Saksbehandling, henvendelser og personvernombud

Behandling av personopplysninger i forbindelse med Datatilsynets saksbehandling

Når Datatilsynet har saker til behandling, for eksempel gjennom klager og avviksmeldinger, dersom du har søkt om konsesjon eller fordi vi har iverksatt et tilsyn, behandler vi personopplysninger for å kunne ivareta våre oppgaver. Vi behandler blant annet kontaktinformasjon og eventuelt annen informasjon som er nødvendig for å kunne løse våre oppgaver. Det kan inkludere opplysninger om lovovertredelser, helseopplysninger, opplysninger om arbeidsforhold og lignende. For klager som blir sendt inn via nettstedet vårt bruker vi ID-porten til å innhente fødselsnummeret til klageren for å identifisere vedkommende. Dersom vi stiller deg spørsmål i en sak, vil vi si fra hvis det foreligger en rettslig plikt til å gi oss opplysninger.

Behandlingsgrunnlaget for denne behandlingen er personvernforordningen artikkel 6 nr. 1 bokstav e, som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet, jf. personvernforordningen artikkel 57 og artikkel 58 og forvaltningsloven § 17.

Dersom henvendelsen inneholder eller saksbehandlingen avdekker særlige kategorier av personopplysninger, er behandlingsgrunnlaget vårt personvernforordningen artikkel 6 nr. 1 bokstav e, jf. artikkel 9 nr. 2 bokstav g, jf. artikkel 57 og artikkel 58 og forvaltningsloven § 17.

Om internasjonalt samarbeid i saksbehandlingen

Det som står skrevet generelt om saksbehandlingen vår i kapitlene over, gjelder også når vi samarbeider med andre datatilsynsmyndigheter internasjonalt om saker. Prosessene er likevel litt annerledes og beskrives i de kommende avsnittene.

Personvernforordningen har regler om at datatilsynsmyndighetene i EØS skal samarbeide om å behandle saker som påvirker personvernet i flere EØS-land. Formålet er å sikre at personvernreglene tolkes likt. Se vår nettartikkel Europeisk samarbeid i grenseoverskridende saker | Datatilsynet for mer informasjon.

Ved saksbehandling av grenseoverskridende saker vil behandlingen av personopplysningene dine først og fremst skje i informasjonssystemet IMI («Internal Market Information System»). Da deler Datatilsynet dine personopplysninger med andre relevante datatilsynsmyndigheter i EØS og sekretariatet til Personvernrådet.

I tillegg vil Datatilsynet i mange tilfeller motta personopplysninger fra andre datatilsynsmyndigheter i EØS via IMI.

Det er EU-kommisjonen som sørger for drift og vedlikehold av systemet IMI. Personopplysninger som behandles i IMI blir normalt blokkert seks måneder etter at samarbeidsprosedyren formelt er avsluttet i systemet, og personopplysningene slettes automatisk tre år etter at samarbeidsprosedyren formelt er avsluttet i systemet.

Slik som Datatilsynet har også de andre datatilsynsmyndighetene i EØS taushetsplikt for konfidensiell informasjon.

Dersom datatilsynsmyndighetene i EØS er uenige om hvordan en sak skal løses, eller dersom loven krever det, vil saken løftes for Personvernrådet. Loven krever for eksempel at vi innhenter en uttalelse fra EDPB før vi godkjenner visse instrumenter, slik som bindende virksomhetsregler (BCR), men i denne typen saker er det bare unntaksvis personopplysninger i dokumentene som deles, og da er det typisk snakk om kontaktpersoner i en virksomhet.

Utover saksbehandling i grenseoverskridende saker og i Personvernrådet, kan det unntaksvis være tilfeller hvor Datatilsynet behandler personopplysninger som ledd i annet internasjonalt arbeid. Dette kan eksempelvis skje når datatilsynsmyndighetene deler informasjon om sine vedtak med utenlandske datatilsynsmyndigheter.

Samarbeidet med de andre datatilsynsmyndighetene i EØS og Personvernrådet reguleres av reglene i IMI-forordningen art. 13, personvernforordningen artikkel 56, artikkel 57 nr. 1 bokstav g og h, artikkel 60-66 og artikkel 70 nr. 1.

