Personvernerklæring for Finansdepartementet
Dato: 01.08.2018 | Finansdepartementet
Innledning
I forbindelse med sin saksbehandling og virksomhet som offentlig organ vil Finansdepartementet (FIN) behandle personopplysninger om personer utenfor egen virksomhet (brukere). Personopplysninger er enhver opplysning om fysiske personer, mens behandling omfatter enhver bruk av disse opplysningene.
FIN er behandlingsansvarlig for den behandlingen av personopplysninger som beskrives i denne erklæringen, hvor finansråden har det overordnede ansvaret for at FIN skal behandle personopplysninger i tråd med personopplysningsloven og personopplysningsforskriften.
Personopplysningsloven, personvernforordningen og personopplysningsforskriften setter krav til behandling av personopplysninger som utføres med elektroniske hjelpemidler eller inngår i et personregister. Departementets retningslinjer gir føringer for behandlingen av personopplysninger i FIN, og er en del av departementets internkontrollsystem.
Denne personvernerklæringen skal gi nærmere informasjon om hvordan FIN behandler personopplysninger om personer utenfor egen virksomhet.
Behandling av personopplysninger i FIN
Behandling av personopplysninger i forbindelse med FINs saksbehandling
FIN behandler personopplysninger for å oppfylle departementets lovpålagte oppgaver etter bl.a. forvaltningsloven, offentleglova, arkivloven og personopplysningsloven.
Slik saksbehandling gjelder blant annet vedtak eller beslutninger i saker som berører konsesjoner samt klagesaksbehandling. Dette kan også omfatte henvendelser fra privatpersoner, organisasjoner eller andre offentlige myndigheter/underliggende virksomheter, med formål om å få redegjort for en sak eller FINs forståelse av et gitt regelverk.
Det registreres ulike typer personopplysninger i saks- og arkivsystemet. Dette er opplysninger som navn, adresse, telefonnummer, e-postadresse (grunndata) og annen relevant informasjon som fremgår av henvendelsen. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger
I forbindelse med saksbehandlingen kan FIN komme til å behandle andre typer personopplysninger enn de som er nevnt her, dersom dette er nødvendig for å gjennomføre behandlingen av den enkelte sak.
Disse personopplysningene kan gjelde for mange ulike kategorier registrerte slik som eksempelvis privatpersoner som er gjenstand for saken og andre som er involvert i den enkelte sak.
Personopplysningene som behandles i forbindelse med FINs saksbehandling er hovedsakelig innhentet fra FINs underliggende organer. Dersom det er nødvendig for behandlingen av den enkelte sak, kan opplysninger også innsamles direkte fra den saksbehandlingen gjelder, eller andre med tilknytning til den enkelte sak. Som en del av den pålagte saksbehandlingen innhenter FIN i noen tilfeller opplysninger fra andre etater på eget initiativ i medhold av forvaltningsloven § 17.
Personopplysningene knyttet til FINs saksbehandling vil lagres hos FIN så lenge de er nødvendige for å gjennomføre saksbehandlingen. FIN har som offentlig myndighet arkivplikt for arkivverdige dokumenter og vil derfor ikke slette slike nødvendige opplysninger. Registrering, lagring og oppbevaring av saksbehandlingsmateriale skjer i henhold til arkivlovgivningen.
FIN bruker WebSak saks- og arkivsystem med elektronisk journalføring og elektronisk lagring av dokumenter. WebSak er et saks- og arkivsystem fra leverandøren Acos AS som følger offentlige standarder (NOARK).
Mottakere av opplysninger og innsyn etter offentleglova
FIN er lovpålagt å gjøre sine offentlige postjournaler tilgjengelige for allmennheten på internett. En journal er systematisk og fortløpende registrering av alle inngående og utgående saksdokumenter. Journalene gjøres tilgjengelig på en felles portal som kalles eInnsyn, som er en samordning av offentlige postjournaler i en allment tilgjengelig tjeneste på internett.
Forespørsler om innsyn via eInnsyn blir lagt inn i en egen modul for innsynsbehandling. Alle innsynskrav fra eInnsyn registreres her, og svar blir ekspedert fra samme modul.
Ved krav om innsyn utleveres personopplysninger i henhold til offentleglova og forvaltningsloven. Opplysninger som er nødvendig for behandling av klagesaker vil bli utlevert til Kongen i statsråd, som er FINs klageorgan.
Behandling av personopplysninger i forbindelse med pressehenvendelser til FIN
FIN behandler også personopplysninger som mottas ved henvendelser fra pressen og lignende interessenter.
I forbindelse med henvendelser fra pressen opprettholder FIN en oversikt med relevante opplysninger om de pressekontaktene FIN kommuniserer med. Denne oversikten omfatter opplysninger gitt av det enkelte pressemedlem ved henvendelser til FIN, som omfatter navn, kontaktinformasjon (epost og telefon) og arbeidsgiver.
Grunnlaget for denne behandlingen er FINs berettigede interesse i å besørge god kommunikasjon med pressen for å ivareta åpenheten i forvaltningen. For å ivareta denne interessen opprettholder FIN oversikten over pressekontakter for å administrere henvendelser, da det anses som et nødvendig for å håndtere henvendelser fra pressen på en oversiktlig og effektiv måte.
Opplysningene slettes dersom FIN får beskjed om at et pressemedlem ikke lenger ønsker å stå oppført i presselisten, og ellers når FIN blir kjent med endringer.
