Personvernerklæring

Rettigheter til grunnleggende informasjon om behandling av personopplysninger 

Alle som spør har rett på grunnleggende informasjon om kommunens behandling av personopplysninger iht. Personopplysningslovens (POL) § 18, 1. ledd, og i overensstemmelse med kravene i den nye EU-/EØS-loven om personvern, GDPR (General Data Protection Regulation), som vil erstatte POL i mai/juni 2018.

 

Generelt om kommunens behandling av personopplysninger  

Storfjord kommune, ved rådmannen, er behandlingsansvarlig for kommunens behandling av personopplysninger. Det daglige ansvaret for de forskjellige behandlingene er delegert internt. Delegeringen omfatter kun oppgavene, ikke ansvaret. 

Storfjord kommune er ansvarlig for at alle data blir behandlet på en sikker måte med hensyn til konfidensialitet (at data kun skal være tilgjengelig for autoriserte personer og prosesser), integritet (at data er nøyaktige, fullstendige og gyldige) og tilgjengelighet (krav til service - alle berettigede krav om tilgang til korrekt informasjon dekkes ved behov.) Kommunen skal også sikre at det foreligger internkontroll som viser at oppgavene blir utført i samsvar med POL/GDPR og regler gitt i henhold til dette og annet relevant lovverk. 

Hvis ikke annet er oppgitt, lagres alle opplysninger som kommunen samler inn i systemer som driftes av kommunens eget personell på kommunens dataservere + samarbeidspartnere. Der annet ikke er oppgitt er kommunens personell i denne sammenheng systemansvarlig (delegert administrativt ansvar tilknyttet det enkelte fagsystem) og ansatte på kommunens IT-avdeling. Hvis ikke annet er oppgitt har systemansvarlig ansvar for den administrative driften av systemet (og dermed tilgang til personopplysninger), mens personell ved IT-avdelingen har ansvar for den tekniske driften av systemene (og dermed ikke tilgang til personopplysninger).  Kommunens servere er forsvarlig fysisk og teknisk sikret. Det er inngått avtale med samarbeidende dataleverandører.

Storfjord kommune innhenter de personopplysninger vi trenger for å kunne utføre oppgavene og tjenestene våre. Behandling av personopplysninger skjer i henhold til gjeldende lov og forskrift. Du blir varslet dersom vi henter inn opplysninger om deg, med mindre innsamlingen av opplysninger er lovpålagt, varsling er umulig eller svært vanskelig, eller det er opplagt at du kjenner til opplysningene som varslet skal inneholde. 

 

Nettbasert behandling av personopplysninger   

Denne erklæringen inneholder opplysninger du har krav på når det samles inn opplysninger fra nettstedet vårt (POL § 19) og generell informasjon om hvordan vi behandler disse opplysningene (POL § 18 1.ledd). 

Rådmannen er behandlingsansvarlig for Storfjord kommunes nettbaserte behandlinger av personopplysninger på www.storfjord.kommune.no.

Løsningen driftes av kommunens eget personell og samarbeidspartnere. Det er frivillig å oppsøke kommunens nettbaserte tjenester. 

 

  • INFORMASJONSKAPSLER (COOKIES) OG AUTOMATISK LAGRING AV INFORMASJON

Informasjonskapsler (cookies) er små tekstfiler som lastes ned og lagres på datamaskinen din når du åpner en nettside. De aller fleste nettsider bruker slike informasjonskapsler. Storfjord kommune bruker informasjonskapsler til å forbedre brukeropplevelsen din og til å samle inn statistikk. Bruken av informasjonskapsler utgjør ingen sikkerhetsrisiko for deg. Du kan avstå fra å samtykke til lagring av informasjonskapsler, men det kan føre til at tjenestene på nettsiden ikke fungerer optimalt. Ingen av opplysningene vi får inn via informasjonskapsler, blir brukt til å identifisere enkeltpersoner. 

  • WEBANALYSE 

Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn tilbake til den enkelte bruker. Hensikten er å utarbeide statistikk som vi bruker til å forbedre og videreutvikle informasjonstilbudet på nettstedet. Eksempel på hva statistikken gir svar på er; søk, hvor mange som besøker ulike sider, hvor lenge besøket varer og hvilke nettlesere som blir brukt osv. Opplysningene blir behandlet i aggregert form, det vil si at alle data blir slått sammen til en gruppe og blir ikke behandlet individuelt. I tillegg blir opplysningene anonymisert. Informasjonen kan ikke spores tilbake til den enkelte bruker. 

