Datatilsynets personvernerklæring

Denne personvernerklæringen forteller om hvordan Datatilsynet samler inn og bruker personopplysninger.

Datatilsynet, ved direktøren, er behandlingsansvarlig for virksomhetens behandling av personopplysninger. Der det daglige ansvaret er delegert, kommer det fram under hvert enkelt punkt. Delegeringen omfatter kun oppgavene og ikke ansvaret. Erklæringen inneholder opplysninger du har krav på når det samles inn opplysninger fra nettstedet vårt (personopplysningsloven § 19) og generell informasjon om hvordan vi behandler personopplysninger (personopplysningsloven § 18 1. ledd).

Behandling av personopplysninger på www.datatilsynet.no og www.personvernbloggen.no

Webredaktøren har det daglige ansvaret for Datatilsynets behandlinger av personopplysninger på datatilsynet.no og personvernbloggen.no, med mindre annet er oppgitt under. Det er frivillig for de som besøker nettsidene å oppgi personopplysninger i forbindelse med tjenester, for eksempel å motta nyhetsbrev. Behandlingsgrunnlaget er samtykke fra den enkelte, med mindre annet er spesifisert.

Epinova er Datatilsynets databehandler, og er vår leverandør for utvikling og vedlikehold av nettstedet. iSky er vår driftsleverandør for datatilsynet.no. I tillegg er de totalleverandør for utvikling, drift og vedlikehold av personvernbloggen.no og dermed databehandler for bloggen

Opplysninger som samles inn i forbindelse med drift av nettsted, lagres på egne servere som driftes av leverandøren. Det er kun Datatilsynet og Epinova og iSky som har tilgang til opplysningene som samles inn. En egen databehandleravtale mellom Datatilsynet og Epinova regulerer hvilken informasjon leverandøren har tilgang til og hvordan den skal behandles.

Nettstatistikk

Datatilsynet samler inn avidentifiserte opplysninger om besøkende på datatilsynet.no og personvernbloggen.no. Formålet med dette er å utarbeide statistikk som vi bruker til å forbedre og videreutvikle informasjonstilbudet på nettstedet. Eksempler på hva statistikken gir svar på, er hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes.

Opplysningene behandles i avidentifisert og aggregert form. Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn tilbake til den enkelte bruker. Vi samler inn hele IP-adressen, men IP-adressen avidentifiseres slik at bare de tre første gruppene i adressen brukes til å generere statistikk. Det vil si at dersom IP-adressen består av numrene 195.159.103.82, brukes bare 195.159.103.xx. I tillegg behandles IP-adressene på aggregert nivå, det vil si at all data slås sammen til en gruppe og ikke behandles individuelt.

Vi bruker analyseverktøyet Piwik på vårt nettsted. Dette er et verktøy med åpen kildekode (GPL) og som er installert på en egen server hos driftsleverandøren. Informasjon fra dette verktøyet utleveres ikke fra Datatilsynet til andre aktører.

Informasjonskapsler

Informasjonskapsler (cookies) er små tekstfiler som plasseres på din datamaskin når du laster ned en nettside.

Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt med mindre bruker både har blitt informert om og har gitt sitt samtykke til behandlingen. Brukeren skal få vite om og godkjenne hvilke opplysninger som behandles, hva formålet med behandlingen er og hvem som behandler opplysningene, jf. ekomloven § 2-7b.

Følgende informasjonskapsler brukes på datatilsynet.no:

  • Analyseverktøyet Piwik plasserer to informasjonskapsler på din maskin (disse begynner med _pk_id og _pk_ses). Dette gjøres for at vi skal kunne samle inn statistikk, og slettes etter 90 dager. Du kan lese mer om nettstatistikk over.
  • Vår publiseringsløsning (Episerver) plasserer også to informasjonskapsler på din maskin (.EPiForm_BID og .EPiForm_VisitorIdentifier) disse brukes i forbindelse med innsending av skjemaer, og slettes etter 90 dager.
  • Hvis du fyller ut skjemaet «Fant du det du lette etter?» plasseres det en informasjonskapsel på din maskin (EPiForm_). Denne kan ikke brukes til å spore meldingen tilbake til deg, og slettes etter 90 dager.
  • Hvis du sender oss en melding om behandling av personopplysninger ved å bruke elektronisk meldeskjema (melding.datatilsynet.no), legges det igjen en informasjonskapsel på datamaskinen din (dt_report). Denne er nødvendig for at meldeskjemaet skal fungere, og slettes når du lukker nettleseren.
  • Innsiktsverktøyet Task Analytics setter en informasjonskapsel på din maskin (den begynner på _tmc) Den settes for å hindre at du får et spørsmål om å delta i undersøkelse flere ganger. Den slettes etter 90 dager. Om du velger å takke ja til å delta i undersøkelsen settes det en informasjonskapsel til (den begynner på _taj). Den brukes i forbindelse m selve besvarelsen, og slettes etter 90 dager.

Det brukes ingen informasjonskapsler på www.personvernbloggen.no.

Slik administrerer du informasjonskapsler (nettvett.no)

Task Analytics

Task Analytics er et innsiktsverktøy som ligger på nettsiden vår i form av en liten brukerundersøkelse. Alle besøkende på datatilsynet.no får spørsmål om de ønsker å besvare undersøkelsen. Undersøkelsen er anonym, men din IP-adresse vil ligge i loggen til webserveren hos Task Analytics i inntil én måned.

Formålet med denne undersøkelsen er at vi ønsker innsikt i brukernes opplevelser på nettsidene våre. Denne innsikten skal brukes i arbeidet med å forbedre nettsidene våre.

Søk

Datatilsynet lagrer informasjon om hvilke søkeord brukerne benytter i søkeverktøyet Find. Formålet med lagringen er å gjøre informasjonstilbudet vårt bedre. Bruksmønsteret for søk lagres i en egen database, og de blir bare lagret i aggregert form. Det er bare søkeordet som lagres og de kan ikke kobles til andre opplysninger om brukerne, slik som til IP-adressene. 

«Fant du det du lette etter?» - tilbakemeldingsfunksjon

Nederst i noen av artiklene på nettstedet finner du en funksjon der du kan gi tilbakemelding om du fant informasjonen du lette etter, eller ikke. Vi bruker tilbakemeldingen til å forbedre innholdet på nettstedet. Bruker du denne funksjonen, legges det igjen en FormCookie på datamaskinen din, denne kan ikke brukes til å spore meldingen tilbake til deg. Tilbakemeldingen du sender oss lagres i vår database.

Funksjonen brukes ikke til veiledning, og vi ber deg derfor om ikke å registrere spørsmål som du ønsker svar på her. Vi ber deg om å ikke registrere sensitiv informasjon, ettersom funksjonen ikke er sikret (kryptert).

Kommentarer på www.personvernbloggen.no

Alle innlegg og tilhørende kommentarer, arkiveres i tråd med arkivlovgivningen.

Du kan legge igjen kommentarer uten å registrere deg. Legger du igjen navn og adresse, vil opplysninger bli liggende som en del av innlegget. Dersom du har publisert kommentarer som du ønsker å rette eller slette, kan du ta kontakt med oss slik at vi kan vurdere det. Du har imidlertid ikke krav på retting og sletting av ytringer.

Deling av innlegg på www.personvernbloggen.no

Når du deler innlegg, legges informasjon inn der og da hos nettsamfunnet du velger. Hvordan det aktuelle nettsamfunnet håndterer dataene videre, reguleres av din avtale med nettsamfunnet. Informasjon om at du har delt et innlegg lagres imidlertid ikke hos oss.

Nyhetsbrev

Datatilsynet sender ut nyhetsbrev cirka 2-4 ganger per måned via e-post. For at vi skal kunne sende e-post må du registrere en e-postadresse. Make Newsmail er databehandler for nyhetsbrevet. E-postadressen lagres i en egen database, deles ikke med andre og slettes når du sier opp abonnementet. E-postadressen slettes også om vi får tilbakemelding om at den ikke er aktiv. Du kan velge å oppgi om du representerer en virksomhet, er privatperson, en journalist eller annet. Dette gjøres for at vi kun skal sende relevant informasjon.

