Personvernerklæring for Kommunal- og distriktsdepartementet

Innledning

I forbindelse med sin saksbehandling og virksomhet som offentlig organ, vil KDD behandle personopplysninger om personer både i og utenfor egen virksomhet. Personopplysninger er enhver opplysning om identifiserbare fysiske personer, mens behandling omfatter enhver bruk av disse opplysningene.  

KDDs styringssystem for personvern, er en integrert del av KDDs styringssystem for informasjonssikkerhet (ISMS). ISMS fungerer som departementets internkontroll med behandlingen av personopplysninger.

Departementet er ansvarlig for at behandlingen av personopplysninger som beskrives i denne erklæringen er i samsvar med personvernforordningen, personopplysningsloven, og tilhørende forskrifter. Departementsråden har det overordnede ansvaret for behandlingen av personopplysninger i departementet.  

Personvernforordningen, personopplysningsloven, og forskrifter til personopplysningsloven setter krav til helt eller delvis automatisert behandling av personopplysninger og til ikke-automatisert behandling av personopplysninger som inngår eller skal inngå i et personregister. Departementets retningslinjer for behandling av personopplysninger, er en del av departementets internkontrollsystem.

Personvernombud

Det er opprettet et personvernombud for KDD. Personvernombudet skal bistå departementsråden i å etterleve kravene til behandling av personopplysninger, og være en ressursperson som styrker departementets kunnskap om personvern.

Personvernombudets hovedoppgaver omfatter blant annet å:

• Være kontaktpunkt for de registrerte, og mellom Datatilsynet og departementet
• Informere og gi råd til departementet og de ansatte om de forpliktelser som følger av regelverket
• Kontrollere etterlevelse av personvernforordningen, personopplysningsloven og departementets retningslinjer for personvern
• Gi råd om og delta i arbeidet med konsekvensanalyser i medhold av forordningen
• Samarbeide med Datatilsynet

Kontaktinformasjon:  personvernombud@kdd.dep.no

Behandling av personopplysninger i forbindelse med departementets saksbehandling

KDD behandler personopplysninger for å oppfylle departementets lovpålagte oppgaver etter bl.a. forvaltningsloven, offentleglova og arkivloven. Bestemmelser i disse lovene vil utgjøre behandlingsgrunnlag etter personvernforordningen artikkel 6 for KDDs behandling av personopplysninger.

KDDs saksbehandling omfatter behandling av henvendelser til/fra privatpersoner, organisasjoner eller andre offentlige myndigheter/underliggende virksomheter, i forbindelse med KDDs myndighetsutøvelse og administrative funksjoner.

Det registreres ulike typer personopplysninger i saks- og arkivsystemet. Dette er grunndata som bl.a. navn, adresse, e-postadresse og annen relevant informasjon som fremgår av dokumentene. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger.

I forbindelse med saksbehandlingen kan departementet komme til å behandle andre typer personopplysninger enn de som er nevnt her, dersom dette er nødvendig for å gjennomføre behandlingen av den enkelte sak.

Opplysninger kan innhentes direkte fra den saksbehandlingen gjelder, eller fra andre med tilknytning til den enkelte sak. Som del av den pålagte saksbehandlingen innhenter KDD i noen tilfeller opplysninger fra andre etater på eget initiativ, i medhold av forvaltningsloven § 17.

KDD behandler også personopplysninger om deltakere til kurs og seminarer som departementet arrangerer.

Arkivlovgivning

Personopplysningene knyttet til KDDs saksbehandling lagres i departementet så lenge de er nødvendige for å gjennomføre saksbehandlingen. KDD har, som offentlig myndighet, arkivplikt for arkivverdige dokumenter og vil derfor ikke slette opplysninger i arkivverdige dokumenter. Registrering, lagring og oppbevaring av arkivverdig materiale skjer i henhold til arkivlovgivningen.

KDD bruker WebSak som saks- og arkivsystem med elektronisk journalføring og elektronisk lagring av dokumenter. WebSak er et saks- og arkivsystem fra leverandøren Acos AS som følger offentlige standarder (NOARK).

