Personvernerklæring

BI som behandlingsansvarlig bestemmer formålet med behandlingen av personopplysningene. All behandling av personopplysninger skal ha et spesifikt, uttrykkelig angitt formål som er saklig begrunnet i BIs virksomhet. Dette følger av GDPR artikkel 5 nr. 1 bokstav b, som sier at personopplysninger skal samles inn for «spesifikke, uttrykkelig angitte og berettigede formål».

Personopplysninger som blir innhentet og samlet inn begrenses følgelig til det som er helt nødvendig for å oppfylle formålet med behandlingen.

Personopplysninger som er samlet inn til ett konkret formål kan ikke senere brukes til et annet formål. Det vil da måtte gjøres en ny vurdering av hvorvidt det finnes et behandlingsgrunnlag for det nye formålet.

BI bruker mange systemer i undervisning og oppfølging av studenter. Informasjon vil bli sammenstilt fra disse systemene og formålet med dette er å forbedre BIs tjenester gjennom læringsanalyse, ulike analyser, statistikker med blant annet bruk av predikasjonsmodeller. Opplysninger fra analyseverktøy kan også brukes i forskning der vilkårene i GDPR er oppfylt.

For å behandle personopplysninger må det, i tillegg til formålet, foreligge et rettslig grunnlag. Det alminnelige kravet til rettslig grunnlag følger av GDPR artikkel 6. For behandling av sensitive personopplysninger kreves ytterligere rettslig grunnlag regulert i GDPR artikkel 9. Det rettslige grunnlaget må være oppfylt før behandlingen av personopplysninger begynner.

Nødvendig for å oppfylle en avtale med deg
Formålet med BIs behandling av personopplysninger er i tråd med de avtalene vi har inngått med deg.

Rettslige forpliktelser
BI behandler personopplysninger for å oppfylle sine forpliktelser i henhold til lov, forskrifter eller myndighetsbeslutninger. Dette kan være for kontroll og rapportering til offentlig myndigheter som politi, skatt, NAV, Database for statistikk for høyere utdanning (DBH) ulike tilsynsmyndigheter eller meldeplikt til Norsk Senter for Forskningsdata (NSD).

Berettiget interesse
BI kan behandle personopplysninger dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen må være lovlig, definert på forhånd, reell og saklig begrunnet i virksomheten. Dette kan være i forbindelse med internasjonale akkrediteringer så som AACBS, EQUIS, AMBA og analyser basert på profilering til markedsføringsformål.

Samtykke
Dersom ikke annet behandlingsgrunnlag foreligger, vil BIs behandling av personopplysninger basere seg på et frivillig, uttrykkelig og informert samtykke fra deg.

Dersom du har avgitt samtykke til BI, har du rett til å trekke dette tilbake til enhver tid. Trekker du tilbake samtykket, vil behandlingen opphøre, og personopplysningene slettes dersom behandlingen utelukkende er basert på avgitt samtykke. Samtykket kan trekkes tilbake ved å kontakte oss vis "Kontakt oss" nederst i høyre hjørne.

Personopplysninger som registreres og behandles om deg er avhengig av hvilken rolle du har på BI. Detaljert informasjon om rollen finnes i punkt 4.

Det vil være din rolle i det enkelte tilfelle ved behandling av personopplysninger som er avgjørende.

Jeg er:

• Interessert og besøker nettsidene til BI
• Søker
• Student
• Alumni
• Ansatt (fast/midlertidig) eller innleid konsulent/oppdragstaker
• Ph.d-kandidat
• Forsker
• Forskningsdeltaker/respondent
• Student som skriver bachelor- eller masteroppgave

Den registrerte er den som personopplysningene kan knyttes til. Behandlingen av personopplysninger skal utgjøre så lite inngrep som mulig for den enkelte registrerte, ut ifra det som er praktisk, teknisk og økonomisk mulig. Som registrert har du derfor viktige rettigheter som skal ivaretas.

Rett til informasjon
All informasjon du trenger å vite om BIs behandling av personopplysninger skal inngå i personvernerklæringen.

Rett til innsyn
Du har rett til å få vite hvilke personopplysninger BI behandler om deg. Dersom du ber om innsyn får du kopi av dine personopplysninger, til hvilke formål de er benyttet og om opplysningene er blitt gitt videre og til hvem.

