Personvernerklæring

1) Kort om Vitnemålsportalen

Ved hjelp av Vitnemålsportalen kan du selv hente ut dine resultater fra høyere utdanning og dele dem med studiesteder, potensielle arbeidsgivere og andre relevante parter. Vitnemålsportalen sikrer at resultater som deles er korrekte.

2) Om denne personvernerklæringen

Denne personvernerklæringen beskriver hvordan Unit - Direktoratet for IKT og fellestjenester i høyere utdanning og forskning håndterer dine personopplysninger i Vitnemålsportalen. Formålet med denne personvernerklæringen er å informere deg om hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter du har og hvem du kan kontakte.

3) Hva er personopplysninger?

Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson, jf. GDPR artikkel 4 nr. 1. Det avgjørende for om en opplysning er en personopplysning er om opplysningene kan knyttes til en identifisert eller identifiserbar fysisk person.

Opplysninger som alene ikke kan knyttes til en enkeltperson, kan i tilfeller hvor de forekommer sammen med andre data utgjøre en personopplysning hvis de indirekte identifiserer en person.

4) Formålet med behandling av personopplysninger i Vitnemålsportalen

Formål

Formålet med behandling av personopplysninger i Vitnemålsportalen er å identifisere deg slik at du kan hente ut dine resultater fra universiteter og/eller høgskoler som er knyttet til Vitnemålsportalen. Videre er formålet at du skal kunne dele resultatene dine med ønskede mottakere.

Rettslig grunnlag

Det rettslige grunnlaget for å behandle personopplysninger i Vitnemålsportalen er GDPR artikkel 6 nr. 1 bokstav e, jf. nr. 3 bokstav b, og bestemmelser i Lov om universiteter og høyskoler (universitets- og høyskoleloven) § 4-14 og Forskrift om Nasjonal vitnemåls- og karakterportal

5) Hvilke personopplysninger blir behandlet i Vitnemålsportalen og hvor lenge lagrer vi dine personopplysninger?

Det finnes ingen sensitive personopplysninger i Vitnemålsportalen.

  1. Personer som har avlagt og bestått en eller flere eksamener ved et universitet/høgskole som er knyttet til Vitnemålsportalen (og denne institusjonen har minst ett resultat digitalt)

Vitnemålsportalen vil til enhver tid ha ditt fødselsnummer (eventuelt D-nummer eller S-nummer) 11 siffer, samt knytning til universiteter/høgskoler det er digitalt registrert at du har oppnådd resultater ved. Disse personopplysningene slettes kun dersom de er uriktige. Personopplysningene hentes direkte fra databasene til de universitetene/høgskolene du har studert ved, og vil finnes i Vitnemålsportalen uansett om du har logget deg på i Vitnemålsportalen eller ikke. Uten denne informasjonen vil du ikke kunne hente inn dine resultater til Vitnemålsportalen. Nye personer som oppnår resultater legges automatisk inn i Vitnemålsportalen hver natt.

  1. Personer som er registrert i Vitnemålsportalen (se pkt 1 over) og som logger seg på i Vitnemålsportalen

Hvis du logger deg på i Vitnemålsportalen vil Vitnemålsportalen hente navnet ditt fra Det sentrale folkeregisteret, Feide eller universitetene/høgskolene du har studert ved.

Når du logger deg på i Vitnemålsportalen tar vi vare på informasjon om din aktivitet. Vi lagrer innloggingsmåten (Feide eller ID-porten), hvor lenge du var logget på, om du hentet inn dine resultater, om du delte noen resultater, hvilke resultater du delte, hvor resultatene kom fra, hvem du delte resultatene med, hvor lenge lenken du delte er aktiv, hvor mange ganger lenken har blitt benyttet. Vi tar også vare på tidspunktet de ulike handlingene ble utført, samt hvilken hardvare (pc/nettbrett/mobil-merke) og softvare (nettleser) du benyttet. Vi tar også vare på informasjon om hvor i verden du befant deg da du benyttet Vitnemålsportalen og hvilken internettadresse (URL) du benyttet for å komme til Vitnemålsportalen. Informasjonen om din aktivitet lagres for å kunne gi deg brukerstøtte og for å kunne si noe om den generelle bruken av Vitnemålsportalen.

Personopplysninger, som blir tilgjengelig via lenker du genererer i Vitnemålsportalen, blir lagret i Vitnemålsportalen i 12 måneder etter at lenken gikk ut/du deaktiverte den. Årsaken til dette er at det ikke er mulig å ta ut statistikk på hvor mange personer som har benyttet Vitnemålsportalen uten å ta vare på personopplysningene dine. Etter 12 måneder avidentifiseres personopplysningene dine automatisk. Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn tilbake til deg.

