Personvernerklæring for pensumlistetenesta Leganto
Denne personvernerklæringa beskriv korleis behandlingsansvarleg handterer personopplysningane dine i tenesta.
Om denne personvernerklæringa
Formålet med personvernerklæringa er å informere deg om kva personopplysningar som blir behandla, korleis dei blir behandla, kven som er ansvarleg for behandlinga, kva rettar du har og kven du kan kontakte.
I denne personvernerklæringa kan du lese meir om:
- Kva er personopplysningar?
- Kort om tenesta
- Formålet med behandling av personopplysningar i tenesta
- Registrerte personopplysningar, rettsleg grunnlag og lagringstid
- Automatisk saksbehandling
- Utlevering av personopplysningane dine til andre
- Sikkerheiten rundt personopplysningane dine
- Rettane dine
- Kontakt
Kva er personopplysningar?
Personopplysningar er alle former for data, informasjon, opplysningar og vurderingar som kan knytast til deg som enkeltperson, jf. personopplysningsloven § 2 og GDPR artikkel 5 nr. 1. Det avgjerande for om opplysningar er personopplysningar, er om opplysningane kan knytast til ein konkret person.
Opplysningar, som åleine ikkje kan knytast til ein enkeltperson, kan i tilfelle der opplysninga førekjem saman med andre data utgjere ei personopplysning.
Kort om tenesta
Tenesta består av eit pensumlistesystem som er integrert med plattform for bibliotektenester (Alma).
Tenesta utvidar biblioteksystemet med funksjonar for vedlikehald og tilgjengeleggjering av pensumlister knytte til undervisningsemne ved institusjonen til behandlingsansvarlege.
Fagpersonar opprettar og held pensumlistene ved like. Desse blir
deretter tilgjengelege for studentane gjennom integrasjon med læringsplattform hos behandlingsansvarleg.
Studentane kan opprette eigne samlingar med referansar, merke referansane på ulike vis, foreslå nye referansar i emnet og føre dialog med faglærar og andre studentar innan emnet.
Tenesta bidreg til at studieadministrasjonen og bibliotek koordinerer bestilling og tilgjengeleggjering av ressursar, og dessutan at fagpersonane får ei betre oversikt over kva ressursar studentane nyttar. Tenesta nyttar funksjonane til biblioteksystemet for brukarstyring, autentisering og lagring.
Tenesta tillèt ikkje behandling av sensitive personopplysningar.
Formålet med behandling av personopplysningar i tenesta
Tenesta registrerer ulike typar brukarar og tilhøyrande data med følgjande formål:
| Typar | Beskriving | Formål med behandling |
| Administrative brukarar | Fagpersonar og administrativt tilsette | Administrasjon av pensumlistene. |
| Sluttbrukarar | Studentar med tilgang til pensumlistene | Tilby pensumlistene til sluttbrukar, og dessutan funksjonar for oppsett av eigne listar, innhaldsvurdering og dialog mellom fagperson og andre sluttbrukarar. |
| Bibliotektilsette | Bibliotekarar og brukarar i biblioteksystemet | Har innsyn i alle pensumlistene for å kunne bestille og tilgjengeleggjere ressursane ved biblioteket, og dessutan hjelpe til i skiping og kvalitetssikring av pensumlister. |
I tillegg til ordinære brukardata blir òg opplysningar behandla om forfattar, for korrekt tilvising til tittel og for kreditering av forfattar i pensumlistene.
Registrerte personopplysningar, rettsleg grunnlag og lagringstid
Personopplysningar knytte til brukarkonto i tenesta krev samtykke som rettsleg grunnlag, jamfør Lov om behandling av personopplysningar (personopplysningsloven), GDPR artikkel 6 nr. 1 bokstav a.
Registrerte personopplysningar om forfattarar og kontaktpersonar blir dekte av Lov om behandling av personopplysningar (personopplysningsloven), GDPR artikkel 6 nr. 1 bokstav f – å utføre ei oppgåve av rettmessig interesse.