 

  • INFORMASJON LAGRET I ELEKTRONISKE SKJEMA

Vi bruker elektroniske skjema for å forenkle og effektivisere offentlig forvaltning. Når du fyller ut elektroniske skjema på www.storfjord.kommune.no vil informasjonen du gir fra deg, bli sendt sikkert til den saksbehandler eller avdeling som trenger informasjonen til sin saksbehandling. På grunn av informasjonssikkerhet knyttet til sensitiv informasjon er det ikke alle tjenester det er mulig å søke elektronisk på. 

 

  • SOSIALE MEDIER

Storfjord kommune driver ikke med saksbehandling i sosiale medier.

Opplysninger/informasjon du oppgir på sosiale medier kan bli brukt.

 

Saksbehandling og arkiv 

Storfjord kommune bruker et sak-/arkivsystem med elektronisk journalføring og elektronisk lagring av saksdokumenter. Rådmannen er behandlingsansvarlig for sak-/arkivsystemet, og kommunearkivaren er delegert det daglige arkiv- og systemansvaret. Den daglige driften gjøres av kommunens eget personell.

 

Sakarkivsystem følger offentlige standarder (NOARK), er tilgangs- og rollestyrt, og har særlige sikkerhetstiltak og rutiner for svært beskyttelsesverdig informasjon (f.eks. personalmapper, IOP’er og andre sensitive personopplysninger). Det er utarbeidet nødvendige rutiner og styrende dokumenter som sikrer at den faktiske saksbehandlingen er i samsvar med gjeldende lovverk. 

 

I sakarkivsystemet behandler kommunen personopplysninger for å oppfylle sine lovpålagte oppgaver etter bl.a. Personopplysningsloven/GDPR, Forvaltningsloven, Offentleglova og Arkivloven.  Det registreres ulike typer personopplysninger i sak-/arkivsystemet. Dette er opplysninger som navn, adresse, telefonnummer og annen relevant informasjon. Registrering, lagring og oppbevaring skjer iht. arkivlovgivningens regler. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger. Som en del av den pålagte saksbehandlingen innhenter Storfjord kommune i noen tilfeller opplysninger fra andre etater på eget initiativ etter lovhjemmel (forvaltningsloven § 17). 

 

Storfjord kommune gjør offentlige dokumenter tilgjengelige i postlisten på kommunens hjemmeside. Kommunen gjør oppmerksom på at korrespondanse med kommunen journalføres etter arkivlovens bestemmelser, og vil således kunne bli gjort tilgjengelig i postlisten. Dette betyr at vi også normalt vil gi innsyn i disse om vi får en slik forespørsel.

 

E-post og telefon 

Rådmannen er behandlingsansvarlig for kommunens e-post og telefoni-løsninger, og IT-avdelingen er delegert det daglige systemansvaret. E-post-løsningen administreres og driftes av kommunens eget personell. Telefoni driftes også av kommunens eget personell. 

Storfjord kommune benytter e-post og telefon som en del av det daglige arbeidet, og det kan forekomme at kommunen bruker e-post eller telefon til deler av saksbehandling. I slike tilfeller skal saksbehandler journalføre relevant korrespondanse i tilhørende fagsystem. Saksbehandling som inneholder sensitive personopplysninger gjøres ikke på e-post. Mottatte e-post som inneholder sensitive opplysninger skal ikke distribueres videre, og skal fjernes fra e-postsystemet. 

 

Storfjord kommunes medarbeidere benytter i tillegg e-post i alminnelig dialog med interne og eksterne kontakter. Ved fratreden slettes e-post etter kommunens retningslinjer for dette. 

Storfjord kommune ønsker å gjøre deg oppmerksom på at vanlig e-post inntil videre er ukryptert, og vi oppfordrer deg derfor til ikke å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger til oss med e-post. 

 

Telefonsamtaler (telefonnummer fra og til, samt tidspunkt for samtalen) logges i vår telefonsentral. I tillegg har noen ansatte en oversikt over de siste anropene på sine telefoner. Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som journalføres. Det gjøres ingen øvrig systematisk registrering av telefonsamtaler hvor innringer kan identifiseres. 

 

Personopplysninger, ansatte 

Storfjord kommune behandler personopplysninger om sine ansatte i sitt HR-system for å administrere lønn og personalansvar i henhold til POL § 8, første ledd og § 8 a), b) eller f) samt § 9 a), b) og f). Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeningstilhørighet mm.

 

Rådmannen er behandlingsansvarlig for HR-systemet, og lønns-/ regnskapsavdelingen er delegert systemansvaret. Systemet administreres av kommunens lønns-/ regnskapsavdeling og driftes av kommunens IT-avdeling. Ved opphør slettes alle tilganger, filområder og brukerkontoer. 

