Personvernerklæring

Personvernerklæring (Merk!!! ikke ferdigstilt norsk versjon)

Nettstedet euraxess.no vedlikeholdes av Norges forskningsråd . Forskningsrådet fungerer som Bridgehead Organisation (koordinator) for EURAXESS Norge-nettverket og som redaktør og utgiver av EURAXESS Norge-nettstedet.

Forskningsrådet oppfyller sine forpliktelser knyttet til beskyttelse av personvernet ved å etterleve den norske personopplysningsloven og EUs generelle personvernforordning (GDPR).

Denne personvernerklæringen beskriver hvordan Norges forskningsråd behandler personopplysninger.

Forskningsrådet ved Administrerende Direktør er behandlingsansvarlig for vår behandling av personopplysninger når vi alene eller sammen med andre bestemmer formålet med og midlene for behandlingen, og når vi på annet rettslig grunnlag er forpliktet til å være behandlingsansvarlig.

Forskningsrådet er databehandler ved behandling av personopplysninger på vegne av en behandlingsansvarlig.

Denne personvernerklæringen er strukturert etter emne og oppdateres fortløpende.

Hvorfor vi behandler personopplysninger

Som nasjonalt utøvende forskningsstrategisk forvaltningsorgan underlagt Kunnskapsdepartementet, er vi pålagt å behandle personopplysninger for å oppfylle:<

• de overordnede formål og oppgaver vi er pålagt å utføre ved forskrift om vedtekter for Norges forskningsråd
• de påfølgende rutinene og oppgavene som er beskrevet i våre prosedyrer og retningslinjer.

Behandling av personopplysninger

Vi behandler personopplysninger i forbindelse med følgende:

• nettstedtrafikk;
• organisering av kurs, seminarer eller andre arrangementer;
• møter;
• kommunikasjonsaktiviteter;
• Koble kontoer til riktig norsk forskningsinstitusjon / EURAXESS-kontaktpunkt.

Typer personlige data som vi behandler

Personopplysningene som behandles består av IP-adresse, kontaktinformasjon som navn og e-postadresse, og medlemsprofilen din hvis du er koblet til det norske nettverket.

Hvordan vi behandler personopplysninger

Personopplysninger behandles i samsvar med de til enhver tid gjeldende retningslinjer og prosedyrer. Mest relevant i denne sammenheng er policyen og prosedyren for informasjonssikkerhet samt policyen og prosedyren for behandling av personopplysninger.

Vi fører protokoll over våre behandlingsaktiviteter av personopplysninger, og vi underretter vårt personvernombud om alle slike aktiviteter før de iverksettes.

Vi tar arbeider aktivt for å oppfylle våre forpliktelser angående personvern og for å sikre at du er i stand til å utøve dine rettigheter knyttet til personopplysninger.

Vi behandler ikke flere opplysninger om deg, og vi lagrer de ikke lenger, enn det som er nødvendig for å oppfylle formålet med behandlingen eller oppfylle forpliktelser vi er pålagt ved lov/forskrift, slik som for eksempel arkivloven med forskrifter.

Mer informasjon om personvern er gitt nedenfor etter tema:

EURAXESS-kontoer

Selv om EURAXESS-kontoer kan opprettes og er tilgjengelig for deg direkte på EURAXESS Norge-nettstedet, blir kontoen din håndtert på EU-nivå. Se websiden Personvernerklæring for EURAXESS for mer informasjon om beskyttelsen av dine personlige data når du oppretter og bruker kontoen din på euraxess.no.

Bruk av nettstedet vårt

Besøk på våre nettsider kan generere informasjonskapsler for å kunne tilby funksjonalitet. Føglende informasjonskapsler er aktuelle:

• SESS[Unik ID]: Denne informasjonskapselen gjør det mulig å logge inn og huske hvilke kontaktskjemaer du har sendt inn. Denne informasjonskapselen er avgjørende for nettstedets funksjonalitet og brukeropplevelse.
• Drupal.tableDrag.showWeight, has_js: Vårt nettpubliseringssystem, Drupal setter disse informasjonskapslene for å lagre preferanser for brukergrensesnitt.
• Videre setter Google Analytics (se nedenfor) informasjonskapsler for analytiske formål. Dette er _ga, _gat informasjonskapsler.