Tenesta tillèt ikkje behandling av sensitive personopplysningar. I dei tilfella brukaren sjølv kan leggje inn opplysningar i kommentarfelt og liknande, pliktar brukaren å følgje krav og og retningslinjer for tenesta. Det er ikkje tillate å registrere sensitive opplysningar om seg sjølve eller andre, eller å nytte tenesta til injurierande åtferd.
Behandlingsansvarleg kan lagre opplysningar for statistiske formål, dersom dette er i interessa i samfunnet, jf personopplysningsloven §8 og GDPR artikkel 6 nr. 1 bokstav e.
Følgjande persondata blir behandla i tenesta:
Brukardata
| Type opplysning | Beskriving | Kjelde |
| Grunnleggjande brukardata | Fullt namn | Alma, Feide |
| Kontaktinformasjon | E-postadresse tildelt i organisasjonen | Alma, Feide |
| Tilhøyre til organisasjon | Organisasjonens org.nummer og brukars rolle i organisasjonen, og eventuelt andre tildelte roller. Eksempelvis tilsett eller student. | Alma, Feide |
| Referansar | Brukarens eigne listar, med referansar, notat og vurderingar. Kan slettast av brukar. | Pensumlistesystemet |
| Vurdering av referansar | Private emneord, taggar eller notar knytte til referansar i pensumlistene. | Pensumlistesystemet |
| Meldingar | Brukars eigne meldingar i forum eller meldingskanalar. Kan ikkje slettast av brukar. Sletting krev førespurnad til administrator av tenesta. Meldingar lagde inn av bruker, brukars namn og eventuelt profilbilete vil vere synleg for andre brukarar. | Pensumlistesystemet |
| Profilbilete | Brukars profilbilete henta frå Facebook. Brukar må aktivt velje å bruke denne funksjonen, og funksjonen er frivillig. |
Brukardata av teknisk karakter
| Type opplysning | Beskriving | Kjelde |
| Systemidentitetar | Unik identitet tildelt i tenesta og integrerte system | Alma, Feide, FS |
| Fødselsnummer | Blir sendt over i standard uttrekk frå FS til tenesta for fagpersonar, ikkje studentar. Fødselsnummer blir sletta etter overføring og blir ikkje brukt i tenesta. | FS |
| Kontaktinformasjon | E-postadresse tildelt i organisasjonen. | Alma, Feide |
| Systemroller og tilhøyre til organisasjon | Brukar blir tildelte roller i systemet for å gi tilpassa funksjonalitet og tilgang til tenesta. | Pensumlistesystemet, Alma, Feide. |
| Emnetilknyting | Kopling mellom brukar og tilhøyrande pensumlister. Blir etablert maskinelt eller manuelt via læringsplattforma, biblioteksystemet eller ved å følgje ei liste i pensumlistesystemet. | Læringsplattform, Alma, Pensumlistesystemet |
| Sesjonsinformasjon og informasjonskapslar | Informasjon knytt til brukars dialog med tenesta. Nødvendig for å tilpasse funksjonalitet i tenesta og for autentisering av brukarar. | Pensumlistesystemet, Feide |
| Logg | Logg over bruk av systemet knytt til innlogga brukar og/eller IP-adresse. Formålet er å vareta tryggleik og integritet i systemet, yte brukarstøtte, og dessutan å analysere bruk av tenesta. Opplysningane som blir samla inn inkluderer mellom anna tidspunkt for bruk, informasjon om nettlesar og maskinvare, sesjonsinformasjon og annan informasjon som nettlesar normalt avleverer. | Pensumlistesystemet |
Andre personopplysningar
| Type opplysning | Beskriving | Kjelde |
| Bibliografiske data – forfattar for tittel | Namn på forfattar saman med titlar i pensumlistene | Pensumlistesystemet eller referert frå ressurser i Alma |
Informasjonen om aktiviteten din blir lagra for å kunne gi deg brukarstøtte og for å kunne seie noko om den generelle bruken av tenesta.