Dersom det av hensyn til vern av andre personer eller avdekking av brudd på lover og regler, kan BI i enkelte tilfeller ikke gi deg innsyn dersom dette er nødvendig og vilkårene for det er oppfylt.

• Mal til innsynsbegjæring

Rett til korrigering/retting av feil
Hvis du oppdager at BI har registrert uriktige, utdaterte eller ufullstendige opplysninger om deg, har du rett til å få disse rettet eller oppdatert. Hvis retting av feil gjelder opplysninger som er sendt inn av andre, må henvendelser om feil rettes til kilden.

Rett til sletting
Du har rett til å kreve at vi sletter personopplysninger om deg. Dersom du ønsker å få slettet dine personopplysninger, ber vi deg om å ta kontakt med personvernombud@bi.no. Ved henvendelse er det viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, samt opplyse om hvilke personopplysninger du ønsker å få slettet.

Lovverket gir BI anledning til å gjøre unntak fra retten til sletting. For eksempel vil dette være tilfelle når vi behandler personopplysningene for å oppfylle en lovpålagt oppgave, eller for å ivareta viktige samfunnsinteresser som arkivering, forskning og statistikk.

Rett til innsigelse/fremme en protest
Du har rett til å fremme innsigelse eller protestere mot behandling av dine personopplysninger under visse vilkår, dersom behandlingen er basert på berettiget eller allmenn interesse, eller utøvelse av offentlig myndighet. Eksempel er behandling som innebærer direkte markedsføring, profilering eller dersom det skjer med tanke på vitenskapelig/historisk forskning eller statistikk.

Rett til begrensning
I enkelte tilfeller kan du ha rett til å kreve behandlingen av dine personopplysninger blir begrenset. Begrenset behandling vil si at personopplysningene fortsatt blir lagret, men at de ikke kan brukes til noe. Du finner mer om retten til begrensning hos Datatilsynet.

Rett til å klage over behandlingen
Dersom du mener BI ikke har behandlet personopplysningene på en korrekt og lovlig måte, eller dersom du mener at vi ikke har klart å oppfylle dine rettigheter, har du mulighet til å klage over behandlingen.

Dersom du mener at BI behandler dine personopplysninger i strid med regelverket eller dersom du ønsker å benytte deg av dine rettigheter, kan du sende henvendelsen til personvernombud@bi.no. Personvernombudet skal ivareta personverninteressene til både interessenter, studenter og ansatte ved BI. Dersom vi ikke tar klagen din til følge, har du mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven og personvernforordningen ved behandling av personopplysninger.

BI utleverer ikke personopplysninger om deg til andre aktører, med mindre det foreligger et gyldig rettslig grunnlag eller at du har gitt spesifikt samtykke til dette. Dette gjelder opplysninger til (ikke uttømmende liste):

• Lånekassen
• Digitale læringssystemer
• NOKUT- Nasjonalt organ for kvalitet i utdanningen
• DIKU – Direktoratet for Internasjonalisering og Kvalitetsutvikling i høyere Utdanning
• AACSB – Amerikansk Akkrediteringsorgan
• EQUIS – Europeisk Akkrediteringsorgan
• AMBA – Europeisk Akkrediteringsorgan
• BIBSYS/leverandør av biblioteksystem
• Norsk senter for forskningsdata (NSD)
• Database for høyere utdanning (DBH)
• Statistisk sentralbyrå (SSB)
• Norsk institutt for studier av innovasjon, forskning og utdanning (NIFU)
• Utlendingsdirektoratet (UDI)
• SBIO - Studentforeningen ved Handelshøyskolen BI Oslo
• Studentsamskipnaden i Oslo og Akershus (SiO)
• NAV
• Politi- og skattemyndigheter
• Andre undervisningsinstitusjoner

BI utleverer personopplysninger til samarbeids- og partnerinstitusjoner i land utenfor EU/EØS-området og til USA, i tillegg til land innenfor EU/EØS-området, når det foreligger et rettslig grunnlag og nødvendige garantier.

Primært behandler BI personopplysninger som er gitt av deg. Dersom det er behov for ytterligere personopplysninger om deg for nødvendig behandling, vil dette hentes inn fra ulike offentlig myndigheter avhengig av din rolle og funksjon.

BI oppbevarer opplysninger så lenge det er nødvendig for å utføre lovpålagte oppgaver, og i samsvar med regelverket. Opplysninger vil som hovedregel slettes når dette behovet faller bort, med mindre vi har en lovpålagt plikt til å oppbevare dem etter annet regelverk, for eksempel arkivloven, bokføringsloven eller universitets- og høyskoleloven.