Nettstatistikk

EURAXESS 'nettsider registrerer IP-adressen til brukere som besøker nettstedet. Disse dataene behandles i et avidentifisert format som forhindrer at data blir knyttet til enkeltpersoner. Disse dataene blir samlet inn for å utarbeide statistikk for å utvikle og forbedre innholdet på nettsidene. Statistikken brukes til å finne ut hvor mange ganger forskjellige sider blir sett, varigheten av disse besøkene, hvilke nettsteder brukere kommer fra og hvilke nettlesere som benyttes.

Webanalyse og informasjonskapsler

Vi bruker analyse verktøyet Google Analytics på nettstedet vårt, www.euraxess.no.

Google Analytics er konfigurert slik at IP-adresser bare kan behandles i anonymisert format.

Informasjonskapsler er små tekstfiler som lastes ned til brukerens datamaskin når en nettside lastes ned. Vi bruker informasjonskapsler for å generere statistikk og til webanalyse for å tilrettelegge for best mulig funksjonalitet og brukeropplevelse på våre nettsider.

En informasjonskapsel kan klassifiseres etter levetiden og domenet den tilhører. I løpet av levetiden er en informasjonskapsel enten:

• en sesjonsavhengig informasjonskapsel som slettes når brukeren lukker nettleseren eller
• en vedvarende informasjonskapsel som forblir på brukerens datamaskin / enhet i en forhåndsdefinert periode.

De fleste nettlesere er konfigurert til å håndtere informasjonskapsler automatisk. Innstillingene til en nettleser må kanskje endres hvis brukeren ikke ønsker å godta informasjonskapsler. Å blokkere informasjonskapsler kan begrense funksjonaliteten til et nettsted. For mer informasjon om informasjonskapsler, se nettvett.no

.

Kontakt med forskningsrådet

Påmelding til arrangement

Forskningsrådet bruker et eksternt registreringssystem fra Pindena i forbindelse med påmelding til ulike arrangementer. I tillegg har vi inngått rammeavtaler med tre arrangementsbyråer, Congress Conference, Conventor og Medvind AS, som håndterer påmelding til arrangementer for oss ved hjelp av egne registreringsløsninger. Informasjonen oppgitt av påmeldte lagres med det formål å administrere påmeldinger, deltakelse / kommunikasjon og evalueringer etter arrangementet. I tillegg lagres dataene i Forskningsrådets CRM-system, Microsoft Dynamics 365. Formålet med behandlingen av personopplysninger i CRM-system er blant annet vedlikehold og oppdatering av kontaktopplysninger, kartlegging og analyse av aktiviteter og arrangementer som tilbys brukere av systemet, samt å utføre nødvendig administrasjon for gjennomføring av arrangementer (herunder dokumentering av deltagelse) og mobilisering.

Spørreundersøkelser / datainnsamling

Forskningsrådet bruker undersøkelsesverktøyet, SurveyXact, i forbindelse med spørreundersøkelser og annen datainnsamling fra brukere av våre tjenester.

Deltakelse i spørreundersøkelser er frivillig, og det er enkelt for mottakere av undersøkelsesinvitasjoner å reservere seg fra å få tilsendt slike undersøkelser i fremtiden.

Vi behandler navn og e-postadresser for å håndtere invitasjoner til spørreundersøkelser. Distribusjonslisten inkluderer brukere av våre tjenester, abonnenter på nyhetsbrev, deltakere på arrangementer og CRM-systemet, Microsoft Dynamics 365.

Grunnlaget for behandlingen er dels en interesseavveining der den legitime interessen er å forbedre vår utførelse av vårt oppdrag som nasjonalt utøvende forskningsstrategisk forvaltningsorgan til det beste for våre brukere og samfunnet for øvrig, og dels en vurdering av forenelighet mellom dette og andre opprinnelige formål. Vi kan gi mer informasjon om interesseavveiningen og vurderingen på forespørsel.

Office 365

Samhandlingsløsninger. Personlige data brukes til å gi deg tilgang til systemer som Microsoft Teams.

Nettside

Hvis du besøker nettsiden vår www.forskningsradet.no, vennligst se vår personvernerklæring for informasjon om hvordan personopplysningene dine behandles.

Forespørsler om innsyn i offentlige dokumenter

Ved krav om innsyn i offentlige dokumenter utleverer vi personopplysninger i samsvar med offentlighetsloven og forvaltningsloven. Det er etablert særlige sikkerhetstiltak og rutiner for informasjon i arkivet som trenger særlig vern, for eksempel særlige kategorier personopplysninger.

