Personvernerklæring

Forskningsrådet ivaretar personvern ved å etterleve den norske personopplysningsloven og det sameuropeiske regelverket for personvern som loven implementerer i norsk rett (GDPR).

Denne personvernerklæringen beskriver hvordan Forskningsrådet behandler personopplysninger.

Forskningsrådet ved administrerende direktør er behandlingsansvarlig for vår behandling av personopplysninger når vi alene eller sammen med andre bestemmer formålet med og midlene for behandlingen, og når vi på annet rettslig grunnlag er forpliktet til å være behandlingsansvarlig.

Forskningsrådet er databehandler når vi behandler personopplysninger på vegne av en behandlingsansvarlig.

Denne personvernerklæringen er strukturert tematisk som spørsmål og blir oppdatert fortløpende. Dato for sist denne siden ble oppdatert finner du helt nederst på siden. 

Hvorfor behandler vi personopplysninger?

Fordi det er nødvendig når vi som nasjonalt utøvende forskningsstrategisk forvaltningsorgan, underlagt Kunnskapsdepartementet, skal oppfylle

• de overordnede formål og oppgaver vi er pålagt ved forskriften om våre vedtekter
• de underordnede formål, krav, føringer og prinsipper våre policyer fastsetter
• de atter underordnede rutiner og arbeidsoppgaver våre prosedyrer fastsetter

Når behandler vi personopplysninger?

Når vårt arbeid med å oppfylle våre vedtekter, policyer og prosedyrer krever det.
For eksempel behandler vi personopplysninger når vi

• har besøkende på våre nettsider
• behandler søknader om økonomisk støtte
• behandler klager
• følger opp de som mottar økonomisk støtte
• arrangerer kurs, seminar eller andre arrangement
• avholder møter
• behandler søknader på stillinger vi utlyser
• rekrutterer og følger opp de som er ansatt hos oss eller oppdragstaker for oss
• kommuniserer
• behandler forespørsler om innsyn etter offentlighetsloven

Hvilke personopplysninger behandler vi?

Hvilke personopplysninger vi til enhver tid har samlet inn og behandler vil variere løpende med de behandlingene vi foretar.

Eksempler på personopplysninger vi vil samle inn når vi foretar behandlinger er; navn, adresse, telefonnummer, epostadresse, fødselsnummer, arbeidsgiver, CV, timerater, timelister for utført arbeid, og personlige eller profesjonelle tilknytninger ved habilitetsvurderinger.

Hvordan behandler vi personopplysninger?

I tråd med våre policyer og prosedyrer. Mest relevante er policy for personvern, policy for sikring, prosedyre for behandling av personopplysninger, og prosedyre for informasjonssikkerhet.

Vi fører protokoll over våre behandlingsaktiviteter, og vi melder ifra om våre behandlinger til vårt personvernombud før de iverksettes.

Vi arbeider aktivt med personvern for å oppfylle våre plikter og legge til rette for at du skal få benytte dine rettigheter.

Vi behandler ikke flere opplysninger om deg, og vi lagrer de ikke lenger, enn det som er nødvendig for å oppfylle formålet med behandlingen eller oppfylle forpliktelser vi er pålagt ved lov/forskrift, slik som for eksempel arkivloven med forskrifter.

Mer detaljert informasjon finner du strukturert tematisk som spørsmål under her:

Ved søknadsbehandling, vurdering og oppfølging av prosjekter

Personopplysninger behandlet i forbindelse med søknadsbehandling, vurdering og oppfølging av prosjekter som har fått bevilgning, samt kontroll med tildelte midler gjennom innhenting av prosjektregnskapsrapporter lagres i det elektroniske søknadssystemet eSøknad via portalen Mitt nettsted og i arkivsystemet ACOS Websak.

