Få utskriftsvennlig versjon ved å trykke på denne

Personvern

Denne siden er flyttet til https://uit.no/personvern

 

 

Introduksjon

Det er svært viktig å ha klart for seg hvilke roller ulike aktører har i behandlingen av personopplysninger.

Dette for å vite hvem som har ansvaret for at personopplysninger behandles lovlig, hvem som skal ta avgjørelser om behandlingen, hvem de registrerte kan henvende seg til for å utøve sine rettigheter mv.

  • Hvem er behandlingsansvarlig? Har UiT dette ansvaret alene eller er det felles med andre?
  • Benytter UiT databehandler? Hva kreves for at dette skal skje på lovlig vis?
  • Er UiT databehandler for andre? Hva innebærer denne rollen?
  • Overføres opplysninger til utlandet, hva må være på plass for at dette er lovlig?
  • Har UiT eksterne aktører som utfører oppdrag for oss, hvor det kan tenkes at de får befatning med personopplysninger, men likevel ikke er databehandler?

 

 

Ressurser

 

 

 

 

 

 

 

Nærmere informasjon

Personopplysning

Enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person, enten direkte eller indirekte, se personvernforordningen artikkel 4 nr 1.  

Dette kan f.eks være navn, telefonnummer, e-postadresse, alder, vurderinger, lokasjonsdata, eksamensbesvarelser, helseopplysninger, video, bilder, lydopptak, adferdsmønster m.m.

Det er irrelevant om opplysningene er objektivt verifiserbare, subjektive, betydningsfulle, trivielle, offentlig tilgjengelige, sanne eller usanne. Hvis de kan knyttes til en person (direkte eller indirekte) er det personopplysninger.

Behandling

Enhver operasjon (enkeltstående eller sammensatt) som gjøres med personopplysningene, se personvernforordningen artikkel 4 nr 2

Dette kan f.eks være innsamling, lagring, bruk, organisering, utlevering, strukturering, sammenstilling, registrering, sletting mv. 

 

Rett og slett alt som gjøres eller skjer med opplysningene. 

 

Om ulike operasjoner med de samme opplysningene (f.eks innsamling, lagring, sammenstilling mv) regnes til én og samme behandling, eller flere, kommer an på formålet. Hvis alle operasjonene er for å oppnå ett og samme formål (eksempelvis opptak til et emne) så regnes det som én behandling.

Særlige kategorier personopplysninger

I personvernforordningen er det enkelte kategorier personopplysninger som er skilt ut, jf artikkel 9

Disse kalles "særlige kategorier personopplysninger" og det som omfattes er behandling av personopplysninger om

  • rasemessig eller etnisk opprinnelse,
  • politisk oppfatning,
  • religion,
  • filosofisk overbevisning eller
  • fagforeningsmedlemskap, 

samt behandling av

  • genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person,
  • helseopplysninger eller
  • opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering

Vær også oppmerksom på at behandling av personopplysninger om straffedommer og lovovertredelser er særskilt regulert, jf artikkel 10.

Behandlingsgrunnlag

For å kunne lovlig behandle personopplysninger er det en rekke vilkår som må oppfylles. Ett av disse er at det må foreligge et behandlingsgrunnag. Dette kan være f.eks samtykke, oppfyllelse av en avtale med personen(e) det gjelder, utøvelse av offentlig myndighet, berettiget interesse mv.

 

Behandlingsgrunnlag fremkommer av artikkel 6. For særlige kategorier personopplysninger må man også oppfylle vilkårene om behandlingsgrunnlag etter artikkel 9.

 

Vær oppmerksom på at flere av behandlingsgrunnlagene etter artikkel 6 og 9 krever supplerende rettsgrunnlag i annen lovgivning. Dette kan f.eks være etter personopplysningsloven, universitets- og høyskoleloven, arbeidsmiljøloven, helseforskningsloven mm. For disse tilfellene må man kunne angi presist hvilken tilleggshjemmel som benyttes. 

De registrerte

Den/de enkeltperson(ene) opplysningene omhandler.

Personvernforordningen

"GDPR". Denne forordningen er gjennomført i norsk rett gjennom personopplysningsloven.

Den behandlingsansvarlige er den som fastsetter formålet med behandlingen, samt hvilke midler som skal benyttes, jf personvernforordningen artikkel 4 nr 7. Dette kan være "en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ". Den behandlingsansvarlige er ansvarlig for at personopplyningsloven og personvernforordningen overholdes. 

 

I vurderingen av hvem som er behandlingsansvarlig er det de faktiske forhold som er avgjørende (hvem foretar reellt sett vurderingene og fatter beslutninger). Enkelte vurderinger kan overlates til eksterne (f.eks databehandler), mens andre må foretas av den behandlingsansvarlige selv. 

