Personvernerklæring - Pureservice

En personvernerklæring beskriver hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter du har og hvem du kan kontakte om personopplysningene dine. Denne personvernerklæringen beskriver hvordan OsloMet håndterer personopplysningene dine når du benytter plattformen Pureservice og utgjør et supplement til OsloMet sine generelle personvernerklæringer.

2.1 Formål

Det behandles personopplysninger for å kunne levere på samfunnsoppdraget OsloMet innehar innen utdanning og forskning gjennom god, effektiv og trygg saksbehandling på en slik måte at ansatte, studenter og gjester kan ha tillit til sikkerheten i den digitale infrastrukturen og ivaretagelsen av den  enkeltes personvern.

Behandlingen av personopplysningene benyttes til studie- og personaladministrative formål, 
herunder:

• Tilrettelegge for tjenesteleveranser.
  • Behandle henvendelser fra studenter, ansatte og gjester ved OsloMet som skal behandles og besvares av saksbehandlere i virksomheten.
  • Gi de registrerte god og rask saksbehandling og riktig informasjon ved henvendelser, samt sikre at det kun er rette personer som mottar opplysningene og sikre god offentlig forvaltning.
•  Forbedre tjenestene som leveres gjennom dialog med og tilbakemeldinger fra de registrerte.
• Føre statistikk og forbedre tjenesteleveranser gjennom brukergruppetilpasning.

2.2. Behandling

2.2.1. Innsamling

Personopplysningene samles inn fra Entra ID. I dette kildesystemet er personopplysningene registrert 
fra deg direkte eller innhentet fra nasjonale registre.

2.2.2. Lagring

Personopplysninger lagres i skyløsningen til plattformen Pureservice

2.2.3. Sammenstilling og kobling

Dataflyten og prosessen hvor personopplysninger integreres inn i Pureservice foregår gjennom Entra 
ID.

2.2.4. Analysering

Analyse av hvilke personopplysninger som behandles, hvordan de behandles og kvalitetssikring at behandlingen er i samsvar med behandlingsformålet.

2.2.5. Gjenfinning

Gjenfinning av personopplysninger i Pureservice ifm. behandlingsformål tilknyttet saksbehandlingsprosesser i behandlingen.

2.2.6. Sletting

Personopplysninger slettes fra plattformen Pureservice etter tilknytningsforholdet mellom OsloMet og den registrerte opphører.

2.3 Rettslig grunnlag

For studenter:

Personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav e) «Behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt», jf. nr. 3 b) jf. universitets- og høyskoleloven (UH-loven) § 4-15.

For ansatte og gjester:

GDPR art. 6 nr. 1 f) «Berettiget interesse».Det er gjennomført en interesseavveining for å vurdere forholdet mellom den enkeltes personvern  og virksomhetens berettigete interesse. I hovedtrekk er det svært lav sannsynlighet at behandlingen vil medføre svært negative konsekvenser for enkeltpersoner grunnet personopplysningenes alminnelige art og at storparten av opplysningene allerede er offentlig tilgjengelig. Samtidig er det vurdert at OsloMet kan lide et omdømmetap på virksomhetsnivå i det offentlige dersom behandlingen ikke utføres og OsloMet dermed ikke klarer å opprettholde forventningsoppnåelsen virksomheten har hos sine brukere.

Vi behandler kun alminnelige personopplysninger. Følgende personopplysninger behandles om de ulike kategoriene:

3.1. Student

Navn, e-postadresse, telefonnummer, studentnummer, organisasjonstilknytning og IP-adresse.

3.2. Ansatt/Gjest

Navn, e-postadresse, telefonnummer, ansattnummer/-ID, organisasjonstilknytning og IP-adresse.

Omfanget av personopplysningsbehandlingen som utføres for kategorien "Gjest" avhenger av rammene rundt 
tilknytningsforholdet til OsloMet.

