Personvernerklæring

Forskningsrådet varetek personvern ved å etterleve den norske personopplysningslova og det sameuropeiske regelverket for personvern som loven iverkset i norsk rett (GDPR).

Forskingsrådet ved administrerande direktør har ansvaret for korleis vi behandlar personopplysningar. Vi er ansvarlege når vi anten åleine, eller saman med andre, bestemmer kvifor og korleis personopplysningar skal behandlast. Vi kan også vere ansvarlege viss lova krev det.

Forskingsrådet er databehandlar når vi behandlar personopplysningar på vegner av ein behandlingsansvarleg.

Personvernerklæringa er strukturert tematisk som spørsmål og blir oppdatert fortløpande. Dato for sist denne sida vart oppdatert finn du heilt nedst på sida. 

Kvifor behandlar vi personopplysningar?

Det gjer vi fordi det er nødvendig når vi som nasjonalt utøvande forskingsstrategisk forvaltningsorgan, underlagt Kunnskapsdepartementet, skal oppfylle  

• dei overordna formåla og oppgåvene vi er pålagde ved forskrifta om vedtektene våre
• dei underordna formåla, krav, føringar og prinsipp policyane våre fastset
• dei atter underordna rutinane og arbeidsoppgåvene prosedyrane våre fastset

Når behandlar vi personopplysningar?

Vi behandlar personopplysningar når arbeidet med å oppfylle vedtektene, policyar og prosedyrar krev det. Til dømes behandlar vi personopplysningar når

• du bruker nettsidene våre
• til statistikk- og analyseformål
• ved søknadsbehandling, vurdering og oppfølgjing av prosjekt
• du er i kontakt med oss, til dømes når vi
  • sender ut nyheitsbrev
  • arrangerer møte, kurs, seminar eller andre arrangement
  • sender ut spørjeundersøkingar  
  • vi legg fram ei høyring
  • behandlar førespurnader om innsyn etter offentleglova
• du søkjer på ei utlyst stilling eller er tilsett hos oss

Kva personopplysningar behandlar vi?

Kva personopplysningar vi til kvar tid har samla inn og behandlar, vil variere løpande med dei behandlingane vi gjennomfører.

Døme på personopplysningar vi vil samle inn når vi gjennomfører behandlingar er: namn, adresse, telefonnummer, e-postadresse, fødselsnummer, arbeidsgivar, CV, timeratar, timelister for utført arbeid og personlege eller profesjonelle tilknytingar ved habilitetsvurderingar.

Korleis behandlar vi personopplysningar?

Vi behandlar personopplysningar i tråd med policyane og prosedyrane våre. Mest relevante er policyen for personvern, policyen for sikring, prosedyren for behandling av personopplysningar og prosedyren for informasjonstryggleik.

Vi dokumenterer alle behandlingane våre av personopplysningar og informerer personvernombodet vårt før vi startar desse behandlingane.

Vi jobbar aktivt for å vareta personvernet ditt, slik at vi kan oppfylle våre plikter og hjelpe deg med å bruke rettane dine.

Vi behandlar og lagrar berre dei opplysningane om deg som er nødvendige for behandlinga eller som lova krev, til dømes i samsvar med arkivlova.

Korleis varetek vi sikkerheita til personopplysningane?

Vi varetek tryggleiken til personopplysningane ved å forvalte dei i samsvar med dei interne prosedyrane våre for informasjonstryggleik og i samsvar med prosedyren vår for behandling av personopplysningar.

Prosedyrane våre styrer mellom anna korleis vi organiserer arbeidet vårt med informasjonstryggleik, gjennomfører sikker lagring, krypterer eller på annan måte maskerer data, etablerer og held oppe fysiske og elektroniske tilgangsavgrensingar, kommuniserer, tilpassar relaterte anskaffingar, følgjer opp involverte leverandørar og handterer hendingar som skulle oppstå.