 

  • Formål: Fastsettelsen av formål er svært sentralt i behandlingen av personopplysningene, og må fastsettes av den behandlingsansvarlige selv - før man i det hele tatt samler inn opplysningene. Formålet skal beskrive hvorfor det er nødvendig å behandle de aktuelle opplysningene, f.eks gjennomføre opptak til et studium, målet med et forskningsprosjekt, ansettelse av ny medarbeider mv.

    Det er viktig å ha et bevisst forhold til hva formålet er, slik at de registrerte (personene opplysningene omhandler) skjønner hva opplysningene blir brukt til, samt fordi eventuell senere gjenbruk av opplysningene er underlagt restriksjoner. Det er bl.a. ikke anledning til å gjenbruke opplysninger på en måte som er uforenelig med det/de opprinnelige formålet/-ene, jf artikkel 5 nr 1, bokstav b)

    Formålet/-ene skal være spesifikke, uttrykkelig angitt og berettiget (saklig).

 

  • Midler: I "midler" ligger mer enn bare hvilke tekniske hjelpemidler som skal benyttes. Også sentrale vurderinger og beslutninger rundt håndteringen av personopplysningene er omfattet, slik som: 
    • Hvilke opplysninger skal behandles?
    • Hvilke tredjeparter skal ha tilgang?
    • Hvilke opplysninger skal slettes (og når)?

    • Valg av tekniske løsninger kan overlates til databehandler, under visse forutsetninger. Imidlertid må behandlingsansvarlig bl.a forsikre seg om at informasjonssikkerheten er ivaretatt. Risikourderinger kan ikke foretas av databehandler alene (men de kan bistå).
    • Vurderinger som nevnt i kulepunktene ovenfor kan ikke delegeres fra behandlingsansvarlig til databehandler.

For UiT har Universitetsdirektøren det øverste ansvaret som behandlingsansvarlig. I det daglige er utøvelsen av behandlingsansvaret delegert for en rekke områder, og disse delegasjonene fremkommer av reglement og retningslinjer fastsatt av Universitetsdirektøren. Eksempelvis er prosjektleder ansvarlig for at lovens krav er fullt ut oppfylt for det aktuelle forskningsprosjektet, herunder at informasjonssikkerheten er ivaretatt (se retningslinjer for behandling av personopplysninger i forskningsprosjekt).
 

Det er ikke alltid man har behandlingsansvaret alene, men derimot felles med andre. Eksempelvis i et forskningsprosjekt som er samarbeidsprosjekt mellom flere institusjoner. Hvis man er to eller flere behandlingsansvarlige som fastsetter "formålet med og midlene for behandlingen" i fellesskap, er det tale om felles behandlingsansvar, jf artikkel 26 nr 1

Dette er tillatt, under forutsetning av at enkelte krav er oppfylt, jf personvernforordningen artikkel 26

  •  en åpen måte skal hver aktør (behandlingsansvarlig) fastsette sitt respektive ansvar for overholdelse av kravene etter forordningen, ved hjelp av en ordning dem imellom
    • dette gjelder særlig med tanke på overholdelse av de registrertes rettigheter
  • I denne ordningen kan det utpekes et kontaktpunkt for de registrerte
  • De respektive rollene til de behandlingsansvarlige, og hvilket forholde de har til de registrerte, skal fremkomme av ordningen
  • Det vesentligste i ordningen skal gjøres tilgjengelig for den registrerte
  • Merk: uavhengig av hvilken fordeling de ulike behandlingsansvarlige har fastsatt seg imellom, kan den registrerte velge å utøve sine rettigheter overfor hver av de behandlingsansvarlige. F.eks har en av aktørene det interne ansvaret for å håndtere innsynskrav. Den registrerte kan velge å sende kravet til en av de andre behandlingsansvarlige, som da må håndtere den interne kommunikasjonen for å behandle kravet. Man kan ikke avvise den registrerte under henvisning til at de har henvendt seg til "feil" behandlingsansvarlig.

Det er ikke nødvendig med lik fordeling av ansvar og beslutningsmyndighet mellom de ulike behandlingsansvarlige. Det kan være forskjellige nivåer av "fellesskap", og ulike behandlingsansvarlige kan være involvert i forskjellige aktiviteter/operasjoner og på forskjellige staider av (den samme) behandlinger. Dette må som nevnt klargjøres i den ordningen man er ansvarlig for å fastsette etter artikkel 26. Videre er det viktig å være klar over at etablering av felles behandlingsansvar ikke gir noen av partene en "større" rett til å behandle personopplysninger enn hva de ville hatt alene. Eksempelvis må hver av partene ha lovlig behandlingsgrunnlag, en part kan ikke "bygge" på behandlingsgrunnlaget til en av de andre.