 

Alle opplysningene om ansatte innhentes fra de ansatte selv og utleveres kun i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Sletterutiner for personalopplysninger følger regnskapslov og arkivlov. Opplysninger om navn, stilling og arbeidsområde regnes å være offentlige opplysninger og kan publiseres.  Tilganger til øvrige fagsystemer administreres av den enkelte systemansvarlige.  Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer. 

 

Helseopplysninger 

Storfjord kommune behandler helseopplysninger knyttet til lovpålagte tjenester (Jf. POL §13, helseregisterloven §21, pasientjournalloven §22 og personopplysningsforskriften kap. 2) i flere av sine fagsystemer innen pleie og omsorg og innen oppvekst. Rådmannen er behandlingsansvarlig. 

 

Den daglige systemdriften gjøres av systemansvarlige for det enkelte fagsystem i samarbeid med kommunens IT-seksjon.

 

Alle data og systemer som inneholder sensitive helseopplysninger ligger i egen «lukket sone» avskjermet fra kommunens øvrige miljø. Data fra lukket sone kan ikke transporteres ut av kommunens systemer, og det finnes egne rutiner for opplæring, tilgangsstyring, og kontrolltiltak til det enkelte fagsystem i lukket sone.  Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer. 

 

Personopplysninger om elever, barnehagebarn og foresatte 

Storfjord kommune behandler personopplysninger knyttet til lovpålagte tjenester (jf. opplæringsloven og barnehageloven med henvisninger til forvaltningsloven og POL) i flere av sine fagsystemer innen oppvekstsektoren. Rådmannen er behandlingsansvarlig, og systemdriften gjøres av systemansvarlige for det enkelte fagsystem, i hovedsak i samarbeid med kommunens IT-avdeling. 

 

Kommunen har et system for elever og foresatte med timeplaner, læreplaner, karakterer mm, og systemet er passordbeskyttet.   

 

Systemet inneholder noen personopplysninger om elever, og er integrert med kommunens skoleadministrative system som inneholder personopplysninger om elever og foresatte.  Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer. 

 

Personopplysninger barnevern 

Storfjord kommune behandler personopplysninger knyttet til lovpålagte tjenester (jfr lov om barneverntjenester §6-7), i sitt fagsystem for barnevern. Fagsystemet har egen, sikker arkivenhet og ligger i sin helhet på egen «sikker sone». 

Systemdriften gjøres av systemansvarlige for fagsystemet, i hovedsak i samarbeid med kommunens IT-avdeling. 

 

Generelt om logging i Storfjord kommunes fagsystemer 

Storfjord kommune har alminnelige sikkerhetslogger i sine fagsystemer. Det er de ansattes bruk av fagsystemet som blir registrert her. 

 

Det rettslige grunnlaget for slike logger er kravet om logger i personopplysningsforskriftens §§ 2-8 og 2-14, samt POL § 8 f), for å ivareta virksomhetens sikring av andre informasjonsverdier enn person-opplysninger.  Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer. 

 

Innsynsrett 

Alle har rett til å kreve innsyn i offentlige dokumenter, journaler, registre og liknende. Alle kommunale saksdokumenter er offentlige hvis det ikke er gjort unntak som er hjemlet i lov. Ved informasjon som unntas fra offentlighet plikter kommunen å vurdere om informasjonen likevel bør kunne gjøres helt eller delvis kjent. 

 

  • INNSYN I EGNE OPPLYSNINGER. 

Du har rett til å få informasjon om vår behandling av dine opplysninger og hvilke sikkerhetstiltak vi har rundt bruken av opplysningene dine.

Dersom du ønsker nærmere informasjon om vår behandling av opplysninger om deg, bes du ta kontakt med oss. Da kan du få svar på noen av dine spørsmål, og eventuell bistand med å be om innsyn. Begjæringer om innsyn må gis skriftlig.

Vi vil deretter svare så snart som mulig, og senest 30 dager etter at vi har mottatt bestillingen din. Hvis særlige forhold gjør det umulig for oss å svare innen 30 dager, vil vi sende et foreløpig svar med en begrunnelse for forsinkelsen og med informasjon om sannsynlig tidspunkt for svar. Vi tar ikke betalt for å behandle din bestilling om innsyn. 

 

  • PARTSINNSYN. 

Med få unntak får alle se opplysninger som gjelder en selv. Familiemedlemmer eller andre har kun rett til partsinnsyn dersom det forevises skriftlig fullmakt fra personen det gjelder. 

