Personvernombud i Nordreisa kommune

Personvernombudet i Nordreisa kommune arbeider med å styrke kommunens kunnskap og kompetanse om personvern, og kan kontaktes både av innbyggere og ansatte dersom du har spørsmål om kommunens behandlinger av personopplysninger evt andre spørsmål knyttet til personvern. Ombudet har en uavhengig rolle og skal passe på at kommunen behandler alle personopplysninger i tråd med kravene i personvernregelverket her i landet inkl EU-forordningen GDPR (General Data Protection Regulation). Dette inkluderer også kravene til personvern i særlovene innen Barnevern, Helse, Oppvekst m.m. – med  personopplysninger og behandlinger som også vil være sensitive/svært sensitive.  

Personvernombudet skal jobbe for å unngå krenkelse av personvernet både overfor ansatte og innbyggerne, og har taushetsplikt.

Ombudet skal i tillegg

  • Hjelpe deg med å ivareta rettighetene dine
  • Påpeke mulige lovbrudd overfor de som behandler personopplysninger
  • Følge opp behandling av alle personopplysninger og sørge for at kommunen har nødvendig oversikt over behandlingene – og et enkelt system for dette
  • Se til at alle medarbeidere i kommunen som behandler personopplysninger etterlever kravene til internkontroll
  • Være kommunens kontaktperson overfor Datatilsynet

 

Rettigheter til grunnleggende informasjon om behandling av personopplysninger  

Alle som spør har rett på grunnleggende informasjon om kommunens behandling av personopplysninger iht. Personopplysningslovens (POL), og i overensstemmelse med kravene i EU-/EØS-forordningen om personvern, GDPR (General Data Protection Regulation). GDPR inngår i POL og erstatter i praksis de tidligere forskriftene til denne loven. 

 

Generelt om kommunens behandling av personopplysninger  

Nordreisa kommune, ved kommunedirektøren, er behandlingsansvarlig for kommunens behandling av personopplysninger. Det daglige ansvaret for de forskjellige behandlingene er delegert internt. Delegeringen omfatter kun oppgavene, ikke ansvaret.  

Nordreisa kommune er ansvarlig for at alle data blir behandlet på en sikker måte med hensyn til konfidensialitet (at data kun skal være tilgjengelig for autoriserte personer og prosesser), integritet/kvalitet (at data er nøyaktige, fullstendige og gyldige) og tilgjengelighet (krav til service – og at alle berettigede krav om tilgang til korrekt informasjon dekkes ved behov.) Kommunen skal også sikre at det foreligger nødvendig internkontroll som viser at oppgavene blir utført i samsvar med POL/GDPR og regler gitt i henhold til dette og annet relevant lovverk.  

Hvis ikke annet er oppgitt, lagres alle opplysninger som kommunen samler inn i systemer som driftes av kommunens eget personell på kommunens dataservere + samarbeidspartnere. Der annet ikke er oppgitt er kommunens personell i denne sammenheng systemansvarlig (delegert administrativt ansvar tilknyttet det enkelte fagsystem) og ansatte i det interkommunale IT-driftsleverandør-selskapet NorIKT. Hvis ikke annet er oppgitt har systemansvarlig ansvar for den administrative driften av systemet (og dermed tilgang til personopplysninger), mens personell i NorIKT har ansvar for den tekniske driften av systemene (og dermed ikke tilgang til personopplysninger). Kommunens servere er forsvarlig fysisk og teknisk sikret.  

Nordreisa kommune innhenter de personopplysninger vi trenger for å kunne utføre oppgavene og tjenestene våre. Behandling av personopplysninger skjer i henhold til gjeldende lov og forskrift. Du blir varslet dersom vi henter inn opplysninger om deg, med mindre innsamlingen av opplysninger er lovpålagt, varsling er umulig eller svært vanskelig, eller det er opplagt at du kjenner til opplysningene som varslet skal inneholde.  

 

Nettbasert behandling av personopplysninger 

Denne erklæringen inneholder opplysninger du har krav på når det samles inn opplysninger fra nettstedet vårt (ref Personopplysningsloven) og generell informasjon om hvordan vi behandler disse opplysningene.  

Kommunedirektøren er behandlingsansvarlig, dvs juridisk ansvarlig for Nordreisa kommunes nettbaserte behandlinger av personopplysninger, ref www.nordreisa.kommune.no.  

Løsningen driftes av kommunens eget personell og NorIKT. Det er frivillig å oppsøke kommunens nettbaserte tjenester.  

 

  • INFORMASJONSKAPSLER (COOKIES) OG AUTOMATISK LAGRING AV INFORMASJON 

Informasjonskapsler (cookies) er små tekstfiler som lastes ned og lagres på datamaskinen din når du åpner en nettside. De aller fleste nettsider bruker slike informasjonskapsler. Nordreisa kommune bruker informasjonskapsler til å forbedre brukeropplevelsen din og til å samle inn statistikk. Bruken av informasjonskapsler utgjør ingen sikkerhetsrisiko for deg. Du kan avstå fra å samtykke til lagring av informasjonskapsler, men det kan føre til at tjenestene på nettsiden ikke fungerer optimalt. Ingen av opplysningene vi får inn via informasjonskapsler, blir brukt til å identifisere enkeltpersoner.  