 

Vær oppmerksom på at det er den faktiske behandlingen som står i fokus, og er gjenstand for vurderingen av om det er et felles behandlingsansvar eller ikke.  

  • Eksempelvis: Hvis det er de samme personopplysninger som er gjenstand for behandling, men hver av de behandlingsansvarlige fastsetter sine egne formål alene, er det mer nærliggende at det er tale om utlevering av personopplysninger fra den opprinnelige behandlingsansvarlige fremfor felles behandlingsansvar. 

I mange tilfeller er overføring av personopplysninger til eksterne (virksomheter, organisasjoner institusjoner, fysiske personer) rett og slett en utlevering til en ny behandlingsansvarlig. 

Når UiT har utlevert personopplysningene til den nye behandlingsansvarlige, er denne selv fullt ut ansvarlig for behandlingen av personopplysningene hos seg. Vi har da ingen påvirkningskraft eller ansvar for hvordan opplysningene behandles hos den eksterne. Merk: hvis UiT fremdeles har kopi av personopplysningene er vi naturligvis fremdeles behandlingsansvarlig for vår behandling av disse opplysningene. 

For at vi lovlig skal kunne utlevere opplysningene må vi ha et behandlingsgrunnlag for denne utleveringen. Behandlingsgrunnlag følger av personvernforordningen artikkel 6. Hvis det er tale om særlige kategorier personopplysninger må behandlingsgrunnlag også følge av artikkel 9.

For tilfeller hvor utleveringen ikke er lovpålagt, skal vi forsikre oss om at mottaker har behandlingsgrunnlag for sin behandling av opplysningene (før disse utleveres). 

En databehandler er noen som behandler personopplysninger på vegne av den behandlingsansvarlige, jf artikkel 4 nr 8. En databehandler kan være "en fysisk eller jurisk person, offentlig myndighet, institusjon eller ethvert annet organ", jf artikkel 4 nr 8Særlige krav til databehandlere fremkommer av artikkel 28 og 29

Databehandleren må være et selvstendig rettssubjekt fra den behandlingsansvarlige. F.eks vil ikke ansatte hos den behandlingsansvarlige være databehandler.

En databehandler kan være alt fra en stor, internasjonal leverandør av en skytjeneste (eksempelvis er Microsoft UiTs databehandler for vår bruk av Office 365) til en enkeltperson (som f.eks leverer transkriberingstjenester).

Det kan være tilfeller hvor det ikke er umulig at en ekstern får befatning med personopplysninger når de utfører et oppdrag for oss, men hvor de likevel ikke regnes som databehandler. Se nærmere om dette nedenfor.

 

 

Dersom UiT er databehandler

  • Vi må passe på at vi har inngått databehandleravtale, og overholder de forpliktelser som fremkommer av avtalen og artikkel 28 jf 29.
  • Det er den behandlingsansvarliges plikt at databehandleravtale er på plass, men vi skal ikke ta i mot eller på annen måte behandle personopplysninger som databehandler før slik avtale er undertegnet. 
  • Som del av sikkerhetstiltakene, sørg for at informasjon/data fra de ulike behandlingsansvarlige holdes adskilt (separert) fra hverandre og fra UiTs egne data
 

Før man tar i bruk databehandler er det noen krav som må være oppfylt:

  • Skriftlig databehandleravtale må foreligge, jf artikkel 28
    • Det finnes noen spesifikke krav til hva denne må inneholde, se nedenfor.
    • UiT har en mal for databehandleravtale (se link øverst på siden)
  • Risikovurdering må være gjennomført slik at informasjonssikkerheten ivaretas (jf artikkel 32)
    • Denne kan være helt enkel eller svært komplisert og omfattende, alt etter oppdragets eller tjenestens natur. 
    • Sørg for å gjennomføre denne på et tidlig nok stadium, for å unngå risikoen ved å ha inngått en bindende avtale om f.eks en tjeneste, som man deretter ikke kan benytte fordi risikovurderingen avdekket ukjente risikoer av en slik art at de ikke var akseptable
      • alternativt ta med forbehold om godkjent risikovurdering 

 

UiT har utarbeidet en sjekkliste som kan brukes for hjelp til gjennomgang av databehandleravtaler, samt visse andre vurderinger som må være på plass før databehandleren kan benyttes. Den finnes med og uten hjelpetekster, se link i menyen øverst til høyre.