Spesielle sikkerhetstiltak og rutiner er iverksatt for svært konfidensiell informasjon lagret i arkivet, for eksempel sensitive personopplysninger.

Ivaretakelse av personopplysningers sikkerhet

Vi ivaretar personopplysningenes sikkerhet ved å forvalte de i henhold til våre interne prosedyrer for informasjonssikkerhet, og vår prosedyre for behandling av personopplysninger.

Våre prosedyrer styrer blant annet hvordan vi organiserer vårt arbeid med informasjonssikkerhet, foretar sikker lagring, krypterer eller på annen måte maskerer data, etablerer og opprettholder fysiske og elektroniske tilgangsbegrensninger, kommuniserer, tilpasser relaterte anskaffelser, følger opp involverte leverandører, og håndterer hendelser som skulle oppstå. Som klar hovedregel gis tilgang til personopplysninger kun til personer som har et konkret behov for slik tilgang i sammenheng med sitt arbeid for oss.

Vi gjennomfører regelmessige risiko- og sårbarhetsanalyser av vårt arbeid med personvern, informasjonssikkerhet og it-systemene vi benytter, og vi tilpasser vårt arbeid i tråd med analysenes resultater. I vårt arbeid med dette bistås vi blant annet av vår avdeling for internrevisjon og av vårt personvernombud.

Deling av personopplysninger med andre

Vi deler personopplysninger med våre databehandlere, andre behandlingsansvarlige, og andre offentlige organer. Vi gjør dette på grunnlag av henholdsvis; databehandleravtale, avtale om delt behandlingsansvar, lov/forskrift, eller et tilsvarende rettslig grunnlag.

Hvis vi behandler personopplysninger utenfor Norge, men innenfor EU/EØS-området for øvrig, ivaretar vi personvernet ved å følge; personopplysningsloven, personvernreglene som gjelder innen EU/EØS, og eventuelle relevante nasjonsspesifikke regler på området.

Hvis vi behandler personopplysninger utenfor EU/EØS-området, ivaretar vi i tillegg personvernet ved å bare overføre personopplysninger til parter som enten; mottar og behandler opplysningene i et land som på forhånd er anerkjent som trygt nok av Europakommisjonen, eller er underlagt eller har signert en databehandleravtale som inneholder standard personvernbestemmelser vedtatt av Europakommisjonen eller tilsvarende.

Vi etterser at de vi deler personopplysningene med behandler opplysningene i tråd med de pliktene de har i henhold til lovverket og grunnlaget for delingen.

Våre plikter

Når vi behandler personopplysninger har vi blant annet plikt til å:

• fastsette et rimelig og nødvendig formål for behandlingen
• sikre et korrekt rettslig behandlingsgrunnlag for behandlingen
• informere om behandlingen på en kortfattet, åpen, forståelig og lett tilgjengelig måte
• legge til rette for at registrerte personer kan utøve sine rettigheter
• rette opplysninger som er feil eller ufullstendige
• slette opplysninger når formålet er oppfylt og vi ikke er pålagt videre lagring ved lov/forskrift
• gjennomføre personvernkonsekvensvurdering når det er sannsynlig at behandlingen vil kunne medføre en høy risiko for de registrertes rettigheter og friheter
• ta hensyn til personvern ved utvikling av våre tjenester og løsninger (innebygd personvern)
• etablere internkontroll for å sikre og vise at vi følger personopplysningsloven
• ivareta informasjonssikkerheten til registrerte personopplysninger
• føre protokoll over behandlingsaktiviteter vi er behandlingsansvarlig eller databehandler for
• inngå databehandleravtale når vi benytter en databehandler eller selv er databehandler
• håndtere avvik som oppstår i forbindelse med behandlingen, melde avvik til datatilsynet når og slik vi er pålagt dette, og sikre informasjon til de berørte personene
• ivareta personvernet dersom vi gjør overføring av opplysninger til utlandet

Som offentlig organ plikter vi å ha et personvernombud som skal holdes løpende informert om våre behandlinger, arbeide for å ivareta de registrertes interesser, og være vårt kontaktpunkt mot Datatilsynet.