Mottakere av opplysninger og innsyn etter offentleglova

KDD er lovpålagt å gjøre sine postjournaler offentlig tilgjengelige for allmennheten på internett. En journal er systematisk og fortløpende registrering av alle inngående og utgående saksdokumenter. Journalene gjøres tilgjengelig på en felles portal som kalles eInnsyn, som er en samordning av offentlige postjournaler i en allment tilgjengelig tjeneste på internett.

Forespørsler om innsyn via eInnsyn behandles i departementes sak-/arkivsystem. Alle innsynskrav og svarene på disse registreres her.

Ved krav om dokumentinnsyn utleveres personopplysninger i samsvar med reglene i offentleglova og forvaltningsloven. Opplysninger som er nødvendige for behandling av klagesaker vil bli utlevert til Kongen i statsråd, som er KDDs klageorgan.

Behandling av personopplysninger i forbindelse med pressehenvendelser til KDD

Henvendelser fra pressen loggføres. Oversikten omfatter spørsmål/opplysninger gitt av det enkelte pressemedlem ved henvendelser til departementet, og inneholder i tillegg navn, kontaktinformasjon (epost og telefon) og arbeidsgiver.

Det rettslige grunnlaget for denne behandlingen er departementets berettigede interesse i å sørge for god kommunikasjon med pressen og for å ivareta åpenheten i forvaltningen. For å håndtere henvendelser fra pressen på en oversiktlig og effektiv måte, utarbeides det en oversikt over pressekontakter. 

Oversikten over pressekontaktene oppdateres når departementet blir kjent med endringer, og opplysningene slettes dersom vi får beskjed om at et pressemedlem ikke lenger ønsker å stå oppført i presselisten.

Henvendelser til KDD

Departementet benytter e-post og telefon som en del av det daglige arbeidet. Relevante opplysninger som fremkommer av e-postutveksling som del av saksbehandling, journalføres. Disse opplysningene behandles i så fall som beskrevet over (se «Behandling i forbindelse med saksbehandling»). Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som journalføres.

Vanlig e-post er ukryptert. Vi oppfordrer derfor til å ikke sende sensitive personopplysninger, taushetsbelagt informasjon eller andre beskyttelsesverdige opplysninger via e-post.

Dine rettigheter

Når departementet behandler personopplysninger om deg, har du flere rettigheter etter personvernregelverket. Som part i en sak vil du også ha rettigheter etter forvaltningsloven.

Du har rett til å få informasjon om hvorvidt KDD behandler personopplysninger om deg. Dersom dette er tilfellet, har du og rett til å be om innsyn i opplysningene og å få utlevert en kopi av disse opplysningene. Dersom departementet behandler opplysninger om deg med grunnlag i samtykke eller avtale, har du rett til å få opplysningene utlevert i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet). Siden KDD kun unntaksvis behandler personopplysninger om privatpersoner med grunnlag i samtykke eller avtale, gjelder imidlertid denne retten de aller færreste av personopplysningene vi behandler.

Dersom du mener personopplysningene KDD har lagret om deg ikke er riktige, som feil epostadresse, navn, bosted eller lignende har du rett til å be om at disse blir rettet.

I visse tilfeller kan du be om at personopplysningene KDD har lagret om deg, slettes. Omfanget av denne retten vil avhenge av ditt forhold til departementet. Personopplysninger registrert i kommunikasjonsavdelingens medielogg vil for eksempel kunne slettes på din forespørsel, mens en stor del av personopplysningene departementet behandler vil måtte arkiveres i henhold til lovpålagt arkiveringsplikt. Du kan også i enkelte tilfeller be om at departementet begrenser sin behandling av opplysninger om deg.

KDD behandler i all hovedsak personopplysninger om privatpersoner utenfor egen organisasjon som ledd i utførelse av departementets myndighetsutøvelse og administrative funksjoner. Der KDD behandler dine personopplysninger med grunnlag i ditt samtykke, vil du bli spurt om å avgi samtykke for hvert formål opplysningene skal brukes til. Du har rett til når som helst å trekke samtykket tilbake. Behandlingen vil da stanses, og dine personopplysninger slettes. I de svært få tilfellene der KDD behandler personopplysninger om deg med grunnlag i departementets berettigede interesse har du videre rett til å protestere mot behandlingen, noe som også vil medføre stans av behandlingen med påfølgende sletting av opplysningene.