  1. Personer som mottar lenke med resultater

Når du trykker på en tilsendt lenke med resultater i Vitnemålsportalen tar vi vare på informasjon om din aktivitet. Vi lagrer hvor mange ganger lenken har blitt benyttet og hvilken hardvare (pc/nettbrett/mobil-merke) og softvare (nettleser) du benyttet. Vi tar også vare på informasjon om hvor i verden du befant deg da du benyttet lenken. Informasjonen om din aktivitet lagres for å kunne gi deg brukerstøtte og for å kunne si noe om den generelle bruken av Vitnemålsportalen.

Informasjonen om din aktivitet blir lagret i 12 måneder. Dette for å kunne ta ut statistikk på bruken av Vitnemålsportalen. Etter 12 måneder avidentifiseres personopplysningene dine automatisk. Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn tilbake til deg.

6) Automatisk saksbehandling

Personopplysningene dine vil ikke være gjenstand for automatisert saksbehandling eller profilering.

7) Utlevering av dine personopplysninger til andre

Utlevering eller eksport av data defineres som enhver avgivelse av data foruten til eget system/behandling eller til den registrerte selv eller noen som mottar data på dennes vegne.

Unit - Direktoratet for IKT og fellestjenester i høyere utdanning og forskning kan utlevere eller eksportere data som inneholder personopplysninger til andre systemer, det vil si ekstern databehandler i de tilfellene der det anses som nødvendig.

Dine personopplysninger blir ikke utlevert til land utenfor EU/EØS, eller noen internasjonale organisasjoner.

Dine personopplysninger kan bli utlevert til følgende parter/virksomheter:

  1. Universitetets senter for informasjonsteknologi (USIT), ved Universitetet i Oslo (UiO)

Vitnemålsportalen driftes av USIT ved UiO. Ansatte ved USIT som har behov for det i sin jobb vil ha tilgang til dine personopplysninger. Dette for å kunne utføre brukerstøtte og eventuell feilretting i tjenesten.

  1. UNINETT AS

Det er mulig å logge inn i Vitnemålsportalen med innloggingsløsningen FEIDE. FEIDE utvikles og leveres av UNINETT AS. Hvis du logger inn med FEIDE, vil ansatte ved UNINETT AS, som har behov for det i sin jobb, ha tilgang til ditt FEIDE-navn og IP-adresse. Dette for å kunne utføre brukerstøtte og eventuell feilretting i tjenesten. Etter seks måneder slettes dine personopplysninger hos FEIDE.

  1. Direktoratet for forvaltning og ikt (Difi)

Det er mulig å logge inn i Vitnemålsportalen med innloggingsløsningene MinID, BankID, Buypass og Commfides via ID-porten. Direktoratet for forvaltning og IKT (Difi) er behandlingsansvarlig for personopplysninger som behandles i ID-porten, samt opplysninger som benyttes for å administrere MinID.

Hvis du logger inn med ID-porten, kan ansatte i brukerstøtte og forvaltning hos Difi ved behov se ditt fødselsnummer og kontaktinformasjon samt tidsavgrenset innloggingshistorikk. Behovet oppstår når Difi må yte hjelp til bruker eller ved feilsøking/-retting av tjenesten.

Leverandørene av de elektroniske ID-ene (BankID, Buypass og Commfides) er behandlingsansvarlige for personopplysninger som er nødvendig for å administrere sine innloggingsløsninger.

8) Sikkerheten rundt dine personopplysninger

For å sikre dine personopplysninger i Vitnemålsportalen er det lagt på en rekke sikkerhetsmessige innstillinger; alle overføringer til og fra Vitnemålsportalen er krypterte, mottakere av lenker fra Vitnemålsportalen må benytte en unik pinkode (6 siffer) for å få se innholdet som deles i lenken, og det er gjort tekniske innstillinger for å unngå at nettlesere automatisk kan hente ut informasjon fra en lenke fra Vitnemålsportalen. Videre gjennomfører Unit - Direktoratet for IKT og fellestjenester i høyere utdanning og forskning regelmessig risiko- og sårbarhetsanalyser, samt testing av sikkerheten i Vitnemålsportalen for å sikre dine personopplysninger.

9) Dine rettigheter

Rett til informasjon og innsyn

Du har krav på å få informasjon om hvordan dine personopplysninger blir behandlet i Vitnemålsportalen. Denne personvernerklæringen er ment å inneholde den informasjonen du har rett til å få.

Du har også rett til å se/få innsyn i dine personopplysninger som er registrert i Vitnemålsportalen, og også andre personopplysninger som blir innhentet etter aktiv pålogging fra deg. Du har også rett til å få utlevert en kopi av personopplysninger om deg, dersom du ønsker det.

Når det gjelder retten til innsyn er dette en rettighet som i stor grad allerede er ivaretatt allerede gjennom den selvbetjente løsningen i Vitnemålsportalen, hvor du etter pålogging får innsyn i opplysninger om dine utdanningsresultater som er registrert ved utdanningsinstitusjoner du har vært tilknyttet.

