Datatilsynets personvernerklæring

Denne personvernerklæringen forteller hvordan Datatilsynet samler inn og bruker personopplysninger. Målet er å gi deg overordnet informasjon om vår behandling av personopplysninger.

Datatilsynet er behandlingsansvarlig for vår behandling av personopplysninger. Denne erklæringen oppdateres fortløpende.

Oversikt over innholdet i erklæringen:

  1. Når samler Datatilsynet inn personopplysninger?
  2. Dine rettigheter
  3. Hva registreres når du bruker nettsiden vår?
  4. Hva registreres når du kontakter oss?
  5. Behandling av opplysninger når du er i kontakt med oss
  6. For virksomheter
  7. Opplysninger om ansatte og jobbsøkere
  8. Informasjonssikkerhet og databehandlere i Datatilsynet

1. Når samler Datatilsynet inn personopplysninger?

Vi behandler i hovedsak opplysninger som du har gitt til oss for en av disse årsakene:

  • Du har bedt Datatilsynet om veiledning eller sendt oss en klage
  • Du har bedt om innsyn etter offentlighetsloven
  • Du har meldt deg på et kurs eller et seminar
  • Du abonnerer på vårt nyhetsbrev
  • Du har søkt jobb hos oss

Vi får også opplysninger indirekte av følgende årsaker:

  • Vi har bedt en virksomhet om en redegjørelse og dine opplysninger fremkommer i redegjørelsen
  • En avviksmelding inneholder opplysninger om deg
  • En klage eller veiledningssak inneholder opplysninger om deg
  • Opplysninger om deg blir lagret i forbindelse med en tilsynssak
  • Vi mottar opplysninger om deg fra et annet myndighetsorgan
  • En ansatt har angitt deg som nærmeste pårørende
  • En jobbsøker har angitt deg som referanse

2. Dine rettigheter

Du kan utøve dine rettigheter ved å sende en e-post til , eller ved å kontakte vårt personvernombud. Du har krav på svar uten ugrunnet opphold, og senest innen 30 dager.

Innsyn i egne opplysninger

Du kan be om en kopi av alle opplysninger vi behandler om deg.
Les mer om retten til innsyn

Korrigering av personopplysninger

Du kan be oss rette eller supplere opplysninger som er feilaktige eller misvisende.
Les mer om retten til å rette eller supplere opplysninger

Sletting av personopplysninger

I gitte situasjoner kan du be oss slette opplysninger om deg selv.
Les mer om retten til sletting

Begrensning av behandling av personopplysninger

I noen situasjoner kan du også be oss begrense behandlingen av opplysninger om deg.
Les mer om retten til begrensning

Protestere mot en behandling av personopplysninger

Dersom vi behandler opplysninger om deg med grunnlag i våre oppgaver eller på bakgrunn av en interesseavveinng, har du rett til å protestere på vår behandling av opplysninger om deg.
Les mer om retten til å protestere

Dataportabilitet

Dersom vi behandler opplysninger om deg med grunnlag i samtykke eller en kontrakt, kan du be oss om å overføre opplysninger om deg til deg eller til annen behandlingsansvarlig.
Les mer om retten til dataportabilitet

Du kan klage på vår behandling av personopplysninger

Vi håper du vil si ifra dersom du mener vi ikke overholder reglene i personopplysningsloven. Ta da først kontakt med vårt personvernombud.

Du kan også klage over vår behandling av personopplysninger. Dette gjør du til Datatilsynet, men klagen vil videresendes til Kommunal- og moderniseringsdepartementet som oppretter et settetilsyn for å behandle saken.

3. Hva registreres når du bruker nettsiden vår?

Webanalyse

Når du besøker www.datatilsynet.no eller www.personvernbloggen.no, bruker vi et verktøy, Piwik, for å analysere din bruk av nettsiden. Formålet med dette er å utarbeide statistikk som vi bruker til å forbedre og videreutvikle informasjonstilbudet på nettstedet. Eksempler på hva statistikken gir svar på, er hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes.

Opplysningene behandles i avidentifisert og aggregert form. Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn tilbake til den enkelte bruker. Vi samler inn hele IP-adressen, men IP-adressen avidentifiseres slik at bare de tre første gruppene i adressen brukes til å generere statistikk. Det vil si at dersom IP-adressen består av numrene 195.159.103.82, brukes bare 195.159.103.xx. I tillegg behandles IP-adressene på aggregert nivå, det vil si at all data slås sammen til en gruppe og ikke behandles individuelt.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å forbedre våre tjenester.