Som ein klar hovudregel gir vi berre tilgang til personopplysningar til personar som har eit konkret behov for ein slik tilgang i samanheng med arbeidet sitt.

Vi gjennomfører regelmessige risiko- og sårbarheitsanalysar av arbeidet vårt med personvern, informasjonstryggleik og it-system. Vi tilpassar arbeidet i tråd med analyseresultata. I dette arbeidet får vi mellom anna hjelp frå avdelinga for internrevisjon og av personvernombodet.

Korleis deler vi personopplysningar med andre?

Vi deler personopplysningar med databehandlarane våre, andre behandlingsansvarlege, og andre offentlege organ. Vi gjer dette på grunnlag av høvesvis databehandlaravtale, avtale om delt behandlingsansvar, lov/forskrift eller eit tilsvarande rettsleg grunnlag.

Om vi behandlar personopplysningar utanfor Noreg, men innanfor EU/EØS-området elles, varetek vi personvernet ved å følgje personopplysningslova, personvernreglane som gjeld innan EU/EØS og eventuelle relevante nasjonsspesifikke reglar på området.

Om vi behandlar personopplysningar utanfor EU/EØS-området, varetek vi i tillegg personvernet ved å berre overføre personopplysningar til partar som anten får og behandlar opplysningane i eit land som på førehand er anerkjend som trygt nok av Europakommisjonen eller er underlagt eller har signert ein databehandlaravtale som inneheld standard personvernreglar vedteken av Europakommisjonen eller tilsvarande, eller som på førehand er sertifisert gjennom EU-US  Privacy Shield ordninga.

Vi etterser at dei vi deler personopplysningane med, behandlar opplysningane i tråd med dei pliktene dei har i samsvar med lovverket og grunnlaget for delinga.

Våre plikter

Når vi behandlar personopplysningar har vi mellom annaannet plikt til å

• fastsetje eit rimeleg og nødvendig formål for behandlinga
• sikre eit korrekt rettsleg behandlingsgrunnlag for behandlinga
• informere om behandlinga på ein kortfatta, open, forståeleg og lett tilgjengeleg måte
• leggje til rette for at registrerte personar kan utøve rettane sine
• rette opplysningar som er feil eller ufullstendige
• slette opplysningar når formålet er oppfylt og vi ikkje er pålagde vidare lagring ved lov/forskrift
• vurdere konsekvensar for personvernet når det er sannsynleg at behandlinga kan medføre ein høg risiko for dei registrerte sine rettar og fridommar
• ta omsyn til personvern ved utvikling av våre tenester og løysingar (innebygd personvern)
• etablere internkontroll for å sikre og vise at vi følgjer personopplysningslova
• vareta informasjonstryggleiken til registrerte personopplysningar
• føre protokoll over behandlingsaktivitetar vi er behandlingsansvarleg eller databehandlar for
• inngå databehandlaravtale når vi nyttar ein databehandlar eller sjølv er databehandlar
• handtere avvik som oppstår i samband med behandlinga, melde avvik til datatilsynet når og slik vi er pålagde dette, og sikre informasjon til dei ramma personane
• vareta personvernet dersom vi gjer overføring av opplysningar til utlandet

Som offentleg organ pliktar vi å ha eit personvernombod som skal haldast løpande informert om behandlingane våre, arbeide for å vareta dei registrertes interesser og vere kontaktpunktet vårt mot Datatilsynet.