Rett til korrigering

Du har rett til å få uriktige personopplysninger om deg korrigert. Du har også rett til å få ufullstendige personopplysninger om deg supplert. Vær oppmerksom på at vi innhenter dine personopplysninger fra de utdanningsinstitusjonene du har vært tilknyttet og som du har oppnådd resultater ved. Dersom du mener Vitnemålsportalen viser feil eller mangelfulle personopplysninger om deg, ber vi deg om å ta kontakt med aktuell utdanningsinstitusjon. Ved en slik henvendelse er det viktig at du begrunner og eventuelt dokumenterer hvorfor du mener personopplysningene er feil eller mangelfulle.

Rett til å begrense behandlingen

I enkelte tilfeller kan du har rett til å kreve behandlingen av dine personopplysninger blir begrenset. Begrensning av personopplysninger vil si at personopplysningene fortsatt blir lagret, men at mulighetene for videre behandling blir begrensede.

Dersom du mener at personopplysningene er feil eller mangelfulle, eller har fremmet en innsigelse mot behandlingen (se mer om dette under), har du rett til å kreve at behandlingen av dine personopplysninger midlertidig blir begrenset. Det vil si at behandlingen blir begrenset inntil utdanningsinstitusjonen evt. har rettet dine personopplysninger, eller har fått vurdert om innsigelsen din er berettiget.

I andre tilfeller kan du også kreve en mer permanent begrensning av dine personopplysninger. For å ha rett til å kreve begrensning av dine personopplysninger, må vilkårene i personopplysningsloven og GDPR artikkel 18 være oppfylte.

Rett til sletting

I noen tilfeller har du rett til å kreve at vi sletter personopplysninger om deg. Retten til sletting er ikke en ubetinget rett, og hvorvidt du har rett til sletting må vurderes i lys av gjeldende lover om personvern, det vil si personopplysningsloven og GDPR. Dersom du ønsker å få slettet dine personopplysninger, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, og om mulig også opplyser hvilke personopplysninger du ønsker å få slettet. Vi vil da vurdere om vilkårene for å kreve sletting i loven er oppfylt. Vær oppmerksom på at lovverket i enkelte tilfeller gir oss anledning til å gjøre unntak fra retten til sletting. For eksempel vil dette være tilfelle når vi er nødt til å lagre personopplysningene for å oppfylle en oppgave vi er pålagt etter universitets- og høyskoleloven, eller for å ivareta viktige samfunnsinteresser som arkivering, forskning og statistikk.   

Rett til å fremme innsigelse

Du kan ha rett til å fremme en innsigelse mot behandlingen, det vil si protestere mot behandlingen, dersom du har et særskilt behov for å få stanset behandlingen. F.eks. hvis du har et beskyttelsesbehov, fortrolig adresse, eller lignende. Innsigelsesretten er ikke en ubetinget rett, og den avhenger av hva som er det rettslige grunnlaget for behandlingen, og om du har et særskilt behov. Vilkårene går frem av GDPR artikkel 21. Hvis du fremmer en innsigelse mot behandlingen, vil vi vurdere om vilkårene for å fremme en innsigelse er oppfylt. Dersom vi kommer til at du har rett til å protestere mot behandlingen, og at innsigelsen er berettiget, vil vi stanse behandlingen og du vil også kunne kreve sletting av opplysningene. Vær oppmerksom på at vi i enkelte tilfeller likevel kan gjøre unntak fra sletting, f.eks. hvis vi er nødt til å lagre personopplysningene for å oppfylle en oppgave vi er pålagt etter universitets- og høyskoleloven, eller for å ivareta viktige samfunnsinteresser.

Rett til å klage over behandlingen

Dersom du mener vi ikke har behandlet personopplysningene på en korrekt og lovlig måte, eller hvis du mener at vi ikke har klart å oppfylle dine rettigheter, har du mulighet til å klage over behandlingen. Du finner informasjon om hvordan du kan kontakte oss under pkt. 10.

Dersom vi ikke tar klagen din til følge, har du mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven og GDPR, ved behandling av personopplysninger.

10) Kontakt

Behandlingsansvarlig

Kunnskapsdepartementet er behandlingsansvarlig for personopplysninger i Vitnemålsportalen, jf. GDPR artikkel 4 nr. 7. Det daglige behandleransvaret er av Kunnskapsdepartementet delegert til Unit - Direktoratet for IKT og fellestjenester i høyere utdanning og forskning. Unit forvalter Vitnemålsportalen og behandler personopplysninger i Vitnemålsportalen på vegne av behandlingsansvarlig.

Kontaktinformasjon til Unit: +47 22 84 18 50, vitnemalsportalen@ceres.no

Publisert 14. juni 2018 11:21 - Sist endret 22. juni 2018 14:50