Personvernerklæring for ansatte

Gjelder ansatte/i engasjement

Sist endret: 03.08.2018

Innhold:
1) Hva er en personvernerklæring?

2) Hva regnes som personopplysninger?
3) Kort om SAP (lønns og personalsystem)
4) Formålet med og rettslig grunnlag for behandling av personopplysninger i SAP
5) Hvilke personopplysninger blir behandlet i SAP og h
vor lenge lagrer vi dine personopplysninger?
6) I noen tilfeller utfører vi automatisk saksbehandling
7) Hvor lenge lagrer vi dine personopplysninger?
8) Vi utleverer dine personopplysninger til andre
9) Sikkerheten rundt dine personopplysninger
10) Dine rettigheter
11) Kontakt

 

1) Hva er en personvernerklæring?

Denne personvernerklæringen beskriver hvordan Kunsthøgskolen i Oslo håndterer dine personopplysninger. Formålet med denne personvernerklæringen er å informere deg om hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter du har og hvem du kan kontakte.

 

2) Hva regnes som personopplysninger?

Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson, jf. GDPR artikkel 4 nr. 1. Det avgjørende for om en opplysning er en personopplysning er om opplysningene kan knyttes til en identifisert eller identifiserbar fysisk person.

 

Opplysninger som alene ikke kan knyttes til en enkeltperson, kan i tilfeller hvor de forekommer sammen med andre data utgjøre en personopplysning hvis de indirekte identifiserer en person.

 

3) Kort om SAP

SAP benyttes for

(i)                 administrasjon og utbetaling av lønn til ulike typer ansatte,

(ii)              administrasjon av arbeidsforholdet,

(iii)            administrasjon av personer med andre tilknytningsforhold til institusjonen (for eksempel personer som ikke er ansatte, men som likevel skal ha brukertilganger i ulike systemer). 

En rekke applikasjoner er knyttet til SAP. Det betyr at data som registreres i disse applikasjonene også lagres i SAP. Data i SAP rapporteres i ulike sammenhenger til andre parter/virksomheter.

 

 

4) Formålet med, samt rettslig grunnlag for behandling av personopplysninger i SAP

Formål

Formålet med behandling av personopplysninger i lønn/personalsystem (SAP HR) er

(i)                 administrasjon og utbetaling av lønn til ulike typer ansatte,

(ii)              administrasjon av arbeidsforholdet,

(iii)            administrasjon av personer med andre tilknytningsforhold til institusjonen (for eksempel personer som ikke er ansatte, men som likevel skal ha brukertilganger i ulike systemer). 

 

Rettslig grunnlag

Lovlig grunn (behandlingsgrunnlag) for behandling av personopplysninger i lønn/personalsystem (SAP HR) kan enten være GDPR artikkel 6 nr. 1 bokstav b, c og f (arbeidsavtale/tariffavtale, rettslig forpliktelse og berettiget interesse).

Supplerende behandlingsgrunnlag der hvor behandlingsgrunnlaget er GDPR artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) kan blant annet være bestemmelser i arbeidsmiljøloven om arbeidsgivers plikter og arbeidstakers rettigheter i arbeidsforholdet.

Lovlig grunn (behandlingsgrunnlag) for behandling av sensitive personopplysninger i lønn/personalsystem (SAP HR) kan være GDPR artikkel 9 nr. 1 bokstav b (arbeidsrettslige plikter/rettigheter), jf. arbeidsmiljøloven og personopplysningsloven § 6 (behandling av særlige kategorier personopplysninger i arbeidsforhold).

 

5)  Hvilke personopplysninger blir behandlet i SAP?

Lønn/personalsystem (SAP HR) inneholder en rekke forskjellige typer personopplysninger som er registrert i forbindelse med lønns- og personaladministrasjon, for eksempel navn, e-postadresse, fødselsnummer, lønnstrinn, bankkontonummer, tilstedeværelse, timeregistrering, utførte arbeidsoppgaver, avspaseringstid, feriedager, reiser og reisegodtgjørelser, permisjoner, fravær, osv.

Det kan forekomme at sensitive personopplysninger behandles i lønn/personalsystem (SAP HR).

 

6) Automatisk saksbehandling

Reglene om automatiserte beslutninger og elektroniske profiler er ikke relevant for lønn/personalsystem (SAP HR).

 

7) Hvor lenge lagrer vi dine personopplysninger?

I utgangspunktet lagres dine personopplysninger i SAP i en ubegrenset tidsperiode.

