kunne kreve sletting av opplysningene. Vær oppmerksom på at vi i enkelte tilfeller likevel kan gjøre unntak fra sletting, f.eks. hvis vi er nødt til å lagre personopplysningene for å oppfylle en oppgave vi er pålagt etter universitets- og høyskoleloven, eller for å ivareta viktige samfunnsinteresser.

Rett til å klage over behandlingen

Dersom du mener vi ikke har behandlet personopplysningene på en korrekt og lovlig måte, eller hvis du mener at vi ikke har klart å oppfylle dine rettigheter, har du mulighet til å klage over behandlingen. Du finner informasjon om hvordan du kan kontakte oss under pkt. 11.

Dersom vi ikke tar klagen din til følge, har du mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven og GDPR ved behandling av personopplysninger.

Dataportabilitet

GDPR beskriver i artikkel 20 retten til dataportabilitet under visse forutsetninger.  Siden IT-avdelingen bare registrerer personinformasjon og organisatorisk tilknytning ved USN, anser vi et slikt krav for å være lite aktuelt.  Studenter og ansatte har til enhver tid tilgang til alle sine lagrede data (e-postmeldinger, websider, datafiler) og kan selv overføre disse til andre ved behov.

 

11. Kontaktinformasjon

For alle henvendelser omtalt i pkt. 10 ovenfor og andre spørsmål knyttet til denne personvernerklæringen og IT-avdelingenes behandling av personopplysninger i systemer og tjenester der IT-avdelingen er behandlingsansvarlig, er kontaktadressen it-support@usn.no

USN har også et eget personvernombud, og kontaktadressen til dette er personvernombud@usn.no.