Bestilling av veiledningsmateriell

På nettsiden kan du bestille veiledningsmateriell ved å oppgi blant annet virksomhet, navn, e-post og postadresse. Bestillingsinformasjonen deles med distributøren ILAS som sender ut veiledningsmateriellet på vegne av Datatilsynet. Personopplysninger vi får inn ved bestillinger av veiledningsmateriell blir ikke benyttet til andre formål enn å effektuere bestillingen. Etter bestillingen er sendt vil alle opplysninger bortsett fra antall og virksomhet slettes, disse opplysningene benyttes til å utarbeide statistikk.

Bestilling av foredrag

På nettsiden kan du be Datatilsynet om å holde et foredrag for din virksomhet, vi ber da om navnet på en kontaktperson og kontaktinformasjon til denne. Personopplysninger vi får inn ved bestillinger av foredrag blir ikke benyttet til andre formål enn å administrere kurset.

Spørreundersøkelser

Avdelingsdirektør for fagavdeling I har det daglige ansvaret for Datatilsynets spørreundersøkelser. Datatilsynet bruker EasyQuest til å gjennomføre undersøkelser. Vi vil alltid informere om formålet med spørreundersøkelsen, og hvorvidt den er anonym eller ikke. Datatilsynet vil ikke dele opplysningene med andre eller bruke opplysningene til andre formål enn det som er angitt.

Anonyme undersøkelser

Dersom undersøkelsen er anonym, vil ikke Datatilsynet eller EasyQuest samle inn noe informasjon som kan kobles til deg.

Identifiserbare undersøkelser

Dersom undersøkelsen ikke er anonym, kan Datatilsynet identifisere de som har besvart undersøkelsen. Vi kan også benytte EasyQuest til å sende ut undersøkelsen, din e-postadresse vil i så fall bli delt med Sendgrid.

Meldesystemet

Avdelingsdirektør for avdeling II har det daglige ansvaret for meldesystemet. Datatilsynet skal vedlikeholde en offentlig fortegnelse over alle behandlinger av personopplysninger som meldes inn (personopplysningsloven § 42).

Meldesystemet gjør det mulig for enkeltpersoner å sjekke hvem som har meldt inn hvilken behandling av personopplysninger. Datatilsynet foretar ikke noen godkjennelse av meldingene som sendes inn, men benytter meldesystemet ved enkelthendelser angående bestemte virksomheter, samt for planlegging av tilsyn og kontroll.

Alle opplysninger som rapporteres inn til meldesystemet publiseres i en offentlig database. Opplysningene knytter seg til virksomheten som sådan, og er ikke personopplysninger i personopplysningslovens forstand. Meldinger som mottas i papirformat blir lagt inn elektronisk og følger samme prosedyre som øvrige meldinger.

Datatilsynets meldesystem bruker informasjonskapsler for å gjøre det mulig for brukeren å legge inn melding.

Meldinger løper ut etter tre år. Virksomhetene må da melde på nytt om de fortsatt behandler personopplysninger. Virksomheten er selv ansvarlig for å følge opp dette. 

Saksbehandling og arkiv

Datatilsynet bruker Public360 arkiv- og saksbehandlersystem med elektronisk journalføring elektronisk lagring av dokumenter. Public360 er et arkiv- og saksbehandlingssystem fra leverandøren Tieto som følger offentlige standarder (NOARK). Arkivleder er delegert det daglige ansvaret for systemet og manuelt arkiv, og at det er utarbeidet nødvendige rutiner for bruk av dette. Respektive avdelingsdirektører følger opp at den faktiske saksbehandlingen er i samsvar med rutinene.

Datatilsynet behandler personopplysninger for å oppfylle tilsynets lovpålagte oppgaver etter bl.a. personopplysningslov, forvaltningslov, offentlighetslov og arkivlov.