8) Vi utleverer dine personopplysninger til andre tjenester

Utlevering eller eksport av data defineres som enhver avgivelse av data foruten til eget system/behandling eller til den registrerte selv eller noen som mottar data på dennes vegne.

Kunsthøgskolen i Oslo kan utlevere eller eksportere data som inneholder personopplysninger til andre systemer, det vil si ekstern databehandler i de tilfellene der det anses som nødvendig.

 

Personopplysninger blir bare lagret i datasentre underlagt GDPR-lovgivningen (fysisk plassert i EU/underlagt Privacy Shield). Personpplysninger blir ikke utlevert noen internasjonale organisasjoner.

 

Et begrenset utvalg av ikke sensitive personopplysninger (navn, e-postadresse , telefon, stilling, adresse, tilhørighet i organisasjonen) kan bli utlevert til følgende parter/virksomheter:

1.       Andre administrative tjenester med FEIDE-pålogging. Se Samtykke under https://innsyn.feide.no  Her har du mulighet til å se hvilke personopplysninger du har samtykket til å overføre til andre tjenester. Du kan også trekke tilbake samtykke til overføring til disse tjenestene fra samme side.

 

2.       Offentlige registre knyttet til ditt arbeidsfhorhold hos NAV,Skatteetaten, SPK

 

3.       Microsoft Office365/Azure. Navn, brukernavn, yrkestittel, e-postadresse, telefonnummer blir overført til Office 365. Personopplysningene lagres i EU. Oversikt over hvilke tjenester i Office 365 som har registrert dine personopplysninger finner du ved å logge på office365 og gå inn på denne siden:  https://portal.office.com/account/#apps  (Du kan trekke tilbake samtykke for noen av tjenstene på den samme portalsiden)

 

4.       Brukeradministrative system

For at du skal få en IT-konto ved Kunsthøgskolen i Oslo , og tilgang til våre IT-tjenester, må det begrensede utvalget av ikke sensitive personopplysninger registreres i et brukeradministrativt system som heter Stim som driftes på Kunsthøgskolen i Oslo.

 

5.       Instructure (Leverandør av Canvas)

For fagpersoner ved Kunsthøgskolen i Oslo benyttes Canvas i undervisningssammenheng, og noen ganger også eksamen. Dette betyr at Instructure som utvikler og drifter Canvas vil ha tilgang til de nevnte ikke sensitive personopplysningene.

 

6.       Evolvera (Leverandør av timeplansystem)

Ved Kunsthøgskolen i Oslo benyttes timeplansystemet Timeedit for å planlegge undervisning og eksamen. Evolvera, som utvikler og drifter Timeedit vil ha tilgang til nevnte ikke sensitive personopplysninger.

 

7.       Utlevering av personopplysninger etter offentleglova

I tilfeller hvor Kunsthøgskolen i Oslo mottar begjæringer om innsyn iht. bestemmelsene i offentleglova, vil bestemmelsene i personopplysningsloven ikke vil kunne gi begrensninger i denne innsynsretten der henvendelsen gjelder personopplysninger. Det kan derfor skje at Kunsthøgskolen i Oslo sender personopplysninger om deg til andre parter enn det som er nevnt i denne personversnerklæringen.

 

9) Sikkerheten rundt dine personopplysninger

Kunsthøgskolen i Oslo gjennomfører regelmessig risiko- og sårbarhetsanalyse for å sikre dine personopplysninger i SAP. I tillegg er det iverksatt sikkerhetstiltak, slik som tilgangskontroller for å forhindre at flere ansatt enn nødvendig får tilgang på dine personopplysninger. Alle registreringer logges.

 

10) Dine rettigheter
Rett til informasjon og innsyn

Du har krav på å få informasjon om hvordan Kunsthøgskolen i Oslo behandler dine personopplysninger. Denne personvernerklæringen er ment å inneholde den informasjonen du har rett til å få.

 

Du har også rett til å se/få innsyn i alle personopplysninger som er registrert om deg ved Kunsthøgskolen i Oslo . Du har også rett til å få utlevert en kopi av personopplysninger om deg, dersom du ønsker det.

 

Rett til korrigering
Du har rett til å få uriktige personopplysninger om deg korrigert. Du har også rett til å få ufullstendige personopplysninger om deg supplert. Dersom du mener vi har registrert feil eller mangelfulle personopplysninger om deg, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner og evt. dokumenterer hvorfor du mener personopplysningene er feil eller mangelfulle.