Hvilke kategorier av opplysninger som lagres, vil variere med hensyn til hvilken rolle det er snakk om. I hovedsak lagres navn, fødselsnummer, e-postadresse, stilling, arbeidssted og rolle i prosjektet. Ansatte, eksperter, medlemmer av hovedstyret, program- og divisjonsstyrer og andre som mottar honorar fra Forskningsrådet vil også informasjon som er nødvendig for utbetaling av honorar, slik som fødselsnummer (ev. D-nummer hvor det er relevant), lagres i registeret. Personer som mottar honorar fra oss, er registrert i Agresso, som er vårt ERP-system (Enterprise Resource Planning). Slik registrering er nødvendig for å kunne foreta avtalte utbetalinger og innberetning til norske (ev. utenlandske) myndigheter.

For fageksperter registreres også informasjon knyttet til tidligere vurderingsoppdrag. For å finne nye fageksperter benyttes ofte flere eksterne nettbaserte kilder, blant annet: Expert Lookup, Google Scholar author search tool, Pindena, Web of Science og Scopus.

Expert Lookup benytter kunstig intelligens for å bistå i utvelgelsen av riktige eksperter. Formålet med dette er å få en så god match som mulig mellom det forskningsprosjektet søker å belyse og ekspertpanelets ekspertise og habilitet. Hvilke eksperter som blir oppnevnt og for hvilket panel med eksperter en søknad endelig vil bli behandlet gjøres på bakgrunn av manuelle vurderinger i Forskningsrådet. Løsningen fungerer slik at Forskningsrådet legger inn utvalgt informasjon i et sikret og brukerstyrt API tilbudt av Elsevier. Forskningsrådet laster opp prosjekttittel, prosjektsammendrag, mål, prosjektnummer og prosjektleders navn. APIet er kommunikasjonsleddet mellom Forskningsrådets database og Elseviers database. APIet frakter informasjonen som Forskningsrådet ønsker å legge inn hos Expert Lookup. På bakgrunn av Forskningsrådets utvalgte informasjon lager Expert Lookup et semantisk fingeravtrykk som benyttes i et søk for å finne et gitt antall aktuelle eksperter som kan være aktuelle som medlem av ekspertpanelet for en eller flere søknader. Informasjonen som lastes opp matches mot Elseviers egen database (Scopus) som inneholder store mengder informasjon og data med utgangspunkt i offentlig tilgjengelig informasjon, blant annet informasjon om publikasjoner og akademisk bakgrunn, og at det benyttes en hit/no-hit funksjon. Forskningsrådet får tilgang til Expert Lookup og løsningens resultat gjennom en Webklient (URL-lenke) som er brukerstyrt ved passord og brukernavn.

Personopplysningene dine knyttet til søknadsbehandling og prosjektoppfølging blir som hovedregel lagret og slettet i henhold til Forskningsrådets arkivprosedyrer som følger krav fra lov/forskrift.

Når du bruker nettsidene våre

Nettstatistikk

Når du besøker Forskningsrådets nettsider, registreres din IP-adresse. Opplysningene behandles i avidentifisert form slik at de ikke kan knyttes til enkeltpersoner. Formålet med denne innsamlingen er å utarbeide statistikk som vi bruker til å utvikle og forbedre informasjonen på sidene. Statistikken brukes til å få kunnskap om antall besøkende på de ulike sidene, varigheten av besøkene, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som brukes.

Webanalyse og informasjonskapsler

Vi bruker analyseverktøy fra Google Analytics og Hotjar på vår hovedside www.forskningsradet.no. Ved å lukke meldingsboken som kommer opp når du besøker nettsiden samtykker du i bruken vår av informasjonskapsler ("cookies"), og du samtykker i at Google Analytics sine retningslinjer for personvern også gjelder for denne behandlingen.

Google Analytics er satt opp slik at IP-adressene kun behandles i anonymisert form. Analyseverktøyet Hotjar bruker en informasjonskapsel som sporer trafikken på www.forskningsradet.no.