Rettane dine

Du har rett til

• innsyn i personopplysningane dine som vi behandlar
• retting eller supplering om dei er feilaktige eller ufullstendige
• sletting om vi behandlar utan korrekt rettsleg grunnlag (vêr likevel merksam på at det gjeld enkelte unntak frå retten, som når vi ved lov er pålagde framleis lagring)
• avgrensing av behandlinga medan vi arbeider med å avklare spørsmål ditt om rettsleg grunnlag, avgjere protesten din mot behandling eller utsetje/avgrense sletting
• å trekkje tilbake samtykket ditt dersom du har gitt dette til oss som grunnlag for ei behandling
• å protestere mot behandlinga om ho ikkje blir basert på samtykke, avtale eller rettsleg plikt, grunnlaget er av anten offentleg interesse eller utøving av offentleg styresmakt (GDPR Art. 6 (1) bokstav e), eller interesseavveging (same artikkels bokstav f), og behandlinga ikkje er nødvendig for å verne vitale interesser. Du kan i tillegg alltid protestere mot direkte eller tilpassa marknadsføring.
• flyttbare data i eit strukturert alminneleg og maskinlesbart format, dersom dei blir behandla basert på samtykke/avtale og det er du sjølv som har gitt dei til oss. Vi utleverer berre når vi kan fastslå identiteten din, sikre opplysningane ved kryptering og sjå til at det ikkje krenkjer andre individs rettar eller fridommar. Utleveringa skal vere utan kostnad/gebyr for deg med mindre vi kan påvise at det er grunnlaust eller overdrive. Vêr likevel merksam på at denne retten hovudsakleg er meint å verne forbrukarar i kommersielle forhold slik som byte mellom tenesteleverandørar, slik at han berre i somme tilfelle kan vere aktuell i forhold til behandlingane våre.
• informasjon om behandlinga vår av personopplysningar på ein kortfatta, open, forståeleg og lett tilgjengeleg måte
• automatiserte avgjerder som ikkje både er heilautomatiske (det vil seie uavhengig av menneskes reelle påverking) og har rettsverknader for deg (det vil seie styrer dine rettar eller plikter). Dette gjeld likevel ikkje viss avgjerda er basert på samtykke, nødvendig for å inngå eller gjennomføre ein avtale eller er heimla i ei lov som sikrar individets interesser. Vi skal ved slike avgjerder setje i verk tiltak for å sikre interessene dine, og du skal ha rett til å seie meininga di, seie imot avgjerda og krevje at eit menneske går igjennom avgjerda.

Når du kontaktar oss for å nytte rettane dine, skal vi svare deg utan ugrunna opphald, og seinast innan 30 dagar.

Vi gjer merksam på at rettane dine i kvart enkelt tilfelle kan vere avgrensa av vilkår eller krav vi er pålagde å følgje ved lov/forskrift eller tilsvarande rettsleg grunnlag. Dette vil vi vurdere konkret og informere deg om for kvart enkelt tilfelle når du kontaktar oss for å utøve rettane dine.

Korleis kontaktar du oss om personvern?

Om du har spørsmål om korleis vi behandlar personopplysningar eller ønskjer å nytte deg av rettane dine, kan du kontakte Forskingsrådet på

• e-post: post@forskningsradet.no
• telefon: +47 22 03 70 00
• brev: Forskningsrådet, Postboks 564, 1327 Lysaker

Personvernombodet vårt skal sørgje for at vi vernar personvernet til alle som vi behandlar personopplysningar om. Ombodet gir råd om kva plikter vi har, og kva rettar du har. I tillegg er ombodet kontaktpunktet vårt mot Datatilsynet.

Du kan ta kontakt med personvernombodet vårt på e-post personvern@forskningsradet.no.

Korleis klagar du på behandlinga vår av personopplysningar?

Datatilsynet er tilsynsmakt for behandlinga vår av personopplysningar.
Ved spørsmål om behandlinga vår av personopplysningar tilrår Datatilsynet at du først tek kontakt med oss for å prøve å avklare spørsmålet. Dersom du ikkje er fornøgd med avklaringa og ønskjer å klage, tilrår Datatilsynet at du først tek kontakt med personvernombodet vårt.

Dersom du etter kontakt med personvernombodet vårt framleis ønskjer å klage på noko du meiner er eit regelbrot, gir Datatilsynet god informasjon på nettsida si om korleis du du kan klage til Datatilsynet på behandlinga vår.