Personvernerklæring for Klima- og miljødepartementet

Innledning

I forbindelse med sin saksbehandling og virksomhet som offentlig organ, vil Klima- og miljødepartementet (KLD) behandle personopplysninger om personer både i og utenfor egen virksomhet (brukere). Personopplysninger er enhver opplysning om identifiserbare fysiske personer, mens behandling omfatter enhver bruk av disse opplysningene.

KLD er ansvarlig for at behandlingen av personopplysninger som beskrives i denne erklæringen er i samsvar med personvernforordningen, personopplysningsloven, og tilhørende forskrifter. Departementsråden har det overordnede ansvaret for behandlingen av personopplysninger i KLD.

Personvernforordningen, personopplysningsloven, og forskrifter til personopplysningsloven setter krav til behandling av personopplysninger som utføres med elektroniske hjelpemidler eller som inngår eller skal inngå i et personregister. Departementets retningslinjer for behandling av personopplysninger, er en del av departementets internkontrollsystem.

Behandling av personopplysninger i forbindelse med KLDs saksbehandling

KLD behandler personopplysninger for å oppfylle departementets lovpålagte oppgaver etter bl.a. forvaltningsloven, offentleglova og arkivloven. Bestemmelser i disse lovene vil utgjøre behandlingsgrunnlag etter personvernforordningen artikkel 6 for KLDs behandling av personopplysninger.

KLDs saksbehandling omfatter behandling av henvendelser til/fra privatpersoner, organisasjoner eller andre offentlige myndigheter/underliggende virksomheter, i forbindelse med KLDs myndighetsutøvelse og administrative funksjoner.

Det registreres ulike typer personopplysninger i saks- og arkivsystemet. Dette er grunndata som bl.a. navn, adresse, e-postadresse, og annen relevant informasjon som kommer frem av henvendelsen. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger.

I forbindelse med saksbehandlingen kan KLD komme til å behandle andre typer personopplysninger enn de som er nevnt her, dersom dette er nødvendig for å gjennomføre behandlingen av den enkelte sak.

Opplysninger kan innhentes direkte fra den saksbehandlingen gjelder, eller fra andre med tilknytning til den enkelte sak. Som en del av den pålagte saksbehandlingen innhenter KLD i noen tilfeller opplysninger fra andre etater på eget initiativ, i medhold av forvaltningsloven § 17.

Personopplysningene knyttet til KLDs saksbehandling lagres hos KLD så lenge de er nødvendige for å gjennomføre saksbehandlingen. KLD har, som offentlig myndighet, arkivplikt for arkivverdige dokumenter og vil derfor ikke slette opplysninger i arkivverdige dokumenter. Registrering, lagring og oppbevaring av arkivverdig materiale skjer i henhold til arkivlovgivningen.

KLD bruker WebSak saks- og arkivsystem med elektronisk journalføring og elektronisk lagring av dokumenter. WebSak er et saks- og arkivsystem fra leverandøren Acos AS som følger offentlige standarder (NOARK).

KLD behandler også personopplysninger om deltakere til kurs og seminarer som vi arrangerer.

Mottakere av opplysninger og innsyn etter offentleglova

KLD er lovpålagt å gjøre sine postjournaler offentlig tilgjengelige for allmennheten på internett. En journal er systematisk og fortløpende registrering av alle inngående og utgående saksdokumenter. Journalene gjøres tilgjengelig på eInnsyn, en felles portal som er en samordning av offentlige postjournaler i en allment tilgjengelig tjeneste på internett.

Forespørsler om innsyn via eInnsyn behandles i departementets sak-/arkivsystem. Alle innsynskrav og svar på disse registreres her.

Ved krav om innsyn i dokument som inneholder personopplysninger, utleveres personopplysninger hvis det er i samsvar med reglene i offentleglova og forvaltningsloven. Opplysninger som er nødvendige for behandling av klagesaker vil bli utlevert til Kongen i statsråd, som er KLDs klageorgan, eller til Sivilombudet hvis saken bringes inn der.

