Personvernerklæring for Digitaliserings- og forvaltningsdepartementet

  

Innledning

I forbindelse med sin saksbehandling og virksomhet som offentlig organ, vil DFD behandle personopplysninger om personer i og utenfor egen virksomhet. Personopplysninger er enhver opplysning om identifiserbare fysiske personer, mens behandling omfatter enhver bruk av disse opplysningene.  

DFDs styringssystem for personvern er en integrert del av DFDs styringssystem for informasjonssikkerhet (ISMS). ISMS fungerer derfor som departementets internkontroll med behandlingen av personopplysninger.

Departementet er ansvarlig for at behandlingen av personopplysninger som beskrives i denne erklæringen, er i samsvar med personvernforordningen, personopplysningsloven og tilhørende forskrifter. Departementsråden har det overordnede ansvaret for behandlingen av personopplysninger i departementet.  

Personvernforordningen, personopplysningsloven og forskrifter til personopplysningsloven setter krav til helt eller delvis automatisert behandling av personopplysninger og til ikke-automatisert behandling av personopplysninger som inngår eller skal inngå i et personregister. Departementets retningslinjer for behandling av personopplysninger er en del av departementets internkontrollsystem.

Personvernombud

Det er opprettet et personvernombud for DFD. Personvernombudet skal bistå departementsråden i å etterleve kravene til behandling av personopplysninger, og være en ressursperson som styrker departementets kunnskap om personvern.

Personvernombudets hovedoppgaver omfatter blant annet å:

• Være kontaktpunkt for de registrerte, og mellom Datatilsynet og departementet
• Informere og gi råd til departementet og de ansatte om de forpliktelser som følger av regelverket
• Kontrollere etterlevelse av personvernforordningen, personopplysningsloven og departementets retningslinjer for personvern
• Gi råd om og delta i arbeidet med konsekvensanalyser i medhold av forordningen
• Samarbeide med Datatilsynet

Kontaktinformasjon: personvernombud@dfd.dep.no

Behandling av personopplysninger i forbindelse med departementets saksbehandling

DFD behandler personopplysninger for å oppfylle departementets lovpålagte oppgaver etter bl.a. forvaltningsloven, offentleglova og arkivloven. Bestemmelser i disse lovene vil utgjøre behandlingsgrunnlag etter personvernforordningen artikkel 6 for departementets behandling av personopplysninger.

DFDs saksbehandling omfatter behandling av henvendelser til/fra privatpersoner, organisasjoner eller andre offentlige myndigheter/underliggende virksomheter i forbindelse med departementets myndighetsutøvelse og administrative funksjoner.

Det registreres ulike typer personopplysninger i saks- og arkivsystemet. Dette er grunndata som bl.a. navn, adresse, e-postadresse og annen relevant informasjon som fremgår av dokumentene. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger.

I forbindelse med saksbehandlingen, kan departementet komme til å behandle andre typer personopplysninger enn de som er nevnt her, dersom dette er nødvendig for å gjennomføre behandlingen av den enkelte sak.

Opplysninger kan innhentes direkte fra den saksbehandlingen gjelder eller fra andre med tilknytning til den enkelte sak. Som del av den pålagte saksbehandlingen innhenter departementet i noen tilfeller opplysninger fra andre etater på eget initiativ i medhold av forvaltningsloven § 17.

Departementet behandler også personopplysninger om deltakere til kurs og seminarer departementet arrangerer.

Arkivlovgivning

Personopplysningene knyttet til DFDs saksbehandling lagres i departementet så lenge de er nødvendige for å gjennomføre saksbehandlingen. DFD har, som offentlig myndighet, arkivplikt for arkivverdige dokumenter og vil derfor ikke slette opplysninger i arkivverdige dokumenter. Registrering, lagring og oppbevaring av arkivverdig materiale skjer i henhold til arkivlovgivningen.

DFD bruker WebSak som saks- og arkivsystem med elektronisk journalføring og elektronisk lagring av dokumenter. WebSak er et saks- og arkivsystem fra leverandøren Acos AS som følger offentlige standarder (NOARK).

Mottakere av opplysninger og innsyn etter offentleglova

DFD er lovpålagt å gjøre sine postjournaler offentlig tilgjengelige for allmennheten på internett. En journal er systematisk og fortløpende registrering av alle inngående og utgående saksdokumenter. Journalene gjøres tilgjengelig på en felles portal som kalles eInnsyn, som er en samordning av offentlige postjournaler i en allment tilgjengelig tjeneste på internett.

