Få utskriftsvennlig versjon ved å trykke på denne

GDPR - ofte stilte spørsmål (FAQ)

GDPR-prosjektet har så langt forholdt seg til ledernivåene med tanke på hvilken informasjon som går ut. Universitetsledelsen, fakultetsdirektørene, avdelingslederne og personalsjefene har alle fått informasjon i egne møter. Likevel ser vi nå at ansatte på andre nivåer etterspør mer info, og det er rett og slett bare grunnet kapasitet at det ikke har kommet noe tidligere. Her er svar på noen av de vanligste spørsmålene:

Hvorfor sender ikke UiT ut personvernerklæringer, slik nettbutikkene gjør?

Nettbutikkene sender ofte ut personvernerklæringer samtidig som de ber om at du samtykker til at de fortsatt skal sende deg nyhetsbrev eller lignende. De anser det nok derfor som en grei måte å kombinere å gi informasjon samtidig som de ber om tilbakemelding, i tillegg til at personvernerklæringen bidrar til at samtykket kan anses som informert (ett av kravene for at samtykke skal være gyldig).

Personvernerklæringene er en vanlig måte å oppfylle informasjonsplikten på. UiT behandler personopplysninger i stort omfang, av ulike typer og for ulike grupper (ansatte, studenter, gjester, forskningsdeltakere etc). Det å sende ut samlet informasjon til alle som har en tilknytning til UiT blir for generelt. Øvrige virksomheter, som f.eks nettbutikker, vil ofte kunne ha mer enhetlig behandling av personopplysninger (felles/likt for alle kunder), og da kan utsending «i bulk» være den mest hensiktsmessige måten å sørge for at påkrevd informasjon blir gitt. Det lages en overordnet personvernerklæring for UiT, men primært vil personvernerklæringene bli laget for de enkelte systemer og prosesser. Nødvendig informasjon vil også kunne gis uten at vi kaller det for «personvernerklæring». Du vil få denne informasjonen der opplysningene behandles (f.eks gjennom søknadsweb før man sender inn søknad om opptak, via JobbNorge før jobbsøknad sendes, i Paga om hvordan ansatteopplysninger behandles, i tilknytning til det enkelte forskningsprosjekt etc).

Videre har UiT ikke behov for denne samtidige tilbakemeldingen som mange nettbutikker mener de behøver (fornyelse av samtykke). Dette er det flere grunner til, men primært fordi UiT hovedsakelig bygger på andre lovlige grunnlag enn samtykke når vi behandler ansattes, studenters og andres personopplysninger. F.eks at behandlingen er nødvendig for oppfyllelse av avtale, oppfylle en rettslig forpliktelse, utøve offentlig myndighet mv. Der vi benytter samtykke (f.eks i forskningsprosjekter) så vil de avgitte samtykkene normalt sett være gode nok også etter den nye lovgivningen.

Våre personvernerklæringer er under utarbeidelse nå.

Hva skjer med personvernombudet?

Universitetsdirektøren vedtok intern utlysning av 100 % stilling som personvernombud tidligere i vår, og søknadsfristen gikk den 10. mai. Vi vet at det var noen søkere på denne, men mer kan vi ikke si før prosessen har gått sin gang. 

Hva skjer med kartleggingen av behandlinger?

Prosjektgruppen har samarbeidet med Avdeling for utdanning, Avdeling for forskning og utviklingsarbeid og Avdeling for personal og organisasjon for å få et grep om hvilke behandlinger hvor det inngår personopplysninger ved UiT - sett fra nivå 1 i administrasjonen. En protokoll er påbegynt, men det gjenstår en god del.

Neste steg i arbeidet med å få samlet sammen en protokoll over alle behandlingene ble sendt ut til fakultetsdirektørene den 25. mai, og vi avventer svar. Etter denne runden tror vi at vi sitter med et ganske godt overblikk over alle tenkelige og utenkelige måter personopplysninger flyter i UiTs systemer.

Hva skjer med interne retningslinjer, reglementer og rutiner som må tilpasses til GDPR?

En stor arbeidsgruppe jobber med disse styrende dokumentene, og folk fra Avdeling for IT, Avdeling for forskning og utviklingsarbeid, Avdeling for utdanning, Helsefak, Avdeling for personal og organisasjon + Seksjon for økonomi er så langt involvert i dette arbeidet.

Styringssystemet for informasjonssikkerhet med vedlegg er under revisjon, og en del av personvernerklæringene er også under utarbeidelse.

Arbeidet konkluderes den 8. juni, og da skal retningslinjene sammenlignes og vedtas, før de til sist godkjennes og kan gjøres kjent. Vi har med andre ord en vei å gå, ennå.

 

Hva skjer med nye regler for varsling av brudd på personvernet, samt de nye innsynsreglene?

Problemstillingene jobbes med i respektive arbeidsgrupper, men er ikke konkludert ennå.

Hva skjer med risiko- og sårbarhetsvurderinger?

Det følger av det interne regelverket (og lovverket) vi er underlagt i dag at vi skal kjøre ROS-vurderinger - dette blir ikke spesielt strengere med nytt lovverk. Prosjektet ser likevel på andre og mer effektive verktøy og hvordan vi skal klare å øke omfanget av gjennomførte ROS-vurderinger ved UiT.

Problemstillingene jobbes med i respektive arbeidsgrupper, men er ikke konkludert ennå.

Både systemeiere og forskningsadministrativt personell er kjente med arbeidet, og er i flere tilfeller direkte involvert i arbeidsgruppen.

Skal vi få opplæring i nytt personvernregelverk?

Prosjektet kommer med et opplæringstilbud når leveransene fra de andre arbeidsgruppene er på plass.

Studenter vil få et generelt opplæringstilbud i form av et e-læringskurs.

De som er veldig opptatte av det nye lovverket kan enn så lenge ta for seg veilederne fra Datatilsynet inntil prosjektet kommer ut med tilpasset opplæring som er mer relevant for deg ved UiT.



Ansvarlig for siden: Jan Ketil Petersen
Sist oppdatert: 29.05.2018 10:21