Persondata blir lagra inntil ein av følgjande hendingar hender:
- Brukarsamtykket blir trekt tilbake
- Formålet med behandling av personopplysningar er oppfylte
- Behandlingsansvarlig vedtek å leggje ned tenesta.
Logg og backup av systemdata blir lagra inntil 1 år.
Automatisk saksbehandling
Personopplysningane dine vil ikkje vere gjenstand for automatisert saksbehandling eller profilering.
Utlevering av personopplysningane dine til andre
Utlevering eller eksport av data blir definert som alle overleveringar av data forutan til eige system/behandling eller til den registrerte sjølv eller nokon som får data på dennes vegner.
Personopplysningane dine blir utleverte til følgjande land utanfor EU/EØS:
- Israel, gjennom underleverandør Clarivate. Israel står på EU-kommisjonens liste over aksepterte 3.land, utan krav til ekstra sikringstiltak.
- Data er lagra i EU/EØS, men utleverte til selskap baserte i USA, gjennom Amazon.com Inc, underleverandør hos Clarivate. Lagra data inkluderer ikkje personopplysningar.
- Viss behandlingsansvarleg har konfigurert bruk av Google Analytics. Tenesta støttar bruk av Google Analytics for å analysere trafikk knytt til brukars Ip-adresse. Kontakt behandlingsansvarleg for detaljar.
Personopplysningar blir behandla av Clarivate som er ein internasjonal organisasjon.
Personopplysningane dine blir utleverte til Sikt, som er leverandør av tenesta, og til Sikts underleverandørar:
| Underleverandør | Funksjon |
| Clarivate | Skydrift og utvikling av systema Leganto og Alma |
| NTNU | Lokale til drift av serverar for Sikts direkte tenester |
| Blue Safespring AB | Skydrift og backup for Sikts direkte tenester |
Tilsette hos underleverandørane, som har behov for det i jobben sin, vil ha tilpassa tilgang til persondataa dine for å kunne utføre brukarstøtte og eventuell feilretting i tenesta.
Tryggleiken rundt personopplysningane dine
Personopplysningar i tenesta er sikra med fleire tiltak. Alle overføringar til og frå tenesta er krypterte. Sikt utfører regelmessig risiko- og sårbarheitsanalysar, og testar tryggleiken i tenesta for å sikre personopplysningane dine.
Tryggingstiltak hos underleverandør Clarivate er dokumentert her.
Tilsette som behandlar dine persondata er underlagd teieplikt, og dette gjeld òg tilsette hos underleverandørar.
Rettane dine
Rett til informasjon og innsyn
Du har krav på å få informasjon om korleis personopplysningane dine blir behandla i tenesta. Denne personvernerklæringa er meint å innehalde den informasjonen du har rett til å få. Du har òg rett til å sjå/få innsyn i personopplysningane dine som er registrerte i tenesta, og også andre personopplysningar som blir innhenta etter aktiv pålogging frå deg. Du har òg rett til å få utlevert ein kopi av personopplysningar om deg, dersom du ønskjer det.
Retten til innsyn blir vareteken gjennom sjølvbetening i tenesta, der du etter pålogging får innsyn i eigne opplysningar. Viss tenesta ikkje gir fullstendige opplysningar via sjølvbeteningsløysinga, må det rettast ein skriftleg førespurnad til behandlingsansvarleg for å få tilgang til utfyllande opplysningar.
Rett til korrigering
Du har rett til å få feilaktige personopplysningar om deg korrigert. Du har òg rett til å få ufullstendige personopplysningar om deg supplert. Dersom du meiner tenesta viser feil eller mangelfulle personopplysningar, ber vi deg om å ta kontakt med behandlingsansvarleg og at du grunngir kvifor du meiner personopplysningane er feil eller mangelfulle.