Forespørsler om innsyn via eInnsyn behandles i departementets sak-/arkivsystem. Alle innsynskrav og svarene på disse registreres her.

Ved krav om dokumentinnsyn utleveres personopplysninger i samsvar med reglene i offentleglova og forvaltningsloven. Opplysninger som er nødvendige for behandling av klagesaker vil bli utlevert til Kongen i statsråd, som er DFDs klageorgan.

Behandling av personopplysninger i forbindelse med pressehenvendelser til DFD

Henvendelser fra pressen loggføres. Oversikten omfatter spørsmål/opplysninger gitt av det enkelte pressemedlem ved henvendelser til departementet, og inneholder i tillegg navn, kontaktinformasjon (epost og telefon) og arbeidsgiver.

Det rettslige grunnlaget for denne behandlingen er departementets berettigede interesse i å sørge for god kommunikasjon med pressen og for å ivareta åpenheten i forvaltningen. For å håndtere henvendelser fra pressen på en oversiktlig og effektiv måte, utarbeides det en oversikt over pressekontakter.  

Oversikten over pressekontaktene oppdateres når departementet blir kjent med endringer, og opplysningene slettes dersom vi får beskjed om at et pressemedlem ikke lenger ønsker å stå oppført i presselisten.

 Henvendelser til DFD

Departementet benytter e-post og telefon som en del av det daglige arbeidet. Relevante opplysninger som fremkommer av e-postutveksling som del av saksbehandling, journalføres. Disse opplysningene behandles i så fall som beskrevet over (se «Behandling i forbindelse med saksbehandling»). Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som journalføres.

Vanlig e-post er ukryptert. Vi oppfordrer derfor til å ikke sende sensitive personopplysninger, taushetsbelagt informasjon eller andre beskyttelsesverdige opplysninger via e-post.

Dine rettigheter

Når departementet behandler personopplysninger om deg, har du flere rettigheter etter personvernregelverket. Som part i en sak vil du også ha rettigheter etter forvaltningsloven.

Du har rett til å få informasjon om hvorvidt DFD behandler personopplysninger om deg. Dersom dette er tilfellet, har du også rett til å be om innsyn i opplysningene og å få utlevert en kopi av disse. Dersom departementet behandler opplysninger om deg med grunnlag i samtykke eller avtale, har du rett til å få opplysningene utlevert i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet). Siden DFD kun unntaksvis behandler personopplysninger om privatpersoner med grunnlag i samtykke eller avtale, gjelder imidlertid denne retten de aller færreste av personopplysningene vi behandler.

Dersom du mener personopplysningene DFD har lagret om deg ikke er riktige, som feil epostadresse, navn, bosted eller lignende, har du rett til å be om at disse blir rettet.

I visse tilfeller kan du be om at personopplysningene departementet har om deg, slettes. Omfanget av denne retten vil avhenge av ditt forhold til departementet.  Personopplysninger registrert i kommunikasjonsenhetens medielogg vil for eksempel kunne slettes på din forespørsel, mens en stor del av personopplysningene departementet behandler vil måtte arkiveres i henhold til lovpålagt arkiveringsplikt. Du kan også i enkelte tilfeller be om at departementet begrenser sin behandling av opplysninger om deg.

DFD behandler i all hovedsak personopplysninger om privatpersoner utenfor egen organisasjon som ledd i utførelse av departementets myndighetsutøvelse og administrative funksjoner. Der DFD behandler dine personopplysninger med grunnlag i ditt samtykke, vil du bli spurt om å avgi samtykke for hvert formål opplysningene skal brukes til. Du har rett til når som helst å trekke samtykket tilbake. Behandlingen vil da stanses og dine personopplysninger slettes. I de svært få tilfellene der DFD behandler personopplysninger om deg med grunnlag i departementets berettigede interesse har du videre rett til å protestere mot behandlingen, noe som også vil medføre stans av behandlingen med påfølgende sletting av opplysningene.   

Dersom du mener at noen av disse rettighetene er aktuelle i ditt forhold til DFD, kan du rette en henvendelse om dette til oss ved å sende e-post til postmottak@dfd.dep.no. Når du sender en slik henvendelse, vil departementet svare deg innen 30 dager.

