Personvernerklæring - forskningsdeltakere

Denne personvernerklæringen beskriver hvordan Nord universitet (Nord) samler inn og bruker personopplysninger i sin forskningsvirksomhet. I de tilfeller der det innhentes samtykke fra den registrerte, vil det samtidig bli gitt nøyaktig informasjon om behandling av personopplysninger i det aktuelle prosjektet.

Hva er formålet med behandlingen av personopplysninger?

Formålet med behandlingen er å levere forskning på nasjonalt og internasjonalt faglig høyt nivå. I alle forskningsprosjekter skal det konkret fremgå hva som er formålet med behandlingen.

Hva er grunnlaget for behandlingen av personopplysninger?

Nord ber normalt om samtykke for å behandle personopplysninger i forskningsøyemed, jf. EUs personvernforordning Artikkel 6 nr. 1 bokstav a. Alle som har gitt samtykke kan når som helst trekke samtykket tilbake.
Behandling av personopplysninger kan være hjemlet i EUs personvernforordning artikkel 6 nr. 1 bokstav e, når det utføres en oppgave av allmenn interesse. Dette gjelder når personopplysninger behandles for vitenskapelig eller historisk forskning eller for statistiske formål. 

Hvilke personopplysninger behandles?

Typiske personopplysninger som behandles er navn, bosted, alder, utdanning, yrke, studievalg etc. Hvilke opplysninger som faktisk samles inn vil variere fra prosjekt til prosjekt. Komplett oversikt over hvilke personopplysninger som behandles oppbevares i meldingsarkivet til NSD Personvernombudet.

Hvor hentes opplysningene fra?

Nord innhenter data fra ulike kilder, avhengig av formål og prosjekt. Vanlige metoder for innhenting er ved hjelp av spørreskjema (papir eller elektronisk), personlig intervju, gruppeintervju, observasjon eller fra registre (DBH, Statistisk sentralbyrå, OECD m.fl.).

Hvordan sikres opplysningene?

Nord har et internkontrollsystem som inneholder regler og rutiner for hvordan personopplysninger skal behandles. Vi gjennomfører regelmessig risiko- og sårbarhetsanalyser av datasystemene vi benytter, for å sikre personopplysningene dine. 
I tillegg har vi sikkerhetstiltak, slik som tilgangskontroller for å hindre at flere ansatte en nødvendig får tilgang til personopplysningene dine. Slike tilgangskontroller kan være både tilgangskontroll i datasystemer og fysisk kontroll i form av låsbare arkiv/skap. 
Ansatte og studenter som behandler personopplysninger er underlagt taushetsplikt og gis opplæring i personvern. Alle registreringer logges.

Utleveres opplysningene til tredjeparter?

Nord utleverer ikke personopplysninger til tredjeparter. I enkelte forskningsprosjekter kan imidlertid personopplysninger deles med andre forskningsmiljø. Dersom slik utlevering er planlagt vil vi informere om dette når vi ber om samtykke.

Hvor lenge oppbevares personopplysningene?

Datafiler og datasett slettes eller anonymiseres når behandlingen opphører, såfremt annet ikke er avtalt. Nord vil opplyse om hvor lenge vi lagrer personopplysningene. Dersom det ikke er mulig å angi nøyaktig tid, skal Nord opplyse om hvilke kriterier som bestemmer lagringstiden.

Hva er dine rettigheter og valgmuligheter?

Som registrert har du i utgangspunktet krav på informasjon om hvordan Nord universitet behandler dine personopplysninger. Dersom Nord samler inn opplysningene fra andre enn deg, (for eksempel ved registerstudier, observasjonsstudier eller internettforskning) kan Nord være unntatt fra informasjonsplikten. 

Du har også en del rettigheter som er opplistet nedenfor. Når dine personopplysninger brukes for forskning og statistikk, kan imidlertid noen av disse rettighetene være begrenset. Dette gjelder bl.a. retten til innsyn, sletting og begrenset behandling. 

Dersom du ønsker å benytte deg av dine rettigheter, har spørsmål eller behov for rådgivning omkring behandlinger av personopplysninger ved Nord, kan du ta kontakt på behandlingsansvarlig@nord.no. Vi vil behandle din henvendelse uten ugrunnet opphold, og senest innen 30 dager.
Når du henvender deg til oss, vil du bli bedt om å bekrefte identiteten din. Dette gjør vi for å sikre at uvedkommende ikke får tilgang til dine personopplysninger. Du kan også bli bedt om å oppgi ytterligere informasjon.

Rett til å trekke samtykke
Dersom vi behandler opplysninger om deg på grunnlag av ditt samtykke, kan du til enhver tid trekke tilbake samtykket. Den enkleste måten å gjøre dette på, er å ta direkte kontakt med prosjektansvarlig som innhentet ditt samtykke. Du kan også ta kontakt med behandlingsansvarlig.  

Rett til innsyn
Du har rett til å se/få innsyn i alle personopplysninger som er registrert om deg ved Nord universitet. Du har også rett til å få utlevert en kopi av personopplysninger om deg, dersom du ønsker det.

Rett til retting
Du har rett til å få uriktige personopplysninger om deg rettet. Du har også rett til å få ufullstendige personopplysninger om deg supplert. Dersom du mener vi har registrert feil eller mangelfulle personopplysninger om deg, ber vi deg kontakte oss. Det er viktig at du begrunner og eventuelt dokumenterer hvorfor du mener personopplysningene er feil eller mangelfulle.

Rett til begrenset behandling
I enkelte tilfeller kan du har rett til å kreve at behandlingen av personopplysningene dine blir begrenset. Begrensning av personopplysninger vil si at personopplysningene fortsatt blir lagret, men at mulighetene for videre bruk og behandling blir begrensede.