 

Krav til databehandleravtalen.

Databehandleravtalen skal fastsette

  • gjenstanden for og varigheten av behandlingen
  • behandlingens art og formål
  • typen personopplysninger som behandles
  • kategorier av registrerte
  • den behandlingsansvarliges rettigheter og plikter

 

Videre skal det særlig angis i avtalen at databehandler

  • kun behandler personopplysninger på dokumenterte instrukser fra den behandlingsansvarlige, jf artikkel 28 nr 3, bokstav a)
    • herunder om opplysninger kan overføres til tredjestater eller internasjonale organisasjoner
  • sikrer at personer som skal behandle personopplysningene er underlagt taushetsplikt, artikkel 28 nr 3, bokstav b)
  • treffer alle tiltak nødvendig for å ivareta informasjonssikkerheten (overholder artikkel 32), jf artikkel 28 nr 3, bokstav c).
  • kun kan engasjere nye databehandlere (underleverandører) under følgende forutsetninger, jf artikkel 28 nr 3, bokstav d):
    • godkjenning fra behandlingsansvarlig er innhentet. Dette kan skje på to ulike måter, og hvilken må avklares i avtalen
      • Databehandler må innhente særlig godkjenning fra behandlingsansvarlig for hver underleverandør, eller
      • Databehandler gis en generell godkjenning, men må da underrette behandlingsansvarlig i tide slik at denne kan motsette seg nye/endrede underleverandører, jf artikkel 28 nr 2
    • databehandler må pålegge underleverandøren de samme bindende forpliktelser som de selv er underlagt, særlig med tanke på informasjonssikkerhet, jf. artikkel 28 nr 4
      • dersom underleverandøren ikke overholder sine plikter skal den databehandler som hyret denne inn, være fullt ut ansvarlig overfor behandlingsansvarlig
  • etter den behandlingsansvarliges valg, sletter eller tilbakefører alle personopplysninger når tjenesten er levert (avtalen avsluttet) og sletter alle kopier hos seg, jf artikkel 28 nr 3, bokstav g)
  • gjør tilgjengelig all informasjon som er nødvendig for å påvise at databehandlers forpliktelser etter forordningen er oppfylt, jf artikkel 28 nr 3, bokstav h)
  • muliggjør og bidrar til revisjoner, jf. artikkel 28 nr 3, bokstav h)
    • herunder inspeksjoner, som enten gjennomføres av den behandlingsansvarlig eller på fullmakt fra denne
  • idet det tas hensyn til behandlingens art og den grad det er mulig

 

Databehandleravtalemalen til UiT tar inn alle disse punktene, men den  tilpasses til hver enkelt avtale. Den kan ikke signeres slik den er, da inneholder den ikke alle opplysninger/detaljer som er påkrevd.

 

Det skjer at leverandør insisterer på å benytte sin egen avtalemal. Dette er greit, under forutsetning av at den gjennomgås nøye og man fastslår at kravene til databehandler og databehandleravtale er oppfylt. Vær oppmersom på at dette er ikke alltid tilfelle, selv for store leverandører. I slike tilfeller må man forhandle om endringer av avtalen.

 

Hvis man skal overføring personopplysninger til utlandet er det noen ting som må være på plass. Merk at dette avsnittet omhandler krav som stilles før overføring til et gitt land. Krav som må være oppfylt før en kan ta i bruk en databehandler eller utlevere personopplysninger til en ny behandlingsansvarlig, gjelder i tillegg - slik som
  • krav til databehandleravtale og risikovurdering (hvis mottaker er databehandler)
  • krav til utleveringsgrunnlag (hvis mottaker er ny behandlingsansvarlig)
 
Merk: dersom opplysningene som skal behandles er underlagt særlovgivning som kan begrense overføringen ut av Norge (f.eks sikkerhetsloven) så må det naturligvis hensyntas. Dette aspektet er ikke berørt i gjennomgangen nedenfor.
 
Overføring til land innenfor EU/EØS
Overføring personopplysninge til mottaker i land innenfor EU/EØS er likestilt med overføring til tilsvarende mottaker i Norge. Det er eksplisitt forbudt å begrense eller forby overføring av personopplysninger til land innenfor EU/EØS av årsaker begrunnet i personvern, jf artikkel 1 nr 3.  
 
  • Merk: dette gjelder som nevnt kun spørsmålet knyttet til selve landet. Skal man f.eks ta i bruk en databehandler så må fremdeles krav knyttet til f.eks informasjonssikkerhet være oppfylt. Hvis så ikke er tilfelle, kan man ikke benytte denne databehandleren - det hjelper ikke at den er lokalisert i f.eks Frankrike.
    • Det man ikke kan si er at en databehandler ikke skal benyttes fordi den er lokalisert i Frankrike.
 