Informasjonskapsler er små tekstfiler som plasseres på din datamaskin når du laster ned en nettside. Vi bruker informasjonskapsler til å generere statistikk og til webanalyse for å tilrettelegge for best mulig funksjonalitet og brukeropplevelse på nettsidene.

De fleste nettlesere er innstilt slik at de automatisk godtar informasjonskapsler. Dersom du ikke godtar at det brukes informasjonskapsler, må du endre innstillingene i nettleseren din. Hvis du deaktiverer informasjonskapsler vil det kunne føre til at funksjonaliteten på nettstedet begrenses. Du kan lese mer om informasjonskapsler på blant annet www.allaboutcookies.org og www.cookiepedia.co.uk.

Her er en tabell som viser de informasjonskapslene som våre nettsider benytter:

Navn	Beskrivelse	Varighet
_hjIncludedInSample	Informasjonskapsel som lar Hotjar få vite om en besøkende er inkludert i et utvalg, og brukes til å generere trakter.

Strømming

Til strømming av arrangementer benytter vi VBrick Systems Inc. og YouTube. Din bruk av disse funksjonene er underlagt personvernerklæringene til selskapene som leverer dem.

Sosiale medier

Nettsidene inneholder lenker til våre profilsider på de sosiale mediene Facebook, LinkedIn og Twitter. Din bruk av disse funksjonene er underlagt personvernerklæringene til selskapene som leverer tjenesten.

Databehandlere for våre nettsider

Evry Norge er som leverandør av drift og vedlikehold databehandler for vår hovednettside www.forskningsradet.no og www.nysgjerrigper.no. Google Analytics og Hotjar er som leverandører av analyseverktøy også databehandlere for denne siden.

Når du er i kontakt med oss

Nyhetsbrev

Du kan abonnere på elektroniske nyhetsbrev fra Forskningsrådet. For å kunne sende e-post til rett mottaker må vi lagre e-postadresse.

Annen informasjon er ikke påkrevd, men kan av gis ved eget samtykke av mottaker. Du kan selv melde deg av, enten via nettsiden eller en lenke i nyhetsbrevet, dersom du vil avslutte ditt abonnement.

Forskningsrådet, Skattefunn, Horisont2020, Nysgjerrigper og Forskningsdagene bruker Microsoft Dynamics 365 CRM-system til å administrere og sende ut nyhetsbrev og lignende informasjon. Dataene om nyhetsbrevabonnenter lagres i CRM-systemet. Formålet med behandlingen av personopplysninger i CRM-systemet er vedlikehold og oppdatering av kontaktopplysninger.

Personopplysninger som benyttes til utsending av nyhetsbrev slettes når du sier opp abonnementet.

Påmeldinger

I forbindelse med påmeldinger til ulike arrangementer, benytter Forskningsrådet en elektronisk påmeldingsløsning fra Pindena. I tillegg har Forskningsrådet rammeavtaler med tre arrangementsbyråer (Gambit H+K og Medvind Eventbyrå og Kite Kommunikasjon Event AS) som har egne påmeldingsløsninger for arrangementer de håndterer for oss. Ved påmeldinger lagres den informasjonen som oppgis av påmeldte ved påmelding, og formålet med behandlingen er å administrere påmelding, deltakelse og etter-evaluering.

Data fra Pindena lagres i tillegg i Forskningsrådets CRM-system. Microsoft Dynamics 365. Formålet med behandlingen av personopplysninger i CRM-system er blant annet vedlikehold og oppdatering av kontaktopplysninger, kartlegging og analyse av aktiviteter og arrangementer som tilbys brukere av systemet, samt å utføre nødvendig administrasjon for gjennomføring av arrangementer (herunder dokumentering av deltagelse) og mobilisering.

Spørreundersøkelser/datainnsamling

Forskningsrådet bruker SurveyXact og Microsoft Forms i forbindelse med gjennomføring av spørreundersøkelser og annen datainnsamling fra brukerne av våre tjenester.