Informasjonskapsler

Informasjonskapsler (cookies) er små tekstfiler som plasseres på din datamaskin når du laster ned en nettside. Datatilsynet bruker informasjonskapsler for at ulike tjenester på nettsiden vår skal fungere. Du kan lese mer om du ulike informasjonskapslene vi benytter lenger ned.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å få tjenester på nettsiden til å fungere.

Lagring av opplysninger og behandling av opplysninger fra cookies er ikke tillatt med mindre brukeren av nettsiden både har blitt informert om og har gitt sitt samtykke til behandlingen. Brukeren skal få vite om og godkjenne hvilke opplysninger som behandles, hva formålet med behandlingen er og hvem som behandler opplysningene, jf. ekomloven § 2-7b. Dette gjøres i brukerens nettleser.
Les mer om hvordan du administrerer informasjonskapsler (nettvett.no)

Følgende informasjonskapsler brukes på datatilsynet.no:

_pk_id

Brukes i forbindelse med webanalyse, se over

90 dager

_pk_se

Brukes i forbindelse med webanalyse, se over

90 dager

.EPiForm_BID

Innsending av skjemaer

 

.EPiForm_VisitorIdentifier

Innsending av skjemaer

90 dager

EPiForm_

Innsending av «Fant du det du lette etter?»

90 dager

_tmc

Forhindrer at Task Analytics ber deg delta i undersøkelse flere ganger

90 dager

_taj

Brukes i forbindelse med besvarelsen av Task Analytics

90 dager

Søkemotor

Datatilsynet lagrer informasjon om hvilke søkeord brukerne benytter i søkeverktøyet Find. Formålet med lagringen er å gjøre informasjonstilbudet vårt bedre. Bruksmønsteret for søk lagres i en egen database, og de blir bare lagret i aggregert form. Det er bare søkeordet som lagres og de kan ikke kobles til andre opplysninger om brukerne, slik som til IP-adressene.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å få tjenester på nettsiden til å fungere.

«Fant du det du lette etter?» - tilbakemeldingsfunksjon

Nederst i noen av artiklene på nettstedet finner du en funksjon der du kan gi tilbakemelding om du fant informasjonen du lette etter, eller ikke. Vi bruker tilbakemeldingen til å forbedre innholdet på nettstedet. Bruker du denne funksjonen, legges det igjen en FormCookie på datamaskinen din, denne kan ikke brukes til å spore meldingen tilbake til deg. Tilbakemeldingen du sender oss lagres i vår database.

Funksjonen brukes ikke til veiledning, og vi ber deg derfor om å ikke registrere spørsmål som du ønsker svar på her. Vi ber deg også om ikke å registrere sensitiv informasjon, ettersom funksjonen ikke er sikret (kryptert).

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.

Kommentarer på www.personvernbloggen.no

Du kan legge igjen kommentarer uten å registrere deg. Legger du igjen navn og adresse, vil opplysninger bli liggende som en del av innlegget. Alle innlegg og tilhørende kommentarer arkiveres i tråd med arkivlovgivningen.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.

4. Hva registreres når du kontakter oss?

Telefon

Når du ringer oss, vil ditt telefonnummer bli lagret sammen med opplysninger om når du ringte og hvor lenge samtalen varte i vår telefonsentral. Denne loggen er nødvendig for administrasjon og drift av systemet, samt at den benyttes som grunnlag for statistikk på aggregert nivå. Etter en periode anonymiseres eksterne numre ved at de fire siste siffer slettes. Komplett logg slettes etter ett år. I tillegg har ansatte en oversikt over de siste anropene på sine telefoner. Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat som journalføres etter samtalen. Det gjøres ingen øvrig systematisk registrering av telefonsamtaler hvor innringer kan identifiseres.

Telefonsamtaler til vår veiledningstjeneste telles i anonym form. Opplysningene brukes til å kartlegge antall samtaler til de ulike avdelingene i Datatilsynet, samt å ringe tilbake dersom det er kø på telefonen eller samtalen falt ut.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å administrere og drifte telefonisystemet.

E-post

Vi bruker TLS-kryptering for å sikre vår e-postkommunikasjon. De fleste webmailtjenester støtter dette, og din e-postkommunikasjon med oss vil da være sikret. Vi ber likevel om at du ikke sender sensitive personopplysninger eller beskyttelsesverdig informasjon per e-post, da vi ikke kan garantere at din e-postleverandør støtter TLS.