Behandling av personopplysninger i forbindelse med pressehenvendelser til KLD

Henvendelser fra pressen loggføres. Oversikten omfatter spørsmål/opplysninger gitt av det enkelte pressemedlem ved henvendelser til KLD, og inneholder i tillegg navn, kontaktinformasjon (epost og telefon) og arbeidsgiver.

Det rettslige grunnlaget for denne behandlingen er KLDs berettigede interesse i å sørge for god kommunikasjon med pressen, for å ivareta åpenheten i forvaltningen. For å ivareta denne interessen opprettholder KLD oversikten over pressekontakter for å administrere henvendelser, da dette anses som nødvendig for å håndtere henvendelser fra pressen på en oversiktlig og effektiv måte.

Opplysningene slettes dersom KLD får beskjed om at et pressemedlem ikke lenger ønsker å stå oppført i presselisten, og oppdateres når KLD blir kjent med endringer.

Henvendelser til KLD

KLD benytter e-post og telefon som en del av det daglige arbeidet. Relevante opplysninger som kommer frem av e-postutveksling som skjer som en del av saksbehandling, journalføres. Disse opplysningene behandles i så fall som beskrevet over (se «Behandling av personopplysninger i forbindelse med saksbehandling»). Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som journalføres. Når en ansatt slutter, slettes vedkommendes e-postkonto.

Sensitive personopplysninger skal ikke sendes med e-post. KLD gjør oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer derfor til å ikke sende taushetsbelagte eller andre beskyttelsesverdige opplysninger via e-post. Ta kontakt med KLD ved behov.

Dine rettigheter

Når KLD behandler personopplysninger om deg, har du flere rettigheter etter personvernregelverket.

Du har rett til å få informasjon om hvorvidt KLD behandler personopplysninger om deg. Dersom dette er tilfellet, har du rett til å be om innsyn i opplysningene og å få utlevert en kopi av disse opplysningene. Dersom KLD behandler opplysninger om deg med grunnlag i samtykke eller avtale, har du rett til å få opplysningene utlevert i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet). Siden KLD kun unntaksvis behandler personopplysninger om privatpersoner med grunnlag i samtykke eller avtale, gjelder imidlertid denne retten de aller færreste av personopplysningene KLD behandler.

Dersom du mener personopplysningene KLD har lagret om deg ikke er riktige (f.eks. feil epostadresse, navn, bosted eller lignende) har du rett til å be om at disse blir rettet.

I visse tilfeller kan du be om at personopplysningene departementet har om deg, slettes. Omfanget av denne retten vil avhenge av ditt forhold til KLD. Personopplysninger registrert i kommunikasjonsenhetens medielogg vil for eksempel kunne slettes på din forespørsel, mens en stor del av personopplysningene KLD behandler vil måtte arkiveres i henhold til KLDs lovpålagte arkiveringsplikt. Du kan også i enkelte tilfeller, be om at departementet begrenser sin behandling av opplysninger om deg.

Der KLD behandler dine personopplysninger med grunnlag i ditt samtykke, har du rett til når som helst å trekke dette tilbake. Behandlingen vil da stanses, og dine personopplysninger slettes. Der KLD behandler personopplysninger om deg med grunnlag i KLDs berettigede interesse har du videre rett til å protestere mot behandlingen. KLD behandler i all hovedsak personopplysninger om privatpersoner utenfor egen organisasjon i forbindelse med KLDs lovpålagte oppgaver. Disse rettighetene får derfor ikke anvendelse på mange av behandlingene KLD utfører. Retten til å protestere kan allikevel benyttes i forbindelse med registrering i KLDs presseliste. Der behandlingen har grunnlag i samtykke, vil du bli spurt om å gi dette for hvert tilfelle.

Dersom du mener at noen av disse rettighetene er aktuelle i ditt forhold til KLD, kan du rette en henvendelse om dette til KLD ved å sende e-post til postmottak@kld.dep.no. Når du sender en slik henvendelse, vil KLD svare deg innen 30 dager.

