Personvernerklæring for Kommunal- og distriktsdepartementet

Innledning

I forbindelse med sin saksbehandling og virksomhet som offentlig organ, vil Kommunal- og distriktsdepartementet (KDD) behandle personopplysninger om personer både i og utenfor egen virksomhet (brukere). Personopplysninger er enhver opplysning om identifiserbare
fysiske personer, mens behandling omfatter enhver bruk av disse opplysningene.

KDDs styringssystem for personvern, er en integrert del av KDDs styringssystem for informasjonssikkerhet (ISMS). ISMS fungerer som departementets internkontroll med behandlingen av personopplysninger.

KDD er ansvarlig for at behandlingen av personopplysninger som beskrives i denne erklæringen er i samsvar med personvernforordningen, personopplysningsloven, og tilhørende forskrifter. KDDs departementsråd har det overordnede ansvaret for behandlingen av personopplysninger
i KDD.

Personvernforordningen, personopplysningsloven, og forskrifter til personopplysningsloven setter krav til helt eller delvis automatisert behandling av personopplysninger og til ikke-automatisert
behandling av personopplysninger som inngår eller skal inngå i et personregister. Departementets retningslinjer for behandling av personopplysninger, er en del av departementets internkontrollsystem.

Behandling av personopplysninger i forbindelse med KDDs saksbehandling

KDD behandler personopplysninger for å oppfylle departementets lovpålagte oppgaver etter bl.a. forvaltningsloven, offentleglova og arkivloven. Bestemmelser i disse lovene vil utgjøre behandlingsgrunnlag etter personvernforordningen artikkel 6 for KMDs behandling av personopplysninger.

KDDs saksbehandling omfatter behandling av henvendelser til/fra privatpersoner, organisasjoner eller andre offentlige myndigheter/underliggende virksomheter, i forbindelse med KDDs myndighetsutøvelse og administrative funksjoner.

Det registreres ulike typer personopplysninger i saks- og arkivsystemet. Dette er grunndata som bl.a. navn, adresse, e-postadresse,  og annen relevant informasjon som fremgår av henvendelsen. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger.

I forbindelse med saksbehandlingen kan KDD komme til å behandle andre typer personopplysninger enn de som er nevnt her, dersom dette er nødvendig for å gjennomføre behandlingen av den enkelte sak.

Opplysninger kan innhentes direkte fra den saksbehandlingen gjelder, eller fra andre med tilknytning til den enkelte sak. Som en del av den pålagte saksbehandlingen innhenter KDD i noen tilfeller opplysninger fra andre etater på eget initiativ, i medhold av forvaltningsloven § 17.

Personopplysningene knyttet til KDDs saksbehandling lagres hos KDD så lenge de er nødvendige for å gjennomføre saksbehandlingen. KDD har, som offentlig myndighet, arkivplikt for arkivverdige dokumenter og vil derfor ikke slette opplysninger i arkivverdige dokumenter. Registrering, lagring og oppbevaring av arkivverdig materiale skjer i henhold til arkivlovgivningen.

KDD bruker WebSak saks- og arkivsystem med elektronisk journalføring og elektronisk lagring av dokumenter. WebSak er et saks- og arkivsystem fra leverandøren Acos AS som følger offentlige standarder (NOARK).

KDD behandler også personopplysninger om deltakere til kurs og seminarer som vi arrangerer.

Mottakere av opplysninger og innsyn etter offentleglova

KDD er lovpålagt å gjøre sine postjournaler offentlig tilgjengelige for allmennheten på internett. En journal er systematisk og fortløpende registrering av alle inngående og utgående saksdokumenter. Journalene gjøres tilgjengelig på en felles portal som kalles eInnsyn, som er en samordning av offentlige postjournaler i en allment tilgjengelig tjeneste på internett.

Forespørsler om innsyn via eInnsyn behandles i departementes sak-/arkivsystem. Alle innsynskrav og svar på disse registreres her.

Ved krav om innsyn utleveres personopplysninger i samsvar med reglene i offentleglova og forvaltningsloven. Opplysninger som er nødvendige for behandling av klagesaker vil bli utlevert til Kongen i statsråd, som er KDDs klageorgan.

Behandling av personopplysninger i forbindelse med pressehenvendelser til KDD

Henvendelser fra pressen loggføres. Oversikten omfatter spørsmål/opplysninger gitt av det enkelte pressemedlem ved henvendelser til KDD, og inneholder i tillegg navn, kontaktinformasjon (epost og telefon) og arbeidsgiver.