Vi skanner all inn og utgående e-post for virus og skadevare.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.. Den berettigede interessen er å sikre Datatilsynets IKT-infrastruktur.

Besøkende til våre lokaler

Besøkende som kan ferdes på egen hånd i Datatilsynets lokaler må undertegne en taushetserklæring, og må ha besøkskort. Listen og taushetserklæringen oppbevares i to år etter besøket.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å sikre tilgangen til Datatilsynets lokaler.

Kamera i porttelefon

Ved inngangspartiet på gateplan hos Datatilsynets er det montert et kamera med mikrofon. De aktiveres når man ringer på dørklokka. Bildet av inngangspartiet vises i sanntid og har ikke opptaksmulighet.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å sikre tilgangen til Datatilsynets lokaler.

5. Behandling av opplysninger når du er i kontakt med oss

Veiledning

Når du kontakter oss for veiledning, behandler vi opplysninger for å kunne besvare ditt spørsmål. Vi lagrer opplysninger som er nødvendig for å kunne besvare din henvendelse. Dersom du ringer oss, vil vi lagre ditt telefonnummer og tidspunkt for samtalen. Dersom du kontakter oss per e-post, vil vi lagre din henvendelse, vårt svar og din e-postadresse. Vi vil også føre statistikk for alle veiledningssaker, dette gjøres i anonymisert form.

Opplysningene lagres i to år etter saken er avsluttet, og dersom saken er journalpliktig vil opplysningene bli lagret i 25 år.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 e), som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet. Dersom din henvendelse inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget vårt personvernforordningen artikkel 9 nr. 2 g).

Klage til Datatilsynet

Når Datatilsynet behandler klager, behandler vi opplysninger for å kunne gjennomføre våre lovpålagte oppgaver. Dette inkluderer blant annet kontaktinformasjon og annen informasjon som er nødvendig for å kunne behandle saken. Dette kan inkludere opplysninger om lovovertredelser, helseopplysninger, opplysninger om arbeidsforhold og lignende.

Opplysningene lagres så lenge saken er pågående, og dersom saken er journalpliktig vil opplysningene bli lagret i 25 år.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 e), som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet. Dersom din henvendelse inneholder særlige kategorier av personopplysninger er behandlingsgrunnlaget vårt personvernforordningen artikkel 9 nr. 2 g).

Tipse Datatilsynet

Datatilsynet har en database over mottatte tips om brudd på personvernregelverket. Formålet med databasen er å ha en systematisk oversikt over henvendelser om mulige lovbrudd vi ikke har kapasitet til å følge opp umiddelbart og for å kunne planlegge kontroller. Databasen inneholder informasjon om tipser, informasjon om det mulige bruddet, informasjon om virksomheten det er tipset om og saksbehandlers vurdering av saken.

Opplysningene i tipsdatabasen lagres i tre år etter mottak av tipset. Hvis tipset blir fulgt opp og saken er journalpliktig vil opplysningene bli lagret i 25 år.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 e), som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet. Dersom din henvendelse inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget vårt personvernforordningen artikkel 9 nr. 2 g).

Abonnere på nyhetsbrev

Datatilsynet sender ut nyhetsbrev på e-post til de som ønsker. Nyhetsbrevet inneholder veiledning, nyhetssaker, høringsuttalelser, informasjon om kurs, nye innlegg fra Personverbloggen og annet personvernrelatert innhold. 

For at vi skal kunne sende deg nyhetsbrev på e-post, må du registrere en e-postadresse. E-postadressen vil bare bli brukt til å sende ut nyhetsbrev og eventuelt brukerundersøkelser om nyhetsbrevet for å få tilbakemelding om hva leserne har behov for og hva de synes er interessant.

E-postadressen lagres i en egen database, deles ikke med andre og slettes når du melder deg av nyhetsbrevet. Du kan melde deg av ved å trykke på lenken for dette i nyhetsbrevet eller ved å Datatilsynet bruker en databehandler, Make AS, til å administrere og sende ut nyhetsbrevet, og det er Make AS som drifter databasen der e-postadressene lagres.

Behandlingsgrunnlaget for behandling av e-postadressen din i tilknytning til nyhetsbrevet vårt er personvernforordningen artikkel 6 nr. 1 a), altså samtykke. 

