Personvernerklæring for Ph.d.-søknadsskjema i WordPress
Personvernerklæring for Ph.d.-søknadsskjema i WordPress
Sist endret: 29. november 2018.
Søknadsskjemaene på xxxxxx.xxx.xx er elektroniske spørreskjemaer som må fylles ut for å søke opptak til ph.d.-programmene og stilling som stipendiat ved Norges musikkhøgskole (NMH).
Systemet som brukes for å samle inn og lagre skjemadata er publiseringssystemet WordPress, og pluginen/utvidelsen Gravity forms.
2. Hva er en personvernerklæring?
Denne personvernerklæringen beskriver hvordan NMH håndterer de personopplysningene som samles inn i søknadsskjemaet. Formålet med personvernerklæringen er å informere deg om hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter du har og hvem du kan kontakte.
3. Hva regnes som personopplysninger?
Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson, jf. GDPR artikkel 4 nr. 1. Det avgjørende for om en opplysning er en personopplysning er om opplysningene kan knyttes til en identifisert eller identifiserbar fysisk person.
Opplysninger som alene ikke kan knyttes til en enkeltperson, kan i tilfeller hvor de forekommer sammen med andre data utgjøre en personopplysning hvis de indirekte identifiserer en person.
4. Formålet med, samt rettslig grunnlag for behandling av personopplysninger i søknadsskjemaet
Formålet med innsamlingen av personopplysninger i søknadsskjemaet er at Norges musikkhøgskole skal kunne vurdere søkere for opptak til ph.d.-programmene og tilsetting i stipendiatstilling. Alle opplysninger er nødvendige for at de sakkyndige komiteene, programutvalgene, forskningssentrene og fagseksjonene skal få et bilde av søkere.
Det rettslige grunnlaget for å behandle personopplysninger i søknadsskjemaet er GDPR artikkel 6 nr. 1 bokstav e, jf. nr. 3 bokstav b, og bestemmelser i Lov om universiteter og høyskoler (universitets- og høyskoleloven) § 4-15. Ved behandling av søknader om opptak til høyere utdanning utøver institusjonen offentlig myndighet. For eksempel er et vedtak om tildeling av studieplass å anse som et enkeltvedtak.
5. Hvilke personopplysninger blir samlet inn i søknadsskjemaet, og hvor lagres de?
Følgende personopplysninger lagres i databasen i WordPress når du sender inn søknadsskjema: Navn, adresse, fødselsår, kjønn, epost, telefon, morsmål, fagområde,
prosjektsammendrag, ev. publikasjoner, samtykker du har gitt, opptaksgrunnlag, språkkompetanse, ev. linker til video og lyd.
Personopplysninger som registreres i søknadsskjemaet blir lagret i WordPress og eksporteres også til følgende plattformer:
1. E-post (Outlook): kopier av skjemaoppføringer.
2. Lokal server: PDF-kopier av skjemaoppføringer og Excel-uttrekk.
3. Papirutskrifter av skjemaoppføringer til bruk ved intervjuer.
4. Skybasert lagring: PDF-kopier av skjemaoppføringer og excel-uttrekk.
6. Hvor lenge lagrer vi dine personopplysninger?
Papirutskrifter av søknadsskjema makuleres etter endt opptaks- og tilsettingsprosess (dvs. innen utgangen av juni opptaksåret)
Alle skjemaoppføringer i WordPress slettes innen 15. oktober samme år som opptaket.
Alle e-poster med skjemaoppføringer, og skjemaoppføringer lagret i skylagringstjenester slettes innen 15. oktober samme år som opptaket.
Pdf-kopi av hver enkelt skjemaoppføring som er lagret på lokal server slettes innen 15. oktober året etter gjeldende opptak.
For søkere som blir tatt opp til ph.d.-programmene/ansettes i stipendiatstilling, lagres all innsendt søknadsinformasjon til evig tid i høgskolens elektroniske arkiv, som er regulert av arkivloven.
For søkere som blir tatt opp til ph.d.-programmene/ansettes i stipendiatstilling, lagres all innsendt søknadsinformasjon også på lokal server inntil ph.d.graden er fullført.
7. Sikkerheten rundt dine personopplysninger
NMH gjennomfører regelmessig risiko- og sårbarhetsanalyse for å sikre dine personopplysninger i søknadsskjemaet/WordPress. Det er også tilgangskontroll på systemet og på serverne hvor det lagres, for å forhindre at flere ansatte enn nødvendig får tilgang på dine personopplysninger.
Rett til informasjon og innsyn
Du har krav på å få informasjon om hvordan NMH behandler dine personopplysninger. Denne personvernerklæringen er ment å inneholde den informasjonen du har rett til å få. Du har også rett til å se/få innsyn i alle personopplysninger som er registrert om deg ved NMH. Du har også rett til å få utlevert en kopi av personopplysninger om deg, dersom du ønsker det.