Dersom du mener at KLD behandler dine personopplysninger i strid med personvernforordningen, personopplysningsloven eller andre regler, kan du ta dette opp med KLDs personvernombud her: personvernombudet@kld.dep.no. Du kan også levere en klage til Datatilsynet. Klager kan leveres via kontaktfunksjonen på deres nettsider.

Du kan lese mer om dine rettigheter, og hva disse innebærer på Datatilsynets nettsider.

Dataportabilitet

Med retten til dataportabilitet kan du få utlevert personopplysninger om deg og gjenbruke disse som du vil på tvers av ulike systemer og tjenester, og du kan flytte persondata fra en tjenesteleverandør til en annen på en trygg og sikker måte. Din rett til dataportabilitet gjelder kun hvis opplysningene du ønsker utlevert er samlet inn på bakgrunn av samtykke eller avtale. Rettigheten gjelder kun opplysninger som du selv har gitt til virksomheten. Dette gjelder for eksempel opplysninger som du bevisst og aktivt har gitt fra deg, for eksempel i forbindelse med opprettelse av en brukerkonto. Det gjelder også opplysninger som er samlet inn fra deg gjennom aktiv bruk av en tjeneste.

Personopplysninger som ikke er samlet inn direkte fra deg, er ikke omfattet av denne retten. Dette gjelder blant annet opplysninger som er utledet basert på din aktive bruk av en tjeneste. Dette er ikke opplysninger som er gitt direkte av deg, men som virksomheten selv har opprettet basert på analyse av din bruk av tjenesten.

Du har krav på å få dataene utlevert så raskt som mulig, og senest innen en måned. Du bør sende opplysningene videre på samme måte som du fikk dem.

Identifisering før utøvelse av dine rettigheter

Departementet vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg – og ikke noen som gir seg ut for å være deg.

Informasjonssikkerhet og internkontroll

Personopplysningsloven pålegger behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet som ivaretar konfidensialitet, integritet og tilgjengelighet. Dette gjelder uavhengig av hva slags personopplysninger som behandles, og uavhengig av hvilke hjelpemidler som benyttes. Gjennom planlagte og systematiske tiltak skal det sørges for tilfredsstillende informasjonssikkerhet. Det skal gjøres risikovurderinger av alle viktige systemer jevnlig eller etter behov. KLD har utarbeidet en egen informasjonssikkerhetspolicy, retningslinjer for informasjonssikkerhet og brukerinstrukser som legges til grunn ved sikring av personopplysninger.

Det er etablert rutiner, herunder planlagte og systematiske tiltak, som er nødvendige for å oppfylle kravene i personopplysningsloven. Etterlevelsen av kravene til behandling av personopplysninger skal dokumenteres etter gjeldende rutiner. KLD har også en oversikt over hva slags personopplysninger som behandles i departementet. Oversikten skal holdes oppdatert.

Det er etablert særlige sikkerhetstiltak og rutiner for svært beskyttelsesverdig informasjon i KLDs arkiv, som for eksempel personopplysninger, opplysninger underlagt taushetsplikt og gradert informasjon.

Det skal rapporteres om avvik ved brudd på kravene til behandling av personopplysninger. Avvik skal rapporteres til departementsråd, ekspedisjonssjefer, sikkerhetsleder, personvernombud, og/eller Datatilsynet alt etter alvorlighetsgrad.

Databehandlere

Når eksterne behandler personopplysninger på vegne av KLD, stilles det klare krav til behandlingen. Det inngås databehandleravtaler i henhold til gjeldende regelverk. Databehandleravtalene etablerer klare ansvars- og myndighetsforhold med alle som er databehandlere for KLD.

Ved saksbehandling og andre henvendelser fra eksterne, benytter KLD ekstern bistand til blant annet oversettelse av dokumenter og i forbindelse med rekruttering.

