Personopplysninger brukes i mange sammenhenger; for eksempel i studentoppgaver, undervisning, forskning, publisering og saksbehandling.

Når du bruker personopplysninger har du ansvar for å sette deg inn reglene. Du skal også vurdere hvordan opplysningene skal sikres ut i fra hvilken verdi de har (konfidensialitet, integritet (riktighet) og tilgjengelighet).

Personvernregelverket regulerer all behandling av personopplysninger (datatilsynet.no), blant annet innsamling, registrering, bearbeiding, lagring, tilpasning, gjenfinning, overføring og sletting. I personvernforordningen kalles dette behandling av personopplysninger.

Personvernforordningen stiller krav som gjelder både når opplysningene er samlet inn fra personen selv, og når de er åpent tilgjengelig på nett. 

Du skal dokumentere:

• Et klart definert formål med behandlingen. 
• Tillatelse til å behandle opplysningene. Det kan være lovhjemmel, samtykke, avtale  eller andre grunner som er nevnt i personvernforordningen.
  Se Datatilsynets veileder om behandlingsgrunnlag.
• At personopplysningene har nødvendig kvalitet.
• Hvordan risikoen er vurdert og hvilke tiltak som gjøres for å sikre opplysningene.
• Om det er nødvendig med en vurdering av personvernkonsekvenser (DPIA). Både vurderingen av om det bør gjennomføres en DPIA, og en eventuell gjennomføring, skal dokumenteres.
  Se Datatilsynets veileder om DPIA og Artikkel 29 gruppens retningslinjer.
• At det er inngått en databehandleravtale hvis andre skal drifte systemer, eller på annen måte behandler personopplysninger på vegne av institusjonen. Ved intern drift skal de samme rutinene for behandling av opplysninger dekkes av internkontrollsystemet.
  Se Datatilsynets veileder om databehandleravtaler og Units ressurser for GDPR-arbeidet.

Sjekk også

• om behandlingen trenger tilrådning fra personvernombudet og/eller vurdering/godkjenning på annen måte
• grunnleggende prinsipper
• se Datatilsynets veileder om grunnleggende prinsipper etter nytt regelverk.
• om IT-løsningene eller systemet du planlegger å bruke er sikret for behandling av de aktuelle personopplysningene
• om kravene til innebygd personvern tilfredsstilles i IT-løsning, -system, utarbeidelse av rutiner, organisering og opplæring,
  se Datatilsynets veileder om innebygd personvern.
• med studie- eller arbeidssted om alt er ivaretatt. Det kan være andre krav som også må vurderes og oppfylles.

Husk å involvere personvernkontakt/personverrådgiver tidlig i prosessen. Personvernombudet kobles på ved behov.

Personopplysninger skal sikres slik at uvedkommende ikke blir kjent med dem og ikke får endret, slettet eller skadet innholdet, samt at opplysningene er tilgjengelige for de som skal ha tilgang til dem.

Kravene til sikring øker med opplysningenes behov for konfidensialitet (grad av sensitivitet) og antall registrerte personer.

Eksempler på typiske sikkerhetstiltak er innlogging, sikkerhetskopiering og logging av hvem som leser, endrer eller sletter opplysninger. Logging kan brukes til å kontrollere at uvedkommende ikke er inne i systemene eller at brukere misbruker tilganger til for eksempel å snoke.

Mer om informasjonssikkerhet, se Sikre informasjon.

Noen personopplysninger er det lovpålagt å overføre til andre, for eksempel til Lånekassen og skattemyndighetene.

Andre offentlige etater har også rett til å få utlevert visse opplysninger, for eksempel NAV og politiet.

Det kan også være nødvendig å overføre opplysninger mellom virksomheter, for eksempel i forskningsprosjekter med eksterne partnere eller når man benytter eksterne IT-tjenester. Her må det vurderes om det trengs en databehandleravtale eller en annen avtale som regulerer personvern.

Hvem som helst kan be om innsyn i offentlige arkiver. Det er kun ansatte med særskilte fullmakter som kan fatte beslutninger om utlevering av opplysninger. Sjekk rutiner på eget studie- eller arbeidssted.

Arbeidsgiver kan i særskilte tilfeller gjøre innsyn i ansattes e-post eller private filer (datatilsynet.no).