Personopplysninger på BI er sikret med flere tiltak. BI utfører regelmessig risiko- og sårbarhetsanalyser, og tester sikkerheten for å sikre dine personopplysninger.
Ansatte som behandler dine personopplysninger er underlagt taushetsplikt, og dette gjelder også ansatte hos underleverandører.

Bruk av "cookies" eller informasjonskapsler er en standard teknologi. Lov om elektronisk kommunikasjon av 2013 (ekomloven) § 2-7b regulerer bruk av informasjonskapsler/cookies. En cookie er en liten tekstfil som legges i din nettlesers internminne. Ved å sette en cookie kan vi lagre informasjon om hvordan du navigerer på nettsiden, gi oss statistikk som vi bruker til å gjøre nettsidene våre bedre, samt å vise persontilpasset innhold.

De fleste nettlesere (Google Chrome, Firefox, Internet Explorer, Safari eller Opera) er innstilt på å akseptere cookies automatisk, men du kan selv velge å endre innstillingene slik at cookies ikke blir akseptert. Nettsiden vil da ikke fungere optimalt.

• Les mer om hvilke cookies som benyttes på BI sine nettsider

BI behandler personopplysninger for å ha kontroll over hvem som har tilgang til bygget. Dette gjøres ved at studenter, ansatte og øvrige registreres og fotograferes når de får adgangskort. Det lagres navn, brukernavn, fødselsdato og eventuelt brukernummer for biblioteket. I tillegg lagres noen tekniske opplysninger, for eksempel hvilke tilganger som er gitt for kortet. Personopplysningene hentes fra studieadministrativt brukersystem eller personal- og økonomisystem.

Utenfor hovedarbeidstid må kortbrukere taste PIN-kode. Hvilket kort som brukes på hvilken kortterminal og klokkeslett for passeringen logges når det brukes PIN-kode. Informasjonen lagres i BIs adgangskontrollsystemer. Loggen slettes etter 90 dager.

BI har plassert kameraer som overvåker uteområder og inngangsparti innvendig og utvendig. Kameraene filmer kontinuerlig og opptakene lagres i 7 dager før de slettes.

Brukere deaktiveres når de ikke lenger skal ha adgangskort. Personopplysninger som navn og fødselsdato slettes ikke for studenter da de kan ta nye kurs og ansatte kommer ofte tilbake etter ulike perioder hvor de ikke jobber ved BI. Dersom en bruker ikke har hatt adgangskort på 1 år slettes personopplysninger relatert til adgang.

Dersom du ønsker å benytte deg av dine rettigheter kontakt personvernombud@bi.no. Personvernombudet skal ivareta personverninteressene til alle som er omfattet av denne personvernerklæringen, herunder søkere, studenter, alumni, ansatte, oppdragstakere, ph.d-kandidater, forskere, forskningsdeltakere/respondenter, studenter som skriver bachelor- eller masteroppgaver, samt interessenter og besøkende på BIs nettsider.

Bruk av e-post har mange svakheter som gjør at fortrolige opplysninger kan komme på avveie. Send derfor ikke sensitive eller fortrolige opplysninger med e-post til oss.

BI vil behandle din henvendelse uten ugrunnet opphold, og senest innen 30 dager. Dersom særlige forhold gjør det umulig for BI å gi et fyllestgjørende svar innen fristen, vil du motta et foreløpig svar med opplysninger om årsaken til forsinkelsen og tidspunktet du kan vente svar.

Eventuelle avvik kan meldes inn via dette skjemaet:

• Melding om avvik

BI kan revidere denne personvernerklæringen som følge av at vår behandling av personopplysninger endrer seg eller som følge av ny personopplysningslovgivning. Når personvernerklæringen endres, vil en oppdatert versjon publiseres på vår nettside.