Dersom du mener at noen av disse rettighetene er aktuelle i ditt forhold til KDD, kan du rette en henvendelse om dette til oss ved å sende e-post til postmottak@kdd.dep.no. Når du sender en slik henvendelse, vil departementet svare deg innen 30 dager.

Dersom du mener at KDD behandler dine personopplysninger i strid med personvernforordningen, personopplysningsloven eller andre regler har du rett til å levere en klage til Datatilsynet. Klager kan leveres via kontaktfunksjonen på Datatilsynets nettside.

Du kan lese mer om dine rettigheter, og hva disse innebærer på Dine rettigheter | Datatilsynet.

Dataportabilitet

Med retten til dataportabilitet kan du få utlevert personopplysninger om deg og gjenbruke disse som du vil på tvers av ulike systemer og tjenester, og du kan flytte persondata fra en tjenesteleverandør til en annen på en trygg og sikker måte. Din rett til dataportabilitet gjelder kun hvis opplysningene du ønsker utlevert er samlet inn på bakgrunn av samtykke eller kontrakt. Rettigheten gjelder kun opplysninger som du selv har gitt til virksomheten. Dette gjelder for eksempel opplysninger som du bevisst og aktivt har gitt fra deg, for eksempel i forbindelse med opprettelse av en brukerkonto. Det gjelder også opplysninger som er samlet inn fra deg gjennom aktiv bruk av en tjeneste.

Du har krav på å få dataene utlevert så raskt som mulig, og senest innen en måned. Du bør sende opplysningene videre på samme måte som du fikk dem.

Du kan lese mer om dataportabilitet på Datatilsynets nettsider.

Informasjonssikkerhet og internkontroll

Personopplysningsloven pålegger behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet som ivaretar konfidensialitet, integritet og tilgjengelighet. Dette gjelder uavhengig av hva slags personopplysninger som behandles, og uavhengig av hvilke hjelpemidler som benyttes. Gjennom planlagte og systematiske tiltak skal det sørges for tilfredsstillende informasjonssikkerhet. Det skal gjøres risikovurderinger av alle viktige systemer jevnlig eller etter behov. KDD har utarbeidet en egen informasjonssikkerhetspolicy, retningslinjer for informasjonssikkerhet og brukerinstrukser som legges til grunn ved sikring av personopplysninger.

Det er etablert rutiner, herunder planlagte og systematiske tiltak, som er nødvendige for å oppfylle kravene i personopplysningsloven. Etterlevelsen av kravene til behandling av personopplysninger skal dokumenteres etter gjeldende rutiner. KDD har også en oversikt over hva slags personopplysninger som behandles i departementet. Oversikten skal holdes oppdatert.

Det er etablert særlige sikkerhetstiltak og rutiner for å ivareta opplysningenes konfidensialitet, integritet og tilgjengelighet der dette er nødvendig.

Det skal rapporteres om avvik ved brudd på kravene til behandling av personopplysninger. Avvik skal rapporteres til departementsråd, ekspedisjonssjefer, sikkerhetsleder, personvernombud, og/eller Datatilsynet, avvikets eller bruddets alvorlighetsgrad.

Databehandlere

Når eksterne behandler personopplysninger på vegne av KDD, skal det inngås databehandleravtaler i henhold til gjeldende regelverk. Databehandleravtalene etablerer klare ansvars- og myndighetsforhold med alle som er databehandlere for departementet. Avtalene innebærer at databehandlerne bare kan behandle personopplysninger i samsvar med det som er avtalt.

Personvernpolitikk på regjeringen.no

Regjeringen.no er en portal for statsministerens kontor (SMK) og departementene sine hjemmesider. SMK og departementene har egne redaksjoner med et selvstendig ansvar for sine sider på regjeringen.no. SMK har det redaksjonelle ansvaret for tjenestens portalforside, samt for informasjon om sittende og tidligere regjeringer. Departementenes sikkerhets- og serviceorganisasjon (DSS) har koordinerende ansvar for drift og utvikling av nettstedet og redaktøransvar for alle fellessider. For ytterlige opplysninger, se regjeringen.no sin egen personvernerklæring.