Personvernombud

Det er opprettet et personvernombud for KLD. Personvernombudet skal bistå departementsråden i å etterleve kravene til behandling av personopplysninger, og være en ressursperson som styrker departementets kunnskap om personvern.
Personvernombudets hovedoppgaver omfatter blant annet å:

• Være kontaktpunkt for de registrerte, og mellom Datatilsynet og departementet
• Informere og gi råd til departementet og de ansatte om de forpliktelser som følger av regelverket
• Kontrollere etterlevelse av personvernforordningen, personopplysningsloven og departementets retningslinjer for personvern
• Gi råd om, og delta i, arbeidet med konsekvensanalyser i medhold av forordningen
• Samarbeide med Datatilsynet

Personvernombudet kan kontaktes via denne e-postadressen: personvernombudet@kld.dep.no

Personvernpolitikk på regjeringen.no

Regjeringen.no er en portal for statsministerens kontor (SMK) og departementene sine hjemmesider. SMK og departementene har egne redaksjoner med et selvstendig ansvar for sine sider på regjeringen.no. SMK har det redaksjonelle ansvaret for tjenestens portalforside, samt for informasjon om sittende og tidligere regjeringer. Departementenes sikkerhets- og serviceorganisasjon (DSS) har koordinerende ansvar for drift og utvikling av nettstedet og redaktøransvar for alle fellessider. For ytterlige opplysninger, se regjeringen.no sin egen personvernerklæring.

Opplysninger om ansatte og jobbsøkere

KLD behandler også opplysninger om ansatte og om jobbsøkere. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 b), behandlingen er nødvendig for å oppfylle en avtale den registrerte er part i og er i samsvar med statsansatteloven, særavtale om lønns- og personalopplysninger m.m. i staten, hovedtariffavtalene i staten, samt regnskaps- og bokføringslovgivningen.

Departementet behandler personopplysninger om sine ansatte for å administrere lønn og personalansvar. Det er ekspedisjonssjef i organisasjonsavdelingen som har det daglige ansvaret for dette. Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeningstilhørighet. Andre opplysninger om ansatte er knyttet til vedkommendes arbeidsinstruks og tilrettelegging av vedkommendes arbeid.

Opplysningene hentes fra de ansatte selv.

Opplysningene utleveres bare i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven. Opplysninger om navn, stilling og arbeidsområde regnes å være offentlige opplysninger og kan publiseres på departementets nettsider.

Alle stillingssøknader og andre arkivverdige dokumenter i forbindelse med en rekruttering, blir lagret i departementets elektroniske arkiv. Det elektroniske arkivet er utgangspunkt for en offentlig journal, som publiseres fortløpende på www.einnsyn.no. Navn på søkere er offentlig informasjon. Navnene vil komme fram i offentlig journal, enten direkte i journalen eller i et journaldokument som inneholder journalopplysninger om hvem som har søkt på en stilling. Journalopplysninger slettes ikke. Personnavn tagges og er kun søkbare på eInnsyn inntil ett år etter at journalen ble publisert. Søkere som har bedt om og fått innvilget at søknaden kan unntas offentlighet (jf. offl. § 25 første ledd), får sladdet navnet sitt på eInnsyn og i journaldokumentet. Dette gjelder imidlertid ikke søknaden til alle tidligere og nåværende ansatte. Deres stillingssøknad blir arkivert/oppbevart i en personalmappe i vårt arkivsystem. Tilgangen til personalmappene, er begrenset til tjenstlig behov, og mappene blir ryddet ved utløp av arbeidsforholdet. Personalmappene vil bli avlevert til Arkivverket.

Logging i departementets fagsystemer

Departementet har alminnelige sikkerhetslogger i sine fagsystemer, og sikkerhetsansvarlig har fått delegert ansvaret for dette. Det er de ansattes bruk av fagsystemet som blir registrert her. Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer. Sikkerhetslogger er en del av KLDs styringssystem for informasjonssikkerhet og et tiltak for å sikre etterlevelse av forordningen artikkel 24 og 25.

Løpende oppdatering

Denne personvernerklæringen oppdateres fortløpende i forhold til gjeldende lover og forskrifter.