Forskningsrådet bruker også Kantar som leverandør av og databehandler for spørreundersøkelser blant brukerne av våre tjenester. Svarene blir da tilgjengelig for Kantar, og kun i anonymisert form tilgjengelig for oss. Kantar sletter svarene når avtalen om gjennomføring av en undersøkelse avsluttes, senest innen 2 år eller før hvis vi instruerer de om det.

Å svare på spørreundersøkelsene er frivillig, og mottaker av undersøkelsene kan enkelt reservere seg mot å få tilsendt slike undersøkelser i fremtiden.

For å kunne sende ut elektroniske henvendelser om spørreundersøkelser behandler vi navn og e-postadresser. Navn og e-postadresser henter vi da fra vårt personregister over brukere av våre tjenester, vårt register over abonnenter på nyhetsbrev, samt påmeldte til våre arrangementer og CRM-systemet.

Det rettslige grunnlaget for behandlingen er berettiget interesse etter GDPR art. 6 (1) bokstav f). Forskningsrådet kan kun behandle personopplysninger dersom det er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Vi vurderer at interessen om å forbedre vår utførelse av vårt oppdrag som nasjonalt utøvende forskningsstrategisk forvaltningsorgan er en legitim interesse, og også til det beste for våre brukere og samfunnet for øvrig. Denne legitime interessen veier etter vårt syn tyngre enn hensynet til den enkeltes personvern. Vi kan gi nærmere informasjon om interesseavveiningen på forespørsel.

Data om fageksperter rekruttert via Microsoft Forms lagres i Forskningsrådets CRM-system, Microsoft Dynamics 365, for vedlikehold og oppdatering av kontaktopplysninger i inntil fem år fra påmeldingstidspunktet.

Høringer

Høringssystemet er Forskningsrådets verktøy for gjennomføring av offentlige høringer i tråd med utredningsinstruksen. Forskningsrådet er ansvarlig for behandling av følgende personopplysninger i systemet: Obligatorisk: Innsenders navn, e-postadresse og IP-adresse. Det er frivillig å oppgi arbeidssted og -stilling. Høringsuttalelser er offentlig informasjon og vi publiserer høringsuttalelser fortløpende på forskningsradet.no. Derfor skal du ikke oppgi annen personlig informasjon i ditt høringssvar. Vi sammenstiller også høringsuttalelsene i en rapport for videre saksbehandling etter endt høring.

Høringsuttalelser skal bevares for ettertiden. Derfor arkiverer vi dem, inkludert de opplysningene du har registrert om deg selv i forbindelse med innsending. Dersom du har sendt inn høringsuttalelse ved en feil, ønsker å trekke din uttalelse eller vil gjøre endringer, kan du gi oss beskjed til post@forskningsradet.no. Du kan finne høringsuttalelsene dine på udir.no/høyringar i tre år etter høringsfristen. Etter dette er de ikke lenger tilgjengelige på nettsidene våre og du må be om innsyn til post@forskningsradet.no."

Når vi behandler forespørsler om innsyn i offentlige dokumenter

Ved krav om innsyn i offentlige dokumenter utleverer vi personopplysninger i samsvar med offentlighetsloven og forvaltningsloven.
Det er etablert særlige sikkerhetstiltak og rutiner for informasjon i arkivet som trenger særlig vern, for eksempel sørlige kategorier personopplysninger.

Forskningsrådet er pålagt å gjøre de offentlige journalene sine tilgjengelige for allmennheten på internett via offentlig elektronisk postjournal (OEP)/eInnsyn. I offentlighetsforskriften § 7, jf. § 6 fjerde ledd, er det spesifisert en del opplysninger som ikke skal gå fram av offentlige journaler og journaler som blir lagde ut på nettet. Videre er det fastsett at personnavn ikke skal kunne søkes fram i OEP/eInnsyn når oppføringen er eldre enn ett år.