Henvendelser til FIN
FIN benytter e-post og telefon som en del av det daglige arbeidet. Relevante opplysninger som fremkommer av e-postutveksling som skjer som en del av saksbehandling, journalføres. Disse opplysningene behandles i så fall som beskrevet over (se «Behandling i forbindelse med saksbehandling»). Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som journalføres. Den enkelte saksbehandler er ansvarlig for å slette e-poster som ikke lenger er aktuelle, og minst hvert år gjennomgå og slette unødvendig innhold i e-postkassen. Ved fratreden slettes e-postkontoene, men enkelte relevante e-poster vil normalt bli overført til kollegaer.
Sensitive personopplysninger skal ikke sendes med e-post. FIN gjør oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer derfor til å ikke sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.
Dine rettigheter
I den grad FIN behandler personopplysninger om deg, har du flere rettigheter etter personvernregelverket.
Du har rett til å be om innsyn, for å få informasjon om hvorvidt personopplysninger om deg behandles av FIN. Dersom dette er tilfellet har du og rett til å få utlevert en kopi av disse opplysningene. Dersom behandlingen av personopplysninger du har gitt til FIN bygger på samtykke eller avtale, har du videre rett til å få disse utlevert i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet). Siden FIN kun unntaksvis behandler personopplysninger om privatpersoner med grunnlag i samtykke eller avtale, gjelder imidlertid denne retten kun de aller færreste av personopplysningene FIN behandler.
Dersom du mener personopplysningene FIN har lagret om deg ikke er riktige (f. eks. feil epostadresse, navn, bosted eller lignende) har du rett til å be om at disse blir rettet.
Foruten FINs interne rutiner om sletting, har du også rett til å be om at personopplysningene departementet har om deg, slettes. Omfanget av denne retten vil avhenge av ditt forhold til FIN. Personopplysninger registrert i kommunikasjonsavdelingens medielogg vil eksempelvis kunne slettes ved din forespørsel, mens en stort del av personopplysningene FIN behandler vil måtte arkiveres i henhold til FINs lovpålagte arkiveringsplikt.
Dersom du ikke ønsker at FIN skal slette opplysningene dine, men har en grunn til å ønske at departementet skal stanse å behandle de på andre måter, har du etter nærmere omstendigheter rett til å be om dette.
Der FIN behandler dine personopplysninger med grunnlag i ditt samtykke, har du rett til å når som helst trekke dette tilbake. Behandlingen vil da stanses, og dine personopplysninger slettes. Der FIN behandler personopplysninger om deg med grunnlag i FINs berettigede interesser har du videre rett til å protestere mot dette, noe som også vil medføre stans av behandlingen med påfølgende sletting av opplysningene. FIN behandler i all hovedsak personopplysninger om privatpersoner utenfor egen organisasjon i forbindelse med FINs lovpålagte oppgaver. Disse rettighetene får derfor ikke anvendelse på mange av behandlingene FIN utfører. Retten til å protestere kan allikevel benyttes i forbindelse med registrering i FINs presseliste. Der behandlingen har grunnlag i samtykke, vil du bli spurt om å avgi dette for hvert tilfelle.
Dersom du mener at noen av disse rettighetene er aktuelle i ditt forhold til FIN, kan du rette en henvendelse om dette til FIN ved å sende e-post til postmottak@fin.dep.no. Når du sender en slik henvendelse, vil FIN svare deg innen 30 dager.
Personvernombud
Seniorrådgiver Ane Margret Wigers er personvernombud i Finansdepartementet.
Personvernombudets oppgaver er å:
- kontrollere overholdelsen av personvernregelverket,
- gi råd om vurderingen av personvernkonsekvenser (Data Protection Impact Assessment – DPIA) og kontrollere gjennomføringen av konsekvensvurderingene,
- samarbeide med Datatilsynet og ha funksjon som kontaktpunkt,
- prioritere innsats der personvernrisikoen er høyest, og
- bidra til å få oversikt over behandlingene av personopplysninger i Finansdepartementet.
Ane Margrete Wigers kan kontaktes på telefon 95 10 83 51 eller e-post: Ane-Margrete.Wigers@fin.dep.no.
Dersom du mener at FIN behandler dine personopplysninger i strid med personopplysningsloven, personvernforordningen, eller personvernregelverket for øvrig har du rett til å levere en klage til Datatilsynet. Klager kan leveres via kontaktfunksjonen på deres nettsider.
Du kan lese mer om dine rettigheter, og hva disse innebærer på Datatilsynets nettsider.
Informasjonssikkerhet og internkontroll
Personopplysningsloven pålegger behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Dette gjelder uavhengig av hva slags personopplysninger som behandles, og uavhengig av hvilke hjelpemidler som benyttes. Gjennom planlagte og systematiske tiltak skal det sørges for tilfredsstillende informasjonssikkerhet. Det skal gjøres risikovurderinger av alle viktige systemer jevnlig eller etter behov.
Det skal rapporteres om avvik ved brudd på kravene til behandling av personopplysninger. Avvik skal rapporteres til finansråd, ekspedisjonssjefer, sikkerhetsleder og/eller Datatilsynet alt etter alvorlighetsgrad.
Databehandlere
Når eksterne behandler personopplysninger på vegne av FIN, stilles det klare krav til behandlingen. Det inngås databehandleravtaler i henhold til gjeldende lov. Databehandleravtalene etablerer klare ansvars- og myndighetsforhold med alle som opptrer som databehandlere for FIN.
Ved saksbehandling og andre henvendelser fra eksterne, kan FIN benytte ekstern bistand til blant annet oversettelse av dokumenter og i forbindelse med rekruttering.