Dokumentasjon av samtykke gjennom dobbelt opt-in i e-post

Når du melder deg på nyhetsbrevet får du informasjon om hva vi samler inn og hvorfor. Ved å melde deg på brevet samtykker du til vår behandling av opplysninger om deg. Påmeldingen må bekreftes ved å klikke på en lenke i e-post, såkalt dobbelt opt-in. Det er for at vi skal kunne dokumentere din påmelding til nyhetsbrevet.

Bestille veiledningsmateriell

På nettsiden kan du periodevis bestille veiledningsmateriell fra Datatilsynet. Formålet med behandlingen av personopplysninger er å kunne sende deg materiellet, og vi behandler da opplysninger om virksomhet med postadresse, samt navn og e-post på kontaktperson..

Personopplysninger vi får inn ved bestillinger av veiledningsmateriell blir ikke benyttet til andre formål enn å effektuere bestillingen. Etter bestillingen er sendt, vil alle opplysninger bortsett fra antall og virksomhet slettes, disse opplysningene benyttes til å utarbeide statistikk.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 b), behandlingen er nødvendig for å oppfylle en avtale den registrerte er part i.

Bestillingsinformasjonen deles med distributøren ILAS som sender ut veiledningsmateriellet på vegne av Datatilsynet

Spørreundersøkelser

Når vi gjennomfører spørreundersøkelser, vil vi alltid informere om formålet med den, og hvorvidt den er anonym eller ikke. Datatilsynet vil ikke dele opplysningene med andre eller bruke opplysningene til andre formål enn det som er angitt.

Anonyme undersøkelser

Dersom undersøkelsen er anonym, vil ikke Datatilsynet eller EasyQuest samle inn noe informasjon som kan kobles til deg.

Identifiserbare undersøkelser

Dersom undersøkelsen ikke er anonym, kan Datatilsynet identifisere de som har besvart undersøkelsen. Vi kan også benytte EasyQuest til å sende ut undersøkelsen, din e-postadresse vil i så fall bli delt med Sendgrid.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 a), hvor du samtykker til vår behandling av opplysninger om deg.

Datatilsynet bruker EasyQuest til å gjennomføre undersøkelser.

Postjournal og innsyn

Datatilsynet fører en systematisk og fortløpende oversikt over alle inngående og utgående saksdokumenter. Journalen er tilgjengelig på eInnsyn. Journalen inneholder opplysninger om avsender, mottaker og overskrift på saksdokumentet. Personnavn skjermes fra journalen når innførselen er eldre enn ett år.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 c), nødvendig for å oppfylle en rettslig forpliktelse jf. offentlighetsforskriften §6.

Forespørsler om innsyn via eInnsyn blir arkivert. Alle innsynskrav fra eInnsyn registreres og kvitteres ut i eget skjema. Skjemaet blir journalført ved årets slutt.

6. For virksomheter

Melde avvik

Datatilsynet har en database over alle mottatte avviksmeldinger. Databasen inneholder opplysninger om kontaktperson i virksomheten, personvernombud i virksomheter og detaljer om avviket.

Opplysningene lagres så lenge saken er pågående, og dersom saken er journalpliktig vil opplysningene bli lagret i 25 år.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 e), som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet.

Registrere personvernombud

Virksomheter som oppretter personvernombud skal etter artikkel 37 i personvernforordningen melde ombudets kontaktopplysninger til Datatilsynet. Dette gjelder både virksomheter som personvernombud er obligatorisk for, og virksomheter som oppretter personvernombud på frivillig basis.

I tillegg til virksomhetens kontaktopplysninger skal kontaktopplysningene til personvernombudet registreres. Dette inkluderer navn, telefonnummer, e-post og postadresse, dersom denne er en annen enn virksomhetens.

Meldingene om personvernombud inngår i et register over personvernombud i Norge. Formålet med registeret er å ha en samlet oversikt over alle registrerte personvernombud. Datatilsynet får, ved hjelp av registeret, mulighet til å kontakte personvernombudet i forbindelse med saksbehandling og tilsyn. I tillegg kan vi formidle personvernombudets kontaktopplysninger i forbindelse med vår veiledningsvirksomhet overfor publikum. Vi benytter også registeret til å sende relevant informasjon fra oss til personvernombudene.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 e), som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet.

Registrering via Altinn

Virksomheten må logge inn via Altinn for å registrere personvernombudet. Opplysningene i skjemaet sendes fra Altinn til Datatilsynets saksbehandlingssystem Public 360. Opplysningene lagres ikke i Altinn, men en pdf av det innsendte skjemaet blir lagret i arkivet i Altinn-innboksen til virksomheten som registrerte ombudet. Virksomheten kan når som helst slette denne kvitteringen.