Det rettslige grunnlaget for denne behandlingen er KDDs berettigede interesse i å sørge for god kommunikasjon med pressen, for å ivareta åpenheten i forvaltningen. For å ivareta denne interessen opprettholder KDD oversikten over pressekontakter for å administrere henvendelser, da dette anses som nødvendig for å håndtere henvendelser fra pressen på en oversiktlig og effektiv måte.

Opplysningene slettes dersom KDD får beskjed om at et pressemedlem ikke lenger ønsker å stå oppført i presselisten, og oppdateres når KDD blir kjent med endringer.

Henvendelser til KDD

KDD benytter e-post og telefon som en del av det daglige arbeidet. Relevante opplysninger som fremkommer av e-postutveksling som skjer som en del av saksbehandling, journalføres. Disse opplysningene behandles i så fall som beskrevet over (se «Behandling i forbindelse med saksbehandling»). Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som journalføres. Når en ansatt slutter slettes vedkommendes e-postkonto.

Sensitive personopplysninger skal ikke sendes med e-post. KDD gjør oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer derfor til å ikke sende taushetsbelagte eller andre beskyttelsesverdige opplysninger via e-post.

Dine rettigheter

Når KDD behandler personopplysninger om deg, har du flere rettigheter etter personvernregelverket.

Du har rett til å få informasjon om hvorvidt KDD behandler personopplysninger om deg. Dersom dette er tilfellet, har du og rett til å be om innsyn i opplysningene og å få utlevert en kopi av disse opplysningene. Dersom KDD behandler opplysninger om deg med grunnlag i samtykke eller avtale, har du rett til å få opplysningene utlevert i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet). Siden KDD kun unntaksvis behandler personopplysninger om privatpersoner med grunnlag i samtykke eller avtale, gjelder imidlertid denne retten de aller færreste av personopplysningene KDD behandler.

Dersom du mener personopplysningene KDD har lagret om deg ikke er riktige (f. eks. feil epostadresse, navn, bosted eller lignende) har du rett til å be om at disse blir rettet.

I visse tilfeller kan du be om at personopplysningene departementet har om deg, slettes. Omfanget av denne retten vil avhenge av ditt forhold til KDD. Personopplysninger registrert i kommunikasjonsavdelingens medielogg vil for eksempel kunne slettes på din forespørsel, mens en stor del av personopplysningene KDD behandler vil måtte arkiveres i henhold til KDDs lovpålagte arkiveringsplikt. Du kan også i enkelte tilfeller, be om at departementet begrenser sin behandling av opplysninger om deg.

KDD behandler i all hovedsak personopplysninger om privatpersoner utenfor egen organisasjon som ledd i utførelse av KDDs myndighetsutøvelse og administrative funksjoner. Der KDD behandler dine personopplysninger med grunnlag i ditt samtykke, har du rett til når som helst å trekke dette tilbake. Behandlingen vil da stanses, og dine personopplysninger slettes. Der KDD behandler personopplysninger om deg med grunnlag i KDDs berettigede interesse har du videre rett til å protestere mot behandlingen, noe som også vil medføre stans av behandlingen, med påfølgende sletting av opplysningene. Disse rettighetene får derfor ikke anvendelse på mange av behandlingene KDD utfører. Retten til å protestere kan allikevel benyttes i forbindelse med registrering i KDDs presseliste. Der behandlingen har grunnlag i samtykke, vil du bli spurt om å avgi dette for hvert tilfelle.  

Dersom du mener at noen av disse rettighetene er aktuelle i ditt forhold til KDD, kan du rette en henvendelse om dette til KDD ved å sende e-post til  postmottak@kmd.dep.no. Når du sender en slik henvendelse, vil KDD svare deg innen 30 dager.

Dersom du mener at KDD behandler dine personopplysninger i strid med personvernforordningen, personopplysningsloven eller andre regler har du rett til å levere en klage til Datatilsynet. Klager kan leveres via kontaktfunksjonen på deres nettsider.

Du kan lese mer om dine rettigheter, og hva disse innebærer på Datatilsynets nettsider.

