Aktiver Javascript i din nettleser for en bedre opplevelse på regjeringen.no

Personvernerklæring for Kommunal- og moderniseringsdepartementet

Denne personvernerklæringen gir nærmere informasjon om hvordan KMD behandler personopplysninger om personer i og utenfor egen virksomhet.

Innledning

I forbindelse med sin saksbehandling og virksomhet som offentlig organ, vil Kommunal- og moderniseringsdepartementet (KMD) behandle personopplysninger om personer både i og utenfor egen virksomhet (brukere). Personopplysninger er enhver opplysning om identifiserbare
fysiske personer, mens behandling omfatter enhver bruk av disse opplysningene.

KMDs styringssystem for personvern, er en integrert del av KMDs styringssystem for informasjonssikkerhet (ISMS). ISMS fungerer som departementets internkontroll med behandlingen av personopplysninger.

KMD er ansvarlig for at behandlingen av personopplysninger som beskrives i denne erklæringen er i samsvar med personvernforordningen, personopplysningsloven, og tilhørende forskrifter. KMDs departementsråd har det overordnede ansvaret for behandlingen av personopplysninger
i KMD.

Personvernforordningen, personopplysningsloven, og forskrifter til personopplysningsloven setter krav til helt eller delvis automatisert behandling av personopplysninger og til ikke-automatisert
behandling av personopplysninger som inngår eller skal inngå i et personregister. Departementets retningslinjer for behandling av personopplysninger, er en del av departementets internkontrollsystem.

Behandling av personopplysninger i forbindelse med KMDs saksbehandling

KMD behandler personopplysninger for å oppfylle departementets lovpålagte oppgaver etter bl.a. forvaltningsloven, offentleglova og arkivloven. Bestemmelser i disse lovene vil utgjøre behandlingsgrunnlag etter personvernforordningen artikkel 6 for KMDs behandling av personopplysninger.

KMDs saksbehandling omfatter behandling av henvendelser til/fra privatpersoner, organisasjoner eller andre offentlige myndigheter/underliggende virksomheter, i forbindelse med KMDs myndighetsutøvelse og administrative funksjoner.

Det registreres ulike typer personopplysninger i saks- og arkivsystemet. Dette er grunndata som bl.a. navn, adresse, e-postadresse,  og annen relevant informasjon som fremgår av henvendelsen. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger.

I forbindelse med saksbehandlingen kan KMD komme til å behandle andre typer personopplysninger enn de som er nevnt her, dersom dette er nødvendig for å gjennomføre behandlingen av den enkelte sak.

Opplysninger kan innhentes direkte fra den saksbehandlingen gjelder, eller fra andre med tilknytning til den enkelte sak. Som en del av den pålagte saksbehandlingen innhenter KMD i noen tilfeller opplysninger fra andre etater på eget initiativ, i medhold av forvaltningsloven § 17.

Personopplysningene knyttet til KMDs saksbehandling lagres hos KMD så lenge de er nødvendige for å gjennomføre saksbehandlingen. KMD har, som offentlig myndighet, arkivplikt for arkivverdige dokumenter og vil derfor ikke slette opplysninger i arkivverdige dokumenter. Registrering, lagring og oppbevaring av arkivverdig materiale skjer i henhold til arkivlovgivningen.

KMD bruker WebSak saks- og arkivsystem med elektronisk journalføring og elektronisk lagring av dokumenter. WebSak er et saks- og arkivsystem fra leverandøren Acos AS som følger offentlige standarder (NOARK).

KMD behandler også personopplysninger om deltakere til kurs og seminarer som vi arrangerer.

Mottakere av opplysninger og innsyn etter offentleglova

KMD er lovpålagt å gjøre sine postjournaler offentlig tilgjengelige for allmennheten på internett. En journal er systematisk og fortløpende registrering av alle inngående og utgående saksdokumenter. Journalene gjøres tilgjengelig på en felles portal som kalles eInnsyn, som er en samordning av offentlige postjournaler i en allment tilgjengelig tjeneste på internett.

Forespørsler om innsyn via eInnsyn behandles i departementes sak-/arkivsystem. Alle innsynskrav og svar på disse registreres her.

Ved krav om innsyn utleveres personopplysninger i samsvar med reglene i offentleglova og forvaltningsloven. Opplysninger som er nødvendige for behandling av klagesaker vil bli utlevert til Kongen i statsråd, som er KMDs klageorgan.

