Innledning

I forbindelse med Samferdselsdepartementets (SD) saksbehandling og virksomhet som offentlig organ, vil departementet behandle personopplysninger om personer i og utenfor egen virksomhet. Personopplysninger er enhver opplysning om identifiserbare fysiske personer, mens behandling omfatter enhver bruk av disse opplysningene.

SD er behandlingsansvarlig for den behandlingen av personopplysninger som beskrives i denne erklæringen, hvor departementsråden har det overordnede ansvaret for at SD skal behandle personopplysninger i tråd med personopplysningsloven og personopplysningsforskriften.

Personopplysningsloven, personvernforordningen og personopplysningsforskriften setter krav til behandling av personopplysninger som utføres med elektroniske hjelpemidler eller inngår i et personregister. Departementets retningslinjer gir føringer for behandlingen av personopplysninger i SD, og er en del av departementets internkontrollsystem.

Denne personvernerklæringen gir nærmere informasjon om hvordan SD behandler personopplysninger om personer utenfor egen virksomhet.

Behandling av personopplysninger i forbindelse med SDs saksbehandling

SD behandler personopplysninger for å oppfylle departementets lovpålagte oppgaver etter bl.a. forvaltningsloven, offentleglova og arkivloven. Bestemmelser i disse lovene vil utgjøre behandlingsgrunnlag etter personvernforordningen artikkel 6 for departementets behandling av personopplysninger.

SDs saksbehandling omfatter blant annet behandling av henvendelser til/fra privatpersoner, organisasjoner eller andre offentlige myndigheter/underliggende virksomheter i forbindelse med departementets myndighetsutøvelse og administrative funksjoner.

Det blir registrert flere og ulike typer personopplysninger i saks- og arkivsystemet. Opplysninger som navn, postadresse, telefonnummer, e-postadresse (grunndata) og annen relevant informasjon som fremgår av henvendelsen blir registrert. I tillegg kan saksdokumentene i noen tilfeller inneholde sensitive personopplysninger.

I forbindelse med saksbehandlingen kan SD komme til å behandle andre typer personopplysninger enn de som er nevnt her, dersom dette er nødvendig for å gjennomføre behandlingen av den enkelte sak.

Personopplysningene som behandles i forbindelse med SDs saksbehandling er hovedsakelig innhentet fra SDs underliggende etater. Dersom det er nødvendig for behandlingen av den enkelte sak, kan opplysninger også innhentes direkte fra den saksbehandlingen gjelder, eller andre med tilknytning til den enkelte sak. Som en del av den pålagte saksbehandlingen innhenter SD i noen tilfeller opplysninger fra andre etater på eget initiativ i medhold av forvaltningsloven § 17.

Departementet behandler også personopplysninger om deltakere til kurs og seminarer departementet arrangerer.

Personopplysningene knyttet til SDs saksbehandling vil bli lagret hos SD så lenge de er nødvendige for å gjennomføre saksbehandlingen. SD har, som offentlig myndighet, arkivplikt for arkivverdige dokumenter og vil derfor ikke slette opplysninger i disse. Registrering, lagring og oppbevaring av saksbehandlingsmateriale skjer i henhold til arkivlovgivningen (arkivforskriften §§ 9 og 10).

SD bruker WebSak som saks- og arkivsystem med elektronisk journalføring og elektronisk lagring av dokumenter. WebSak er et saks- og arkivsystem fra leverandøren Acos AS som følger offentlige standarder (NOARK).

Ved ansettelser, lagres personopplysninger fra søkere i et rekrutteringssystem i 2 år.

Mottakere av opplysninger og innsyn etter offentleglova

SD er lovpålagt å gjøre sin offentlige postjournal tilgjengelig for allmennheten på internett. En journal er systematisk og fortløpende registrering av alle inngående og utgående saksdokumenter. Journalen gjøres tilgjengelig på en felles portal som kalles eInnsyn, som er en samordning av offentlige postjournaler i en allment tilgjengelig tjeneste på internett.

Forespørsler om innsyn via eInnsyn behandles i departementets sak-/arkivsystem. Alle innsynskrav og svarene på disse blir registrert i departementets sak-/arkivsystem.

Ved krav om dokumentinnsyn utleveres personopplysninger i henhold til offentleglova og forvaltningsloven. Opplysninger som er nødvendig for behandling av klagesaker vil bli utlevert til Kongen i statsråd, som er SDs klageorgan.

Behandling av personopplysninger i forbindelse med mediehenvendelser til SD

SD fører også logg over henvendelser fra media. Oversikten omfatter spørsmål/opplysninger som er gitt av journalisten selv og omfatter navn, kontaktinformasjon (e-post og telefon) og arbeidsgiver.

Det rettslige grunnlaget for denne behandlingen er SDs berettigede interesse i å sørge for god kommunikasjon med media for å ivareta åpenheten i forvaltningen. For å håndtere henvendelser fra pressen på en oversiktlig og effektiv måte, utarbeides det en oversikt over pressekontakter.  

