Personvernerklæring for Arbeids- og sosialdepartementet

Innledning

Hensikten med denne personvernerklæringen er å gi nærmere informasjon om hvordan Arbeids- og sosialdepartementet (ASD) behandler personopplysninger om personer utenfor egen virksomhet.

Personopplysninger er enhver opplysning om fysiske personer, mens behandling omfatter enhver bruk av disse opplysningene.

ASD er ansvarlig for at behandlingen av personopplysninger som beskrives i denne erklæringen er i tråd med lovverket. Personvernforordningen og personopplysningsloven stiller krav til behandlingen av personopplysninger som utføres med elektroniske hjelpemidler eller som inngår i et personregister.

Behandling av personopplysninger i ASD

ASD behandler personopplysninger for å oppfylle departementets lovpålagte oppgaver etter blant annet forvaltningsloven, offentleglova, arkivloven og personopplysningsloven.

Behandling av personopplysninger i forbindelse med saksbehandling

I forbindelse med sin saksbehandling og virksomhet som offentlig organ behandler ASD personopplysninger om personer utenfor egen virksomhet. ASD bruker personopplysningene til å administrere henvendelser og medfølgende kontaktopplysninger, for å kommunisere med privatpersoner, presse, organisasjoner eller andre offentlige myndigheter og/eller underliggende virksomheter.

ASD behandler personopplysninger i forbindelse med saksbehandling med formål om å veilede, informere, avgjøre en klage, få redegjort for en sak, eller redegjøre for ASDs forståelse av et gitt regelverk.

Arkivering, lagring og sletting av opplysninger i forbindelse med saksbehandling

I det daglige arbeidet benytter ASD arkiv- og saksbehandlingssystemet WebSak Fokus. I dette systemet journalføres og lagres saksdokumenter og tilhørende personopplysninger elektronisk. WebSak Fokus følger norsk arkivstandard (NOARK) og er levert av ACOS AS.

Registrering, lagring og oppbevaring av saksdokumenter skal skje i henhold til gjeldende arkivlovgivning. Dokumenter som er gjenstand for saksbehandling eller har verdi som dokumentasjon skal arkiveres. Personopplysninger knyttet til ASDs saksbehandling skal lagres så lenge de er nødvendige for å gjennomføre saksbehandlingen, samtidig har ASD som offentlig myndighet arkivplikt for arkivverdige dokumenter, og vil derfor ikke kunne slette nødvendige opplysninger. Krav om supplering eller sletting av opplysninger som følger av personvernregelverket må i hvert enkelt tilfelle avveies mot kravene som stilles til lagring av opplysninger etter arkivloven. Sletting skal ikke være i strid med arkivloven § 9. Det er forbudt å slette offentlig arkivmateriale uten samtykke fra Riksarkivaren.

Om henvendelser til ASD

ASD benytter papirpost, e-post og telefon som en del av det daglige arbeidet. ASD registrerer normalt ikke telefonhenvendelser, men dersom vi mottar en telefonsamtale som gjelder en bestemt sak, vil det kunne bli skrevet et notat etter samtalen som journalføres. Brevpost til ASD håndteres og registreres av arkivet. De fleste e-poster departementet mottar går rett til vårt postmottak hvor e-postene håndteres av arkivet og registreres i vårt arkiv- og saksbehandlingssystem. Når e-poster kommer til andre e-postkontoer, er den som administrerer kontoen ansvarlig for å registrere disse i arkivsystemet. Alle dokumenter kontrolleres av arkivet for å sikre opplysningenes kvalitet og riktighet. Hvert halvår skal unødvendig innhold slettes fra e-postkassene.

Ved e-posthenvendelser til ASD gjør vi oppmerksom på at vanlig e-post er ukryptert, og vi oppfordrer derfor publikum til å ikke sende taushetsbelagte, sensitive eller andre fortrolige opplysninger til departementet via e-post.

ASD registrerer ulike typer personopplysninger i saks- og arkivsystemet. Dette er opplysninger som navn, adresse, e-postadresse og annen relevant informasjon som fremgår av en henvendelse. Saksdokumentene som behandles kan i tillegg inneholde sensitive personopplysninger, som eksempelvis helseopplysninger. I forbindelse med saksbehandling kan ASD komme til å behandle andre typer personopplysninger enn de som er nevnt her, dersom det er nødvendig for å gjennomføre behandlingen av saken.

Personopplysningene som behandles i forbindelse med ASDs saksbehandling er i hovedsak tilsendt departementet uoppfordret fra publikum selv, eller oversendt fra andre myndigheter eller fra ASDs underliggende etater. Ved noen tilfeller kan departementet hente inn opplysninger direkte fra den saksbehandlingen gjelder, eller andre med tilknytning til saken, dersom det er nødvendig for behandlingen. Som en del av den pålagte saksbehandlingen innhenter ASD i noen tilfeller opplysninger fra andre myndigheter eller etater på eget initiativ, i medhold av forvaltningsloven § 17.