Du har rett til å få uriktige personopplysninger om deg korrigert. Du har også rett til å få ufullstendige personopplysninger om deg supplert. Dersom du mener vi har registrert feil eller mangelfulle personopplysninger om deg, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner og ev. dokumenterer hvorfor du mener personopplysningene er feil eller mangelfulle.
Rett til å begrense behandlingen
I enkelte tilfeller kan du har rett til å kreve at behandlingen av dine personopplysninger blir begrenset. Begrensning av personopplysninger vil si at personopplysningene fortsatt blir lagret, men at mulighetene for videre behandling blir begrensede.
Dersom du mener at personopplysningene er feil eller mangelfulle, eller har fremmet en innsigelse mot behandlingen (se mer om dette under), har du rett til å kreve at behandlingen av dine personopplysninger midlertidig blir begrenset. Det vil si at behandlingen blir begrenset inntil vi ev. har rettet dine personopplysninger, eller har fått vurdert om innsigelsen din er berettiget.
I andre tilfeller kan du også kreve en mer permanent begrensning av dine personopplysninger. For å ha rett til å kreve begrensning av dine personopplysninger, må vilkårene i personopplysningsloven og GDPR artikkel 18 være oppfylte. Dersom vi mottar en henvendelse fra deg om begrensning av personopplysninger, vil vi vurdere om lovens vilkår er oppfylte.
I noen tilfeller har du rett til å kreve at vi sletter personopplysninger om deg. Retten til sletting er ikke en ubetinget rett, og hvorvidt du har rett til sletting må vurderes i lys av gjeldende lover om personvern, det vil si personopplysningsloven og GDPR. Dersom du ønsker å få slettet dine personopplysninger, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, og om mulig også opplyser hvilke personopplysninger du ønsker å få slettet. Vi vil da vurdere om vilkårene for å kreve sletting i loven er oppfylt. Vær oppmerksom på at lovverket i enkelte tilfeller gir oss anledning til å gjøre unntak fra retten til sletting. For eksempel vil dette være tilfelle når vi er nødt til å lagre personopplysningene for å oppfylle en oppgave vi er pålagt etter universitets- og høyskoleloven, eller for å ivareta viktige samfunnsinteresser som arkivering, forskning og statistikk.
Du kan ha rett til å fremme en innsigelse mot behandlingen, det vil si protestere mot behandlingen, dersom du har et særskilt behov for å få stanset behandlingen. F.eks. hvis du har et beskyttelsesbehov, fortrolig adresse, eller lignende. Innsigelsesretten er ikke en ubetinget rett, og den avhenger av hva som er det rettslige grunnlaget for behandlingen, og om du har et særskilt behov. Vilkårene går frem av GDPR artikkel 21. Hvis du fremmer en innsigelse mot behandlingen, vil vi vurdere om vilkårene for å fremme en innsigelse er oppfylt. Dersom vi kommer til at du har rett til å protestere mot behandlingen, og at innsigelsen er berettiget, vil vi stanse behandlingen og du vil også kunne kreve sletting av opplysningene. Vær oppmerksom på at vi i enkelte tilfeller likevel kan gjøre unntak fra sletting, f.eks. hvis vi er nødt til å lagre personopplysningene for å oppfylle en oppgave vi er pålagt etter universitets- og høyskoleloven, eller for å ivareta viktige samfunnsinteresser.
Rett til å klage over behandlingen
Dersom du mener vi ikke har behandlet personopplysningene på en korrekt og lovlig måte, eller hvis du mener at vi ikke har klart å oppfylle dine rettigheter, har du mulighet til å klage over behandlingen. Du finner informasjon om hvordan du kan kontakte oss under pkt. 9.
Dersom vi ikke tar klagen din til følge, har du mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven og GDPR, ved behandling av personopplysninger.
NMH er behandlingsansvarlig for personopplysninger i søknadsskjemaet/WordPress jf. GDPR artikkel 4 nr. 7.
Dersom du ønsker å benytte deg av dine rettigheter som er omtalt i punkt 8 ovenfor, kan du ta kontakt på xxxx@xxx.xx. Vi vil behandle din henvendelse uten ugrunnet opphold, og senest innen 30 dager.
NMH har et personvernombud som skal ivareta personverninteressene til både studenter og ansatte ved NMH. Personvernombudet for administrative behandlinger av personopplysninger ved NMH kan nås via e-post: xxxxxxxxxxxxxxx@xxx.xx
Krokedil er et webbyrå som utvikler og vedlikeholder WordPress-løsningen vår. Gjennom dette arbeidet har utvalgte personer ved Krokedil tilgang til alle personopplysninger som er registrert i WordPress.
Databehandleravtale mellom NMH og Krokedil er undertegnet av Xxxxxx Xxxxxxx (kommunikasjonssjef).