Det registreres ulike typer personopplysninger i arkiv- og saksbehandlingssystemet. Dette er opplysninger som navn, adresse, telefonnummer, epostadresse (grunndata) og annen relevant informasjon som fremgår av henvendelsen. Registrering, lagring og oppbevaring skjer i henhold til arkivlovgivningen. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger. Som en del av den pålagte saksbehandlingen innhenter Datatilsynet i noen tilfeller opplysninger fra andre etater på eget initiativ etter lovhjemmel (forvaltningsloven § 17).

Ved krav om innsyn utleveres personopplysninger i henhold til offentlighetsloven og forvaltningsloven. Opplysninger som er nødvendig for behandling av klagesaker vil bli utlevert til Personvernnemnda som er Datatilsynets klageorgan.

Det er etablert særlige sikkerhetstiltak og rutiner for svært beskyttelsesverdig informasjon i arkivet, som for eksempel sensitive personopplysninger.

Selskapet Iron Mountain oppbevarer Datatilsynets historiske arkiv. Samarbeidet er regulert av en databehandleravtale og Iron Mountain utleverer ikke opplysninger til tredjeparter.

Datatilsynet er pålagt å gjøre sine offentlige postjournaler tilgjengelig for allmennheten på Internett. En journal er systematisk og fortløpende registrering av alle inngående og utgående saksdokumenter. Journalene gjøres tilgjengelig på en felles portal som kalles eInnsyn. Det betyr at det er en samordning av offentlige postjournaler i en tjeneste på internett som er allment tilgjengelig.

I offentlighetsforskriften § 7, jf § 6 fjerde ledd, er det spesifisert en del opplysninger som ikke skal framgå av offentlig journal og journaler som legges ut på nettet. Videre er det fastsatt at personnavn ikke skal kunne søkes fram i OEP når innførselen er eldre enn ett år.

Vi gjør oppmerksom på at forespørsler om innsyn via eInnsyn blir oppbevart (arkivert). Alle innsynskrav fra eInnsyn registreres og kvitteres ut i eget skjema. Skjemaet blir journalført ved årets slutt, og vi vil normalt gi innsyn i dette om vi får en slik forespørsel.

E-post og telefon

Datatilsynet benytter e-post og telefon som en del av det daglige arbeidet for å oppfylle tilsynets lovpålagte oppgaver etter personopplysningslov og forvaltningslov. Avdelingsdirektøren i avdelingen der e-posten eller telefonsamtalen mottas har det daglige ansvaret for behandlingen av personopplysninger i denne sammenheng. Relevante opplysninger som fremkommer av telefonsamtaler og e-postutveksling som skjer som en del av saksbehandling journalføres. Disse opplysningene behandles i så fall som beskrevet over (se «Saksbehandling og arkiv»).

Datatilsynets medarbeidere benytter i tillegg e-post i alminnelig dialog med interne og eksterne kontakter. Den enkelte er ansvarlig for å slette meldinger som ikke lenger er aktuelle, og minst hvert år gjennomgå og slette unødvendig innhold i e-postkassen. Ved fratreden slettes e-postkontoene, men enkelte relevante e-poster vil normalt bli overført til kollegaer.

Sensitive personopplysninger skal ikke sendes med e-post.

Vi gjør deg oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer deg derfor ikke til å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.

Telefonsamtaler (telefonnummer fra og til, samt tidspunkt for samtalen) logges i vår telefonsentral. Denne loggen er nødvendig for administrasjon og drift av systemet, samt at den benyttes som grunnlag for statistikk på aggregert nivå. Etter en periode anonymiseres eksterne numre ved at de fire siste siffer slettes. Komplett logg slettes etter ett år. I tillegg har ansatte en oversikt over de siste anropene på sine telefoner. Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som journalføres. Det gjøres ingen øvrig systematisk registrering av telefonsamtaler hvor innringer kan identifiseres. Telefonsamtaler til vår veiledningstjeneste telles i anonym form.

Besøk i Datatilsynets lokaler og deltakelse på arrangement i vår regi

Liste over seminardeltakere

Når du melder deg på kurs, lagres informasjon til bruk for kursadministrasjon og for å ta inn kursavgift.

