| Du er her: Sentraladministrasjonen >
Administrative håndbøker >
Reglementshåndbok >
Personvern >
|
Hvor et behov oppstår som kan avhjelpes ved behandling av personopplysninger skal behovet veies opp mot det personvernmessige inngrepet behandlingen vil utgjøre ift. de registrerte. Hvor ufordelen ikke er uforholdsmessig stor kan slik behandling skje om tilstrekkelig rettslig grunnlag forøvrig er tilstede (relevant lovverk: Personopplysningslovens §§ 8, 9 og 11).
Hver behandling skal ha et klart og avgrenset formål. Dette grunnlaget skal stadfestes jf. Personopplysningslovens §§ 8, 9 og 11. Det rettslige grunnlaget for behandlingen skal dokumenteres. Den ansvarlige for den enkelte behandling skal identifisere hvilke plikter som følger av loven og påse at disse er oppfylt. Hvordan pliktene er tenkt oppfylt skal dokumenteres skriftlig. Dokumentasjonen gjøres tilgjengelig som vedlegg/lenke til det aktuelle meldeskjemaet (se 12.3.5 eller 12.4.5).
For meldepliktige behandlinger skal den enkelte ansvarlige først selv vurdere hvilket juridisk grunnlag behandlingen baseres på. Hvis behandlingen foretas som et ledd i forskning vil Personvernombud for forskning ved Norsk samfunnsvitenskapelig datatjeneste vurdere hjemmelsgrunnlagets rettmessighet etter innmeldingen. Hvis det er en administrativ behandling vil behandlingsansvarliges representant vurdere hjemmelsgrunnlagets rettmessighet etter innmeldingen.
Behandlinger som etter 12.3.5 eller 12.4.5 er meldepliktige skal være innmeldt senest innen 30 dager før behandlingens oppstart (relevant lovverk: Personopplysningsloven § 31). Den enkelte ansvarlige skal vurdere hvorvidt en behandling er meldepliktig, om nødvendig med veiledning fra behandlingsansvarliges representant og/eller personvernombudet.
Som beskrevet i 12.1.1 er sensitive personopplysninger opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.
Behandling av sensitive personopplysninger er kun tillatt hvis det oppfyller ett av kravene i Personopplysningsloven § 8, og ett av vilkårene i nevnte lov § 9.
Administrative behandlinger inneholdende sensitive personopplysninger skal ikke forekomme på UiO uten at det er gitt eksplisitt tillatelse fra behandlingsansvarlig.
For prosjekter som av personvernombudet vurderes som konsesjonspliktige, sender denne søknad til Datatilsynet på vegne av den enkelte ansvarlige. Som regel er administrative behandlinger inneholdende sensitive personopplysninger konsesjonspliktige. For behandlinger innen forskning gir Personopplysningsforskriften (§ 7-27) en del unntak fra konsesjon for forskningsprosjekter som behandler sensitive personopplysninger. I henhold til forskriften er de fleste forskningsprosjekt unntatt fra konsesjonsplikt hvis de er tilrådd av et personvernombud, og for medisinske prosjekter, en regional komité for medisinsk forskningsetikk.
Som et ledd i å identifisere hvilke regler som er knyttet til behandling av personopplysninger, plikter den enkelte ansvarlige å søke veiledning hos behandlingsansvarliges representant og/eller hos personvernombudet.
I den grad Personopplysningslovens kap. III påbyr det, skal de registrerte varsles om den kommende behandlingen og dermed blant annet gis anledning til å protestere. For registrerte ved UiO kan med fordel masseutsendelse av elektronisk post anvendes til slik varsling. Den registrerte har også rettigheter i forhold til informasjon for allerede igangsatte behandlinger. Disse rettighetene beskrives også i Personopplysningslovens kap. III.
For systemer som baserer seg på samtykke skal det finnes rutiner som sikrer at den som gir samtykket har nok informasjon om hva man samtykker til.
Samtykke må gis på en måte som gir en adekvat sikkerhet for at det er den registrerte som har gitt det. Bruk av FEIDE-autentisering vil generelt gi slik sikkerhet.
Samtykke skal kun anvendes som grunnlag for behandling av personopplysninger ved UiO der hvor det faktisk foreligger en reel mulighet for den registrerte til å nekte å avgi dette, uten at det får konsekvenser for andre forhold enn de hva samtykke i seg selv relaterte seg til.
Den ansvarlige for en behandling skal vurdere hvorvidt de registrerte, eller et bestemt utvalg av disse, bør ha mulighet for å reservere seg mot behandlingen. Finner en at en gruppe bør ha en slik rett skal en rutine finnes for hvordan slik reservasjonsrett blir informert om, samt hvordan reservasjonen skal foregå.