Behandling av personopplysninger i forbindelse med pressehenvendelser til KMD

Henvendelser fra pressen loggføres. Oversikten omfatter spørsmål/opplysninger gitt av det enkelte pressemedlem ved henvendelser til KMD, og inneholder i tillegg navn, kontaktinformasjon (epost og telefon) og arbeidsgiver.

Det rettslige grunnlaget for denne behandlingen er KMDs berettigede interesse i å sørge for god kommunikasjon med pressen, for å ivareta åpenheten i forvaltningen. For å ivareta denne interessen opprettholder KMD oversikten over pressekontakter for å administrere henvendelser, da dette anses som nødvendig for å håndtere henvendelser fra pressen på en oversiktlig og effektiv måte.

Opplysningene slettes dersom KMD får beskjed om at et pressemedlem ikke lenger ønsker å stå oppført i presselisten, og oppdateres når KMD blir kjent med endringer.

Henvendelser til KMD

KMD benytter e-post og telefon som en del av det daglige arbeidet. Relevante opplysninger som fremkommer av e-postutveksling som skjer som en del av saksbehandling, journalføres. Disse opplysningene behandles i så fall som beskrevet over (se «Behandling i forbindelse med saksbehandling»). Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som journalføres. Når en ansatt slutter slettes vedkommendes e-postkonto.

Sensitive personopplysninger skal ikke sendes med e-post. KMD gjør oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer derfor til å ikke sende taushetsbelagte eller andre beskyttelsesverdige opplysninger via e-post.

Dine rettigheter

Når KMD behandler personopplysninger om deg, har du flere rettigheter etter personvernregelverket.

Du har rett til å få informasjon om hvorvidt KMD behandler personopplysninger om deg. Dersom dette er tilfellet, har du og rett til å be om innsyn i opplysningene og å få utlevert en kopi av disse opplysningene. Dersom KMD behandler opplysninger om deg med grunnlag i samtykke eller avtale, har du rett til å få opplysningene utlevert i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet). Siden KMD kun unntaksvis behandler personopplysninger om privatpersoner med grunnlag i samtykke eller avtale, gjelder imidlertid denne retten de aller færreste av personopplysningene KMD behandler.

Dersom du mener personopplysningene KMD har lagret om deg ikke er riktige (f. eks. feil epostadresse, navn, bosted eller lignende) har du rett til å be om at disse blir rettet.

I visse tilfeller kan du be om at personopplysningene departementet har om deg, slettes. Omfanget av denne retten vil avhenge av ditt forhold til KMD. Personopplysninger registrert i kommunikasjonsavdelingens medielogg vil for eksempel kunne slettes på din forespørsel, mens en stor del av personopplysningene KMD behandler vil måtte arkiveres i henhold til KMDs lovpålagte arkiveringsplikt. Du kan også i enkelte tilfeller, be om at departementet begrenser sin behandling av opplysninger om deg.

KMD behandler i all hovedsak personopplysninger om privatpersoner utenfor egen organisasjon som ledd i utførelse av KMDs myndighetsutøvelse og administrative funksjoner. Der KMD behandler dine personopplysninger med grunnlag i ditt samtykke, har du rett til når som helst å trekke dette tilbake. Behandlingen vil da stanses, og dine personopplysninger slettes. Der KMD behandler personopplysninger om deg med grunnlag i KMDs berettigede interesse har du videre rett til å protestere mot behandlingen, noe som også vil medføre stans av behandlingen, med påfølgende sletting av opplysningene. Disse rettighetene får derfor ikke anvendelse på mange av behandlingene KMD utfører. Retten til å protestere kan allikevel benyttes i forbindelse med registrering i KMDs presseliste. Der behandlingen har grunnlag i samtykke, vil du bli spurt om å avgi dette for hvert tilfelle.  

Dersom du mener at noen av disse rettighetene er aktuelle i ditt forhold til KMD, kan du rette en henvendelse om dette til KMD ved å sende e-post til  postmottak@kmd.dep.no. Når du sender en slik henvendelse, vil KMD svare deg innen 30 dager.

Dersom du mener at KMD behandler dine personopplysninger i strid med personvernforordningen, personopplysningsloven eller andre regler har du rett til å levere en klage til Datatilsynet. Klager kan leveres via kontaktfunksjonen på deres nettsider.

Du kan lese mer om dine rettigheter, og hva disse innebærer på Datatilsynets nettsider.