Dersom du mener at personopplysningene er feil eller mangelfulle, eller har protestert mot behandlingen, har du rett til å kreve at behandlingen av personopplysningene dine midlertidig blir begrenset. Det vil si at behandlingen blir begrenset inntil vi eventuelt har rettet personopplysningene dine, eller har fått vurdert om protesten din er berettiget.
I andre tilfeller kan du også kreve en mer permanent begrensing av dine personopplysninger. For å ha rett til å kreve begrensing av dine personopplysninger, må vilkårene i personvernforordningen artikkel 18 være oppfylte. Dersom vi mottar en henvendelse fra deg om begrensing av personopplysninger, vil vi vurdere om lovens vilkår er oppfylte.

Rett til sletting
I noen tilfeller har du rett til å kreve at vi sletter personopplysninger om deg. Retten til sletting er ikke en ubetinget rett, og hvorvidt du har rett til sletting må vurderes i lys av personopplysningsloven og personvernforordningen. Dersom du ønsker å få slettet personopplysningene dine, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, og om mulig også opplyser om hvilke personopplysninger du ønsker å få slettet. Vi vil da vurdere om de rettslige vilkårene for å kreve sletting er oppfylt. Vær oppmerksom på at lovverket i enkelte tilfeller gir oss anledning til å gjøre unntak fra retten til sletting. For eksempel vil dette være tilfelle når vi er nødt til å lagre personopplysningene for å oppfylle en oppgave vi er pålagt etter universitets- og høyskoleloven, eller for å ivareta viktige samfunnsinteresser som forskning og statistikk.

Rett til å protestere
Du kan ha rett til å fremme en innsigelse mot behandlingen, det vil si protestere mot behandlingen, dersom du har et særskilt behov for å få stanset behandlingen av personopplysningene dine. Eksempler kan være dersom du har et beskyttelsesbehov, fortrolig adresse, eller lignende. Retten til å protestere er ikke en ubetinget rett, og den avhenger av hva som er det rettslige grunnlaget for behandlingen, og om du har et særskilt behov. Hvis du protesterer mot behandlingen, vil vi vurdere om vilkårene for å protestere er oppfylt. Dersom vi kommer til at du har rett til å protestere mot behandlingen, og at innsigelsen er berettiget, vil vi stanse behandlingen og du vil også kunne kreve sletting av opplysningene. Vær oppmerksom på at vi i enkelte tilfeller likevel kan gjøre unntak fra sletting, for eksempel hvis vi er nødt til å lagre personopplysningene for å oppfylle en oppgave vi er pålagt etter universitets- og høyskoleloven, eller for å ivareta viktige samfunnsinteresser.

Rett til å klage over behandlingen
Dersom du mener vi ikke har behandlet personopplysningene på en korrekt og lovlig måte, eller hvis du mener at vi ikke har klart å oppfylle dine rettigheter, har du mulighet til å klage over behandlingen. 

Dersom vi ikke tar klagen din til følge, har du mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven og personvernforordningen ved behandling av personopplysninger.

Hva gjøres ved brudd på informasjonssikkerheten?

Dersom Nord avdekker eller får melding om sikkerhetsbrudd, behandles saken av institusjonens informasjonssikkerhetskoordinator (CISO) i henhold til gjeldende regelverk og rutiner.

Dersom man vurderer at sikkerhetsbruddet medfører risiko for krenkelse av personvernet, vil Datatilsynet bli varslet uten ugrunnet opphold, og senest innen 72 timer.

De registrerte som sannsynlig vil bli berørt av et sikkerhetsbrudd, vil bli varslet så raskt som mulig. De registrerte blir da varslet individuelt. Dersom det ikke er mulig å varsle de registrerte individuelt, vil bruddet bli bekjentgjort som en nyhetssak på Nords nettsider. 

Behandlingsansvarlig og personvernombud

Behandlingsansvarlig
Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes ved behandlingen. Rektor har det overordnede ansvaret for behandling av personopplysninger i forskningsprosjekter.

Dersom du ønsker å benytte deg av dine rettigheter, har spørsmål eller behov for rådgivning omkring behandlinger av personopplysninger ved Nord, kan du ta kontakt på behandlingsansvarlig@nord.no

Personvernombud
Personvernombudet skal være et kontaktpunkt for de registrerte (de personer som det behandles personopplysninger om) og for Datatilsynet. 

Du kan søke generell veiledning hos personvernombudet.  

Personvernombudet skal informere om forpliktelsene man har etter de nye reglene. Ombudet skal også kontrollere at regelverket overholdes og at personvernkonsekvenser vurderes der det kan være høy risiko for personers personvern og øvrige interesser.  
I mange tilfeller har Nord en rådføringsplikt med personvernombudet. Nord som behandlingsansvarlig skal sørge for at personvernombudet involveres i rett tid og på riktig måte i personvernspørsmål. 

Personvernombudet ved Nord universitet er Toril Irene Kringen som kan kontaktes på personvernombud@nord.no

Kontakt


Behandlingsansvarlig
Dersom du ønsker å benytte deg av dine rettigheter, har spørsmål eller behov for rådgivning omkring behandlinger av personopplysninger ved Nord, kan du ta kontakt på behandlingsansvarlig@nord.no. Vi vil behandle din henvendelse uten ugrunnet opphold, og senest innen 30 dager.

Personvernombud
Nord universitet har et personvernombud som skal ivareta personverninteressene til alle som universitetet har registrert opplysninger om.
Telefon: 74 02 27 50

NSD
Hvis du har spørsmål knyttet til meldeplikten eller utfylling av meldeskjemaet for behandling av personopplysninger i forskning, kan du ta kontakt med NSD på personvernomudet@nsd.no
Telefon (10.00-14.00): 55 58 21 17 (tast 1)