Der vi er lovpålagt å dele informasjon med andre datatilsynsmyndigheter eller Personvernrådet etter disse bestemmelsene, er vårt behandlingsgrunnlag personvernforordningen artikkel 6 nr. 1 bokstav c, altså at behandlingen av personopplysninger er nødvendig for å oppfylle en rettslig forpliktelse.

I noen tilfeller er det ikke lovpålagt å dele informasjon, men informasjonsdeling kan for eksempel føre til at datatilsynsmyndighetene samarbeider bedre om håndheving og blir mer kompetente. I slike tilfeller er behandlingsgrunnlaget vårt personvernforordningen artikkel 6 nr. 1 bokstav e, som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet.

I den grad særlige kategorier personopplysninger inngår i informasjonsdelingen, er det rettslige grunnlaget artikkel 9 nr. 2 bokstav g.

Om arkivlovgivningen, partsinnsyn og offentlighetslovgivningen

Som et offentlig organ har Datatilsynet en plikt til å føre postjournal etter offentlighetsloven § 10. All korrespondanse i forbindelse med saksbehandling blir journalført. Hovedregelen etter offentlighetsloven § 3 er at forvaltningsorganers saksdokumenter, journaler og liknende registre er offentlig tilgjengelige. Det betyr at alle kan gjøre seg kjent med blant annet innholdet i den korrespondansen vi har journalført. Dette med mindre at dokumentene skal unntas offentlighet, for eksempel på grunn av taushetsplikt.

Datatilsynet gjør bruk av eInnsyn, som er en åpen, offentlig søketjeneste der alle kan søke og bestille innsyn i brev og dokumenter.

Som hovedregel har partene i en sak innsynsrett i sakens dokumenter etter forvaltningsloven §§ 18 flg. Også her finnes det enkelte unntak, for eksempel når arbeidstakere varsler om kritikkverdige forhold på egen arbeidsplass.

Etter arkivloven § 6 har Datatilsynet, som et offentlig organ, arkivplikt. Det innebærer at bl.a. at saksdokumenter lagres i et arkiv på ubestemt tid. Alle dokumenter som er journalført overføres til Arkivverket i tråd med arkivloven § 10 etter en gitt tid.

Disse behandlingene har behandlingsgrunnlag i personvernforordningen artikkel 6 nr. 1 bokstav c, altså at behandlingen er nødvendig for å etterleve våre rettslige forpliktelser. Der det er snakk om særlige kategorier personopplysninger er behandlingsgrunnlaget personvernforordningen artikkel 6 nr. 1 bokstav c, jf. artikkel 9 nr. 2 bokstav g.

Publisering av avgjørelser på nettside

Flere av våre vedtak publiseres på Personvernrådets nettside av hensyn til åpenhet, for å fremme allmenhetens kjennskap til personvernreglene og for å fremme virksomheters kjennskap til forpliktelsene sine. I noen tilfeller er deling av vedtak med Personvernrådet for publisering lovpålagt.

Personvernrådet har i dag fire registre der Datatilsynets vedtak kan publiseres:

• Oversikt over avgjørelser i grenseoverskridende saker (klagers personopplysninger fjernes før publisering)
• Oversikt over godkjente BCR-er (her er det bare unntaksvis snakk om personopplysninger, og i så fall er det typisk snakk om kontaktpersoner i virksomheter)
• Oversikt over godkjente bransjenormer (her er det bare unntaksvis snakk om personopplysninger, og i så fall er det typisk snakk om kontaktpersoner i virksomheter)
• Oversikt over nasjonale vedtak fattet etter at en sak har blitt løftet til EDPB

Der vi er lovpålagt å dele vedtakene våre med Personvernrådet, er vårt behandlingsgrunnlag personvernforordningen artikkel 6 nr. 1 bokstav c, altså at behandlingen av personopplysninger er nødvendig for å oppfylle en rettslig forpliktelse. Deling av informasjon med Personvernrådet er regulert i personvernforordningen artikkel 57 nr. 1 bokstav g og artikkel 60-66.