Dine rettigheter

Du har rett til:

• innsyn i dine personopplysninger som vi behandler
• retting eller supplering hvis de er uriktige eller ufullstendige
• sletting hvis vi behandler uten korrekt rettslig grunnlag (vær imidlertid oppmerksom på at det gjelder enkelte unntak fra retten, som når vi ved lov er pålagt fortsatt lagring)
• begrensning av behandlingen imens vi arbeider med å avklare ditt spørsmål om rettslig grunnlag, avgjøre din protest mot behandling, eller utsette/begrense sletting
• å trekke tilbake ditt samtykke dersom du har gitt dette til oss som grunnlag for en behandling
• å protestere mot behandlingen hvis den ikke baseres på samtykke, avtale eller rettslig plikt, grunnlaget er enten offentlig interesse eller utøvelse av offentlig myndighet (GDPR Art. 6 (1) bokstav e), eller interesseavveining (samme artikkels bokstav f), og behandlingen ikke er nødvendig for å beskytte vitale interesser. Du kan i tillegg alltid protestere mot direkte eller tilpasset markedsføring.
• flyttbare data i et strukturert alminnelig og maskinlesbart format, dersom de behandles basert på samtykke/avtale og det er du selv som har gitt de til oss. Vi utleverer kun når vi kan fastslå din identitet, sikre opplysningene ved kryptering, og påse at det ikke krenker andre individers rettigheter eller friheter. Utleveringen skal være uten kostnad/gebyr for deg med mindre vi kan påvise at det er grunnløst eller overdrevet. (vær imidlertid oppmerksom på at denne retten hovedsakelig er ment å beskytte forbrukere i kommersielle forhold slik som bytte mellom tjenesteleverandører, slik at den kun i enkelte tilfeller vil kunne være aktuell i forhold til våre behandlinger)
• informasjon om vår behandling av personopplysninger på en kortfattet, åpen, forståelig og lett tilgjengelig måte
• automatiserte avgjørelser som ikke både er; helautomatiske (det vil si uavhengig av menneskers reelle påvirkning), og har rettsvirkninger for deg (det vil si styrer dine rettigheter eller plikter). Dette gjelder likevel ikke hvis avgjørelsen er; basert på samtykke, nødvendig for å inngå eller gjennomføre en avtale, eller er hjemlet i en lov som sikrer individets interesser. Vi skal ved slike avgjørelser iverksette tiltak for å sikre dine interesser, og du skal ha rett til å; si din mening, si imot avgjørelsen, og kreve at et menneske går igjennom avgjørelsen.

Når du kontakter oss for å benytte dine rettigheter skal vi svare deg uten ugrunnet opphold, og senest innen 30 dager.

Vi gjør oppmerksom på at dine rettigheter i det enkelte tilfelle vil kunne være begrenset av vilkår eller krav vi er pålagt å følge ved lov/forskrift eller tilsvarende rettslig grunnlag. Dette vil vi vurdere konkret og informere deg om for hvert enkelt tilfelle når du kontakter oss for å utøve dine rettigheter.

Kontakt oss med spørsmål om personvern

Hvis du har spørsmål om hvordan vi behandler personopplysninger, eller ønsker å benytte deg av dine rettigheter, kan du kontakte Forskningsrådet på

e-post:  post@forskningsradet.no

telefon: +47 22 03 70 00

postadresse: Norges forskningsråd, postboks 564 NO-1327 Lysaker

Forskningsrådets personvernombud skal arbeide for å ivareta personverninteressene til alle vi behandler personopplysninger om, gi råd om våre plikter og dine rettigheter, samt fungere som vårt kontaktpunkt mot Datatilsynet. Du kan ta kontakt med vårt personvernombud på epostadressen personvern@forskningsradet.no.

Hvordan klager du på vår behandling av personopplysninger?

Datatilsynet er tilsynsmyndighet for vår behandling av personopplysninger.

Ved spørsmål om vår behandling av personopplysninger anbefaler Datatilsynet at du først tar kontakt med oss for å forsøke å avklare spørsmålet. Dersom du ikke er fornøyd med avklaringen, og ønsker å klage, anbefaler Datatilsynet at du først tar kontakt med vårt personvernombud.

Dersom du etter kontakt med vårt personvernombud fortsatt ønsker å klage på noe du mener er et regelbrudd gir Datatilsynet god informasjon på sin nettside om hvordan du kan klage til Datatilsynet på vår behandling.