For statistikk- og analyseformål

En av hovedoppgavene til Forskningsrådet er å gi regjering og departementer råd i forskningspolitiske spørsmål. Til dette trengs et solid kunnskapsgrunnlag i form av statistikk og analyse. Forskningsrådet har derfor etablert et datavarehus som henter data (også personopplysninger) fra vårt elektroniske søknadssystem, sak- og arkivsystemet, ERP- systemet og det nasjonale forskningsinformasjonssystemet Cristin. Datavarehuset brukes til å hente ut rapporter, oversikter og statistikk knyttet til FoU-bevilgninger, og disse dataene brukes i aggregert form til analyseformål. Datavarehuset er også kilden til publisering av informasjon om søknader og prosjekter. Navn og tittel på prosjektledere i prosjekter som har fått bevilgning, blir publisert på hjemmesidene til Forskningsrådet, DIFIs datahotell og i Prosjektbanken sammen med prosjektsammendragene.

Institusjonene får utlevert informasjon om sine egne søknader og prosjekter, inkludert navn og tittel på prosjektledere, enten prosjektet har fått bevilgning eller ikke.

Forskningsrådet har også ansvaret for behandlingen av personopplysninger i arbeidet med å samle inn, utarbeide, utvikle, presentere og gjøre tilgjengelig FoU-statistikk for Norge. NIFU (Nordisk institutt for studier av innovasjon, forskning og utdanning) utarbeider FoU-statistikken og opptrer som databehandler av personopplysninger i dette arbeidet. Forskningsrådet og NIFU har inngått en skriftlig avtale som regulerer databehandleroppdraget.

Følgende opplysninger behandles som ledd i sammenstillingen av registrene:

• Forskerpersonalregisteret: navn, stillingsopplysninger (tittel, stillingskode og stillingsprosent), institutt-tilknytning (institusjon/ fakultet/ avdeling/ institutt), fagtilhørighet, grad, fag, år og sted for avlagt embetseksamen. Doktorgrad og år for disputas. Opplysningene innhentes årlig fra universiteter, høyskoler, forskningsinstitusjoner og helseforetak.
• Doktorgradsregisteret: navn, kjønn, alder, nasjonalitet, utdanning (embetseksamen eller tilsvarende), utdanningssted, utdanningsår, type grad (tittel), år/måned for disputas, sted for grad (lærested/ fakultet), fagområde for grad. Opplysningene innhentes to ganger i året fra doktorgradsutstedende institusjoner og fra Forskningsrådets sakssystem, som viser oversikt over stipendiatstillinger vi finansierer.
• Utlevering av personopplysninger fra forskerpersonalregisteret og doktorgradsregisteret kan kun skje til forskningsorganisasjoner som er godkjent av Forskningsrådet, og er begrenset til statistikk-, forsknings- og analyseformål.

Dersom du søker på en utlyst stilling eller er arbeidstaker hos oss

Forskningsrådet behandler personopplysninger om sine ansatte for å administrere lønn og arbeidsforhold. Formålet med behandlingen av personopplysninger i sentrale system er å ivareta dine rettigheter som ansatt, for å oppfylle Forskningsrådets oppgaver og plikter som arbeidsgiver, og for at du skal kunne gjøre jobben du er ansatt for å gjøre. Det registreres opplysninger som er nødvendige for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeningstilhørighet. Andre opplysninger om ansatte er knyttet til vedkommendes arbeidsinstruks og tilrettelegging av arbeid.

Dersom du søker jobb hos Forskningsrådet, trenger vi å behandle opplysninger om deg for å vurdere din søknad.

Personopplysninger om deg behandles i Forskningsrådets elektroniske systemer. I tillegg kan vi ha opplysninger om deg i papirdokumenter. Du vil også legge igjen elektroniske spor ved bruk av adgangskort, IT-systemer, digitale verktøy osv.