Oversikten over pressekontaktene oppdateres når departementet blir kjent med endringer, og opplysningene blir slettet dersom SD får beskjed om at en journalist ikke lenger ønsker å stå oppført på denne listen.

Henvendelser til SD

SD benytter e-post og telefon som en del av det daglige arbeidet. Relevante opplysninger som fremkommer av e-postutveksling som skjer som en del av saksbehandling, blir journalført. Disse opplysningene blir behandlet som beskrevet over (se «Behandling i forbindelse med saksbehandling»). Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som blir journalført. Den enkelte saksbehandler er ansvarlig for å slette e-poster som ikke lenger er aktuelle. Ved fratreden blir e-postkontoene slettet, men enkelte relevante e-poster vil normalt bli overført til andre saksbehandlere.

SD gjør oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer derfor til å ikke sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.

Dine rettigheter

I den grad SD behandler personopplysninger om deg, har du flere rettigheter etter personvernregelverket.

Du har rett til å få informasjon om hvorvidt SD behandler personopplysninger om deg. Dersom det er tilfelle, har du og rett til å få utlevert en kopi av disse opplysningene. Dersom behandlingen av personopplysninger du har gitt til SD bygger på samtykke eller avtale, har du videre rett til å få disse utlevert i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet). Siden SD bare unntaksvis behandler personopplysninger om privatpersoner med grunnlag i samtykke eller avtale, gjelder denne retten likevel bare et fåtall av personopplysningene SD behandler.

Dersom du mener personopplysningene SD har lagret om deg ikke er riktige (f.eks. feil epostadresse, navn, bosted eller lignende), har du rett til å be om at disse blir rettet.

Du har i visse tilfeller også rett til å be om at personopplysningene departementet har om deg, blir slettet. Omfanget av denne retten vil imidlertid avhenge av ditt forhold til departementet. Personopplysninger registrert i Kommunikasjonsenhetens medielogg vil eksempelvis kunne slettes på din forespørsel, mens en stor del av personopplysningene SD behandler vil måtte arkiveres i henhold til departementets lovpålagte arkiveringsplikt (arkivloven § 6). Du kan også i enkelte tilfeller be om at departementet begrenser sin behandling av opplysninger om deg.

Der SD behandler dine personopplysninger med grunnlag i ditt samtykke, har du når som helst rett til å trekke dette tilbake. Behandlingen vil da stanses, og dine personopplysninger vil bli slettet. Der SD behandler personopplysninger om deg med grunnlag i SDs berettigede interesser har du videre rett til å protestere mot dette, noe som også vil medføre stans av behandlingen med påfølgende sletting av opplysningene. Retten til å protestere kan for eksempel benyttes i forbindelse med registrering i SDs medielogg. Der behandlingen har grunnlag i samtykke, vil du bli spurt om å avgi dette for hvert tilfelle.
Dersom du mener at noen av disse rettighetene er aktuelle i ditt forhold til SD, kan du rette en henvendelse om dette til SD ved å sende e-post til postmottak@sd.dep.no. Når du sender en slik henvendelse, vil du få svar innen 30 dager.

Dersom du mener at SD behandler dine personopplysninger i strid med personopplysningsloven, personvernforordningen, eller andre regler, har du rett til å levere en klage til Datatilsynet. Klager kan leveres via klageskjema på deres nettsider.

Du kan lese mer om dine rettigheter, og hva disse innebærer på Datatilsynets nettsider.

Informasjonssikkerhet og internkontroll

Personopplysningsloven pålegger behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Dette gjelder uavhengig av hva slags personopplysninger som behandles, og uavhengig av hvilke hjelpemidler som benyttes. Gjennom planlagte og systematiske tiltak skal det sørges for tilfredsstillende informasjonssikkerhet. Det skal gjøres risikovurderinger av alle viktige systemer jevnlig eller etter behov. SD har utarbeidet en egen informasjonssikkerhetspolicy, retningslinjer for informasjonssikkerhet og brukerinstrukser som legges til grunn ved sikring av personopplysninger.

Det er etablert rutiner, herunder planlagte og systematiske tiltak, som er nødvendige for å oppfylle kravene i personopplysningsloven. Etterlevelsen av kravene til behandling av personopplysninger skal dokumenteres etter gjeldende rutiner. SD har også en oversikt over hva slags personopplysninger som behandles i departementet. Oversikten skal holdes oppdatert.

Det er etablert særlige sikkerhetstiltak og rutiner for svært beskyttelsesverdig informasjon i arkivet, som for eksempel sensitive personopplysninger og gradert informasjon.

Det skal rapporteres om avvik ved brudd på kravene til behandling av personopplysninger. Avvik skal rapporteres til departementsråd, ekspedisjonssjefer, sikkerhetsleder, personvernombud og/eller Datatilsynet, avhengig av alvorlighetsgrad.