Behandling av personopplysninger i forbindelse med pressehenvendelser

ASD mottar også personopplysninger i forbindelse med pressehenvendelser. I den forbindelse fører ASD en oversikt over relevante kontaktopplysninger til de pressekontaktene departementet kommuniserer med. Denne oversikten omfatter personopplysninger oppgitt av den enkelte journalist idet vedkommende henvender seg til ASD, og omfatter opplysninger som navn og kontaktinformasjon (e-post, telefonnummer og redaksjon). Ved pressehenvendelser til ASD får pressen informasjon om behandlingen og muligheten for å reservere seg mot den.

Grunnlaget for denne behandlingen er ASDs berettigede interesse etter personvernforordningens artikkel 6 nr. 1 bokstav f), for å sørge for god kommunikasjon med pressen og for å ivareta åpenheten i forvaltningen. ASD anser det som nødvendig å føre oversikt over pressekontaktene for å administrere og håndtere henvendelsene.

Dersom ASD får beskjed om at et pressemedlem ikke lenger ønsker å stå oppført i presselisten, og ellers når ASD blir kjent med endringer, vil opplysningene slettes.

Postjournaler, eInnsyn og innsyn etter offentleglova

En postjournal er en systematisk og fortløpende registrering av alle daglige inngående og utgående saksdokumenter. ASD registrerer også sine interne notater i journalen. Følgende opplysninger går som hovedregel frem av offentlig journal: avsenders navn, mottakers navn, dokumentets dato, og en kort beskrivelse av dokumentets innhold. Journalen blir imidlertid alltid ført på en slik måte at den ikke røper taushetsbelagte opplysninger. ASD er etter arkivloven § 9 pålagt å føre en slik journal for å registrere dokumentene i sakene vi oppretter. Videre er ASD etter offentlegforskrifta § 6 pålagt å gjøre sin postjournal tilgjengelig for allmennheten på internett. Journalen gjøres derfor tilgjengelig på en felles portal som kalles eInnsyn, som er en samordning av offentlige postjournaler i en allment tilgjengelig tjeneste på internett. eInnsyn erstatter den tidligere ordningen Offentlig Elektronisk Postjournal (OEP).

Forespørsler om innsyn som er bestilt via tjenesten eInnsyn blir importert inn i saks- og arkivsystemet via en egen modul for innsynsbehandling. Alle innsynskrav fra eInnsyn registreres her, og svar blir ekspedert ut fra samme modul. I modulen registreres de opplysninger bestiller selv har ønsket å oppgi, som eksempelvis navn, telefonnummer og e-postadresse. Du kan søke om innsyn uten å oppgi egne personopplysninger dersom du ønsker det, men for å gi ut dokumenter trenger ASD å få opplyst en måte å utlevere dem på.

ASD er forpliktet til å behandle alle dokumenter i samsvar med bestemmelsene i offentleglova. Det betyr blant annet at alle departementets saksdokumenter, inkludert notater og all korrespondanse til og fra departementet, som hovedregel er offentlige. Den som ønsker det, kan be om innsyn i departementets saksdokumenter. Ved krav om innsyn utleveres personopplysninger i henhold til offentleglova og forvaltningsloven. Dersom dokumentet inneholder sensitive personopplysninger eller taushetsbelagte opplysninger vil disse bli skjermet før det gis innsyn i dokumentet. Dette kan eksempelvis være navnet til den som har henvendt seg, helseopplysninger eller opplysninger om at man får stønad fra NAV. Opplysninger som er nødvendige for behandlingen av klagesaker i forbindelse med innsyn vil bli utlevert til sivilombudsmannen eller Kongen i statsråd, som er ASDs overordnede klageorgan.

Informasjonssikkerhet og internkontroll

Personopplysningsloven med forordning pålegger ASD som behandlingsansvarlig å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Dette gjelder uavhengig av hva slags personopplysninger som behandles, og uavhengig av hvilke hjelpemidler som benyttes. Gjennom planlagte og systematiske tiltak skal det sørges for tilfredsstillende informasjonssikkerhet. Det skal gjøres risikovurderinger av alle viktige systemer jevnlig og ved behov. ASD har utarbeidet en egen informasjonssikkerhetspolicy, retningslinjer for informasjonssikkerhet og brukerinstrukser som legges til grunn ved sikring av personopplysninger.