Tillitsvalgte og ansatte kan få innsyn i lønnsopplysninger (datatilsynet.no).

Alle personer kan be om å få utlevert opplysninger om seg selv.

Personopplysninger skal som regel slettes (datatilsynet.no) når de ikke lenger er i bruk. Det gjelder alle kopier (også på personlige filområder).

Forskningsdata skal vanligvis slettes eller anonymiseres når forskningsprosjektet er ferdig.

Personopplysninger som er arkivverdige (lovdata.no) skal arkiveres. Det gjelder for eksempel personopplysninger som har vært gjenstand for saksbehandling, hvem som er tatt opp til ulike studier, eksamensbesvarelser og masteroppgaver.

Sjekk rutiner for sletting og arkivering på ditt studie- eller arbeidssted.

Se mer om lagring, arkivering og sletting

Mer om sletting, se "slettmeg.no".

Alle har ansvar for å si fra om personopplysninger på avveier (avvik) (datatilsynet.no).

Eksempler på hva du skal si fra om:

• feilsendt e-post og vedlegg
• feilutlevering-  eller publisering
• mistet utstyr (mobil, laptop, nettbrett, notater og lignende)
• feil i tilganger, utstyr eller programvare som kan svekke sikkerheten
• rutiner som mangler, ikke fungerer eller som ikke følges

En uønsket hendelse kan ha ulik alvorlighetsgrad avhengig av om det gjelder opplysninger om få personer eller mange, eller om det omfatter særlige kategorier (sensitive personopplysninger) eller ikke.

Sjekk med ditt studie- eller arbeidssted om hvordan uønskede hendelser eller avvik skal meldes inn.

Se mer om melding av uønskede hendelser (avvik)

Sikt (tidligere Unit) sin retningslinje om Videoundervisning og personvern, kan brukes som et utgangspunkt for en personvernrutine ved egen institusjon. Datatilsynet er enig i disse retningslinjene og understreket at løsninger må være praktiske. 

Det anbefales å lage to retningslinjer/rutiner, en for foreleser og en for studenter

Lovlig grunnlag som anbefales: 

• Opptak av lærer kan hjemles i personvernforordningen art. 6 nr. 1 b) «nødvendig for å oppfylle en avtale» og/eller arbeidsgivers styringsrett.
• Opptak av studenter kan hjemles i personvernforordningen art. 6 nr. 1 e) «i allmennhetens interesse», jf. nr. 3 b), jf. universitets- og høyskoleloven §§ 1-3, 3-8, 4-2 og 4-3.
• Skal studenter selv ta opptak under forelesningen bør de be om samtykke (personvernforordningen art. 6 nr. 1 a)) fra de som deltar i opptaket, uansett om de tar opp til eget bruk eller skal dele dette med andre. Opptak av undervisning kan vanskelig anses som en «rent personlig eller familiemessig aktivitet» se personvernforordningen art. 2 nr. 2 c) og datatilsynets nettside om overvåkning, og sporing/lydopptak, «I situasjoner der det gjøres lydopptak av møter eller undervisning, stiller det seg annerledes. Da vil sammenhengen opptaket skjer i og hensynet til de som er til stede og blir tatt opp, kunne trekke i retning av at det ikke er en rent personlig aktivitet i lovens forstand».

Det bør opplyses om at man skal følge egen institusjons regelverk for opptak av lyd og video.

Institusjonen bør gjøre jevnlige evalueringer av den digitale  behandlingen av personopplysninger.

Foreleser må vurdere nødvendigheten av å ta opptak. Er det nødvendig å ta opptak, har de studentene som ikke ønsker å delta andre muligheter for deltagelse? I flg. datatilsynet kan studentene ikke tvinges til å vise bilde/bli med på lydopptak verken ved obligatorisk eller ikke-obligatorisk undervisning. De bør ha mulighet til heller å bli med via chat eller sende spørsmål på epost, eller man har andre løsninger for anonym deltagelse. 

Det skal gis informasjon om at det gjøres opptak, formål, lovlig grunnlag, om lagring (hvor og hvor lenge), hvem som skal ha tilgang og om opptaket skal deles. Hvor lenge opptaket kan lagres vil variere etter hvem og hva som er på opptaket. Retningslinje/rutine bør si noe om dette.

Informasjonen bør legges på studentenes informasjonsplattform ved institusjonen.