• Sist oppdatert 12.06.2019

BI registrerer og behandler personopplysninger for å kunne tilby deg tilpasset informasjon, samt til å følge opp dine forespørsler om eventuell bestilling av studieveiledning, ønske om mer informasjon om et kurs eller påmelding til et informasjonsmøte. Når du deltar på våre konferanser og messer, eller benytter deg av tjenester på bi.no, lagres følgende:

• Personopplysninger som for eksempel navn, adresse, fødselsdato, e-postadresse og telefonnummer
• Samtykker du har gitt BI om å sende deg for eksempel nyhetsbrev og invitasjoner
• Dine besøk på bi.no, for eksempel IP-adresse, hvilke sider du besøker, tjenester du bestiller, seminarer du melder deg på, og om du bruker mobil, PC eller nettbrett

Det benyttes informasjonskapsler/cookies for analyse- og statistikkformål når du går inn på nettsidene til BI for blant annet å forbedre nettstedet og for å kunne gi deg tilpasset innhold. For mer informasjon om bruk av informasjonskapsler se under punkt 10 i den generelle delen av personvernerklæringen.

Dersom du har vært på en konferanse eller messe kan det hende at BI mottar lister fra tredjepart som ofte arrangerer slike arrangementer. BI vil da ha mulighet til å tilby deg relevant informasjon ut ifra dine preferanser. Det vil alltid være mulig for deg å melde deg av etter at BI har tatt kontakt med deg, eller tidligere hos tredjepart.

BI behandler personopplysninger for å kunne vurdere din søknad på studier og kurs, ivareta dine rettigheter som søker, samt oppfylle BIs oppgaver og plikter etter universitets- og høyskoleloven. Opplysningene brukes i forbindelse med opptaket, til å saksbehandle din søknad på studier eller kurs, sende tilbud om studieplass, samt følge opp dine forespørsler om det skulle være nødvendig.
Hjemmelsgrunnlaget for behandlingen av personopplysninger er personopplysningsloven og personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav a, c, e og f, artikkel 9 nr. 2 bokstav a og b, samt universitets- og høyskoleloven.

BI vil behandle din søknad på grunnlag av informasjon og dokumentasjon du har lagt inn. Dette er personopplysninger som for eksempel navn, adresse, e-postadresse, telefonnummer. I tillegg vil det være opplysninger du oppgir hvis du søker studieplass, som fødselsnummer, utdanning og kompetanse, eventuelt tidligere arbeidserfaring og arbeidsgiver. BI lagrer tidspunkt for innlogging, IP-adresse og innloggingsvei, endringer i søknaden som blir gjort ved hver innlogging, samt BIs løpende saksbehandlingsinformasjon. Personopplysningene som er lagret om deg kan du se i søkeweb, og du kan følge status på saksbehandlingen av søknaden din.

Ved behov kan BI i tillegg verifisere informasjon fra relevante eksterne kilder, som for eksempel Nasjonal Vitnemålsdatabase (NVB), Folkeregisteret, NAV, arbeidsgivere og andre utdanningsinstitusjoner.

Når du oppretter en søknad på vår søkeweb, vil det underveis i søkeprosessen bli opprettet cookies i din nettleser som mellomlagrer data. BI kan også bruke enkelte opplysninger som ikke kan knyttes direkte til deg som person gjennom søknadsprosessen. BI bruker denne type informasjon for å tilpasse markedskampanjer og tilby mer relevant informasjon til deg som bruker.

Disse slettes når søknaden din er fullført. For mer informasjon om bruk av informasjonskapsler se under punkt 10 i den generelle delen av personvernerklæringen.

BI behandler personopplysninger om deg for å ivareta dine rettigheter som student og for å kunne oppfylle sin avtale med deg. BI behandler nødvendige opplysninger for gjennomføringen av ditt studieforhold, og har lovpålagte oppgaver og plikter overfor deg som student i forbindelse med ditt studentforhold.

Personopplysningene brukes til studieadministrative formål, herunder utføre nødvendig administrasjon knyttet til studieløpet ditt, opprette timeplan, oppmelding til eksamen, utveksling, innvilge forlengelse og permisjoner, utskriving av vitnemål og karakterutskrifter og lignende. I tillegg vil BI i ettertid kunne sende ut tilpassede kurs og studietilbud for å legge til rette for livslang læring og karriereutvikling. BI sammenstiller informasjon om din utdanning, erfaring og faglige interesseområder for å gi deg råd og veiledning i hvordan du kan bygge din kompetanse for å oppnå en grad eller nå de karrieremålene du setter deg.

Hjemmelsgrunnlaget for behandlingen av personopplysninger er personopplysningsloven og personvernforordningen (GDPR), samt universitets- og høyskoleloven.