Abonnere på nyhetsbrev

KDD sender ut nyhetsbrev på e-post. Nyhetsbrevene inneholder blant annet nyhetssaker, informasjon om arrangementer, relevante dokumenter og annet faglig innhold.

For at vi skal kunne sende deg nyhetsbrev på e-post, må du registrere en e-postadresse. E-postadressen vil bare bli brukt til å sende ut nyhetsbrev og eventuelt brukerundersøkelser om nyhetsbrevene.

For at vi skal kunne dokumentere ditt samtykke, vil du bli bedt om å bekrefte abonnementet ved å klikke på en lenke i en e-post vi sender deg.

I forbindelse med utsending av nyhetsbrev fører vi statistikk over bruken, hvor mange som leser og hva som leses. Dette gjør vi får å kunne gi våre lesere mest mulig relevante saker.

Påmelding til arrangementer

Ved påmelding til frokostseminarer, nettseminarer, konferanser og andre arrangementer ber vi om nødvending opplysninger, som navn, organisasjon, e-postadresser og ev. allergier i Questback. Disse opplysningene slettes i etterkant av arrangementet. Ved påmelding til noen av disse arrangementene, som frokostseminarer, ber vi om samtykke som lyder: «Jeg aksepterer at min e-postadresse blir lagret av Kommunal- og distriktsdepartementet for utsendelse av informasjon om kommende møter, arrangementer og annen informasjon om inkluderende arbeidsliv og andre arbeidsgiverpolitiske temaer i staten.» De som svarer «ja» blir ført opp på en liste over e-postadresser som får tilsendt senere invitasjoner.

I e-postinvitasjonen som blir sendt til listen over adressater, nevnt ovenfor, står det: «Du mottar denne invitasjonen fordi du har gitt samtykke til at vi kan kontakte deg i forbindelse med arrangementer og annen informasjon om ulike temaer innen arbeidsgiverpolitikken. Meld tilbake om du ikke lenger ønsker å bli kontaktet om våre arrangementer.»

Opplysninger om ansatte og jobbsøkere

KDD behandler opplysninger om ansatte og om jobbsøkere. Behandlingen er nødvendig for å oppfylle en avtale den registrerte er part i og er i samsvar med statsansatteloven, særavtale om lønns- og personalregistre i staten, Hovedtariffavtalene i Staten, samt regnskaps- og bokføringslovgivningen.

Om ansatte

Departementet behandler personopplysninger om sine ansatte for å administrere lønn, personalansvar og sikkerhet (adgangs- og tilgangsinformasjon).  Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent og skattekommune.  Andre opplysninger om ansatte er knyttet til vedkommendes arbeidsinstruks og tilrettelegging av vedkommendes arbeid.

Personopplysninger som blir behandlet, blir enten registrert av den ansatte selv eller lagt inn av arbeidsgiveren. DFØ har utarbeidet en personvernerklæring for DFØ-appen.

Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven. Opplysninger om navn, stilling og arbeidsområde regnes å være offentlige opplysninger og kan publiseres på departementets nettsider.

Når en ansatt slutter, slettes e-postkontoen til vedkommende.

Om jobbsøkere

KDD behandler personopplysninger for å behandle jobbsøknader og administrere rekrutteringsprosesser. Formålet med behandlingen er å vurdere innkomne jobbsøknader, herunder søknad, CV, attester og referanser, i lys av den aktuelle stillingen det søkes på.

Behandlingsgrunnlaget for behandlingen av personopplysninger om jobbsøkere er personvernforordningen (GDPR) artikkel 6 nr. 1 b): "behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse". KDD tolker innkomne jobbsøknader som en anmodning om å foreta nødvendige tiltak, herunder gjennomgå søknad, gjennomføre intervju og eventuelle tester, med sikte på inngåelse av en arbeidsavtale. Dersom en jobbsøknad inneholder særlige kategorier av personopplysninger, eksempelvis helseopplysninger, er vårt behandlingsgrunnlag GDPR art. 9 nr. 2 bokstav b. 