Der vi deler vedtakene våre med Personvernrådet på frivillig basis, er vårt behandlingsgrunnlag personvernforordningen artikkel 6 nr. 1 bokstav e, som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet, jf. personvernforordningen artikkel 57 nr. 1 bokstav b og d.

Dersom det unntaksvis skulle skje at vi deler et vedtak som inneholder særlige kategorier personopplysninger med Personvernrådet, er det rettslige grunnlaget artikkel 9 nr. 2 bokstav g.

Merk at vedtak som publiseres på Personvernrådets nettside gjennomgår en manuell sladdeprosess, der vi også er involvert, for å påse at ingen sensitiv eller konfidensiell informasjon publiseres.

Veiledningshenvendelser

Dersom du ringer oss per telefon for å benytte deg av veiledningstilbudet vårt, vil vi lagre ditt telefonnummer og tidspunkt for samtalen. Se eget avsnitt om telefon under. 

Vi vil også føre statistikk over hvilke temaer vi mottar veiledningssaker om, for eksempel om henvendelsen omhandler kameraovervåking, og om vi mottar henvendelse fra privatpersoner eller virksomheter. Dette hjelper oss å utvikle veiledningsmateriell der det er mest behov for det og for analyse av trender. Statistikken føres i anonymisert form. Med andre ord skriver vi ikke ned telefonnummeret, navnet på innringer eller hvilken virksomhet innringer eventuelt representerer. Ved å se på tidspunktet for statistikkføring opp mot tidspunkt for samtalen (se eget avsnitt om telefon under) er det teoretisk mulig i enkelte tilfeller å se hvilken innringer som har tatt opp hvilket tema. Derfor behandler vi dette som personopplysninger. Vi vil imidlertid aldri utføre en slik kobling.

Behandlingsgrunnlaget for denne behandlingen av personopplysninger er personvernforordningen artikkel 6 nr. 1 bokstav f, som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Vår berettigede interesse er å vite hvor det er mest behov for veiledning og kartlegge trender.

Personer med særskilte behov kan sende oss veiledningshenvendelser per e-post. Formålet med behandling av personopplysninger her er å gi et veiledningstilbud til personer som av ulike grunner ikke kan ringe oss. Slike henvendelser slettes fortløpende med mindre de journalføres for saksbehandling. Behandlingsgrunnlaget for denne behandlingen er personvernforordningen artikkel 6 nr. 1 bokstav e, som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet, jf. personvernforordningen artikkel 57 nr. 1 bokstav b og forvaltningsloven § 11. Dersom din henvendelse inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget personvernforordningen artikkel 6 nr. 1 bokstav e, jf. artikkel 9 nr. 2 bokstav g, jf. artikkel 57 nr. 1 bokstav b og forvaltningsloven § 11.

Telefon

Når du ringer oss, vil ditt telefonnummer bli lagret sammen med opplysninger om når du ringte og hvor lenge samtalen varte hos Phonero, vår leverandør av telefonitjenester. Loggen lagres i tre måneder. Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat som journalføres etter samtalen (se over om saksbehandling). Det gjøres ingen øvrig systematisk registrering av telefonsamtaler hvor innringer kan identifiseres.

Loggen lagres for å kunne følge opp telefonsamtaler ved behov, for eksempel for å ringe opp personer som har kontaktet oss for å gi presiseringer eller be om mer informasjon. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 bokstav f, som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes interesser eller grunnleggende rettigheter og friheter. Den berettigede interessen er å kunne følge opp telefonsamtaler ved behov.

E-post

Vi benytter e-post for å utføre våre arbeidsoppgaver. E-post vi har mottatt vil bli slettet når den ikke lenger er nødvendig for vår daglige oppgaveløsning. Vi ber om at særlige kategorier personopplysninger ikke sendes ukryptert per e-post.
Les mer om kryptering

Behandlingsgrunnlaget vårt for behandling av personopplysninger i e-poster er personvernforordningen artikkel 6 nr. 1 bokstav e som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet, jf. personvernforordningen artikkel 57 og 58 og forvaltningsloven § 17. Dersom din krypterte henvendelse inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget personvernforordningen artikkel 6 nr. 1 bokstav e, jf. artikkel 9 nr. 2 bokstav g, jf. artikkel 57 og 58 og forvaltningsloven § 17.

