Personvernerklæring for Justis- og beredskapsdepartementet

Innledning

I forbindelse med sin saksbehandling og virksomhet som offentlig organ vil Justis- og beredskapsdepartementet (JD) behandle personopplysninger om personer utenfor egen virksomhet (brukere). Personopplysninger er enhver opplysning om fysiske personer, mens behandling omfatter enhver bruk av disse opplysningene.

JD er behandlingsansvarlig for den behandlingen av personopplysninger som beskrives i denne erklæringen, hvor departementsråden har det overordnede ansvaret for at JD skal behandle personopplysninger i tråd med personopplysningsloven og personopplysningsforskriften.

Personopplysningsloven, personvernforordningen og personopplysningsforskriften setter krav til behandling av personopplysninger som utføres med elektroniske hjelpemidler eller inngår i et personregister. Departementets retningslinjer gir føringer for behandlingen av personopplysninger i JD, og er en del av departementets internkontrollsystem.

Denne personvernerklæringen skal gi nærmere informasjon om hvordan JD behandler personopplysninger om personer utenfor egen virksomhet.

Behandling av personopplysninger i JD

Behandling av personopplysninger i forbindelse med JDs saksbehandling

JD behandler personopplysninger for å oppfylle departementets lovpålagte oppgaver etter bl.a. utlendingsloven, forvaltningsloven, offentleglova, arkivloven og personopplysningsloven.

Slik saksbehandling gjelder blant annet benådningssaker, rettsanmodninger, utleveringssaker, og vedtak eller beslutninger i saker som berører grunnleggende nasjonale interesser eller utenrikspolitiske hensyn, samt klagesaksbehandling. Dette kan også omfatte henvendelser fra privatpersoner, organisasjoner eller andre offentlige myndigheter/underliggende virksomheter, med formål om å få redegjort for en sak eller JDs forståelse av et gitt regelverk.

Det registreres ulike typer personopplysninger i saks- og arkivsystemet. Dette er opplysninger som navn, adresse, telefonnummer, e-postadresse (grunndata) og annen relevant informasjon som fremgår av henvendelsen. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger

I forbindelse med saksbehandlingen kan JD komme til å behandle andre typer personopplysninger enn de som er nevnt her, dersom dette er nødvendig for å gjennomføre behandlingen av den enkelte sak.

Disse personopplysningene kan gjelde for mange ulike kategorier registrerte slik som eksempelvis privatpersoner som er gjenstand for saken og andre som er involvert i den enkelte sak.

Personopplysningene som behandles i forbindelse med JDs saksbehandling er hovedsakelig innhentet fra JDs underliggende organer. Dersom det er nødvendig for behandlingen av den enkelte sak, kan opplysninger også innsamles direkte fra den saksbehandlingen gjelder, eller andre med tilknytning til den enkelte sak. Som en del av den pålagte saksbehandlingen innhenter JD i noen tilfeller opplysninger fra andre etater på eget initiativ i medhold av forvaltningsloven § 17.

Personopplysningene knyttet til JDs saksbehandling vil lagres hos JD så lenge de er nødvendige for å gjennomføre saksbehandlingen. JD har som offentlig myndighet arkivplikt for arkivverdige dokumenter og vil derfor ikke slette slike nødvendige opplysninger. Registrering, lagring og oppbevaring av saksbehandlingsmateriale skjer i henhold til arkivlovgivningen.

JD bruker WebSak saks- og arkivsystem med elektronisk journalføring og elektronisk lagring av dokumenter. WebSak er et saks- og arkivsystem fra leverandøren Acos AS som følger offentlige standarder (NOARK).

Mottakere av opplysninger og innsyn etter offentleglova

JD er lovpålagt å gjøre sine offentlige postjournaler tilgjengelige for allmennheten på internett. En journal er systematisk og fortløpende registrering av alle inngående og utgående saksdokumenter. Journalene gjøres tilgjengelig på en felles portal som kalles eInnsyn, som er en samordning av offentlige postjournaler i en allment tilgjengelig tjeneste på internett.