Datatilsynets ansvar: Datatilsynet er behandlingsansvarlig for behandling av personopplysninger for å gjennomføre booking av møtelokaler og foreta og administrere påmelding fra deltakere på Datatilsynets kurs. Dette gjøres av Firmatur AS, på vegne av Datatilsynet. Opplysningen skal bare brukes av Firmatur AS til dette formålet.

Firmatur AS bruker påmeldingsløsningen til Pindena. I denne løsningen kan du melde deg på kurs ved å oppgi navn, kontaktinformasjon og arbeidsgiver. Mobilnummer må registreres, slik at du kan motta engangskoder på sms for tilgang til egne påmeldingsopplysninger. I tillegg ber vi deg oppgi informasjon om evt. allergier og behov for tilretteleggelse. Personopplysninger for å administrere påmelding slettes av Firmatur AS en måned etter at kurset er avholdt. Datatilsynets kopi av påmeldingsopplysningene slettes etter samme frist.

Firmatur AS sitt ansvar: Firmaturs AS har behandlingsansvar for behandling av personopplysninger i forbindelse med økonomi og betaling fra eller til deltakere og møtelokaler, regnskap og bokføring, inkludert lagring etter bokføringsregelverk. Dersom det gjelder bruk av personopplysninger som Firmatur AS er behandlingsansvarlig for, rettes eventuell henvendelser om rettigheter etter personopplysningsloven til Firmatur AS.

Liste over besøkende

Besøkende som autoriseres til å ferdes på egen hånd i Datatilsynets lokaler føres opp på en liste. Listen oppbevares maks to år etter besøket.

Kamera i porttelefon

Ved inngangspartiet på gateplan hos Datatilsynets er det montert et kamera som aktiveres når man ringer på dørklokka. Bildet av inngangspartiet vises i sanntid og har ikke opptaksmulighet.

Personvernombudsordningen

Datatilsynet administrerer personvernombudsordningen i henhold til personopplysningsforskriften § 7-12 og det er kommunikasjonsdirektøren som har det daglige ansvaret. Ordningen er frivillig og har som mål om å øke personvernkompetansen i ulike virksomheter. Datatilsynets behandling av personopplysninger i forbindelse med denne ordningen er samtykkebasert.

Søknader, endringer og annen journalført korrespondanse med personvernombudene registreres i Datatilsynets arkivsystem. Datatilsynet har også en intern elektronisk oversikt med kontaktinformasjon til alle ombud. Oversikten er nødvendig for å gjennomføre den daglige driften og administrasjonen av ordningen, ikke minst utsendelse av informasjon.

En av personvernombudets oppgaver er å bistå med ivaretakelse av rettigheter for den som har opplysninger registrert hos virksomheten. Den som har behov for det, må kunne komme i kontakt med personvernombudet. Datatilsynet har derfor en oversikt på egne nettsider som viser hvilke virksomheter som er med i ordningen og hvem som er personvernombudet. Datatilsynet publiserer også ombudets kontaktopplysninger på nettsidene, med mindre ombudet ikke motsetter seg dette. Både oversikten på nettsiden og den interne listen med kontaktinformasjon oppdateres kontinuerlig. Så snart Datatilsynet får melding om at noen har sluttet som ombud, slettes vedkommende fra begge listene.

Prinsippene for håndtering av personopplysninger på e-post og telefon gjelder også for kommunikasjon med ombudene (se «E-post til Datatilsynet»).

Opplysninger om ansatte

Datatilsynet behandler personopplysninger om sine ansatte for å administrere lønn og personalansvar. Rettslig grunnlag følger av personopplysningsloven § 8, første ledd og § 8 a), b) eller f) samt § 9 a), b) og f). Det er avdelingsdirektør, administrasjon som har det daglige ansvaret for dette. Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeningstilhørighet. Andre opplysninger om ansatte er knyttet til vedkommendes arbeidsinstruks og tilrettelegging av vedkommendes arbeid.