Vi skanner all inn og utgående e-post for virus og skadevare for å sikre integriteten, konfidensialiteten og tilgjengeligheten i våre systemer som behandler personopplysninger.

Behandlingsgrunnlaget for skanningen er personvernforordningen artikkel 6 nr. 1 bokstav c. Datatilsynet har en rettslig plikt til å sikre informasjonssikkerhet etter personvernforordningen artikkel 5 nr. 1 bokstav f og 32. Etter en konkret risikovurdering har vi kommet frem til at dette tiltaket er nødvendig for at Datatilsynet skal oppfylle denne plikten. Vi har samtidig vurdert at behandlingen av personopplysninger ikke går ut over det som er nødvendig for å oppfylle plikten. 

Tipsdatabase

Datatilsynet har en database over mottatte tips om brudd på personvernregelverket. Formålet med databasen er å ha en systematisk oversikt over henvendelser om mulige lovbrudd vi ikke har kapasitet til å følge opp umiddelbart og for å kunne planlegge kontroller. Databasen inneholder informasjon om tipser, informasjon om det mulige bruddet, informasjon om virksomheten det er tipset om og saksbehandlers vurdering av saken. Tipseren kan være anonym dersom vedkommende ønsker dette.

Opplysningene i tipsdatabasen lagres i tre år etter mottak av tipset før de slettes. Hvis tipset blir fulgt opp og senere brukes i en sak, vil tipset bli journalført sammen med sakens dokumenter, og opplysningene vil bli lagret i henhold til gjeldende arkivlovgivning (se over).

Behandlingsgrunnlaget for denne behandlingen er personvernforordningen artikkel 6 nr. 1 bokstav e, som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet, jf. personvernforordningen artikkel 57 og artikkel 58. Dersom din henvendelse inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget vårt personvernforordningen artikkel 6 nr. 1 bokstav e, jf. artikkel 9 nr. 2 bokstav g, jf. artikkel 57 og artikkel 58.

Registrering av personvernombud

Virksomheter som oppretter personvernombud skal etter artikkel 37 i personvernforordningen melde ombudets kontaktopplysninger til Datatilsynet.

I tillegg til virksomhetens kontaktopplysninger skal kontaktopplysningene til personvernombudet registreres. Dette inkluderer navn, telefonnummer, e-post og postadresse, dersom denne er en annen enn virksomhetens.

Virksomheten må logge inn via Altinn for å registrere personvernombudet. Opplysningene i skjemaet sendes fra Altinn til Datatilsynets saksbehandlingssystem. Datatilsynet får, ved hjelp av opplysningene, mulighet til å kontakte personvernombudet i forbindelse med saksbehandling og tilsyn. Vi benytter også opplysningene til å sende relevant informasjon fra oss til personvernombudene. I tillegg er opplysningene om personvernombud tilgjengelig på datatilsynet.no.

Formålet med behandlingen av personopplysninger er å legge til rette for virksomhetenes plikter etter personvernforordningen artikkel 37 samt å gjøre det lettere for Datatilsynet og enkeltpersoner å kontakte virksomheters personvernombud.

Behandlingsgrunnlaget for å motta opplysningene og bruke dem i saksbehandlingen er personvernforordningen artikkel 6 nr. 1 bokstav e, som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet, jf. personvernforordningen artikkel 57, jf. artikkel 37 nr. 7 og artikkel 39 nr. 1 bokstav e.

Behandlingsgrunnlaget for å publisere opplysningene på datatilsynet.no samt å bruke dem til å sende ombudene relevant informasjon, er personvernforordningen artikkel 6 nr. 1 bokstav f. Dette behandlings-grunnlaget tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å gjøre det lettere for enkeltpersoner å kontakte virksomheters personvernombud og å bidra til at ombudene holder seg oppdaterte.

Når behandlingsansvarlig melder inn at en person ikke lenger er personvernombud i virksomheten vil vedkommende bli slettet senest innen én måned etter at vi mottok meldingen.

Dersom personvernombudet har vært del av en korrespondanse, for eksempel kopimottaker av et brev fra Datatilsynet, vil kontaktopplysningene til vedkommende lagres i saksbehandlingssystemet i henhold til journalføringsplikten.