Dersom du mener at DFD behandler dine personopplysninger i strid med personvernforordningen, personopplysningsloven eller andre regler har du rett til å levere en klage til Datatilsynet. Klager kan leveres via kontaktfunksjonen på Datatilsynets nettside. 

Du kan lese mer om dine rettigheter og hva disse innebærer på Dine rettigheter | Datatilsynet

Dataportabilitet

Med retten til dataportabilitet kan du få utlevert personopplysninger om deg og gjenbruke disse som du vil på tvers av ulike systemer og tjenester, og du kan flytte persondata fra en tjenesteleverandør til en annen på en trygg og sikker måte. Din rett til dataportabilitet gjelder kun hvis opplysningene du ønsker utlevert er samlet inn på bakgrunn av samtykke eller kontrakt. Rettigheten gjelder kun opplysninger som du selv har gitt til virksomheten. Dette gjelder for eksempel opplysninger som du bevisst og aktivt har gitt fra deg, for eksempel i forbindelse med opprettelse av en brukerkonto, eller som er samlet inn gjennom aktiv bruk av en tjeneste.

Du har krav på å få dataene utlevert så raskt som mulig, og senest innen en måned. Du bør sende opplysningene videre på samme måte som du fikk dem.

Du kan lese mer om dataportabilitet på Datatilsynets nettsider.

Informasjonssikkerhet og internkontroll

Personopplysningsloven pålegger behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet som ivaretar konfidensialitet, integritet og tilgjengelighet. Dette gjelder uavhengig av hva slags personopplysninger som behandles, og uavhengig av hvilke hjelpemidler som benyttes. Gjennom planlagte og systematiske tiltak skal det sørges for tilfredsstillende informasjonssikkerhet. Det skal gjøres risikovurderinger av alle viktige systemer jevnlig eller etter behov. DFD har retningslinjer for informasjonssikkerhet som legges til grunn ved sikring av personopplysninger.

Det er etablert rutiner, herunder planlagte og systematiske tiltak, som er nødvendige for å oppfylle kravene i personopplysningsloven. Etterlevelsen av kravene til behandling av personopplysninger skal dokumenteres etter gjeldende rutiner. DFD har også en oversikt over hva slags personopplysninger som behandles i departementet. Oversikten skal holdes oppdatert.

Det er etablert særlige sikkerhetstiltak og rutiner for å ivareta opplysningenes konfidensialitet, integritet og tilgjengelighet der dette er nødvendig.

Det skal rapporteres om avvik ved brudd på kravene til behandling av personopplysninger. Avvik skal rapporteres til departementsråd, ekspedisjonssjefer, sikkerhetsleder, personvernombud og/eller Datatilsynet, alt etter avvikets eller bruddets alvorlighetsgrad.

Databehandlere

Når eksterne behandler personopplysninger på vegne av DFD, skal det inngås databehandleravtaler i henhold til gjeldende regelverk. Databehandleravtalene etablerer klare ansvars- og myndighetsforhold med alle som er databehandlere for departementet. Avtalene innebærer at databehandlerne bare kan behandle personopplysninger i samsvar med det som er avtalt.

Personvernpolitikk på regjeringen.no

Regjeringen.no er en portal for statsministerens kontor (SMK) og departementene sine hjemmesider. SMK og departementene har egne redaksjoner med et selvstendig ansvar for sine sider på regjeringen.no. SMK har det redaksjonelle ansvaret for tjenestens portalforside, samt for informasjon om sittende og tidligere regjeringer. Departementenes sikkerhets- og serviceorganisasjon (DSS) har koordinerende ansvar for drift og utvikling av nettstedet og redaktøransvar for alle fellessider. For ytterlige opplysninger, se regjeringen.no sin egen personvernerklæring.

Abonnere på nyhetsbrev

DFD sender ut nyhetsbrev på e-post. Nyhetsbrevene inneholder blant annet nyhetssaker, informasjon om arrangementer, relevante dokumenter og annet faglig innhold.

For at vi skal kunne sende deg nyhetsbrev på e-post, må du registrere en e-postadresse. E-postadressen vil bare bli brukt til å sende ut nyhetsbrev og eventuelt brukerundersøkelser om nyhetsbrevene.

For at vi skal kunne dokumentere ditt samtykke, vil du bli bedt om å bekrefte abonnementet ved å klikke på en lenke i en e-post vi sender deg.