 

  • INTERNE DOKUMENTER 

Du kan nektes innsyn i interne dokumenter, men som hovedregel skal du likevel få innsyn i saksliste eller saksdokumenter til kommunestyre eller annet kommunalt folkevalgt organ, dokumenter til/fra kommunens kontrollutvalg, klagenemnd eller kommunal revisjon, og dokumenter til/fra enheter i administrasjonen som har selvstendig avgjørelsesmyndighet for saken dokumentet gjelder. 

 

  • KRITERIER/VILKÅR 

Krever du innsyn i saksdokumenter, må kravet gjelde en bestemt sak, eller i rimelig utstrekning saker av en bestemt art. 

Søknad om innsyn bør inneholde en presisering av hvilken hjemmel som påberopes for kravet. Innsyn i dokumenter til og fra Storfjord kommune bestilles enklest via kommunens hjemmeside eller ved kontakt med kommunens postmottak / sentralarkiv.  

Tjenesten er i utgangspunktet gratis, men noen unntak finnes. Dette vil du få informasjon om i det enkelte innsynskrav. 

 

Retting og sletting 

Storfjord kommune plikter på selvstendig grunnlag å slette personopplysninger som ikke lenger er relevante for behandlingen. Dette selv om opplysningene ikke er feilaktige eller mangelfulle, og innen rimelig tid. 

 

Iht. POL §§27 og 28 har alle som er registrert i en av Storfjord kommunes systemer rett til å kreve at uriktige eller ufullstendige opplysninger blir rettet eller supplert, og at opplysninger kommunen ikke har adgang til å behandle blir slettet. Krav om retting eller sletting rettes til kommunens postmottak, og skal besvares kostnadsfritt innen 30 dager. 

 

Plikten til å slette personopplysninger er i noen tilfeller begrenset av annet lovverk (f.eks regnskaps-loven, arkivloven) og det kan også gjøres unntak fra sletteplikten for data som lagres for historisk, vitenskapelig eller statistisk formål. 

 

Annen relevant lovgivning 

I tillegg til POL har blant annet følgende lover betydning for Storfjord kommunes behandling av personopplysninger. 

Offentlighetsloven med forskrifter inneholder reglene for når et dokument er offentlig tilgjengelig for allmennheten, og når et dokument kan unntas offentlighet. 

Forvaltningsloven inneholder saksbehandlingsregler for hvordan saken din vil bli behandlet i Storfjord kommune. Som part i saken har du særskilte rettigheter, bl.a. om innsyn i sakens dokumenter. 

Arkivloven inneholder regler om hvordan sakens dokumenter skal oppbevares, herunder om lagring i arkivinstitusjon. 

Helseregisterloven inneholder regler om hvordan helseopplysninger som samles inn vil bli behandlet, herunder hvordan de sikres, hvem som har tilgang og om de kan utleveres til andre. 

Personvernombud

Personvernombudet i Storfjord kommune arbeider med å styrke kommunens kunnskap og kompetanse om personvern, og kan kontaktes både av innbyggere og ansatte dersom du har spørsmål om kommunens behandlinger av personopplysninger evt andre spørsmål knyttet til personvern. Ombudet har en uavhengig rolle og skal passe på at kommunen behandler alle personopplysninger i tråd med kravene i personvernregelverket her i landet inkl EU-forordningen GDPR (General Data Protection Regulation). Dette inkluderer også kravene til personvern i særlovene innen Barnevern, Helse og Oppvekst m.m. – med  personopplysninger og behandlinger som også vil være sensitive/svært sensitive.  

Personvernombudet skal jobbe for å unngå krenkelse av personvernet både overfor ansatte og innbyggerne, og har taushetsplikt.

Ombudet skal i tillegg

  1. Hjelpe deg med å ivareta rettighetene dine
  2. Påpeke lovbrudd overfor de som behandler personopplysninger
  3. Følge opp behandling av alle personopplysninger og sørge for at kommunen har nødvendig oversikt over behandlingene – og et enkelt system for dette
  4. Se til at alle medarbeidere i kommunen som behandler personopplysninger etterlever kravene til internkontroll
  5. Være kommunens kontaktperson overfor Datatilsynet

Hvem er personvernombud i Storfjord kommune?

Torbjørn Sjølstad er personvernombud for Storfjord kommune. Han har jobbet med personvern og pasient-/brukervern som rådgiver gjennom mange år, og er også sikkerhetsrevisor innen data-/informasjonssikkerhet.

Kontaktinformasjon:
Personvernombud@storfjord.kommune.no
mobil: 926 41 058