Personopplysninger brukes i mange sammenhenger; for eksempel i studentoppgaver, undervisning, forskning, publisering og saksbehandling.

Når du bruker personopplysninger har du ansvar for å sette deg inn reglene. Du skal også vurdere hvordan opplysningene skal sikres ut i fra hvilken verdi de har (konfidensialitet, integritet (riktighet) og tilgjengelighet).

Personvernregelverket regulerer all behandling av personopplysninger (datatilsynet.no), blant annet innsamling, registrering, bearbeiding, lagring, tilpasning, gjenfinning, overføring og sletting. I personvernforordningen kalles dette behandling av personopplysninger.

Personvernforordningen stiller krav som gjelder både når opplysningene er samlet inn fra personen selv, og når de er åpent tilgjengelig på nett. 

Du skal dokumentere:

• Et klart definert formål med behandlingen. 
• Tillatelse til å behandle opplysningene. Det kan være lovhjemmel, samtykke, avtale  eller andre grunner som er nevnt i personvernforordningen.
  Se Datatilsynets veileder om behandlingsgrunnlag.
• At personopplysningene har nødvendig kvalitet.
• Hvordan risikoen er vurdert og hvilke tiltak som gjøres for å sikre opplysningene.
• Om det er nødvendig med en vurdering av personvernkonsekvenser (DPIA). Dersom du gjennomfører en DPIA skal denne dokumenteres.
  Se Datatilsynets veileder om DPIA og Artikkel 29 gruppens retningslinjer.
• At det er inngått en databehandleravtale hvis andre skal drifte systemer, eller på annen måte behandler personopplysninger på vegne av institusjonen. Ved intern drift skal de samme rutinene for behandling av opplysninger dekkes av internkontrollsystemet.
  Se Datatilsynets veileder om databehandleravtaler og Units ressurser for GDPR-arbeidet.

Sjekk også

• om behandlingen trenger tilrådning fra personvernombudet og/eller godkjenning på annen måte
• med personvernombudet eller din institusjon så tidlig som mulig i prosessen
• grunnleggende prinsipper,
  se Datatilsynets veileder om grunnleggende prinsipper etter nytt regelverk.
• om IT-løsningene eller systemet du planlegger å bruke er sikret for behandling av de aktuelle personopplysningene
• om kravene til innebygd personvern tilfredsstilles i IT-løsning, -system, utarbeidelse av rutiner, organisering og opplæring,
  se Datatilsynets veileder om innebygd personvern.
• med studie- eller arbeidssted om alt er ivaretatt. Det kan være andre krav som også må vurderes og oppfylles.

Personopplysninger skal sikres slik at uvedkommende ikke blir kjent med dem og ikke får endret, slettet eller skadet innholdet, samt at opplysningene er tilgjengelige for de som skal ha tilgang til dem.

Kravene til sikring øker med opplysningenes behov for konfidensialitet (grad av sensitivitet) og antall registrerte personer.

Eksempler på typiske sikkerhetstiltak er innlogging, sikkerhetskopiering og logging av hvem som leser, endrer eller sletter opplysninger. Logging kan brukes til å kontrollere at uvedkommende ikke er inne i systemene eller at brukere misbruker tilganger til for eksempel å snoke.

Mer om informasjonssikkerhet, se Sikre informasjon.

Noen personopplysninger er det lovpålagt å overføre til andre, for eksempel til Lånekassen og skattemyndighetene.

Andre offentlige etater har også rett til å få utlevert visse opplysninger, for eksempel NAV og politiet.

Det kan også være nødvendig å overføre opplysninger mellom virksomheter, for eksempel i forskningsprosjekter med eksterne partnere eller når man benytter eksterne IT-tjenester. Her må det vurderes om det trengs en databehandleravtale eller en annen avtale som regulerer personvern.

Hvem som helst kan be om innsyn i offentlige arkiver. Det er kun ansatte med særskilte fullmakter som kan fatte beslutninger om utlevering av opplysninger. Sjekk rutiner på eget studie- eller arbeidssted.

Arbeidsgiver kan i særskilte tilfeller gjøre innsyn i ansattes e-post eller private filer (datatisynet.no).

Tillitsvalgte og ansatte kan få innsyn i lønnsopplysninger (datatilsynet.no).

Alle personer kan be om å få utlevert opplysninger om seg selv.

Personopplysninger skal som regel slettes (datatilsynet.no) når de ikke lenger er i bruk. Det gjelder alle kopier (også på personlige filområder).

Forskningsdata skal vanligvis slettes eller anonymiseres når forskningsprosjektet er ferdig.

Personopplysninger som er arkivverdige (lovdata.no) skal arkiveres. Det gjelder for eksempel personopplysninger som har vært gjenstand for saksbehandling, hvem som er tatt opp til ulike studier, eksamensbesvarelser og masteroppgaver.

Sjekk rutiner for sletting og arkivering på ditt studie- eller arbeidssted.

Se mer om lagring, arkivering og sletting

Mer om sletting, se "slettmeg.no".

Alle har ansvar for å si fra om personopplysninger på avveier (avvik)(datatilsynet.no).

Eksempler på hva du skal si fra om:

• feilsendt e-post og vedlegg
• feilutlevering-  eller publisering
• mistet utstyr (mobil, laptop, nettbrett, notater og lignende)
• feil i tilganger, utstyr eller programvare som kan svekke sikkerheten
• rutiner som mangler, ikke fungerer eller som ikke følges

En uønsket hendelse kan ha ulik alvorlighetsgrad avhengig av om det gjelder opplysninger om få personer eller mange, eller om det omfatter særlige kategorier (sensitive personopplysninger) eller ikke.

Sjekk med ditt studie- eller arbeidssted om hvordan uønskede hendelser eller avvik skal meldes inn.

Se mer om melding av uønskede hendelser (avvik)