 
Overføring til land utenfor EU/EØS ("tredjestat") eller til internasjonale organisasjoner
Hvis man skal overføre personopplysninger til en mottaker i et land utenfor EU/EØS, såkalte tredjestater, eller en internasjonal organisasjon, må det foreligge et overføringsgrunnlag. Overføring til utlandet er regulert av forordningens kapittel V (artikkel 44 - 50). Det finnes en rekke forskjellige overføringsgrunnlag, og nedenfor vil de vanligste nevnes. Denne listen er ikke uttømmende.
 
  • Godkjente tredjestater
    • EU har godkjent flere tredjestater som å ha tilsvarende beskyttelsesnivå som landene i EU/EØS. Overføring til disse landene er likestilt med overføring til land innad i EU/EØS. Oppdatert liste over de godkjente landene finnes på EUs hjemmesider

  • EUs standardkontrakt/standard personvernbestemmelser ("Standard contractual clauses")
    • EU har utarbeidet en standardkontrakt som kan benyttes for overføring av personopplysninger tredjeland. Denne finnes i to utgaver:
      • Overføring fra behandlingsansvarlig til databehandler (erstatter ikke databehandleravtale, som må inngås i tillegg)
      • Overføring fra behandlingsansvarlig til behandlingsansvarlig
      • Disse kontraktene er lagt ut på Datatilsynets hjemmeside. Pass på at rett kontrakt velges!

  • Privacy Shield
    • EU og USA har utarbeidet ordningen "Privacy Shield", og virksomheter i USA kan sertifisere seg under denne ordningen. Hvis en virksomhet er sertifisert under Privacy Shield kan personopplysninger overføres til denne virksomheten. Liste over virksomheter som er omfattet av Privacy Shield finnes her. Denne listen oppdateres årlig, så pass på å følge med på at virksomheten forblir på listen.
 
Mer informasjon finnes på Datatilsynets hjemmesider, der flere overføringsgrunnlag gjennomgås som f.eks bindende virksomhetsregler.
 
 
For at noen skal være en databehandler må de behandle personopplysninger på vegne av den behandlingsansvarlige. Formålet med avtalen/oppdraget, helt eller delvis, må være å behandle personopplysninger på den behandlingsansvarliges vegne. Hvis denne behandlingen ikke er del av formålet med oppdraget, er det heller ikke tale om en databehandler. En taushetserklæring kan imidlertid være nødvendig hvis det er muligheter for at aktøren kan komme til å se personopplysninger eller annen konfidensiell informasjon. Se eksempel på taushetserklæring i menyen oppe til høyre. 
 
Noen eksempler:
  • Det inngås avtale om reparasjon av kopimaskiner. Det kan tenkes at reparatøren kan komme til å se personopplysninger i forbindelse med utførelsen av oppdraget (f.eks på et gjenglemt dokument i maskinen), men dette er ikke del av formålet med avtalen - som er å reparerer kopimaskinen. Reparatøren er ikke en databehandler selv om vedkommende skulle komme til å se personopplysninger. 
  • Det inngså avtale med et konsulentfirma for hjelp til utvikling av en tjeneste. De skal utføre arbeidet sitt på UiTs systemer, lokalt hos UiT. Det er ikke tale om noen overføring av informasjon til deres egne systemer. De deler av tjenesten de skal arbeide på vil normalt sett ikke innebære at personopplysninger fremgår. De vil derfor ikke regnes som databehandler
  • Vi benytter en ekstern posttjeneste til å levere brev som inneholder personopplysninger. Oppdraget er å levere brev fra A-B, ikke å behandle personopplysningene, og de er ikke databehandler. 
  • For flere eksempler, se denne veiledningen fra det danske datatilsynet (hvor enkelte av de ovenstående eksemplene er hentet fra). 
 
 

- Article 29 Working party: Opinion 1/10 om "behandlingsansvarlig" og "databehandler" (engelsk)

GDPR (forordningsteksten)

Datatilsynet (Norge)

Datatilsynet (Danmark)

Personvernnemnda

Kommentarutgave til personvernforordningen (GDPR)av Åste Marie Bergseng Skullerud, Cecilie Rønnevik, Jørgen Skorstad og Marius Engh Pellerud. 



Kontaktinfo
 Faggruppe for personvern og informasjonssikkerhet
Kontaktinfo
 Personvernombud Joakim Bakkevold


Ansvarlig for siden: Ingvild Stock-Jørgensen
Sist oppdatert: 28.04.2020 14:18