Forkurs: Personvernforordningen (GDPR)
EUs personvernforordning (GDPR) ble vedtatt i 2016. Forordningen ble norsk lov 1. juli 2018 ved at forordningen ble vedtatt i den nye personopplysningsloven. Formålet med GDPR er å ivareta personvernet til enkeltpersoner ved elektronisk behandling av personopplysninger, samt å oppnå lik praksis for behandling av personopplysninger på tvers av EU/EØS-land.
Hva er personopplysninger?
Personopplysninger er all informasjon som kan identifisere en bestemt person uavhengig av hvilken rolle (ansatt, student/elev, gjesteforsker, gjest etc.) personen har i den behandlende enheten. Slik informasjon regnes som personopplysninger uavhengig av hvilket digitalt format de er lagret i: tekst, bilder, lyd- eller videoopptak.
Hva er sensitive personopplysninger?
Sensitive personopplysninger defineres i forordningen som all informasjon som kan knyttes til en bestemt person og som omhandler:
-
opplysninger om helse og helserelaterte forhold
-
genetiske opplysninger
-
biometriske opplysninger som anvendes til entydig identifisering av personer
-
opplysninger om etnisk eller rasemessig bakgrunn
-
opplysninger om politiske eller religiøse oppfatninger og livssyn
-
opplysninger om seksuelle forhold og -legning
-
opplysninger om fagforeningsmedlemskap
Hva menes med behandling av personopplysninger?
Forordningen definerer behandling av personopplysninger som all form for bruk av personopplysninger. Dette kan for eksempel gjelde registrering, lagring, publisering eller sletting av personopplysninger.
GDPR i utdanningssektoren
I utdanningssektoren vil forordningen ha betydning for hvordan man behandler og sikrer personopplysninger i forskning, undervisning, administrasjon og formidling.
Roller i behandlingsprosessen
Forordningen definerer tre roller knyttet til prosessen rundt behandling av personopplysninger:
- Den registrerte
- Behandlingsansvarlig
- Databehandler
Den registrerte
De personer (studenter, elever, ansatte, osv.) som personopplysningene gjelder.
Behandlingsansvarlig
I forordningen defineres behandlingsansvarlig som den enhet (virksomhet eller enkeltperson) som avgjør hva personopplysninger benyttes til og hvilke elektroniske hjelpemidler (IT-systemer, IT-utstyr etc.) som behandler opplysningene.
I utdanningssektoren vil skoler, høgskoler/universitet være behandlingsansvarlig for behandling og registrering av personopplysninger som skjer i forbindelse med undervisning, forskning og administrasjon.
Databehandler
I forordningen defineres databehandler som en enhet (virksomhet eller enkeltperson) som behandler personopplysninger på vegne av den behandlingsansvarlige.
I utdanningssektoren anvendes databehandlere når for eksempel driften av IT-systemer eller IT-tjenester som håndterer personopplysninger blir satt ut til eksterne aktører. Databehandlere kan være kommersielle aktører eller andre enheter i utdanningssektoren (universiteter, høgskoler, skoler) som drifter for eksempel IT-systemer på vegne av andre enheter i sektoren.
Databehandleren har ansvar for at personopplysninger som tilhører den behandlingsansvarlige behandles i henhold til reglene i forordningen.