BI vil behandle personopplysninger i forbindelse med oppfyllelse av studiekontrakten(avtale) med deg som student, se GDPR artikkel 6 nr. 1 bokstav b. BI har også rettslige forpliktelser hvor det vil kunne være nødvendig å behandle personopplysninger, jf. GDPR artikkel 6 nr. 1 bokstav c, eller for å utføre oppgaver i allmenhetens interesse, jf. GDPR artikkel 6 nr. 1 bokstav e. I tilfelle hvor det ikke foreligger grunnlag for behandling som nevnt, vil grunnlag for behandling av personopplysninger basere seg på at behandlingen er nødvendig for formål knyttet til de berettigede interesser som forfølges av BI, dersom ikke de grunnleggende rettighetene til de registrerte går foran, jf. GDPR artikkel 6 nr. 1 bokstav f. BI kan supplere det rettslige grunnlaget med samtykkeerklæringer for valgfrie og ikke-lovpålagte studenttjenester som innebærer behandling av personopplysninger for å kunne ivareta dine interesser som student best mulig, jf. GDPR artikkel 6 nr. 1 bokstav a.

Personopplysninger om deg som student behandles hovedsakelig i BIs studieadministrative system. Det dreier seg for eksempel om:

• Personopplysninger (eks. navn, fødselsnummer, studentnummer, d-nummer, kjønn, statsborgerskap)
• Kontaktinformasjon (eks. adresse, e-postadresse, telefonnummer)
• Nærmeste pårørende (eks. samboer, forelder, ektefelle)
• Økonomiske forhold (eks. utestående faktura, misligholdt faktura)
• Helseforhold (eks. i forbindelse med forlengelser og permisjoner)
• Søknad med dokumentasjon
• Studiekontrakt
• Søknad om permisjon, forlengelse av eksamenstid, etc.
• Advarsel
• Klage
• Dokumentere dine utdanningsresultater

BI ønsker å lære mer om hvordan vi kan støtte studentene best mulig gjennom studieløpet. På bakgrunn av dette gjør vi analyser av læringsutbytte og progresjon for studentene. BI ser blant annet på eksamensresultater, antall innlogginger på studentportalen og læringsaktiviteter som innlevering av oppgaver. Resultatet av arbeidet kommer studenten til gode ved at BI kan tilby tettere oppfølging og en mer tilpasset veiledning gjennom studieløpet. BI benytter mange systemer i undervisning og oppfølging av studenter. Informasjon vil bli sammenstilt fra disse systemene. Formålet med dette er å forbedre BIs tjenester gjennom å tilgjengeliggjøre dashboards og rapporter til ansatte. Tilgang til disse vil være behovsprøvd. I tillegg vil informasjonen kunne brukes til å tilpasse rådgivning til den enkelte student. BI analyserer også bruk av aktivitetsdata i sine læringsplattformer der formålet er å se sammenhenger mellom hvordan faglige benytter systemer og hvordan dette påvirker aktiv bruk for studentene.  Opplysninger fra analyseverktøy kan også brukes i forskning der vilkårene i GDPR er oppfylt.

BIs har lovpålagte plikter for å sørge for at studentenes kunnskaper og ferdigheter underveis i studiet blir prøvet og vurdert på en upartisk og faglig betryggende måte. BI bruker DigiEx til gjennomføring av digital eksamen og benytter tekstlikhetsprogrammet URKUND for å avdekke plagiat. Opplysninger som er nødvendige for behandling av saker som skal avdekke plagiat, lovbrudd eller ureglementert dataaktivitet, vil bli utlevert til den nemnd/utvalg som skal behandle saker. Det betyr blant annet at nødvendige opplysninger i forbindelse med klagesaker og fuskesaker vil bli utlevert til BIs klagenemnd.

Om din arbeidsgiver betaler for din utdannelse, og ønsker informasjon om dine eksamensresultater, vil BI kun utlevere denne informasjonen etter samtykke fra deg som student.

