Datatilsynets personvernerklæring

Saksbehandling, henvendelser og personvernombud

Behandling av personopplysninger i forbindelse med Datatilsynets saksbehandling

Når Datatilsynet har saker til behandling, for eksempel gjennom klager og avviksmeldinger, dersom du har søkt om konsesjon eller fordi vi har iverksatt et tilsyn, behandler vi personopplysninger for å kunne ivareta våre oppgaver. Vi behandler blant annet kontaktinformasjon og eventuelt annen informasjon som er nødvendig for å kunne løse våre oppgaver. Det kan inkludere opplysninger om lovovertredelser, helseopplysninger, opplysninger om arbeidsforhold og lignende. Dersom vi stiller deg spørsmål i en sak, vil vi si fra hvis det foreligger en rettslig plikt til å gi oss opplysninger.

Behandlingsgrunnlaget for denne behandlingen er personvernforordningen artikkel 6 nr. 1 bokstav e, som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet, jf. personvernforordningen artikkel 57 og artikkel 58 og forvaltningsloven § 17.

Dersom henvendelsen inneholder eller saksbehandlingen avdekker særlige kategorier av personopplysninger, er behandlingsgrunnlaget vårt personvernforordningen artikkel 6 nr. 1 bokstav e, jf. artikkel 9 nr. 2 bokstav g, jf. artikkel 57 og artikkel 58 og forvaltningsloven § 17.

Om arkivlovgivningen, partsinnsyn og offentlighetslovgivningen

Som et offentlig organ har Datatilsynet en plikt til å føre postjournal etter offentlighetsloven § 10. All korrespondanse i forbindelse med saksbehandling blir journalført. Hovedregelen etter offentlighetsloven § 3 er at forvaltningsorganers saksdokumenter, journaler og liknende registre er offentlig tilgjengelige. Det betyr at alle kan gjøre seg kjent med blant annet innholdet i den korrespondansen vi har journalført. Dette med mindre at dokumentene skal unntas offentlighet, for eksempel på grunn av taushetsplikt.

Datatilsynet gjør bruk av eInnsyn, som er en åpen, offentlig søketjeneste der alle kan søke og bestille innsyn i brev og dokumenter.

Som hovedregel har partene i en sak innsynsrett i sakens dokumenter etter forvaltningsloven §§ 18 flg. Også her finnes det enkelte unntak, for eksempel når arbeidstakere varsler om kritikkverdige forhold på egen arbeidsplass.

Etter arkivloven § 6 har Datatilsynet, som et offentlig organ, arkivplikt. Det innebærer at bl.a. at saksdokumenter lagres i et arkiv på ubestemt tid. Alle dokumenter som er journalført overføres til Arkivverket i tråd med arkivloven § 10 etter en gitt tid.

Disse behandlingene har behandlingsgrunnlag i personvernforordningen artikkel 6 nr. 1 bokstav c, altså at behandlingen er nødvendig for å etterleve våre rettslige forpliktelser. Der det er snakk om særlige kategorier personopplysninger er behandlingsgrunnlaget personvernforordningen artikkel 6 nr. 1 bokstav c, jf. artikkel 9 nr. 2 bokstav g.

Veiledningshenvendelser

Dersom du ringer oss per telefon for å benytte deg av veiledningstilbudet vårt, vil vi lagre ditt telefonnummer og tidspunkt for samtalen. Se eget avsnitt om telefon under. 

Vi vil også føre statistikk over hvilke temaer vi mottar veiledningssaker om, for eksempel om henvendelsen omhandler kameraovervåking, og om vi mottar henvendelse fra privatpersoner eller virksomheter. Dette hjelper oss å utvikle veiledningsmateriell der det er mest behov for det og for analyse av trender. Statistikken føres i anonymisert form. Med andre ord skriver vi ikke ned telefonnummeret, navnet på innringer eller hvilken virksomhet innringer eventuelt representerer. Ved å se på tidspunktet for statistikkføring opp mot tidspunkt for samtalen (se eget avsnitt om telefon under) er det teoretisk mulig i enkelte tilfeller å se hvilken innringer som har tatt opp hvilket tema. Derfor behandler vi dette som personopplysninger. Vi vil imidlertid aldri utføre en slik kobling.

Behandlingsgrunnlaget for denne behandlingen av personopplysninger er personvernforordningen artikkel 6 nr. 1 bokstav f, som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Vår berettigede interesse er å vite hvor det er mest behov for veiledning og kartlegge trender.

Personer med særskilte behov kan sende oss veiledningshenvendelser per e-post. Formålet med behandling av personopplysninger her er å gi et veiledningstilbud til personer som av ulike grunner ikke kan ringe oss. Slike henvendelser slettes fortløpende med mindre de journalføres for saksbehandling. Behandlingsgrunnlaget for denne behandlingen er personvernforordningen artikkel 6 nr. 1 bokstav e, som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet, jf. personvernforordningen artikkel 57 nr. 1 bokstav b og forvaltningsloven § 11. Dersom din henvendelse inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget personvernforordningen artikkel 6 nr. 1 bokstav e, jf. artikkel 9 nr. 2 bokstav g, jf. artikkel 57 nr. 1 bokstav b og forvaltningsloven § 11.