Det er etablert særlige sikkerhetstiltak og rutiner for beskyttelsesverdig informasjon i arkivet, som for eksempel for sensitive personopplysninger og skjermingsverdig informasjon.

Det skal rapporteres om avvik ved brudd på kravene til behandling av personopplysninger. Avvik skal rapporteres til sikkerhetsleder og personvernombud. Brudd av en viss alvorlighetsgrad skal meldes til Datatilsynet, og i noen tilfeller plikter vi også å melde fra til de som berøres av bruddet.

Databehandlere

Når tjenesteleverandører behandler personopplysninger på vegne av ASD, stilles det krav til behandlingen av personopplysninger. Det skal alltid inngås en databehandleravtale mellom partene i henhold til gjeldende lov. Avtalen skal etablere klare ansvars- og myndighetsforhold med alle som opptrer som databehandlere for ASD. Personopplysninger skal blant annet ikke brukes til andre formål enn det som er avtalt.

Dine rettigheter 

Rett til informasjon

Du har rett til å be om bekreftelse på om personopplysninger om deg behandles i ASD. Dersom du er registrert, dvs. dersom vi behandler opplysninger om deg, har du videre rett til innsyn i personopplysningene, og få utlevert en kopi. Vi plikter også å gi deg beskjed dersom vi oppdager brudd på personopplysningssikkerheten av en viss alvorlighetsgrad, som kan få følger for deg og ditt personvern.

Retting av opplysninger

Dersom du oppdager at ASD har lagret personopplysninger om deg som ikke er riktige (f. eks. feil adresse, e-postadresse, navn, bosted eller lignende) har du rett til å be om at disse opplysningene blir rettet opp.

Sletting av opplysninger

Du har rett til å be om at personopplysningene departementet har om deg, slettes. Omfanget av denne retten vil avhenge av ditt forhold til ASD. Opplysninger som behandles etter samtykke eller berettiget interesse kan du kreve slettet, mens for de fleste personopplysninger ASD behandler vil retten til sletting være begrenset av annen lovgivning, eksempelvis arkivloven. Bestemmelser i arkivlov med forskrifter overstyrer i hvilken grad personopplysninger kan slettes og et eventuelt krav om sletting må alltid vurderes opp mot dette.

Rettigheter ved samtykke og berettiget interesse

Der ASD behandler dine personopplysninger med grunnlag i ditt samtykke har du rett til når som helst å trekke samtykket tilbake. Behandlingen må da stanses, og dine personopplysninger skal slettes. Der ASD behandler personopplysninger om deg med grunnlag i ASDs berettigede interesser har du rett til å protestere mot dette eller be om at opplysningene slettes, noe som også vil føre til stans av behandlingen med påfølgende sletting av opplysningene. Tilfellene over vil eksempelvis være gjeldende for personopplysninger som står registrert i presse- og kommunikasjonsavdelingens medielogg (pressehenvendelser). ASD behandler i all hovedsak personopplysninger om privatpersoner utenfor egen organisasjon i forbindelse med ASDs lovpålagte oppgaver, og ikke med grunnlag i samtykke eller berettiget interesse. Rettighetene som beskrevet her får derfor ikke anvendelse på mange av behandlingene ASD utfører, da mesteparten av de øvrige personopplysningene ASD behandler vil måtte arkiveres i henhold til ASDs lovpålagte arkiveringsplikt.

Rett til å protestere mot behandling

Dersom du ikke ønsker at departementet skal behandle opplysningene dine har du rett til å protestere mot behandlingen og be om at den stanses. Retten til å protestere gjelder ikke dersom behandlingen av personopplysningene er nødvendig for å utføre en avtale du har med departementet, dersom departementet er pålagt i lov å behandle opplysningene, eller dersom ASD kan vise til at tungtveiende grunner går foran protesten din.

Klage på ASDs behandling av personopplysninger

Dersom du mener at ASD behandler dine personopplysninger i strid med personopplysningsloven og personvernforordningen har du rett til å klage til Datatilsynet. En eventuell klage kan leveres via deres nettsider.

Du kan lese mer om personvern og dine rettigheter på Datatilsynets egne nettsider.

Kontaktinformasjon ved innsyn eller spørsmål om rettigheter

Ønsker du innsyn i egne personopplysninger kan henvendelsen sendes per e-post til: postmottak@asd.dep.no.

Har du spørsmål om dine rettigheter i forbindelse med behandling av dine personopplysninger i ASD, kan henvendelsen sendes per e-post til: personvernombud@asd.dep.no

Henvendelser kan også sendes via brevpost til: Arbeids- og sosialdepartementet, Postboks 8019 Dep, 0030 Oslo.

Du vil få svar på din henvendelse så raskt som mulig, og senest innen 30 dager.

Til toppen