BI Alumni er et nettverk for tidligere studenter ved BI. Dine personopplysninger i BIs alumni-register behandles for gjensidige formål som skal styrke og opprettholde relasjonen mellom deg og BI. Dette gjøres ved tilpassede henvendelser og informasjon. For eksempel er behandling av personopplysninger nødvendig for at BI Alumni kan kontakte deg med:

• Generell medlemsinformasjon
• Invitasjoner til faglige arrangement i regi av BI og BIs samarbeidspartnere
• Nyheter fra BI. Dette kan for eksempel være nyhetsbrev med forskningsnytt og oppdateringer fra BI
• Invitasjoner til sosiale og kulturelle arrangement i regi av BI og BIs samarbeidspartnere
• Invitasjoner til deltakelse i alumni-nettverk, nettverksgrupper, medlemskap i sosiale medier
• Forespørsler om samarbeid (for eksempel til seminarer og konferanser, mentor, intervjuobjekt, samarbeidspartner, deltakelse i styrer, råd og utvalg)
• Forespørsler om å delta i undersøkelser (for eksempel undersøkelser om BIs studietilbud, relevante samarbeidsmuligheter etc.)
• Etter- og videreutdanningstilbud av relevans for din bakgrunn og eksklusive tilbud for alumni-medlemmer
• Informasjon om muligheter og tjenester tilgjengelig for deg

Personvernforordningen (GDPR) artikkel 6 bokstav f fastslår at en behandling av personopplysninger kan finne sted når dette er nødvendig for at den behandlingsansvarlige skal kunne ivareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. For å styrke vår utdanning, forskning og omdømme har BI interesse av at våre alumni er knyttet til oss. Kontakten med BI kan bidra til å styrke karriere og faglige utvikling, og samarbeidet skal være bærekraftig og basert på gjensidig nytte.

BI benytter ekstern samarbeidspartner til utsending av nyhetsbrev og oppgitte personopplysninger lagres i database hos denne leverandøren. Samarbeidspartner er underlagt databehandleravtale i tråd med gjeldende lovgivning og denne personvernerklæringen. Personopplysninger deles ikke med andre. E-postadressen vil bli slettet innen 6 måneder om du melder deg av nyhetsbrevet. Har du andre aktive samtykker vil epostadressen bli lagret så lenge disse er aktive.

Du kan når som helst trekke tilbake samtykket, samt slette informasjon om interesser gjennom en egen profilside. Denne profilsiden er tilgjengelig gjennom en lenke nederst i våre nyhetsbrev.

For mer informasjon om bruk av informasjonskapsler se under punkt 10 i den generelle delen av personvernerklæringen.

Formålet med behandling av personopplysninger er å administrere lønn og personalansvar, systemtilganger, samt ansettelse av nødvendig personale. Behandlingen av personopplysninger er nødvendig for å oppfylle en gjensidig avtale om ansettelse. BI behandler personopplysninger om deg for å administrere arbeidsgivers personal- og økonomiansvar, som for eksempel lønnsutbetaling, skattetrekk, oversikt over arbeidstid, fravær, ferie og permisjoner.

Hjemmelsgrunnlaget for behandlingen av personopplysningene om ansatte er personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav a, b, c (jf. nr. 3 bokstav b) eller f, artikkel 9 nr. 2 bokstav a eller b, artikkel 88, samt arbeidsmiljøloven.

Personopplysninger om ansatte behandles hovedsakelig i BIs personal- og økonomisystem (Agresso). BI har berettiget interesse i å beholde opplysninger som kan dokumentere ansettelsesforholdet. Det betyr at opplysningene ikke slettes, men lagres i dette systemet. Når du slutter på BI blir personalmappen din gjennomgått og kun nødvendig informasjon blir lagret. BI vil fortsatt lagre opplysninger om hvem som har jobbet i virksomheten, hvor lenge og i hvilken stilling. Lønnsopplysninger vil også lagres da dette er relevant i bl.a. pensjonssammenheng.

• For faglige ansatte behandles opplysninger om undervisning og sensur, samt opplysninger om akademiske roller som benyttes ved årlig pliktavregning i BIs studieadministrative system.
• For timeforelesere og eksterne sensorer behandles opplysninger om undervisnings- og sensureringsoppdrag i BIs studieadministrative system blant annet som underlag for lønnsutbetalinger.
• For eksamensvakter behandles personopplysninger om eksamensvaktoppdrag i BIs studieadministrative system som underlag for lønnsutbetalinger.
• I personalmappen oppbevares opplysninger om for eksempel:
  • Arbeidsavtale
  • Taushetserklæringer
  • Dokumenter om pensjonsforhold og lønnsplassering
  • Særskilte avtaler i arbeidsforholdet
  • Dokumentasjon på innplassering i faglige stillinger
  • Dokumentasjon knyttet til fratredelse
  • Advarsel
  • Permisjoner

