Presentasjon av UiOs mal for databehandleravtale, bruk av malen og oppfølging av arbeidet med behandlinger av personopplysninger

Personvern Personvern handler om retten til å få ha ens privatliv i fred Vernet av individers rett til å ha innflytelse på bruk og spredning av personopplysninger om seg selv. Sjølvråderetten! Retten til å bestemme over egne personopplysninger Personvernbegrepet refererer ikke bare til vernet av privatlivets fred og den enkeltes personlige integritet. I norsk forståelse innebærer begrepet i stor grad også vernet av individers rett til å ha innflytelse på bruk og spredning av personopplysninger om seg selv. Den enkelte skal i størst mulig grad kunne bestemme over egne personopplysninger.

Hva er «gjenstanden» i rettsområdet personvern? Personvern ved UiO Hva er «gjenstanden» i rettsområdet personvern? ”Personopplysninger” = opplysninger og vurdering som kan knyttes til en enkeltperson ”Behandling” av disse = enhver bruk Data om studenter, ansatte og andre Hva gjelder? Personopplysningsloven med forskrift Interne regler og rutiner: IT-reglementet og IT-sikkerhetshåndboken MERK! http://www.uio.no/tjenester/it/sikkerhet/handbok/ Bilde lånt fra Utleira IL http://www.utleira.no/p/baneleie-utleira-idrettsanlegg.html

personvern forts. Krav til en behandling: Behandlingsgrunnlag: Må ha en rett til å behandle opplysningene! Samtykke eller lovhjemmel Formål: en behandling ett formål – kan ikke gjenbruke data uten nytt behandlingsgrunnlag Informasjonssikkerhet (risikovurdering, tilganger, rutiner for sletting osv) Den registrerte har rettigheter Informasjon om behandlingen Innsynsrett Retting Bilde lånt fra Utleira IL http://www.utleira.no/p/baneleie-utleira-idrettsanlegg.html

Databehandleravtale Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplys- ninger og hvilke hjelpemidler som skal brukes Behandlingsansvarlig har ansvaret for at opplysninger behandles iht kravene i personopplysningsloven Databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige Når behandlingsansvarlig anvender databehandler skal forholdet/oppdraget være regulert i en avtale – databehandleravtale. En databehandler kan ikke behandle personopplysninger på en annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Illustrasjon: colourbox.com

Ansvar: Behandleransvarlig: Databehandler Inngå databehandleravtale Gjennomføre risikovurdering av databehandlers informasjonssystem Konkret vurdering knyttet til de aktuelle data og den faktiske behandlingen Ny data eller ny behandling = ny avtale OG risikovurdering Databehandler Oppfylle avtalen Bistå behandlingsansvarlig

Databehandleravtale UiO malen: Malen ligger her: http://www.uio.no/for-ansatte/arbeidsstotte/personvern/ Fyll inn markerte felter! Pkt. 1 kontaktpersoner Pkt. 2 angi formålet med avtalen Pkt. 4 gjennomføre risikovurdering – vedlegg Pkt. 5 formål med behandlingen Pkt. 6 Spesifiser data som behandles Pkt. 8 angi underleverandør om dette anvendes Pkt. 12. Hvem signerer? Engelsk versjon kommer denne uken.

Roller og ansvar på UiO Behandlingsansvarlig: Universitetsdirektøren Personvernombudet – Datatilsynets mann på UiO: Morten Opsal Roller og ansvar på UiO Behandlingsansvarlig: Universitetsdirektøren Har ansvar for at personopplysningsloven mm. følges i den daglige driften av UiO Daglig behandlingsansvarlig Systemeiere har ansvar for at systemet driftes iht loven: Gjort nødvendige vurderinger, inngått nødvendige avtaler (med risikovurderinger) og utformet nødvendige sikkerhetstiltak og rutiner Brukere av systemer: Ledere: sørge for sikker og god opplæring, samt sikre at alle behandlinger i systemet gjøres iht til etablerte rutiner og regler. Den enkelte saksbehandler: Sørge for at hun har satt seg godt inn i gjeldende rutiner og at disse følges. Rapportere avvik. Universitetsdirektøren IT-Direktør Lars Oftedal Utøver av det daglige behandleransvaret: Märtha Felton, Juridisk ansvarlig ved USIT Ansvar delegert