I forbindelse med utsending av nyhetsbrev fører vi statistikk over bruken, hvor mange som leser og hva som leses. Dette gjør vi får å kunne gi våre lesere mest mulig relevante saker.

Påmelding til arrangementer

Ved påmelding til frokostseminarer, nettseminarer, konferanser og andre arrangementer ber vi om nødvending opplysninger, som navn, organisasjon, e-postadresser og ev. allergier i Questback. Disse opplysningene slettes i etterkant av arrangementet. Ved påmelding til noen av disse arrangementene, som frokostseminarer, ber vi om samtykke som lyder: «Jeg aksepterer at min e-postadresse blir lagret av Digitaliserings- og forvaltningsdepartementet for utsendelse av informasjon om kommende møter, arrangementer og annen informasjon om inkluderende arbeidsliv og andre arbeidsgiverpolitiske temaer i staten.» De som svarer «ja» blir ført opp på en liste over e-postadresser som får tilsendt senere invitasjoner.

I e-postinvitasjonen som blir sendt til listen over adressater, nevnt ovenfor, står det: «Du mottar denne invitasjonen fordi du har gitt samtykke til at vi kan kontakte deg i forbindelse med arrangementer og annen informasjon om ulike temaer innen arbeidsgiverpolitikken. Meld tilbake om du ikke lenger ønsker å bli kontaktet om våre arrangementer.»

Opplysninger om ansatte og jobbsøkere

DFD behandler også opplysninger om ansatte og om jobbsøkere. Behandlingen er nødvendig for å oppfylle en avtale den registrerte er part i og er i samsvar med statsansatteloven, særavtale om lønns- og personalregistre i staten, Hovedtariffavtalene i Staten, samt regnskaps- og bokføringslovgivningen.

Departementet behandler personopplysninger om sine ansatte for å administrere lønn, personalansvar og sikkerhet (adgangs- og tilgangsinformasjon).  Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent og skattekommune.  Andre opplysninger om ansatte er knyttet til vedkommendes arbeidsinstruks og tilrettelegging av vedkommendes arbeid.

Personopplysninger som blir behandlet, blir enten registrert av den ansatte selv eller lagt inn av arbeidsgiveren. DFØ har utarbeidet en personvernerklæring for DFØ-appen.

Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven. Opplysninger om navn, stilling og arbeidsområde regnes å være offentlige opplysninger og kan publiseres på departementets nettsider.

Alle stillingssøknader og andre arkivverdige dokumenter i forbindelse med en rekruttering blir lagret i departementets elektroniske arkiv. Det elektroniske arkivet er utgangspunkt for en offentlig journal, som publiseres fortløpende på eInnsyn - Innsyn i offentlig saksbehandling

Navn på søkere er offentlig informasjon og framkommer der. Journalopplysninger slettes ikke. Personnavn er kun søkbare på eInnsyn inntil ett år etter at journalen ble publisert. Søkere som har bedt om og fått innvilget at søknaden kan unntas offentlighet (jf. offl. § 25 første ledd), får sladdet navnet sitt på eInnsyn. For søkere som blir ansatt i departementet, blir søknaden arkivert/oppbevart i personalmappe i vårt arkivsystem.  Tilgangen på personalmappene er begrenset til tjenstlig behov.

Når en ansatt slutter, slettes e-postkontoen til vedkommende.

Besøk i departementets lokaler

For å få adgang til DFDs lokaler må det først registreres personopplysninger om deg i departementenes besøksregister. Hvilke personopplysninger som blir samlet inn og hvordan de blir behandlet kan du finne ut ved å kontakte DSS. Hvis du velger å bruke departementenes trådløse nettverk mens du er på besøk hos DFD vil det lagres personopplysninger om deg i forbindelse med å gi deg tilgang. I tillegg vil trafikken over nettverket bli logget og skannet for skadevare. Hvilke personopplysninger som blir samlet inn og hvordan de blir behandlet kan du finne ut ved å kontakte DSS.Området rundt regjeringsbygningene overvåkes med kameraer. Når du passerer DFDs lokaler kan det derfor lagres personopplysninger om deg i form av video. Hvilke personopplysninger som blir samlet inn og hvordan de blir behandlet kan du finne ut ved å kontakte DFD.

Løpende oppdatering

Denne personvernerklæringen oppdateres fortløpende ved endring av DFDs interne rutiner og systemer og ved endring av lover og forskrifter.