Dataportabilitet

Med retten til dataportabilitet kan du få utlevert personopplysninger om deg og gjenbruke disse som du vil på tvers av ulike systemer og tjenester, og du kan flytte persondata fra en tjenesteleverandør til en annen på en trygg og sikker måte. Din rett til dataportabilitet gjelder kun hvis opplysningene du ønsker utlevert er samlet inn på bakgrunn av samtykke eller kontrakt. Rettigheten gjelder kun opplysninger som du selv har gitt til virksomheten. Dette gjelder for eksempel opplysninger som du bevisst og aktivt har gitt fra deg, for eksempel i forbindelse med opprettelse av en brukerkonto. Det gjelder også opplysninger som er samlet inn fra deg gjennom aktiv bruk av en tjeneste.

Personopplysninger som ikke er samlet inn direkte fra deg, er ikke omfattet av denne retten. Dette gjelder blant annet opplysninger som er utledet basert på din aktive bruk av en tjeneste. Dette er ikke opplysninger som er avgitt direkte av deg, men som virksomheten selv har opprettet basert på analyse av din bruk av tjenesten.

Du har krav på å få dataene utlevert så raskt som mulig, og senest innen en måned. Du bør sende opplysningene videre på samme måte som du fikk dem.

Departementet vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg – og ikke noen som gir seg ut for å være deg.

Informasjonssikkerhet og internkontroll

Personopplysningsloven pålegger behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet som ivaretar konfidensialitet, integritet og tilgjengelighet. Dette gjelder uavhengig av hva slags personopplysninger som behandles, og uavhengig av hvilke hjelpemidler som benyttes. Gjennom planlagte og systematiske tiltak skal det sørges for tilfredsstillende informasjonssikkerhet. Det skal gjøres risikovurderinger av alle viktige systemer jevnlig eller etter behov. KMD har utarbeidet en egen informasjonssikkerhetspolicy, retningslinjer for informasjonssikkerhet og brukerinstrukser som legges til grunn ved sikring av personopplysninger.

Det er etablert rutiner, herunder planlagte og systematiske tiltak, som er nødvendige for å oppfylle kravene i personopplysningsloven. Etterlevelsen av kravene til behandling av personopplysninger skal dokumenteres etter gjeldende rutiner. KMD har også en oversikt over hva slags personopplysninger som behandles i departementet. Oversikten skal holdes oppdatert.

Det er etablert særlige sikkerhetstiltak og rutiner for svært beskyttelsesverdig informasjon i KMDs arkiv, som for eksempel personopplysninger, opplysninger underlagt taushetsplikt og gradert informasjon.

Det skal rapporteres om avvik ved brudd på kravene til behandling av personopplysninger. Avvik skal rapporteres til departementsråd, ekspedisjonssjefer, sikkerhetsleder, personvernombud, og/eller Datatilsynet alt etter alvorlighetsgrad.

Databehandlere

Når eksterne behandler personopplysninger på vegne av KMD, stilles det klare krav til behandlingen. Det inngås databehandleravtaler i henhold til gjeldende regelverk. Databehandleravtalene etablerer klare ansvars- og myndighetsforhold med alle som er databehandlere for KMD.

Ved saksbehandling og andre henvendelser fra eksterne, benytter

KMD ekstern bistand til blant annet oversettelse av dokumenter og i forbindelse med rekruttering.

Personvernombud

Det er opprettet et personvernombud for KMD. Personvernombudet skal bistå departementsråden i å etterleve kravene til behandling av personopplysninger, og være en ressursperson som styrker departementets kunnskap om personvern.

Personvernombudets hovedoppgaver omfatter blant annet å:

  • Være kontaktpunkt for de registrerte, og mellom Datatilsynet og departementet
  • Informere og gi råd til departementet og de ansatte om de forpliktelser som følger av regelverket
  • Kontrollere etterlevelse av personvernforordningen, personopplysningsloven og departementets retningslinjer for personvern
  • Gi råd om og delta i arbeidet med konsekvensanalyser i medhold av forordningen
  • Samarbeide med Datatilsynet

Kontaktinformasjon:  personvernombud@kmd.dep.no

Personvernpolitikk på regjeringen.no

Regjeringen.no er en portal for statsministerens kontor (SMK) og departementene sine hjemmesider. SMK og departementene har egne redaksjoner med et selvstendig ansvar for sine sider på regjeringen.no. SMK har det redaksjonelle ansvaret for tjenestens portalforside, samt for informasjon om sittende og tidligere regjeringer. Departementenes sikkerhets- og serviceorganisasjon (DSS) har koordinerende ansvar for drift og utvikling av nettstedet og redaktøransvar for alle fellessider. For ytterlige opplysninger, se regjeringen.no sin egen personvernerklæring.