 

Rett til å begrense behandlingen
I enkelte tilfeller kan du har rett til å kreve behandlingen av dine personopplysninger blir begrenset. Begrensning av personopplysninger vil si at personopplysningene fortsatt blir lagret, men at mulighetene for videre behandling blir begrensede.

 

Dersom du mener at personopplysningene er feil eller mangelfulle, eller har fremmet en innsigelse mot behandlingen (se mer om dette under), har du rett til å kreve at behandlingen av dine personopplysninger midlertidig blir begrenset. Det vil si at behandlingen blir begrenset inntil vi evt. har rettet dine personopplysninger, eller har fått vurdert om innsigelsen din er berettiget.

 

I andre tilfeller kan du også kreve en mer permanent begrensning av dine personopplysninger. For å ha rett til å kreve begrensning av dine personopplysninger, må vilkårene i personopplysningsloven og GDPR artikkel 18 være oppfylte. Dersom vi mottar en henvendelse fra deg om begrensning av personopplysninger, vil vi vurdere om lovens vilkår er oppfylte.

 

Rett til sletting
I noen tilfeller har du rett til å kreve at vi sletter personopplysninger om deg. Retten til sletting er ikke en ubetinget rett, og hvorvidt du har rett til sletting må vurderes i lys av gjeldende lover om personvern, det vil si personopplysningsloven og GDPR. Dersom du ønsker å få slettet dine personopplysninger, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, og om mulig også opplyser hvilke personopplysninger du ønsker å få slettet. Vi vil da vurdere om vilkårene for å kreve sletting i loven er oppfylt. Vær oppmerksom på at lovverket i enkelte tilfeller gir oss anledning til å gjøre unntak fra retten til sletting. For eksempel vil dette være tilfelle når vi er nødt til å lagre personopplysningene for å oppfylle en oppgave vi er pålagt etter universitets- og høyskoleloven, eller for å ivareta viktige samfunnsinteresser som arkivering, forskning og statistikk.

 

Rett til å fremme innsigelse
Du kan ha rett til å fremme en innsigelse mot behandlingen, det vil si protestere mot behandlingen, dersom du har et særskilt behov for å få stanset behandlingen. F.eks. hvis du har et beskyttelsesbehov, fortrolig adresse, eller lignende. Innsigelsesretten er ikke en ubetinget rett, og den avhenger av hva som er det rettslige grunnlaget for behandlingen, og om du har et særskilt behov. Vilkårene går frem av GDPR artikkel 21. Hvis du fremmer en innsigelse mot behandingen, vil vi vurdere om vilkårene for å fremme en innsigelse er oppfylt. Dersom vi kommer til at du har rett til å protestere mot behandlingen, og at innsigelsen er berettiget, vil vi stanse behandlingen og du vil også kunne kreve sletting av opplysningene. Vær oppmerksom på at vi i enkelte tilfeller likevel kan gjøre unntak fra sletting, f.eks. hvis vi er nødt til å lagre personopplysningene for å oppfylle en oppgave vi er pålagt etter universitets- og høyskoleloven, eller for å ivareta viktige samfunnsinteresser.

 

Rett til å klage over behandlingen
Dersom du mener vi ikke har behandlet personopplysningene på en korrekt og lovlig måte, eller hvis du mener at vi ikke har klart å oppfylle dine rettigheter, har du mulighet til å klage over behandlingen. Du finner informasjon om hvordan du kan kontakte oss under pkt. 11.

 

Dersom vi ikke tar klagen din til følge, har du mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven og GDPR, ved behandling av personopplysninger.

11) Kontakt
Behandlingsansvarlig
Kunsthøgskolen i Oslo er behandlingsansvarlig for personopplysninger i SAP, jf. GDPR art. 4 nr. 7.

Dersom du ønsker å benytte deg av dine rettigheter som er omtalt i punkt 10 ovenfor,  kan du ta kontakt på e-post til personvernombudet. Vi vil behandle din henvendelse uten ugrunnet opphold, og senest innen 30 dager.

 

Personvernombud

Kunsthøgskolen i Oslo har et personvernombud som skal ivareta personverninteressene til både studenter og ansatte ved Kunsthøgskolen i Oslo . Personvernombud for administrative behandlinger av personopplysninger ved Kunsthøgskolen i Oslo kan nås via e-post: personvernombud@khio.no

 

Tjenesteleverandør

DFØ

https://dfo.no/om-dfo/personvern

 

 

Kontaktinformasjon til DFØ: postmottak@dfo.no