Forespørsler om innsyn via eInnsyn blir lagt inn i en egen modul for innsynsbehandling. Alle innsynskrav fra eInnsyn registreres her, og svar blir ekspedert fra samme modul.

Ved krav om innsyn utleveres personopplysninger i henhold til offentleglova og forvaltningsloven. Opplysninger som er nødvendig for behandling av klagesaker vil bli utlevert til Kongen i statsråd, som er JDs klageorgan.

Behandling av personopplysninger i forbindelse med pressehenvendelser til JD

JD behandler også personopplysninger som mottas ved henvendelser fra pressen og lignende interessenter.

I forbindelse med henvendelser fra pressen opprettholder JD en oversikt med relevante opplysninger om de pressekontaktene JD kommuniserer med. Denne oversikten omfatter opplysninger gitt av det enkelte pressemedlem ved henvendelser til JD, som omfatter navn, kontaktinformasjon (epost og telefon) og arbeidsgiver.

Grunnlaget for denne behandlingen er JDs berettigede interesse i å besørge god kommunikasjon med pressen for å ivareta åpenheten i forvaltningen. For å ivareta denne interessen opprettholder JD oversikten over pressekontakter for å administrere henvendelser, da det anses som et nødvendig for å håndtere henvendelser fra pressen på en oversiktlig og effektiv måte.

Dersom JD får beskjed om at et pressemedlem ikke lenger ønsker å stå oppført i presselisten, og ellers når JD blir kjent med endringer, vil opplysningene slettes.

Henvendelser til JD

JD benytter e-post og telefon som en del av det daglige arbeidet. Relevante opplysninger som fremkommer av e-postutveksling som skjer som en del av saksbehandling, journalføres. Disse opplysningene behandles i så fall som beskrevet over (se «Behandling i forbindelse med saksbehandling»). Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som journalføres. Den enkelte saksbehandler er ansvarlig for å slette e-poster som ikke lenger er aktuelle, og minst hvert år gjennomgå og slette unødvendig innhold i e-postkassen. Ved fratreden slettes e-postkontoene, men enkelte relevante e-poster vil normalt bli overført til kollegaer.

Sensitive personopplysninger skal ikke sendes med e-post. JD gjør oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer derfor til å ikke sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.

Dine rettigheter

I den grad JD behandler personopplysninger om deg, har du flere rettigheter etter personvernregelverket.

Du har rett til å be om innsyn, for å få informasjon om hvorvidt personopplysninger om deg behandles av JD. Dersom dette er tilfellet har du og rett til å få utlevert en kopi av disse opplysningene. Dersom behandlingen av personopplysninger du har gitt til JD bygger på samtykke eller avtale, har du videre rett til å få disse utlevert i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet). Siden JD kun unntaksvis behandler personopplysninger om privatpersoner med grunnlag i samtykke eller avtale, gjelder imidlertid denne retten kun de aller færreste av personopplysningene JD behandler.

Dersom du mener personopplysningene JD har lagret om deg ikke er riktige (f. eks. feil epostadresse, navn, bosted eller lignende) har du rett til å be om at disse blir rettet.

Foruten JDs interne rutiner om sletting, har du også rett til å be om at personopplysningene departementet har om deg, slettes. Omfanget av denne retten vil avhenge av ditt forhold til JD. Personopplysninger registrert i kommunikasjonsavdelingens medielogg vil eksempelvis kunne slettes ved din forespørsel, mens en stort del av personopplysningene JD behandler vil måtte arkiveres i henhold til JDs lovpålagte arkiveringsplikt.

Dersom du ikke ønsker at JD skal slette opplysningene dine, men har en grunn til å ønske at departementet skal stanse å behandle de på andre måter, har du etter nærmere omstendigheter rett til å be om dette.

