Hva skal man registere i Meldeappen - behandlingsaktivitet eller system

I Meldeappen skal du registrere administrative behandlingsaktiviteter av personopplysninger, som er faste, gjentagende eller en del av etablerte arbeidsprosesser. Registrer behandlingsaktivitetene slik at en utenforst?ende kan forst? hva UiO gj?r med personopplysninger og hvorfor.

Hva er en behandlingsaktivitet - avhengig av form?l

En behandlingsaktivitet er en konkret oppgave eller prosess der man gj?r noe med personopplysninger for et bestemt form?l.?

Du skal registrere ¨¦n behandlingsaktivitet for hvert form?l du bruker personopplysninger til. Hvis de samme opplysningene brukes til flere ulike form?l, skal hvert form?l registreres som en egen behandlingsaktivitet. Ikke del opp i tekniske steg ¨C beskriv kort hva opplysningene brukes til.

En behandlingsaktivitet viser alts? hva som gj?res med personopplysninger og hvorfor ¨C ikke hvordan det teknisk skjer eller at man bruker et system i seg selv.

En behandling kan omfatte alle typer bruk av personopplysninger, som for eksempel:

• innsamling, registrering
• lagring
• bruk, sammenstilling
• publisering
• overf?ring, deling og utlevering
• sletting

Administrative behandlingsaktiviteter

Med administrative behandlingsaktiviteter menes behandling av personopplysninger som skjer i den daglige driften av universitetet, for eksempel innen:

• studieadminisitrasjon,
• HR- og personal,
• oppf?lging av studenter og ansatte,
• utdanning?

Behandling av personopplysninger i forskningsprosjekter skal ikke registreres i Meldeappen, men meldes til Sikt Personverntjenester for forskning.

Du trenger ikke registrere enkeltst?ende behandlinger av begrenset omfang, som kun skjer ¨¦n gang (ad hoc).

Hvordan definere en behandlingsaktivitet

En god registrering beskriver en sammenhengende behandlingsaktivitet fra start til slutt, knyttet til ett tydelig form?l.?

Behandlingsaktiviteten skal v?re

• avgrenset nok til ? v?re konkret og forst?elig,
• bred nok til ? dekke hele prosessen (ikke enkeltsteg eller tekniske handlinger),
• v?re tydelig p? hvorfor personopplysningene behandles
• ikke samle flere ulike form?l i ¨¦n registrering.

En vanlig feil er ? tenke for stort eller for sm?tt.

• For stort:
  • "Administrasjon av ansatte". Dette kan inneholde alt fra ansettelser, l?nn og pensjon til HMS og ferieplanlegging, som har ulike form?l.
• For spesifikt:
  • "Lagring av CV-er i PDF-format" eller "Sende e-post til jobbs?kere". Disse eksemplene er for spesifikke fordi de kun beskriver enkeltaktiviteter innenfor en st?rre prosess. De sier lite om form?let -hvorfor behandlingen skjer, og gir ikke et godt bilde av helheten.
• Optimalt:
  • "Ansettelsesprosess". Dette dekker hele prosessen fra mottak av s?knad til ansettelse eller avslag.
  • "Utbetalinga av l?nn"
  • ¡°Utsendelse av nyhetsbrev for [xxx]"

Ansvar for registrering

Behandlingsaktiviteter som gjelder for hele universitetet, skal registreres sentralt av UiO som overordnet ansvarlig.?

Behandlingsaktiviteter som kun gjelder en bestemt enhet, eller avviker fra den sentralt registrerte behandlingsaktiviteten skal registreres av enheten selv.?

Se her for mer info om hvem som skal registrere hva - lokalt eller sentralt (lenke)

Overordnet registrering ved likeartet behandling

N?r mange personer utf?rer den samme behandlingen av personopplysninger som en del av en organisert aktivitet, skal behandlingen ikke registreres individuelt.

I stedet skal det gj?res ¨¦n overordnet registrering som dekker aktiviteten. Denne registreringen gj?res av ansvarlig enhet eller rolle, og gjelder for alle som omfattes av aktiviteten.

Dette gjelder for eksempel:

• Innsamling av personopplysninger i studentoppgaver i et emne

  • Behandlingen er tiln?rmet lik for alle studenter i emnet og har samme form?l. Den skal derfor registreres ¨¦n gang av emneansvarlig, og gjelder for alle studentene som gjennomf?rer oppgaven.

  ?

Tips: FUP som utgangspunkt

Du kan bruke FUP-ene og prosessene kartlagt i forbindelse med kartleggingen av de administrative aktivitetene i universitets- og h?yskolesektoren, som et utgangspunkt for ? finne behandlingsaktiviteter som skal registreres i Meldeappen.?

Se her: https://fupper?d.no (?pnes i ny fane)?

I Meldeappen skal du registrere systemer som brukes til ? behandle personopplysninger p? UiO.?

Dette gjelder b?de lokale systemer, skybaserte l?sninger og en kombinasjon (hybrid).

Et system er en IT-tjenestene, et verkt?y eller en l?sning som kan brukes til ? registrere, lagre eller behandle personopplysninger.

Et system omfatter ikke bare programvaren, men kan ogs? omfatte databaser og filomr?der der personopplysninger lagres, grensesnitt eller applikasjoner som gj?r opplysninger tilgjengelige for brukere, og automatiserte prosesser som behandler eller overf?rer opplysninger.

Dette kan for eksempel v?re fagsystemer, saksbehandlingssystemer, l?ringsplattformer, lagringstjenester eller skyl?sninger.

Systemeier skal registrere systemet i Meldeappen. En systemeier er den personen eller enheten som har overordnet ansvar for et system, inkludert at det fungerer som det skal, at sikkerheten er ivaretatt, og at personopplysninger behandles korrekt p? systemniv?.

Systemeierskap betyr ikke n?dvendigvis at det er sammenheng mellom hvem som eier systemet og hvem som har ansvar for de konkrete behandlingsaktivitetene som utf?res i det. Ofte har ikke systemeieren ansvar for de konkrete prosessene eller behandlingsaktivitetene som utf?res i systemet.