Dataportabilitet

Med retten til dataportabilitet kan du få utlevert personopplysninger om deg og gjenbruke disse som du vil på tvers av ulike systemer og tjenester, og du kan flytte persondata fra en tjenesteleverandør til en annen på en trygg og sikker måte. Din rett til dataportabilitet gjelder kun hvis opplysningene du ønsker utlevert er samlet inn på bakgrunn av samtykke eller kontrakt. Rettigheten gjelder kun opplysninger som du selv har gitt til virksomheten. Dette gjelder for eksempel opplysninger som du bevisst og aktivt har gitt fra deg, for eksempel i forbindelse med opprettelse av en brukerkonto. Det gjelder også opplysninger som er samlet inn fra deg gjennom aktiv bruk av en tjeneste.

Personopplysninger som ikke er samlet inn direkte fra deg, er ikke omfattet av denne retten. Dette gjelder blant annet opplysninger som er utledet basert på din aktive bruk av en tjeneste. Dette er ikke opplysninger som er avgitt direkte av deg, men som virksomheten selv har opprettet basert på analyse av din bruk av tjenesten.

Du har krav på å få dataene utlevert så raskt som mulig, og senest innen en måned. Du bør sende opplysningene videre på samme måte som du fikk dem.

Departementet vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg – og ikke noen som gir seg ut for å være deg.

Informasjonssikkerhet og internkontroll

Personopplysningsloven pålegger behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet som ivaretar konfidensialitet, integritet og tilgjengelighet. Dette gjelder uavhengig av hva slags personopplysninger som behandles, og uavhengig av hvilke hjelpemidler som benyttes. Gjennom planlagte og systematiske tiltak skal det sørges for tilfredsstillende informasjonssikkerhet. Det skal gjøres risikovurderinger av alle viktige systemer jevnlig eller etter behov. KDD har utarbeidet en egen informasjonssikkerhetspolicy, retningslinjer for informasjonssikkerhet og brukerinstrukser som legges til grunn ved sikring av personopplysninger.

Det er etablert rutiner, herunder planlagte og systematiske tiltak, som er nødvendige for å oppfylle kravene i personopplysningsloven. Etterlevelsen av kravene til behandling av personopplysninger skal dokumenteres etter gjeldende rutiner. KDD har også en oversikt over hva slags personopplysninger som behandles i departementet. Oversikten skal holdes oppdatert.

Det er etablert særlige sikkerhetstiltak og rutiner for svært beskyttelsesverdig informasjon i KDDs arkiv, som for eksempel personopplysninger, opplysninger underlagt taushetsplikt og gradert informasjon.

Det skal rapporteres om avvik ved brudd på kravene til behandling av personopplysninger. Avvik skal rapporteres til departementsråd, ekspedisjonssjefer, sikkerhetsleder, personvernombud, og/eller Datatilsynet alt etter alvorlighetsgrad.

Databehandlere

Når eksterne behandler personopplysninger på vegne av KDD, stilles det klare krav til behandlingen. Det inngås databehandleravtaler i henhold til gjeldende regelverk. Databehandleravtalene etablerer klare ansvars- og myndighetsforhold med alle som er databehandlere for KDD.

Ved saksbehandling og andre henvendelser fra eksterne, benytter

KDD ekstern bistand til blant annet oversettelse av dokumenter og i forbindelse med rekruttering.

Personvernombud

Det er opprettet et personvernombud for KDD. Personvernombudet skal bistå departementsråden i å etterleve kravene til behandling av personopplysninger, og være en ressursperson som styrker departementets kunnskap om personvern.

Personvernombudets hovedoppgaver omfatter blant annet å:

• Være kontaktpunkt for de registrerte, og mellom Datatilsynet og departementet
• Informere og gi råd til departementet og de ansatte om de forpliktelser som følger av regelverket
• Kontrollere etterlevelse av personvernforordningen, personopplysningsloven og departementets retningslinjer for personvern
• Gi råd om og delta i arbeidet med konsekvensanalyser i medhold av forordningen
• Samarbeide med Datatilsynet

Kontaktinformasjon:  personvernombud@kmd.dep.no

Personvernpolitikk på regjeringen.no

Regjeringen.no er en portal for statsministerens kontor (SMK) og departementene sine hjemmesider. SMK og departementene har egne redaksjoner med et selvstendig ansvar for sine sider på regjeringen.no. SMK har det redaksjonelle ansvaret for tjenestens portalforside, samt for informasjon om sittende og tidligere regjeringer. Departementenes sikkerhets- og serviceorganisasjon (DSS) har koordinerende ansvar for drift og utvikling av nettstedet og redaktøransvar for alle fellessider. For ytterlige opplysninger, se regjeringen.no sin egen personvernerklæring.