Der JD behandler dine personopplysninger med grunnlag i ditt samtykke, har du rett til å når som helst trekke dette tilbake. Behandlingen vil da stanses, og dine personopplysninger slettes. Der JD behandler personopplysninger om deg med grunnlag i JDs berettigede interesser har du videre rett til å protestere mot dette, noe som også vil medføre stans av behandlingen med påfølgende sletting av opplysningene. JD behandler i all hovedsak personopplysninger om privatpersoner utenfor egen organisasjon i forbindelse med JDs lovpålagte oppgaver. Disse rettighetene får derfor ikke anvendelse på mange av behandlingene JD utfører. Retten til å protestere kan allikevel benyttes i forbindelse med registrering i JDs presseliste. Der behandlingen har grunnlag i samtykke, vil du bli spurt om å avgi dette for hvert tilfelle.

Dersom du mener at noen av disse rettighetene er aktuelle i ditt forhold til JD, kan du rette en henvendelse om dette til JD ved å sende e-post til personvernombud@jd.dep.no og postmottak@jd.dep.no. Når du sender en slik henvendelse, vil JD svare deg innen 30 dager.

Dersom du mener at JD behandler dine personopplysninger i strid med personopplysningsloven, personvernforordningen, eller personvernregelverket for øvrig har du rett til å levere en klage til Datatilsynet. Klager kan leveres via kontaktfunksjonen på deres nettsider.

Du kan lese mer om dine rettigheter, og hva disse innebærer på Datatilsynets nettsider.

Informasjonssikkerhet og internkontroll

Personopplysningsloven pålegger behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Dette gjelder uavhengig av hva slags personopplysninger som behandles, og uavhengig av hvilke hjelpemidler som benyttes. Gjennom planlagte og systematiske tiltak skal det sørges for tilfredsstillende informasjonssikkerhet. Det skal gjøres risikovurderinger av alle viktige systemer jevnlig eller etter behov. JD har utarbeidet en egen informasjonssikkerhetspolicy, retningslinjer for informasjonssikkerhet og brukerinstrukser som legges til grunn ved sikring av personopplysninger.

Det er etablert rutiner, herunder planlagte og systematiske tiltak, som er nødvendige for å oppfylle kravene i personopplysningsloven. Etterlevelsen av kravene til behandling av personopplysninger skal dokumenteres etter gjeldende rutiner. JD har også en oversikt over hva slags personopplysninger som behandles i departementet. Oversikten skal holdes oppdatert.

Det er etablert særlige sikkerhetstiltak og rutiner for svært beskyttelsesverdig informasjon i arkivet, som for eksempel sensitive personopplysninger og gradert informasjon.

Det skal rapporteres om avvik ved brudd på kravene til behandling av personopplysninger. Avvik skal rapporteres til departementsråd, ekspedisjonssjefer, sikkerhetsleder, personvernombud, og/eller Datatilsynet alt etter alvorlighetsgrad.

Databehandlere

Når eksterne behandler personopplysninger på vegne av JD, stilles det klare krav til behandlingen. Det inngås databehandleravtaler i henhold til gjeldende lov. Databehandleravtalene etablerer klare ansvars- og myndighetsforhold med alle som opptrer som databehandlere for JD.

Ved saksbehandling og andre henvendelser fra eksterne, benytter JD ekstern bistand til blant annet oversettelse av dokumenter, varslingssaker og i forbindelse med rekruttering.

Personvernombud

Det er opprettet et personvernombud for JD. Personvernombudet skal påse at kravene til behandling av personopplysninger blir fulgt, og være en ressursperson som styrker departementets kunnskap om personvern.

Personvernombudets hovedoppgaver omfatter blant annet å:

  • Være kontaktpunkt for de registrerte, og mellom Datatilsynet og departementet
  • Informere og gi råd til departementet og de ansatte om de forpliktelser som følger av regelverket
  • Kontrollere etterlevelse av personopplysningsloven og departementets retningslinjer for personvern
  • Gi råd om og delta i arbeidet med konsekvensanalyser i medhold av forordningen art. 39 1 c)
  • Samarbeide med Datatilsynet

Kontaktinformasjon: personvernombud@jd.dep.no.  

Ytterligere informasjon

Personvernerklæring for regjeringen.no