Abonnere på nyhetsbrev

Kommunal- og moderniseringsdepartementet sender ut nyhetsbrev på e-post. Nyhetsbrevene inneholder blant annet nyhetssaker, informasjon om arrangementer, relevante dokumenter og annet faglig innhold.

For at vi skal kunne sende deg nyhetsbrev på e-post, må du registrere en e-postadresse. E-postadressen vil bare bli brukt til å sende ut nyhetsbrevene og eventuelt brukerundersøkelser om nyhetsbrevene.

Din e-postadresse deles ikke med andre, og slettes når vi får beskjed om at du ikke lenger ønsker å motta informasjon fra oss. Opplysningene slettes også om vi får tilbakemelding om at e-postadressen ikke lenger er aktiv. I hvert enkelt nyhetsbrev kan du klikke på en lenke for å melde deg av.

Behandlingsgrunnlaget for behandling av e-postadressen din i tilknytning til våre nyhetsbrev er personvernforordningen artikkel 6 nr. 1 a), altså samtykke.

Ved å melde deg på et av våre nyhetsbrev samtykker du til vår behandling av opplysninger om deg. Påmeldingen må bekreftes ved å klikke på en lenke i e-post, såkalt dobbelt opt-in. Det er for at vi skal kunne dokumentere din påmelding til nyhetsbrevet.

MailChimp er databehandler for nyhetsbrevet. I forbindelse med utsending av nyhetsbrev fører vi statistikk over bruken, hvor mange som leser og hva som leses. Dette gjør vi får å kunne gi våre lesere mest mulig relevante saker.

Opplysninger om ansatte og jobbsøkere

KMD behandler også opplysninger om ansatte og om jobbsøkere. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 b), behandlingen er nødvendig for å oppfylle en avtale den registrerte er part i og er i samsvar med tjenestemannsloven, særavtale om lønns- og personalregistre i staten, Hovedtariffavtalene i Staten, samt regnskaps- og bokføringslovgivningen.

Departementet behandler personopplysninger om sine ansatte for å administrere lønn og personalansvar. Det er ekspedisjonssjef i administrasjonsavdelingen som har det daglige ansvaret for dette. Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeningstilhørighet. Andre opplysninger om ansatte er knyttet til vedkommendes arbeidsinstruks og tilrettelegging av vedkommendes arbeid.

Dessuten registreres det opplysninger i tilknytning til nøkkeladministrasjon av inn- og utpasseringer og opplysninger om tilgangsstyring i IT-systemet. Opplysningene hentes fra de ansatte selv. Opplysningene utleveres bare i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven. Opplysninger om navn, stilling og arbeidsområde regnes å være offentlige opplysninger og kan publiseres på departementets nettsider.

Alle stillingssøknader og andre arkivverdige dokumenter i forbindelse med en rekruttering blir lagret i departementets elektroniske arkiv. Det elektroniske arkivet er utgangspunkt for en offentlig journal, som publiseres fortløpende på www.einnsyn.no. Navn på søkere er offentlig informasjon og framkommer der. Journalopplysninger slettes ikke. Personnavn tagges og er kun søkbare på eInnsyn inntil ett år etter at journalen ble publisert. Søkere som har bedt om og fått innvilget at søknaden kan unntas offentlighet (jf. offl. § 25 første ledd), får sladdet navnet sitt på eInnsyn. Dette gjelder imidlertid ikke søknaden til alle tidligere og nåværende ansatte. Deres stillingssøknad blir arkivert/oppbevart i personalmappe i vårt arkivsystem. Personalmapper blir ryddet ved utløp av arbeidsforholdet. Personalmapper skal avleveres til Arkivverket. Tilgangen er begrenset til tjenstlig behov.

Logging i departementets fagsystemer

Departementet har alminnelige sikkerhetslogger i sine fagsystemer, og sikkerhetsansvarlig har fått delegert ansvaret for dette. Det er de ansattes bruk av fagsystemet som blir registrert her. Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer. Sikkerhetslogger er en del av KMDs styringssystem for informasjonssikkerhet og et tiltak for å sikre etterlevelse av forordningen artikkel 24 og 25.

Løpende oppdatering

Denne personvernerklæringen oppdateres fortløpende i forhold til gjeldende lover og forskrifter.

Til toppen