Rett til å avgrense behandlinga
I somme tilfelle kan du ha rett til å krevje behandlinga av personopplysningane dine blir avgrensa. Avgrensa behandling vil seie at personopplysningane framleis blir lagra, men at anna behandling i tenesta blir avgrensa. For å kunne krevje avgrensa behandling av personopplysningar, må vilkåra i personopplysningsloven og GDPR artikkel 18 vere oppfylte.
Du kan krevje avgrensa behandling:
- Fram til behandlingsansvarleg korrigerer feil eller mangelfulle personopplysningar
- Dersom du har fremja ei innvending mot behandlinga (sjå meir om dette under)
- Dersom personopplysningane er nødvendige for å opprette eller forsvare eit rettsleg krav
Blir avgrensa behandling sett i verk, vil du varslast av behandlingsansvarleg før avgrensinga blir oppheva.
Rett til sletting
Du har rett til å krevje at vi slettar personopplysningar om deg. Dersom du ønskjer å få sletta personopplysningane dine, ber vi deg om å ta kontakt med behandlingsansvarleg eller bruke slettefunksjon i tenesta. Ved førespurnad er det viktig at du grunngir kvifor du ønskjer at personopplysningane blir sletta, og om mogleg òg opplyser kva personopplysningar du ønskjer å få sletta.
Ver merksam på at lovverket i somme tilfelle gir oss høve til å gjere unntak frå retten til sletting. Til dømes vil dette vere tilfelle når vi behandlar personopplysningane for å oppfylle ei lovpålagd oppgåve, eller for å vareta viktige samfunnsinteresser som arkivering, forsking og statistikk.
Rett til å fremje innvending
Du har rett til å fremje innvending mot behandling av personopplysningane dine under visse vilkår, definert i GDPR artikkel 21. Dette gjeld dersom:
- Rettsleg grunnlag for behandling av personopplysningar er basert på legitime interesser, i allmenn interesse, eller ved utøving av offentleg styresmakt.
- Behandling av personopplysningar inneber direkte marknadsføring eller profilering
- Behandling av personopplysningar skjer med tanke på vitskapleg/historisk forsking eller statistikk.
Tenesta tilfredsstiller generelt ikkje desse vilkåra, med unntak for behandling av forfattaropplysningar og i dei tilfella der personopplysningar blir brukte for statistikk. Ved bruk til statistikk vil persondata vere anonymiserte.
Ver likevel merksam på følgjande:
- Dersom du har eit særskilt behov for å få stansa behandlinga ber vi deg om å ta kontakt med behandlingsansvarleg - eksempelvis viss du har eit vernebehov, fortruleg adresse, eller liknande.
- Når det er gitt samtykke for behandling av personopplysningar, har du rett til å trekkje samtykket.
Rett til å klage over behandlinga
Dersom du meiner vi ikkje har behandla personopplysningane på ein korrekt og lovleg måte, eller viss du meiner at vi ikkje har klart å oppfylle rettane dine, har du høve til å klage over behandlinga. Sjå nedst for informasjon om korleis du kan kontakte oss.
Dersom vi ikkje tek klagen din til følgje, har du høve til å fremje klagen for Datatilsynet. Datatilsynet er ansvarleg for å kontrollere at norske verksemder overheld reglane i personopplysningsloven og GDPR, ved behandling av personopplysningar.
Kontakt
Behandlingsansvarleg
Institusjonen som bruker Leganto er behandlingsansvarleg for personopplysningar i tenesta og er primært kontaktpunkt for sluttbrukarar.
Databehandlar
Sikt utviklar og forvaltar tenesta på vegner av behandlingsansvarleg, og har rolla som databehandlar.
Kontaktinformasjon til Sikt brukarstøtte:
- http://support.bibsys.no
- Telefon +47 73 98 40 40