KDD benytter rekrutteringssystemet Jobbnorge (leverandør Jobbport) i alle rekrutteringsprosesser. Tilgangen til rekrutteringssystemet forutsetter et tjenstlig behov.

Rekrutteringsrådgiver i HR-seksjonen vil behandle jobbsøkerens personopplysninger i forbindelse med:

• Gjennomgang av og vurderinger knyttet til jobbsøknaden
• Gjennomføring av rekrutteringsprosessen, herunder intervju, eventuelle tester og testsvar, tilbakemeldinger fra referansepersoner

En rekrutteringsprosess kan omfatte arbeidspsykologiske tester dersom dette anses aktuelt for en bestemt stilling. Ved gjennomføringen av slike tester behandles det personopplysninger om kandidater, hvor behandlingsgrunnlaget er GDPR art. 6 nr. 1 f): "behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige (…)". KDD har i den forbindelse foretatt en interesseavveiing av virksomhetens interesser opp mot jobbsøkerens rettigheter og friheter. Resultater fra testene blir lagret i maksimalt seks måneder etter at rekrutteringsprosessen er avsluttet.

KDD benytter Ascend (leverandør Assesio) sitt system for arbeidspsykologiske verktøy til gjennomføringen av arbeidspsykologiske tester. Tilgangen til systemet forutsetter et tjenstlig behov.

Alle stillingssøknader og andre arkivverdige dokumenter i forbindelse med en rekruttering blir lagret i departementets elektroniske arkiv. Det elektroniske arkivet er utgangspunkt for en offentlig journal, som publiseres fortløpende på eInnsyn - Innsyn i offentlig saksbehandling. KDD er forpliktet til å sette opp en offentlig og utvidet søkerliste så snart søknadsfristen for en bestemt stilling har gått ut. Offentlig søkerliste skal inneholde opplysninger om; navn, alder, stilling eller yrkestittel og bosteds- eller arbeidskommune for hver søker og vil være gjenstand for offentlig innsyn, jf. offentleglova (offl.) § 25. Tilgang til utvidet søkerliste, som inneholder opplysninger om navn, alder og informasjon om utdanning/praksis, forutsetter partsstatus i rekrutteringsprosessen/-saken, jf. forskrift til forvaltningsloven §§ 15 til 19.

Journalopplysninger slettes ikke. Personnavn er kun søkbare på eInnsyn inntil ett år etter at journalen ble publisert. Søkere som har bedt om og fått innvilget at søknaden kan unntas offentlighet (jf. offl. § 25 første ledd), får sladdet navnet sitt på eInnsyn. For søkere som blir ansatt i KDD, blir søknaden arkivert/oppbevart i personalmappe i vårt arkivsystem. Tilgangen på personalmappene er begrenset til tjenstlig behov.

Jobbsøknader i rekrutteringssystemet blir slettet 12 måneder etter at rekrutteringsprosessen er avsluttet. For kandidater som blir ansatt i KDD, vil innstillingen fra rekrutteringsprosessen journalføres og bevares i KDD' saks- og arkivsystem i henhold til riksarkivarens forskrift § 7-11.

Besøk i departementets lokaler

For å få adgang til KDDs lokaler må det først registreres personopplysninger om deg i departementenes besøksregister. Hvilke personopplysninger som blir samlet inn og hvordan de blir behandlet kan du finne ut ved å kontakte DSS. Hvis du velger å bruke departementenes trådløse nettverk mens du er på besøk hos KDD vil det lagres personopplysninger om deg i forbindelse med å gi deg tilgang. I tillegg vil trafikken over nettverket bli logget og skannet for skadevare. Hvilke personopplysninger som blir samlet inn og hvordan de blir behandlet kan du finne ut ved å kontakte DSS. Området rundt regjeringsbygningene overvåkes med kameraer. Når du passerer KDDs lokaler kan det derfor lagres personopplysninger om deg i form av video. Hvilke personopplysninger som blir samlet inn og hvordan de blir behandlet kan du finne ut ved å kontakte KDD.

Løpende oppdatering

Denne personvernerklæringen oppdateres fortløpende ved endring av KDDs interne rutiner og systemer og ved endring av lover og forskrifter.