Alle stillingssøknadene blir journalført i Forskningsrådets postjournal og lagres i arkivet i ca. ett år før de makuleres. Journalopplysninger slettes ikke, men er skjermet i Offentlig elektronisk postjournal (dvs. personnavn/navn på søker fremkommer ikke). Unntak gjelder for stillingssøknader på avdelingsdirektørnivå, som bevares.

Sletterutiner for personopplysninger følger regnskapsloven og arkivloven.

For dokumenter som har varig virkning på ansettelses- eller lønnsforhold er Forskningsrådet underlagt arkiveringsplikten i arkivloven, slik at personopplysninger i utgangspunktet ikke kan slettes uten uttalelse fra Riksarkivaren. Dette gjelder selv etter arbeidsforholdets opphør.

Alle tidligere og nåværende ansatte har en personalmappe i vårt arkivsystem. Her blir blant annet stillingssøknaden arkivert/oppbevart.

Personalmapper skal bevares (det vil si at stillingssøknaden ikke blir slettet eller makulert). Personalmapper blir ryddet ved utløp av arbeidsforholdet.

Tilgangen begrenset til tjenstlig behov.

I hovedsak behandles ansattes personopplysninger i følgende systemer (opplistingen er ikke uttømmende):

HR Manager

System for rekruttering. Her behandles opplysninger om personer som søker på stillinger hos oss. Verktøyet leveres og driftes av HR Manager AS som er databehandler for verktøyet.

Saksbehandlings- og arkivsystem

Her behandles bl.a. ansettelsessaker og personalsaker. Ved ansettelse opprettes det en personalmappe i vårt saksbehandler- og arkivsystem som inneholder dokumenter som har betydning for ditt arbeidsforhold og pensjon.

Adgangskontroll

Opplysninger om deg vil være registret i adgangskontrollsystemet for at du skal få tilgang til Forskningsrådets bygg og rom ved hjelp av ditt ansattkort.

Krise og beredskapssystem

Styringssystem for sikkerhet og beredskap. Opplysninger om deg vil være registrert her for at vi skal ha mulighet til å kontakte deg raskt ved en eventuell krise eller uønsket hendelse.

Økonomi og personalsystem

Her behandles dine personopplysninger for å sikre dine rettigheter og plikter med hensyn til lønn, ferie, avspasering m.m.

Office 365

Samhandlingsløsning. Her behandles opplysninger om deg for å gi deg tilgang til bl.a. Sharepoint.

Reiseoperatør

Opplysningene om deg vil bli behandlet for å kunne gjennomføre bestilling av tjenestereiser.

Øvrige elektroniske system som vi behandler personopplysninger om ansatte i

• e-postløsning
• løsning for telefon og videokonferanse
• sakshåndteringssystem for behandling av saker og bestillinger til driftsavdelingen
• sentralbord – distribuering av samtaler
• sakshåndteringssystem
• system for romfordeling og timeplanlegging

I tillegg kan opplysninger om deg bli behandlet i systemer knyttet til bestemte roller eller tjenester ved Forskningsrådet. Dette kan bl.a. gjelde følgende systemer

• verktøy for opptak og publisering
• verktøy for webmøter
• verktøy for opptak, streaming og publisering
• avvikssystem
• system for administrasjon av og støtte til forskningsprosjekter

Hvordan ivaretar vi personopplysningers sikkerhet?

Vi ivaretar personopplysningenes sikkerhet ved å forvalte de i henhold til våre interne prosedyrer for informasjonssikkerhet, og vår prosedyre for behandling av personopplysninger.

Våre prosedyrer styrer blant annet hvordan vi organiserer vårt arbeid med informasjonssikkerhet, foretar sikker lagring, krypterer eller på annen måte maskerer data, etablerer og opprettholder fysiske og elektroniske tilgangsbegrensninger, kommuniserer, tilpasser relaterte anskaffelser, følger opp involverte leverandører, og håndterer hendelser som skulle oppstå.
Som klar hovedregel gis tilgang til personopplysninger kun til personer som har et konkret behov for slik tilgang i sammenheng med sitt arbeid for oss.