Opplysningene lagres i Datatilsynets saksbehandlingssystem

Opplysningene fra registreringsskjemaet sendes fra Altinn til Datatilsynets saksbehandlingssystem Public 360, som i dette tilfellet også fungerer som et register over personvernombud. Personvernombudene lagres som kontakter i saksbehandlingssystemet, og en kopi av det innsendte skjema arkiveres som dokumentasjon knyttet til virksomheten i saksbehandlingssystemet. Denne kopien slettes tre år etter at Datatilsynet får beskjed om at ombudet ikke lenger er aktivt.

Når behandlingsansvarlig melder inn at en person ikke lenger er personvernombud i virksomheten, vil vedkommende slettes som kontakt (altså i registeret) umiddelbart, og senest innen èn måned, etter at Datatilsynet mottok meldingen. Dersom personvernombudet har vært del av en korrespondanse, for eksempel kopimottaker av et brev fra Datatilsynet, vil kontaktopplysningene til vedkommende lagres i saksbehandlingssystemet i henhold til journalføringsplikten.

Utleveres opplysningene til andre?

Datatilsynet publiserer ikke registeret over ombud utover listen som ligger offentlig tilgjengelig på vår nettside. Det er virksomheten selv som bestemmer om personvernombudets navn og kontaktopplysninger skal publiseres. Hvis vi får en innsynsbegjæring, har vi plikt til å gi innsyn i oversikten over personvernombud, jamfør offentlighetsloven § 9. Vi vil i medhold av denne bestemmelsen, så langt mulig bistå personvernombud som ønsker å få en oversikt over andre ombud innen for eksempel egen sektor eller geografiske område.

Oversikt over ombud på nett

Navnet på alle virksomheter som registrerer personvernombud vil i løpet av høsten publiseres i en oversikt på våre nettsider.

Personopplysninger blir ikke publisert med mindre virksomheten i forståelse med det aktuelle personvernombudet har valgt at også navnet på personvernombudet og vedkommendes kontaktopplysninger skal publiseres.

Formålet med å publisere navn og kontaktopplysninger til ombudet er å gjøre det lettere for de registrerte å få oversikt over og å komme i kontakt med personvernombudene i de ulike virksomhetene. Oversikten er også nyttig for personvernombud og andre som har interesse av å få en samlet og lett tilgjengelig oversikt over personvernombud i Norge.

Hvis virksomheten velger å publisere kontaktopplysninger til ombudet på Datatilsynet sin oversikt på nett, er det opp til virksomheten å innhente samtykke eller basere publiseringen på et annet behandlingsgrunnlag.

Opplysningene i oversikten på nett vil automatisk oppdateres hvis virksomheten sletter eller endrer ombud eller kontaktopplysninger i Altinn. Den automatiske oppdateringen skjer minst en gang i døgnet.

Tilsyn

Når Datatilsynet gjennomfører tilsyn, behandler vi opplysninger for å kunne gjennomføre våre lovpålagte oppgaver. Dette inkluderer blant annet opplysninger om kontaktperson i virksomheten, opplysninger om andre ansatte og annen informasjon som er nødvendig for å kunne behandle saken. Dette kan inkludere opplysninger om lovovertredelser, helseopplysninger, opplysninger om arbeidsforhold mm.

Opplysningene lagres så lenge saken er pågående, og dersom saken er journalpliktig vil opplysningene bli lagret i 25 år.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 e), som tillater oss å behandle opplysninger som er nødvendig for utøvelse av offentlig myndighet. Dersom din henvendelse inneholder særlige kategorier av personopplysninger er behandlingsgrunnlaget vårt personvernforordningen artikkel 9 nr. 2 g).

Bestilling av foredrag

Via nettsiden kan du be oss om å holde foredrag eller lignende for din virksomhet. Vi ber da om navnet på en kontaktperson og kontaktinformasjon til denne. Formålet er å administrere foredrag, og å holde oversikt over gjennomføre foredrag.

Opplysningene lagres i inneværende og påfølgende år, anonymiserte oversikt over foredrag lagres videre.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å kunne administrere foredrag samt holde oversikt over gjennomføre foredrag.

7. Opplysninger om ansatte og jobbsøkere

Ansatte

Datatilsynet behandler opplysninger om ansatte og for å administrere lønn og arbeidsforhold. Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeningstilhørighet. Andre opplysninger om ansatte er knyttet til vedkommendes arbeidsinstruks og tilrettelegging av vedkommendes arbeid.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 b), behandlingen er nødvendig for å oppfylle en avtale den registrerte er part i.