Abonnere på nyhetsbrev

Kommunal- og distriktsdepartementet sender ut nyhetsbrev på e-post. Nyhetsbrevene inneholder blant annet nyhetssaker, informasjon om arrangementer, relevante dokumenter og annet faglig innhold.

For at vi skal kunne sende deg nyhetsbrev på e-post, må du registrere en e-postadresse. E-postadressen vil bare bli brukt til å sende ut nyhetsbrevene og eventuelt brukerundersøkelser om nyhetsbrevene.

Din e-postadresse deles ikke med andre, og slettes når vi får beskjed om at du ikke lenger ønsker å motta informasjon fra oss. Opplysningene slettes også om vi får tilbakemelding om at e-postadressen ikke lenger er aktiv. I hvert enkelt nyhetsbrev kan du klikke på en lenke for å melde deg av.

Behandlingsgrunnlaget for behandling av e-postadressen din i tilknytning til våre nyhetsbrev er personvernforordningen artikkel 6 nr. 1 a), altså samtykke.

Ved å melde deg på et av våre nyhetsbrev samtykker du til vår behandling av opplysninger om deg. Påmeldingen må bekreftes ved å klikke på en lenke i e-post, såkalt dobbelt opt-in. Det er for at vi skal kunne dokumentere din påmelding til nyhetsbrevet.

MailChimp er databehandler for nyhetsbrevet. I forbindelse med utsending av nyhetsbrev fører vi statistikk over bruken, hvor mange som leser og hva som leses. Dette gjør vi får å kunne gi våre lesere mest mulig relevante saker.

Opplysninger om ansatte og jobbsøkere

KDD behandler også opplysninger om ansatte og om jobbsøkere. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 b), behandlingen er nødvendig for å oppfylle en avtale den registrerte er part i og er i samsvar med tjenestemannsloven, særavtale om lønns- og personalregistre i staten, Hovedtariffavtalene i Staten, samt regnskaps- og bokføringslovgivningen.

Departementet behandler personopplysninger om sine ansatte for å administrere lønn og personalansvar. Det er ekspedisjonssjef i administrasjonsavdelingen som har det daglige ansvaret for dette. Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeningstilhørighet. Andre opplysninger om ansatte er knyttet til vedkommendes arbeidsinstruks og tilrettelegging av vedkommendes arbeid.

Dessuten registreres det opplysninger i tilknytning til nøkkeladministrasjon av inn- og utpasseringer og opplysninger om tilgangsstyring i IT-systemet. Opplysningene hentes fra de ansatte selv. Opplysningene utleveres bare i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven. Opplysninger om navn, stilling og arbeidsområde regnes å være offentlige opplysninger og kan publiseres på departementets nettsider.

Alle stillingssøknader og andre arkivverdige dokumenter i forbindelse med en rekruttering blir lagret i departementets elektroniske arkiv. Det elektroniske arkivet er utgangspunkt for en offentlig journal, som publiseres fortløpende på www.einnsyn.no. Navn på søkere er offentlig informasjon og framkommer der. Journalopplysninger slettes ikke. Personnavn tagges og er kun søkbare på eInnsyn inntil ett år etter at journalen ble publisert. Søkere som har bedt om og fått innvilget at søknaden kan unntas offentlighet (jf. offl. § 25 første ledd), får sladdet navnet sitt på eInnsyn. Dette gjelder imidlertid ikke søknaden til alle tidligere og nåværende ansatte. Deres stillingssøknad blir arkivert/oppbevart i personalmappe i vårt arkivsystem. Personalmapper blir ryddet ved utløp av arbeidsforholdet. Personalmapper skal avleveres til Arkivverket. Tilgangen er begrenset til tjenstlig behov.

Logging i departementets fagsystemer

Departementet har alminnelige sikkerhetslogger i sine fagsystemer, og sikkerhetsansvarlig har fått delegert ansvaret for dette. Det er de ansattes bruk av fagsystemet som blir registrert her. Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer. Sikkerhetslogger er en del av KDDs styringssystem for informasjonssikkerhet og et tiltak for å sikre etterlevelse av forordningen artikkel 24 og 25.

Løpende oppdatering

Denne personvernerklæringen oppdateres fortløpende i forhold til gjeldende lover og forskrifter.