Personopplysninger vil lagres så lenge den registrerte har et aktivt tilknytningsforhold til OsloMet. Arkivpliktige opplysninger vil arkiveres jf. arkivloven med forskrifter og OsloMet sine interne arkiveringsrutiner.

Utlevering eller eksport av data defineres som enhver avgivelse av data foruten til eget system/behandling eller til den registrerte selv eller noen som mottar data på dennes vegne. OsloMet kan utlevere eller eksportere data som inneholder personopplysninger til andre systemer, det vil si ekstern databehandler i de tilfellene der det anses som nødvendig. Dine personopplysninger kan bli utlevert til følgende parter/virksomheter:

Pureservice – Systemleverandør:

Pureservice er, som nevnt innledningsvis, en skybasert plattform for automatisering av digital saksbehandling og tilknyttede arbeidsprosesser. Det vil si at Pureservice er databehandler for OsloMet og har som funksjon å innhente, lagre og forvalte data. Personellet som drifter Pureservice kan ha tjenstlig behov for tilgang til registrertes opplysninger for å utføre sitt arbeid og etterleve avtalevilkårene som er inngått mellom virksomheten og OsloMet. I utgangspunktet har databehandler ikke tilgang til å lese de registrertes opplysninger, men de kan bli tildelt dette av OsloMet ved forspurt behov for bistand. I et slikt tilfelle er det OsloMet som avgjør og godkjenner hvilke opplysninger databehandler skal få tilgang til.

OsloMet har gjennomført risiko- og sårbarhetsanalyse (ROS) og personvernkonsekvensvurdering (DPIA) av plattformen Pureservice. Prosessene har konkludert at dine rettigheter og friheter tilknyttet personopplysningsbehandlingen ivaretas og at personvernrisikoen er redusert slik at behandlingen gjennomføres i samsvar med personvernforordningen (GDPR). Så lenge det behandles personopplysninger i Pureservice vil det regelmessig gjennomføres risiko- og sårbarhetsanalyser for å opprettholde sikringen av dine personopplysninger. I tillegg er det iverksatt sikkerhetstiltak, slik som tilgangskontroller, for å forhindre at flere ansatte enn nødvendig får tilgang til dine personopplysninger. Ansatte har taushetsplikt rundt personopplysninger de får tilgang til gjennom sitt arbeide.

Samtlige data vil i utgangspunktet til enhver tid behandles i Norge (EU/EØS) i Pureservice sine datalagringssentre og vil dermed være underlagt norsk/europeisk personvernlovgivning. Pureservice er en norskeid virksomhet, med en norsk underleverandør. Underleverandøren er et datterselskap av  et amerikansk moderselskap, og kan dermed potensielt være underlagt amerikansk lovgivning. I ytterste konsekvens kan dette medføre at personopplysninger overføres til USA, da lovgivningen i visse tilfeller vil gi amerikanske myndigheter innsynsynsrett i informasjon (inkl. personopplysninger) som behandles av amerikanske virksomheter. Sannsynligheten for dette inntreffer er vurdert som svært lav og OsloMet, som behandlingsansvarlig, skal varsles innen dette forekommer.

Underleverandøren er Microsoft Norge AS (Azure), som er et datterselskap av Microsoft Corporation. Microsoft Corporation er selvsertifisert med «EU-U.S. Data Privacy Network», dvs. at tredjelandsoverføringer vil være lovlig og samsvare med GDPR art. 45. Virksomheten må resertifiseres årlig. Se Data Privacy Framework (DPF) Program - Participant details for utfyllende informasjon.

Du har krav på å få informasjon om hvordan OsloMet behandler personopplysningene dine. Denne informasjonsplikten oppfylles gjennom denne personvernerklæringen. Du har også følgende rettigheter:

• Rett til innsyn
• Rett til retting
• Rett til begrensing av behandling
• Rett til sletting
• Rett til å klage over behandlingen.

Se vår nettside om dine rettigheter for utfyllende informasjon.

Finn oppdatert kontaktinformajson på nettsidene våre.