For å oppfylle kravene BI har som arbeidsgiver som å utbetale lønn, opprette brukertilganger i IT-systemer og fysisk adgang til BIs lokaler, er det nødvendig å behandle følgende opplysninger (ikke uttømmende liste):

• Navn
• Adresse
• Telefonnummer
• E-postadresse
• Personnummer
• Kontonummer
• Lønn
• Skatteforhold
• Tilknytning til arbeidstakerforening/fagforening. Dette er nødvendig fordi BI administrerer betaling av fagforeningskontingent for ansatte og sørger for at dette innrapporteres som en fradragspost til myndighetene.
• Opplysninger om navn, stilling og arbeidsområde regnes å være offentlige opplysninger og kan publiseres på BIs internettsider. Portrettbilde av deg som ansatt publiseres ved godkjenning fra deg.

BI behandler personopplysninger for å ivareta dine rettigheter som ph.d-/doktorgradskandidat, og BIs lovpålagte plikter som utdanningsinstitusjon og arbeidsgiver.

Hjemmelsgrunnlaget for behandlingen av personopplysningene om deg som ph.d-/doktorgradskandidat er bestemmelser i personvernforordningen (GDPR), personopplysningsloven, universitets- og høgskoleloven og arbeidsmiljøloven, samt annet lov- og regelverk som berører ph.d-utdanningen. Din tilknytning til BI er av betydning for hvilke bestemmelser som kommer til anvendelse. Du finner en oversikt over roller under punkt 4 i den generelle delen av personvernerklæringen.

Før oppstarten av et forskningsprosjekt på BI må prosjektet ha et fastsatt formål og klarlagt hvilke personopplysninger som er nødvendige for å oppfylle formålet. Det rettslige grunnlaget må også være avklart for at behandlingen skal være lovlig. Personopplysninger du samler inn til et forskningsformål, kan som hovedregel ikke brukes til andre formål uten samtykke.

Personopplysningene behandles i henhold til personopplysningsloven §§ 8-10, jf. personvernforordningen (GDPR) artikkel 5, 6 og 9, samt artikkel 89. Personopplysningsloven gir adgang til behandling av personopplysninger for forskningsformål, under forutsetning at personvernet til deltakerne er ivaretatt gjennom tekniske og organisatoriske tiltak som den behandlingsansvarlige har iverksatt, at personvernkonsekvenser er vurdert og det er rådført med personvernombud der det er nødvendig.

BI har avtale med Norsk senter for forskningsdata (NSD) for rådgivning om personvernspørsmål i forskning, og alle forskningsprosjekter som inneholder personopplysninger skal meldes til og bli vurdert av NSD. Som forsker, og før oppstart av behandling av personopplysninger, skal det foretas en risikovurdering. Denne skal bidra til å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysningene. Det skal iverksettes tiltak angående forskningsdataene som står i forhold til faktisk risiko basert på risikovurderingen. Sentrale elementer i risikovurderingen er prosjektets omfang, opplysningenes følsomhet, trusselbildet knyttet til miljøet opplysningene bearbeides og lagres i, og prosjektets varighet.

CRIStin (Current Research information system in Norway) er en database for forskningsresultater og informasjon for dokumentasjon av vitenskapelig aktivitet. Dersom prosjektet til en forsker som er tilknyttet BI inneholder personopplysninger vil dette fremkomme i beskrivelsen av prosjektet i CRIStin.

I forhold til publisering vil resultater og prosjekter bli tilgjengelig hos det nasjonale forskningsinformasjonssystemet CRIStin. Personopplysninger som blir behandlet er:

• Navn
• Adresse
• E-postadresse
• Fødselsnummer
• Telefonnummer

Opplysninger som er nødvendige for behandling av visse typer saker der det avdekkes uregelmessigheter eller lovbrudd, vil bli utlevert til den nemnd/utvalg som skal behandle saken. Det betyr at nødvendige opplysninger i forbindelse med enkeltsaker knyttet til for eksempel vitenskapelig uredelighet, vil bli utlevert til Redelighetsutvalget.

Selv om all rapportering fra prosjektet er anonymt, skal prosjektet likevel meldes til NSD dersom det under arbeidet med prosjektet blir behandlet personopplysninger elektronisk.

Forskningsprosjekter på BI har et fastsatt formål og hvilke personopplysninger som samles inn vurderes ut fra nødvendigheten for å oppfylle dette. Informasjon om deg som er samlet inn til et formål, kan som hovedregel ikke brukes til andre formål uten at du samtykker til dette.