Dessuten registreres det opplysninger i tilknytning til nøkkeladministrasjon av inn- og utpasseringer og opplysninger om tilgangsstyring i IT-systemet. Opplysningene hentes fra de ansatte selv. Opplysningene utleveres bare i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven. Opplysninger om navn, stilling og arbeidsområdet regnes å være offentlige opplysninger og kan publiseres på tilsynets nettsider.

Alle stillingssøknader blir journalført i Datatilsynets postjournal. Disse blir lagret i vårt elektroniske arkiv i ca. ett år før de makuleres. Alle andre dokumenter, bl.a. søkerlister og innstillinger bevares. Det er arkivleder som er ansvarlig for dette. Journalopplysninger slettes ikke, men er skjermet i offentlig elektronisk postjournal (dvs. personnavn/navn på søker fremkommer ikke).

Unntak:

•             Alle stillingssøknader på avdelingsdirektørnivå bevares.

•             Alle tidligere og nåværende ansatte har en personalmappe i vårt arkivsystem.

Her blir blant annet stillingssøknaden arkivert/oppbevart. Personalmapper skal bevares (dvs. at stillingssøknaden ikke blir slettet eller makulert). Personalmapper blir ryddet ved utløp av arbeidsforholdet. Personalmapper skal avleveres til Arkivverket. Tilgangen begrenset til tjenstlig behov.

Logging i Datatilsynets fagsystemer

Datatilsynet har alminnelige sikkerhetslogger i sine fagsystemer, og sikkerhetsansvarlig har fått delegert ansvaret for dette. Det er de ansattes bruk av fagsystemet som blir registrert her. Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer.

Det rettslige grunnlaget for slike logger er kravet om logger i personopplysningsforskriftens §§ 2-8 og 2-14, samt personopplysningslovens § 8 f), for å ivareta virksomhetens sikring av andre informasjonsverdier enn personopplysninger.

Annen relevant lovgivning

I tillegg til personopplysningsloven har blant annet følgende lover betydning for Datatilsynets behandling av personopplysninger.

Offentlighetsloven med forskrifter inneholder reglene for når et dokument er offentlig tilgjengelig for allmennheten, og når et dokument kan unntas offentlighet. Datatilsynet praktiserer meroffentlighet, det vil si at tilsynet så langt det er mulig etterstreber at dokumenter skal være offentlige. Forvaltningsloven inneholder saksbehandlingsregler for hvordan saken din vil bli behandlet i Datatilsynet. Som part i saken har du særskilte rettigheter, bl.a. om innsyn i sakens dokumenter.

Arkivloven gir regler om hvordan arkivskaper skal behandle og oppbevare saksdokumenter, samt avlevering til arkivinstitusjon.

Datatilsynet er også tilsynsmyndighet etter flere andre lover. Saksbehandlingen ifølge med dette vil kunne innebære behandling av personopplysninger, tilsvarende som for personopplysningsloven. Mer informasjon finnes her.

SIS-loven (Schengen informasjonssystem versjon II) har egne bestemmelser for innsyn i opplysninger. Se vår nettside for informasjon om dette (lenke). Datatilsynet vil behandle klager på mulig registrering i SIS II etter disse reglene og opplysninger vil bli behandlet på samme måte som andre klagesaker ved tilsynet.

Rettigheter

Alle som spør har rett på grunnleggende informasjon om behandlinger av personopplysninger i en virksomhet etter personopplysningslovens § 18, 1. ledd. Datatilsynet har gitt denne informasjonen i denne erklæringen, og vil henvise til den ved eventuelle forespørsler. De som er registrert i en av Datatilsynets systemer har rett på innsyn i egne opplysninger. Vedkommende har også rett til å be om at uriktige, ufullstendige eller opplysninger Datatilsynet ikke har adgang til å behandle blir rettet, slettet eller supplert. Krav fra den registrerte skal besvares kostnadsfritt og senest innen 30 dager.

Kontaktinformasjon

E-post:

Telefon: +47 22 39 69 00

Postadresse: Postboks 8177 Dep., 0034 Oslo