Telefon

Når du ringer oss, vil ditt telefonnummer bli lagret sammen med opplysninger om når du ringte og hvor lenge samtalen varte hos Phonero, vår leverandør av telefonitjenester. Loggen lagres i tre måneder. Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat som journalføres etter samtalen (se over om saksbehandling). Det gjøres ingen øvrig systematisk registrering av telefonsamtaler hvor innringer kan identifiseres.

Loggen lagres for å kunne følge opp telefonsamtaler ved behov, for eksempel for å ringe opp personer som har kontaktet oss for å gi presiseringer eller be om mer informasjon. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 bokstav f, som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes interesser eller grunnleggende rettigheter og friheter. Den berettigede interessen er å kunne følge opp telefonsamtaler ved behov.

E-post

Vi benytter e-post for å utføre våre arbeidsoppgaver. E-post vi har mottatt skal slettes når de ikke lenger er nødvendige for vår daglige oppgaveløsing. I praksis innebærer dette at slik e-post vanligvis ikke skal lagres lenger enn omtrent ett år. 
Vi ber om at særlige kategorier personopplysninger ikke sendes ukryptert per e-post. 
Les mer om kryptering

Behandlingsgrunnlaget vårt for behandling av personopplysninger i e-poster er personvernforordningen artikkel 6 nr. 1 bokstav e som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet, jf. personvernforordningen artikkel 57 og 58 og forvaltningsloven § 17. Dersom din krypterte henvendelse inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget personvernforordningen artikkel 6 nr. 1 bokstav e, jf. artikkel 9 nr. 2 bokstav g, jf. artikkel 57 og 58 og forvaltningsloven § 17.

Vi skanner all inn og utgående e-post for virus og skadevare for å sikre integriteten, konfidensialiteten og tilgjengeligheten i våre systemer som behandler personopplysninger.

Behandlingsgrunnlaget for skanningen er personvernforordningen artikkel 6 nr. 1 bokstav c. Datatilsynet har en rettslig plikt til å sikre informasjonssikkerhet etter personvernforordningen artikkel 5 nr. 1 bokstav f og 32. Etter en konkret risikovurdering har vi kommet frem til at dette tiltaket er nødvendig for at Datatilsynet skal oppfylle denne plikten. Vi har samtidig vurdert at behandlingen av personopplysninger ikke går ut over det som er nødvendig for å oppfylle plikten. 

Tipsdatabase

Datatilsynet har en database over mottatte tips om brudd på personvernregelverket. Formålet med databasen er å ha en systematisk oversikt over henvendelser om mulige lovbrudd vi ikke har kapasitet til å følge opp umiddelbart og for å kunne planlegge kontroller. Databasen inneholder informasjon om tipser, informasjon om det mulige bruddet, informasjon om virksomheten det er tipset om og saksbehandlers vurdering av saken. Tipseren kan være anonym dersom vedkommende ønsker dette.

Opplysningene i tipsdatabasen lagres i tre år etter mottak av tipset før de slettes. Hvis tipset blir fulgt opp og senere brukes i en sak, vil tipset bli journalført sammen med sakens dokumenter, og opplysningene vil bli lagret i henhold til gjeldende arkivlovgivning (se over).

Behandlingsgrunnlaget for denne behandlingen er personvernforordningen artikkel 6 nr. 1 bokstav e, som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet, jf. personvernforordningen artikkel 57 og artikkel 58. Dersom din henvendelse inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget vårt personvernforordningen artikkel 6 nr. 1 bokstav e, jf. artikkel 9 nr. 2 bokstav g, jf. artikkel 57 og artikkel 58.

Registrering av personvernombud

Virksomheter som oppretter personvernombud skal etter artikkel 37 i personvernforordningen melde ombudets kontaktopplysninger til Datatilsynet.

I tillegg til virksomhetens kontaktopplysninger skal kontaktopplysningene til personvernombudet registreres. Dette inkluderer navn, telefonnummer, e-post og postadresse, dersom denne er en annen enn virksomhetens.

Virksomheten må logge inn via Altinn for å registrere personvernombudet. Opplysningene i skjemaet sendes fra Altinn til Datatilsynets saksbehandlingssystem. Datatilsynet får, ved hjelp av opplysningene, mulighet til å kontakte personvernombudet i forbindelse med saksbehandling og tilsyn. Vi benytter også opplysningene til å sende relevant informasjon fra oss til personvernombudene. I tillegg er opplysningene om personvernombud tilgjengelig på datatilsynet.no.

Formålet med behandlingen av personopplysninger er å legge til rette for virksomhetenes plikter etter personvernforordningen artikkel 37 samt å gjøre det lettere for Datatilsynet og enkeltpersoner å kontakte virksomheters personvernombud.

Behandlingsgrunnlaget for å motta opplysningene og bruke dem i saksbehandlingen er personvernforordningen artikkel 6 nr. 1 bokstav e, som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet, jf. personvernforordningen artikkel 57, jf. artikkel 37 nr. 7 og artikkel 39 nr. 1 bokstav e.

Behandlingsgrunnlaget for å publisere opplysningene på datatilsynet.no samt å bruke dem til å sende ombudene relevant informasjon, er personvernforordningen artikkel 6 nr. 1 bokstav f. Dette behandlings-grunnlaget tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å gjøre det lettere for enkeltpersoner å kontakte virksomheters personvernombud og å bidra til at ombudene holder seg oppdaterte.

Når behandlingsansvarlig melder inn at en person ikke lenger er personvernombud i virksomheten vil vedkommende bli slettet senest innen én måned etter at vi mottok meldingen.