Personopplysningene behandles i henhold til personopplysningsloven §§ 8-10, jf. personvernforordningen (GDPR) artikkel 5, 6 og 9, samt artikkel 89. Personopplysningsloven gir adgang til behandling av personopplysninger for forskningsformål, under forutsetning at personvernet til deltakerne er ivaretatt gjennom tekniske og organisatoriske tiltak som den behandlingsansvarlige har iverksatt, at personvernkonsekvenser er vurdert og det er rådført med personvernombud der nødvendig. BI har avtale med Norsk senter for forskningsdata (NSD) for rådgivning om personvernspørsmål i forskning.

Personopplysningene kan være direkte eller indirekte identifiserende og i mange tilfeller avidentifiserte. Det skilles på graden av gjenkjennelse som personopplysningene har. Avidentifiserte opplysninger er personopplysninger der navn, fødselsnummer og andre direkte personentydige kjennetegn er fjernet og erstattet av et nummer eller kode (koblingsnøkkel), slik at opplysningene ikke direkte kan knyttes til en enkeltperson.

Anonyme opplysninger er opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger, direkte eller indirekte, kan knyttes til en enkeltperson. Anonyme opplysninger regnes derfor ikke som personopplysninger. For at opplysninger skal være helt anonyme så kan det ikke være en knytning til en enkelt person som navn, personnummer eller annen personidentifiserende informasjon. Delvis anonymiserte opplysninger vil være avidentifiserte der navn, fødselsnummer, bosted osv er erstattet med et nummer, kode eller et fiktivt navn. Dersom det finnes en koblingsnøkkel som kan reidentifisere personen, er det å anse som personopplysninger og faller innenfor personvernordningen.

BIs policy er at alle forskningsprosjekter som behandler personopplysninger skal vurderes av NSD. Forsker kan innhente personopplysningene gjennom flere metoder blant annet i form av spørreundersøkelser, intervjuer, observasjoner, video- og lydopptak o.l. hvor forskningsdeltaker er tilstede. Forsker kan også innhente tillatelse av annen virksomhet til å få utlevert personopplysninger i sin forskning som denne virksomhet har samlet inn. BI kan også gi tillatelse til at det overføres personopplysninger mellom forskningsinstitusjoner. Det må da foreligge tilstrekkelig garantier vedrørende lagring av personopplysninger og at øvrige vilkår i personvernforordningen oppfylles.

I forskning er det primært samtykke som benyttes som rettslig grunnlag. Samtykket kan trekkes tilbake på hvilket som helst tidspunkt under gjennomføringen av forskningsprosjektet.

Personopplysninger skal normalt ikke lagres lengre enn det som er nødvendig for å få gjennomført forskningen. Kreves samtykke og personopplysningene skal oppbevares lengre enn opprinnelig samtykke gir rett til, skal det innhentes nytt samtykke eller det må søkes om dispensasjon.

Personopplysninger skal normalt slettes eller anonymiseres ved prosjektavslutning.

Dersom du er forskningsdeltaker, har du rett på innsyn, retting og sletting. Det er enkelte begrensninger i de registrertes rettigheter når opplysninger benyttes til forskning, jf. personopplysningsloven § 17. Du finner en oversikt over hvilke rettigheter du har under punkt 5 i den generelle delen av personvernerklæringen.

Dersom du som student skal skrive studentoppgave der det er hensiktsmessig å benytte personopplysninger, stilles det ulike krav, og du som student må ha tillatelse før du kan starte på oppgaven. De mest brukte metodene som benyttes er intervju og spørreundersøkelse. Alle studenter har et ansvar i å sette seg inn i hvilke retningslinjer BI har for å behandle personopplysninger i forskning. Som student vil du finne all informasjon du trenger inne på studentportalen her (logg inn): https://portal.bi.no/eksamen-og-oppgave/oppgaveskriving/personopplysninger/

Alle oppgaver som behandler personopplysninger vil bli vurdert av Norsk Senter for Forskningsdata (NSD). Studentene kan ikke sette i gang med innsamling, intervju eller sende ut spørreundersøkelser før riktig tillatelse foreligger. For mer informasjon om forskningsdeltakere se under punkt 4 vedrørende roller i den generelle delen av personvernerklæringen.