Dessuten registreres det opplysninger i tilknytning til nøkkeladministrasjon av inn- og utpasseringer, og opplysninger om tilgangsstyring i IT-systemet. Opplysningene hentes fra de ansatte selv. Opplysningene utleveres bare i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven. Opplysninger om navn, stilling og arbeidsområdet regnes å være offentlige opplysninger, og kan publiseres på våre nettsider.

Alle tidligere og nåværende ansatte har en personalmappe i vårt arkivsystem.

Her blir blant annet stillingssøknaden arkivert/oppbevart. Personalmapper skal bevares (det vil si at stillingssøknaden ikke blir slettet eller makulert). Personalmapper blir ryddet ved utløp av arbeidsforholdet. Personalmapper skal avleveres til Arkivverket. Tilgangen begrenset til tjenstlig behov.

Jobbsøkere

Dersom du søker jobb hos Datatilsynet, trenger vi å behandle opplysninger om deg for å vurdere din søknad.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 b) behandlingen er nødvendig for å oppfylle en avtale den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse. Dersom din søknad inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget vårt personvernforordningen artikkel 9 nr. 2 b) og h).

Alle stillingssøknader blir journalført i Datatilsynets postjournal. Disse blir lagret i vårt elektroniske arkiv i omlag ett år før de makuleres. Alle andre dokumenter, slik som søkerlister og innstillinger, samt alle stillingssøknader på avdelingsdirektørnivå, bevares.

8. Informasjonssikkerhet og databehandlere i Datatilsynet

Logging

Datatilsynet har alminnelige sikkerhetslogger i fagsystemene, og sikkerhetsansvarlig har fått delegert ansvaret for dette. Det er de ansattes bruk av fagsystemet som blir registrert her.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å sikre tilsynets IKT-infrastruktur.

Datatilsynets bruk av databehandlere

Datatilsynet har i dag en IKT-driftsmodell der vi drifter en stor del av våre systemer selv, men der vi også har overlatt driften av noen systemer til eksterne parter. Der vi drifter selv, bruker vi også eksterne konsulenter. Alle våre leverandører er forpliktet til å jobbe fra Norge, og i de tilfellene data flyttes ut av våre egne servere, lagres dette på servere i Norge.

Vi har en lokal serverpark med et virtuelt servermiljø som vi drifter selv. Her har vi en avtale med Proact om støtte dersom vi trenger det. Proact har ikke tilgang til våre systemer, men må gis tilgang i hvert enkelt tilfelle enten via oppmøte eller fjerntilgang.

Vi har også en avtale om «offsite backup» med Proact, der backup av våre data lagres på et norsk datasenter. Proact overvåker datasenteret og vår backup fra sitt driftsenter i England, men data blir ikke flyttet ut av det norske datasenteret.

Til lønn- og regnskapssystem bruker vi tjenester fra DFØ som kjører på deres servere. Wintid blir brukt som system for å administrere arbeidstid, overtid og fravær. Dette driftes av oss selv fra egen server, men konsulenter blir brukt ved oppgradering av systemet. De blir da gitt fjerntilgang for den tiden arbeidet tar.

Nettsidene til Datatilsynet er hostet hos iSky som er en norsk leverandør og et norsk datasenter blir brukt. Til drift og support av nettsidene brukes Epinova som også er en norsk leverandør. Det er ingen koblinger mellom nettsidene og andre av Datatilsynets IKT-systemer.

Vår største databehandler er Itera som står får drift av PCer, Active Directory servere, brannmurer, printservere, Exchange (e-post) og MDM (mobile device managment). Serverne som Itera drifter er lokalisert i Norge og konsulentene som jobber opp mot oss jobber fra Norge. Dette er regulert i vår avtale med Itera.

Våre beskyttelsesverdige opplysninger ligger i alle hovedvekt i vårt fag/arkivsystem Public360. Dette systemet ligger i en sikret sone, det vil si at servere som er en del av dette systemet ikke har tilgang til internett eller andre deler av vårt interne nettverk. Public360 driftes av oss selv med assistanse av konsulenter fra Tieto der dette er nødvendig. Tietos konsulenter gis tilgang enten «onsite» eller via fjerntilgang. Tieto skal etter avtale kun bruke konsulenter som jobber fra Norge. Fjerntilgang blir gitt og kontrollert av oss.

22