Databehandlere

Når eksterne behandler personopplysninger på vegne av SD, blir det stilt klare krav til behandlingen. Det blir inngått databehandleravtaler i henhold til gjeldende regelverk. Databehandleravtalene etablerer klare ansvars- og myndighetsforhold med alle som opptrer som databehandlere for SD. Avtalene innebærer at databehandlerne bare kan behandle personopplysninger i samsvar med det som er avtalt.

Opplysninger om ansatte og jobbsøkere

SD behandler også opplysninger om ansatte og om jobbsøkere. Behandlingen er nødvendig for å oppfylle en avtale den registrerte er part i og er i samsvar med blant annet statsansatteloven og sikkerhetsloven, særavtale om lønns- og personalregistre i staten, Hovedtariffavtalene i Staten, samt regnskaps- og bokføringslovgivningen.

Departementet behandler personopplysninger om sine ansatte for å administrere lønn, personalansvar og sikkerhet (adgangs- og tilgangsinformasjon).  Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent og skattekommune. Andre opplysninger om ansatte er knyttet til vedkommendes arbeidsinstruks og tilrettelegging av vedkommendes arbeid.

Personopplysninger som blir behandlet, blir enten registrert av den ansatte selv eller lagt inn av arbeidsgiveren. Direktoratet for forvaltning og økonomistyring (DFØ) har utarbeidet en egen personvernerklæring for DFØ-appen. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven. Opplysninger om navn, stilling og arbeidsområde regnes å være offentlige opplysninger og kan publiseres på departementets nettsider.

Alle stillingssøknader og andre arkivverdige dokumenter i forbindelse med en rekruttering blir lagret i departementets elektroniske arkiv. Det elektroniske arkivet er utgangspunkt for en offentlig journal, som publiseres fortløpende på eInnsyn - Innsyn i offentlig saksbehandling

Navn på søkere er offentlig informasjon og framkommer der. Journalopplysninger slettes ikke. Personnavn er kun søkbare på eInnsyn inntil ett år etter at journalen ble publisert. Søkere som har bedt om og fått innvilget at søknaden kan unntas offentlighet (jf. offl. § 25 første ledd), får sladdet navnet sitt på eInnsyn.

For søkere som blir ansatt i departementet, blir søknaden arkivert/oppbevart i personalmappe i SDs arkivsystem. Tilgangen på personalmappene er begrenset til tjenstlig behov. Når en ansatt slutter, slettes e-postkontoen til vedkommende. Personalmappen lagres i SDs arkivsystemer i 100 år.

I forbindelse med tilsetninger kan det være krav om autorisasjon for tilgang til informasjon som er gradert begrenset etter sikkerhetsloven. Se mer om autorisasjon her: Autorisasjon - Nasjonal sikkerhetsmyndighet.

I noen stillinger vil det også være krav om sikkerhetsklarering, dette vil da stå i stillingsannonsen. Se mer om sikkerhetsklarering her: Sikkerhetsklarering - Nasjonal sikkerhetsmyndighet.

Besøk i departementets lokaler

For å få adgang til SDs lokaler må det først registreres personopplysninger om deg i departementenes besøksregister. Hvilke personopplysninger som blir samlet inn og hvordan de blir behandlet kan du finne ut ved å kontakte Departementenes sikkerhets- og serviceorganisasjon (DSS). Hvis du velger å bruke departementenes trådløse nettverk mens du er på besøk hos SD vil det lagres personopplysninger om deg i forbindelse med å gi deg tilgang. I tillegg vil trafikken over nettverket bli logget og skannet for skadevare. Hvilke personopplysninger som blir samlet inn og hvordan de blir behandlet kan du finne ut ved å kontakte DSS.

Området rundt regjeringsbygningene overvåkes med kameraer. Før du kommer inn i SDs lokaler kan det derfor lagres personopplysninger om deg i form av video. Hvilke personopplysninger som blir samlet inn og hvordan de blir behandlet kan du finne ut ved å kontakte DSS.

Løpende oppdatering

Denne personvernerklæringen oppdateres fortløpende ved endring av SDs interne rutiner og systemer og ved endring av lover og forskrifter.

Personvernombud

Det er opprettet et personvernombud for SD. Personvernombudet skal påse at kravene til behandling av personopplysninger blir fulgt, og være en ressursperson som styrker departementets kunnskap om personvern.

Personvernombudets hovedoppgaver er blant annet å:

  • være kontaktpunkt for de registrerte, og mellom Datatilsynet og departementet
  • informere og gi råd til departementet og de ansatte om de forpliktelser som følger av regelverket
  • kontrollere etterlevelse av personopplysningsloven og departementets retningslinjer for personvern
  • gi råd om å delta i arbeidet med konsekvensanalyser i medhold av forordningen art. 39 1 c)
  • samarbeide med Datatilsynet

Kontaktinformasjon: personvernombud@sd.dep.no

Ytterligere informasjon

Personvernerklæring for regjeringen.no