Vi gjennomfører regelmessige risiko- og sårbarhetsanalyser av vårt arbeid med personvern, informasjonssikkerhet og it-systemene vi benytter, og vi tilpasser vårt arbeid i tråd med analysenes resultater. I vårt arbeid med dette bistås vi blant annet av vår avdeling for internrevisjon og av vårt personvernombud.

Hvordan deler vi personopplysninger med andre?

Vi deler personopplysninger med våre databehandlere, andre behandlingsansvarlige, og andre offentlige organer. Vi gjør dette på grunnlag av henholdsvis; databehandleravtale, avtale om delt behandlingsansvar, lov/forskrift, eller et tilsvarende rettslig grunnlag.

Hvis vi behandler personopplysninger utenfor Norge, men innenfor EU/EØS-området for øvrig, ivaretar vi personvernet ved å følge; personopplysningsloven, personvernreglene som gjelder innen EU/EØS, og eventuelle relevante nasjonsspesifikke regler på området.

Hvis vi behandler personopplysninger utenfor EU/EØS-området, ivaretar vi i tillegg personvernet ved å bare overføre personopplysninger til parter som enten; mottar og behandler opplysningene i et land som på forhånd er anerkjent som trygt nok av Europakommisjonen, eller er underlagt eller har signert en databehandleravtale som inneholder standard personvernbestemmelser vedtatt av Europakommisjonen eller tilsvarende, eller på forhånd er sertifisert gjennom EU-US Privacy Shield ordningen.

Vi etterser at de vi deler personopplysningene med behandler opplysningene i tråd med de pliktene de har i henhold til lovverket og grunnlaget for delingen.

Våre plikter

Når vi behandler personopplysninger har vi blant annet plikt til å

• fastsette et rimelig og nødvendig formål for behandlingen
• sikre et korrekt rettslig behandlingsgrunnlag for behandlingen
• informere om behandlingen på en kortfattet, åpen, forståelig og lett tilgjengelig måte
• legge til rette for at registrerte personer kan utøve sine rettigheter
• rette opplysninger som er feil eller ufullstendige
• slette opplysninger når formålet er oppfylt og vi ikke er pålagt videre lagring ved lov/forskrift
• gjennomføre personvernkonsekvensvurdering når det er sannsynlig at behandlingen vil kunne medføre en høy risiko for de registrertes rettigheter og friheter
• ta hensyn til personvern ved utvikling av våre tjenester og løsninger (innebygd personvern)
• etablere internkontroll for å sikre og vise at vi følger personopplysningsloven
• ivareta informasjonssikkerheten til registrerte personopplysninger
• føre protokoll over behandlingsaktiviteter vi er behandlingsansvarlig eller databehandler for
• inngå databehandleravtale når vi benytter en databehandler eller selv er databehandler
• håndtere avvik som oppstår i forbindelse med behandlingen, melde avvik til datatilsynet når og slik vi er pålagt dette, og sikre informasjon til de berørte personene
• ivareta personvernet dersom vi gjør overføring av opplysninger til utlandet

Som offentlig organ plikter vi å ha et personvernombud som skal holdes løpende informert om våre behandlinger, arbeide for å ivareta de registrertes interesser, og være vårt kontaktpunkt mot Datatilsynet.

