Hva m? man ha klart f?r registrering i Meldeappen - innholdet?

F?r du registrerer i Meldeappen, b?r du f?rst avklare om du skal registrere et system eller en behandlingsaktivitet. Her kan du finne ut mer info om du skal registrere en behandlingsaktivitet eller et system.

Registrering av behandlingsaktivitet:

• Definer behandlingsaktiviteten (lenke)
  • En god registrering beskriver hele behandlingsaktiviteten fra start til slutt, knyttet til ett klart form?l. Den skal v?re konkret og forst?elig, dekke hele prosessen uten ? bryte den opp i sm? tekniske steg, og tydelig forklare hvorfor opplysningene behandles. Ulike overordnede form?l skal ikke sl?s sammen i ¨¦n registrering.
• Eier og ansvarlig enhet for behandlingsaktiviteten
  • Dette er den som har det overordnede ansvaret for og "eier" behandlingsaktiviteten/prosessen, selv om andre utf?rer selve behandlingen.
• Eventuell referanse til arkivet, hvor relevant dokumentasjon for registreringen lagres (for eksempel risiko- og s?rbarhetsvurderinger (ROS), vurdering av personvernkonsekvenser (DPIA), databehandleravtale, merkantile avtaler)
• Hva er form?let? Hva er hensikten med behandlingen, og hvorfor gj?res den?
  • Se her for veiledning om form?l (lenke)
• Hvilket rettslig grunnlag benyttes - hjemmel for behandlingen?
  • Se her for veiledning om rettslig grunnlag for behandlingen (lenke)
• Hvilke personopplysninger behandles (inkl. s?rlige kategorier)?
• Hvor lenge lagres personopplysningene? Hvilke kriterier avgj?r n?r de slettes? Hva skjer med opplysningene n?r behandlingen er ferdig? Skal opplysningene arkiveres?
• Hvem handler personopplysningene om (ansatte, studenter, andre)?
• Hvor lenge varer behandlingen, og er den rutinemessig eller gjentagende?
• Er personene opplysningene handler om direkte identifiserbare i datamaterialet?
• Hvilken klassifisering tilh?rer dataene etter UiOs rutiner for klassifisering av data og informasjon (lenke)?
• Hvordan samles personopplysningene inn, og hvor kommer de fra?
• Hvilket virksomhetsomr?de tilh?rer registreringen? Hvem er har tilgang til eller bruker personopplysningene i behandlingsaktiviteten?
• Hvilke systemer og eksterne databehandlere som eventuelt benyttes (eventuelle databehandleravtaler).
  • Du kan s?ke opp i Meldeappen om disse er registrert allerede.
• Eventuelle andre mottakere av opplysningene, utlevering til eksterne selvstendige behandlingsansvarlige som behandler opplysningene til eget form?l, eller °ÄÃŻʹÚÌåÓý,»Ê¹Ú×ãÇò±È·Ö med andre akt?rer (felles behandlingsansvar)
• Eventuelle overf?ringer til tredjeland (lenke) og rettslig grunnlag for overf?ringen. Du trenger ikke ? registrere en overf?ring til tredjeland p? en behandlingsaktivitet detaljert, dersom overf?ringen allerede er registrert p? systemene som benyttes.
  • En overf?ring skjer n?r personopplysninger sendes til eller gj?res tilgjengelige i et land utenfor EU/E?S (tredjeland), enten ved lagring, behandling eller tilgang til data.
  • Dersom overf?ringen skjer som f?lge av bruk av et system eller en databehandler, og overf?ringen er allerede registrert p? systemet, trenger du bare oppgi dette. Du kan s?ke opp om overf?ringen er registrert p? systemet i Meldeappen (lenke)
  • Se her for mer informasjon om overf?ring til tredjeland (lenke).
• Er det gjennomf?rt en risiko- og s?rbarhetsvurderinger (ROS) (lenke), vurdering av personvernkonsekvenser (DPIA) (lenke) og/eller andre vurderinger av personopplysningsvernet?

Registrering av system:

Det kan v?re lurt ? ha en eventuell databehandleravtale, tjenesteavtale, personvernerkl?ring, brukervilk?r og annen relevant dokumentasjon for systemet tilgjengelig n?r du skal gj?re registreringen.?

Her er informasjon du m? ha klart og vurderinger du m? ha gjennomf?rt n?r du skal registrere et system:?

• Hvem er eier og ansvarlig enhet for systemet?
• Eventuell referanse til arkiv, hvor relevant dokumentasjon for registreringen lagres (for eksempel risiko- og s?rbarhetsvurderinger (ROS), vurdering av personvernkonsekvenser (DPIA), databehandleravtale, merkantile avtaler)
• En kort beskrivelse av hva systemet er, gj?r og hvilke behov det skal dekke
• Hvem er leverand?r av systemet? UiO selv eller en ekstern part?
• Hvem har ansvar for teknisk drift? UiO selv eller en ekstern part?
• Hvilken rolle har leverand?ren etter personvernregelverket? Er leverand?ren en databehandler, selvstendig behandlingsansvarlig, og/eller felles behandlingsansvarlig? I enkelte tilfeller kan en tjenesteleverand?r ha flere roller ved en tjenesteleveranse.
• Bruk av underleverand?rer/underdatabehandlere og hvordan endringer i disse forvaltes? Dette er regulert i du i databehandleravtalen
• Hvem som har tilgang til eller bruker systemet p? UiO?
• Hvem handler personopplysningene i systemet sannsynligvis om?
• Skjer det det eventuelle overf?ringer til tredjeland ved bruk av systemet? Hva er det rettslige grunnlaget for overf?ringen - dette finner du i ofte i databehandleravtalen.
  • Se her for mer informasjon om overf?ring til tredjeland (lenke).
• Er det gjennomf?rt en risiko- og s?rbarhetsvurderinger (ROS) (lenke), vurdering av personvernkonsekvenser (DPIA) (lenke) og/eller andre vurderinger av personopplysningsvernet?
• Vurder om det er noen behandlingsaktiviteter i systemet som du m? registrere som behandlingsaktivitet (lenke)