Overordnet informasjon om GDPR/datahåndtering

Om GDPR og ansvar for veiledere og studenter

Hva er personopplysninger og sensitive personopplysninger?

Grunnleggende prinsipper for håndtering av personopplysninger ifølge GDPR (Art. 5)

Om GDPR og ansvar for veiledere og studenter


GDPR (General Data Protection Regulation) er en personvernforordning som er vedtatt av EU og gjort gjeldende i Norge som vedlegg til EØS-avtalen. GDPR er en forordning “om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger.” (Lovdata). Bestemmelsene i forordningen berører alle forskningsprosjekt som behandler personopplysninger. 


UiO/UV-fakultetet/Instituttet har det overordnede ansvaret for at gjeldende regler for håndtering av forskningsdata blir gjort kjent og etterfulgt. Veiledere ivaretar dette ansvaret i de studentprosjektene de veileder. Studenter har ansvar for å sette seg inn i og etterfølge retningslinjer for datahåndtering i samråd med sine veiledere.

Hva er personopplysninger og sensitive personopplysninger?


Ifølge Datatilsynet er personopplysninger alle opplysninger eller vurderinger som direkte eller indirekte kan knyttes til enkeltpersoner. Det gjelder eksempelvis navn, adresse telefonnummer, epost, IP-adresse, fødselsnummer, bilder, lydopptak, videoopptak, biometriske opplysninger. Også ulike typer data om atferd vil kunne være persondata, for eksempel handlevaner eller aktivitet på nettet. Når flere datakilder kobles sammen kan også data som i seg selv ikke er personidentifiserende bli personopplysninger.


Sensitive personopplysninger er ifølge Datatilsynet særskilte opplysninger som bare kan samles inn ut fra særskilte behov, blant annet vitenskapelig forskning. Dette gjelder informasjon om rasemessig eller etnisk opprinnelse, politisk oppfatning, religiøs eller filosofisk overbevisning, fagforeningsmedlemskap, genetiske opplysninger, biometriske opplysninger, opplysninger om helse, seksuelle forhold eller seksuell legning, opplysninger om straffedommer eller lovovertredelser


Kilde: Datatilsynet om personopplysninger

Grunnleggende prinsipper for håndtering av personopplysninger ifølge GDPR (Art. 5)


Artikkel 5 i GDPR beskriver overordnede prinsipper for håndtering av personopplysninger: lawfulness, fairness and transparency; purpose limitation; data minimisation (adequate, relevant and limited); accuracy; storage limitation; integrity and confidentiality).

Dette er konkretisert på følgende måte av juridisk behandlingsansvarlig ved UiO: 
•    Lovlighet: sikre samtykke, sikre avtale med den man registrerer informasjon om, eventuelt bruke særskilt lovhjemmel  
•    Rettferdighet: ikke misbruke egen posisjon
•    Åpenhet: sikre at den registrerte vet om/har kontroll med hva som skjer med opplysningene
•    Formålsbegrensning: sikre at opplysninger brukes bare for spesifikt angitte og berettigede formål
•    Nødvendighet (adekvat, relevant og begrenset) og Dataminimering: sikre at innsamlede opplysninger er begrenset til det som er nødvendig for formålet
•    Riktighet: sikre at bare korrekte opplysninger oppbevares og at uriktige slettes
•    Lagringsbegrensning: sikre at opplysninger ikke lagres lenger enn det som er nødvendig for formålet

•    Integritet og konfidensialitet: sikre at opplysninger oppbevares på en måte som er tilstrekkelig sikker og vernet mot uautorisert eller ulovlig behandling; sikre at opplysninger er beskyttet mot utilsiktet tap, utlevering, endring eller skade.

o    Bruke tilgangsbegrensing, innloggingsrutiner, sikre servere og systemer, autorisert tilgang; ikke lagre sensitive opplysninger på egen mobil eller laptop 

 

 

Publisert 16. aug. 2019 08:57 - Sist endret 16. aug. 2019 09:19