| Du er her: Sentraladministrasjonen >
Administrative håndbøker >
Reglementshåndbok >
Personvern >
|
Som beskrevet i 12.1.1 defineres import av data som innsamling av data fra enhver annen kilde enn innenfor eget system/behandling og/eller innhenting fra den registrerte selv eller noen som avgir data på dennes vegne.
Som beskrevet i 12.1.1 defineres eksport av data som enhver avgivelse av data foruten til eget system/behandling eller til den registrerte selv eller noen som mottar data på dennes vegne.
Som hovedregel skal data importeres via FEIDE. Finnes ikke de nødvendige data i FEIDE-skjema, eller er det av andre årsaker nødvendig å lage egne løsninger for import av data skal dette avtales særskilt med behandlingsansvarlig for det system/behandling som avgir dataene.
Enhver eksport av data skal på forhånd vurderes opp i mot Personopplysningsloven med henblikk på så vel hjemmelsgrunnlag i §§ 8 og/eller 9, som bestemmelsen i nevnte lovs § 11. Sistnevnte paragraf stiller blant annet krav om at personopplysningene ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker.
Det er kun systemeier som kan bestemme om eksport av personopplysninger skal forekomme. Andre kan ikke eksportere personopplysninger trukket ut av kildesystemer som for eksempel Felles studentsystem og POLS.
Enhver import eller eksport av data skal dokumenteres enten direkte i det aktuelle meldeskjemaet (se 12.3.5 eller 12.4.5) og/eller som vedlegg/lenke til dette.
I tilfeller hvor datamateriale eksporteres fra UiO og behandles av en annen institusjon skal det tegnes en databehandleravtale. Denne skal stille krav til hvordan personopplysningene skal behandles av den eksterne part. Utgangspunktet for avtalen er å sikre at motparten oppfyller de krav som UiO har satt for behandling av personopplysninger. Her finner du UiOs standard databehandleravtale.
Ved import av datamateriale fra andre institusjoner vil ofte disse stille krav til at det skrives under en databehandleravtale. Avtalen skal i disse tilfellene underskrives av nærmeste overordnede til den personen som importerer datamaterialet. Eksempel: En Ph. d kandidat ønsker å importere personopplysninger fra Ullevål universitetssykehus. I dette tilfellet skal veileder skrive under databehandleravtalen på vegne av UiO.
Systemeiere for sentraladministrative systemer skal ha rutiner for hva slags og til hvilket formål de kan utlevere personopplysninger. Ved tvil skal utlevering av personopplysninger vurderes i samråd med behandlingsansvarliges representant.
Skriftlige forespørsler vedrørende masseutlevering av personopplysninger og registerkoblinger fra sentraladministrative systemer skal besvares av systemeier. behandlingsansvarliges representant skal alltid konsulteres ved slike henvendelser.