Administrative behandlinger av personopplysninger
Når det behandles personopplysninger i administrative systemer (for eksempel i lønnssystemer, bruk av skyløsninger, arkiv eller nyhetsbrev), må dette registreres i UiOs meldeapp.
Hvorfor registrere i Meldeappen?
Meldeappen er en oversikt over administrative behandlinger av personopplysninger ved UiO. Vi har plikt til å føre protokoll over alle behandlingsaktiviteter.
Sikt (Kunnskapssektorens tjenesteleverandør, tidligere NSD) fører protokoll på våre vegne for behandlinger innen forskning. For administrative behandlinger fører vi protokoll selv i Meldeappen.
Vi må sørge for å ha kontroll over hvor vi behandler personopplysninger, hvem vi behandler personopplysnigner om og for hvilke formål vi behandler personopplysninger.
Hva skal registreres i Meldeappen?
I Meldeappen skal administrative behandlingsaktiviteter registreres. Det innebærer administrative behandlinger som har en vedvarende karakter, er gjentagende eller gjøres som en rutine eller etter en retningslinje. Er det for eksempel snakk om en behandling som går igjen hvert semester og som dermed er gjentagende, skal behandlingen registreres. Er det imidlertid snakk om en enkeltstående ad hoc behandling av lite omfang, er det ikke nødvendig å registrere denne.
I tillegg er behandlinger som skjer i de større systemene som eies av enheter i LOS og som ligger innenfor de sentrale formålene disse systemene brukes til, allerede registrert. Dette inkluderer for eksempel FS, økonomisystemer, SAP, Canvas, TP, Forskpro og Zoom. Behandlinger som faller innenfor de sentrale system og formål trenger derfor ikke å registreres.
Benytter man imidlertid sentrale systemer til å gjøre behandlinger som faller utenfor de sentrale formålene, må disse registreres. Skal man for eksempel gjøre opptak av digital undervisning gjennom Zoom ved et institutt eller fakultet, må dette registreres i Meldeappen. I tillegg må man registrere behandlinger som er vedvarende, gjentagende eller rutinemessige som gjøres utenfor de sentrale systemene.
Meldeappen er søkbar, så det er enkelt å se om en behandling allerede er protokollført. Er du i tvil om behandlingen skal registrers kan du kontakte UiOs personvernombud på personvernombud@uio.no eller Utøver av behandlersansvaret på behandlingsansvarlig@uio.no.
Forskning
Mer informasjon om når en bachelor- eller masteroppgave og forskningsprosjekt må meldes, veiledning for hvordan det skal meldes og lenke til meldeskjema finner du her:
- Behandling av personopplysninger i forskning
- Når skal et forskningsprosjekt meldes? (nsd.no)
- Teknisk veiledning for meldeskjema (nsd.no)
- Meldeskjema (nsd.no)
Om du har spørsmål, kan du ta kontakt med UiOs leverandør av personverntjenester, Sikt, på personverntjenester@nsd.no eller behandlingsansvarlig ved UiO på behandlingsansvarlig@uio.no.
Vurdering av personvernkonsekvenser (DPIA)
Med bortfallet av Datatilsynets konsesjonsordning, faller mesteparten av personvernansvaret på behandlingsansvarlig (UiO) selv. Dette innebærer at behandlingsansvarlig i noen tilfeller må vurdere personvernkonsekvensene (gjennomføre en DPIA) av en behandling før man setter i gang. Både administrative og forskningsmessige behandlinger av personopplysninger er underlagt de nye reglene.
Dersom behandlingen antas å innebære høy risiko for de registrertes personvern eller andre rettigheter, skal det gjennomføres en DPIA før oppstart. Formålet med en DPIA er å håndtere de risikoene behandlingen medfører ved å fastlegge risikoreduserende tiltak. I malen under er det listet opp eksempler på kriterier som kan utløse et behov for DPIA.