Dine rettigheter

Du har rett til

• innsyn i dine personopplysninger som vi behandler
• retting eller supplering hvis de er uriktige eller ufullstendige
• sletting hvis vi behandler uten korrekt rettslig grunnlag (vær imidlertid oppmerksom på at det gjelder enkelte unntak fra retten, som når vi ved lov er pålagt fortsatt lagring)
• begrensning av behandlingen imens vi arbeider med å avklare ditt spørsmål om rettslig grunnlag, avgjøre din protest mot behandling, eller utsette/begrense sletting
• å trekke tilbake ditt samtykke dersom du har gitt dette til oss som grunnlag for en behandling
• å protestere mot behandlingen hvis den ikke baseres på samtykke, avtale eller rettslig plikt, grunnlaget er enten offentlig interesse eller utøvelse av offentlig myndighet (GDPR Art. 6 (1) bokstav e), eller interesseavveining (samme artikkels bokstav f), og behandlingen ikke er nødvendig for å beskytte vitale interesser. Du kan i tillegg alltid protestere mot direkte eller tilpasset markedsføring.
• flyttbare data i et strukturert alminnelig og maskinlesbart format, dersom de behandles basert på samtykke/avtale og det er du selv som har gitt de til oss. Vi utleverer kun når vi kan fastslå din identitet, sikre opplysningene ved kryptering, og påse at det ikke krenker andre individers rettigheter eller friheter. Utleveringen skal være uten kostnad/gebyr for deg med mindre vi kan påvise at det er grunnløst eller overdrevet. (vær imidlertid oppmerksom på at denne retten hovedsakelig er ment å beskytte forbrukere i kommersielle forhold slik som bytte mellom tjenesteleverandører, slik at den kun i enkelte tilfeller vil kunne være aktuell i forhold til våre behandlinger)
• informasjon om vår behandling av personopplysninger på en kortfattet, åpen, forståelig og lett tilgjengelig måte
• automatiserte avgjørelser som ikke både er; helautomatiske (det vil si uavhengig av menneskers reelle påvirkning), og har rettsvirkninger for deg (det vil si styrer dine rettigheter eller plikter). Dette gjelder likevel ikke hvis avgjørelsen er; basert på samtykke, nødvendig for å inngå eller gjennomføre en avtale, eller er hjemlet i en lov som sikrer individets interesser. Vi skal ved slike avgjørelser iverksette tiltak for å sikre dine interesser, og du skal ha rett til å; si din mening, si imot avgjørelsen, og kreve at et menneske går igjennom avgjørelsen.

Når du kontakter oss for å benytte dine rettigheter skal vi svare deg uten ugrunnet opphold, og senest innen 30 dager.

Vi gjør oppmerksom på at dine rettigheter i det enkelte tilfelle vil kunne være begrenset av vilkår eller krav vi er pålagt å følge ved lov/forskrift eller tilsvarende rettslig grunnlag. Dette vil vi vurdere konkret og informere deg om for hvert enkelt tilfelle når du kontakter oss for å utøve dine rettigheter.

Hvordan kontakter du oss om personvern?

Hvis du har spørsmål om hvordan vi behandler personopplysninger, eller ønsker å benytte deg av dine rettigheter, kan du kontakte Forskningsrådet på

e-post: post@forskningsradet.no

telefon: +47 22 03 70 00

brevpost: Forskningsrådet, Postboks 564, 1327 Lysaker

Forskningsrådets personvernombud skal arbeide for å ivareta personverninteressene til alle vi behandler personopplysninger om, gi råd om våre plikter og dine rettigheter, samt fungere som vårt kontaktpunkt mot Datatilsynet. Du kan ta kontakt med vårt personvernombud på epostadressen personvern@forskningsradet.no.

Hvordan klager du på vår behandling av personopplysninger?

Datatilsynet er tilsynsmyndighet for vår behandling av personopplysninger.
Ved spørsmål om vår behandling av personopplysninger anbefaler Datatilsynet at du først tar kontakt med oss for å forsøke å avklare spørsmålet. Dersom du ikke er fornøyd med avklaringen, og ønsker å klage, anbefaler Datatilsynet at du først tar kontakt med vårt personvernombud.

Dersom du etter kontakt med vårt personvernombud fortsatt ønsker å klage på noe du mener er et regelbrudd gir Datatilsynet god informasjon på sin nettside om hvordan du kan klage til Datatilsynet på vår behandling.