 

  • WEBANALYSE  

Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn tilbake til den enkelte bruker. Hensikten er å utarbeide statistikk som vi bruker til å forbedre og videreutvikle informasjonstilbudet på nettstedet. Eksempel på hva statistikken gir svar på er; søk, hvor mange som besøker ulike sider, hvor lenge besøket varer og hvilke nettlesere som blir brukt osv. Opplysningene blir behandlet i aggregert form, det vil si at alle data blir slått sammen til en gruppe og blir ikke behandlet individuelt. I tillegg blir opplysningene anonymisert. Informasjonen kan ikke spores tilbake til den enkelte bruker.  

 

  • INFORMASJON LAGRET I ELEKTRONISKE SKJEMA 

Vi bruker elektroniske skjema for å forenkle og effektivisere offentlig forvaltning. Når du fyller ut elektroniske skjema på www.nordreisa.kommune.no. vil informasjonen du gir fra deg, bli sendt sikkert til den saksbehandler eller avdeling som trenger informasjonen til sin saksbehandling. På grunn av informasjonssikkerhet knyttet til sensitiv informasjon, er det ikke alle tjenester det er mulig å søke elektronisk på.  

 

  • SOSIALE MEDIER 

Nordreisa kommune driver ikke med saksbehandling i sosiale medier. Opplysninger/informasjon du selv oppgir på sosiale medier kan bli brukt. 

 

Saksbehandling og arkiv  

KS SvarUT og SvarINN-tjenestene benyttes gjennom kommunens post- og saksbehandlings-system Websak. Når et brev ekspederes ut fra Websak, sendes det elektronisk gjennom KS SvarUT til autorisert bruker, som mottar brevet i sin Digipost-‘kasse’ eller e-Boks avhengig av hvem mottaker har valgt som sin digitale postkasse. For å få åpnet dette brevet, må bruker autentisere seg gjennom eget passord + ‘brikke’ (2-faktorautentiser-ing). For brukere som har reservert seg mot digital post, vil aktuelt brev bli skrevet ut fra SvarUT-tjenesten og sendt som vanlig post. KS SvarINN kommer til ‘importsentralen’ i Websak og fordeles deretter videre til saksbehandlere. Barnevernstjenesten i kommunen benytter KS’ SvarUt-tjeneste ved kommunikasjon mot autoriserte mottakere; dette fungerer svært bra. 

I Websak behandler kommunen personopplysninger for å oppfylle sine lovpålagte oppgaver etter bl.a. Personopplysningsloven/GDPR, Forvaltningsloven, Offentleglova og Arkiv-loven. Det registreres ulike typer personopplysninger i sak-/arkivsystemet. Dette er opp-lysninger som navn, adresse, telefonnummer og annen relevant informasjon. Registrering, lagring og oppbevaring skjer iht. arkivlovgivningens regler. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger. Som en del av den pålagte saksbehandlingen innhenter Nordreisa kommune i noen tilfeller opplysninger fra andre etater på eget initiativ etter lovhjemmel (Forvaltningsloven § 17).  

Nordreisa kommune gjør offentlige dokumenter tilgjengelige i postlisten på kommunens hjemmeside. Kommunen gjør oppmerksom på at korrespondanse med kommunen journalføres etter arkivlovens bestemmelser, og vil dermed kunne bli gjort tilgjengelig i postlisten. Dette betyr at vi også normalt vil gi innsyn i disse om vi får en slik forespørsel. 

 

E-post og telefon  

Kommunedirektøren er behandlingsansvarlig, dvs juridisk ansvarlig for kommunens e-post og telefoni-løsninger, og NorIKT er delegert det daglige system- og driftsansvaret.  

Nordreisa kommune benytter e-post og telefon som en del av det daglige arbeidet, og det kan forekomme at kommunen bruker e-post eller telefon til deler av saksbehandling. I slike tilfeller skal saksbehandler journalføre relevant korrespondanse i tilhørende fagsystem. Saksbehandling som inneholder sensitive personopplysninger gjøres ikke på e-post. Mottatte e-post som inneholder sensitive opplysninger skal ikke distribueres videre, og skal fjernes fra e-postsystemet.  

Nordreisa kommunes medarbeidere benytter i tillegg e-post i alminnelig dialog med interne og eksterne kontakter. Ved fratreden slettes e-post etter kommunens retningslinjer for dette.  

Nordreisa kommune ønsker å gjøre deg oppmerksom på at vanlig e-post inntil videre er ukryptert, og vi oppfordrer deg derfor til ikke å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger til oss med e-post.  

Telefonsamtaler (telefonnummer fra og til, samt tidspunkt for samtalen) logges i vår telefonsentral. I tillegg har noen ansatte en oversikt over de siste anropene på sine telefoner. Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som journalføres. Det gjøres ingen øvrig systematisk registrering av telefonsamtaler hvor innringer kan identifiseres.  

 

Personopplysninger, ansatte  

Nordreisa kommune behandler personopplysninger om sine ansatte i sitt HR-system for å administrere lønn og personalansvar i henhold til Personopplysningsloven. Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeningstilhørighet mm.  

Kommunedirektøren er behandlingsansvarlig for HR-systemet, og lønns-/ personalavdelingen er delegert systemansvaret. Systemet administreres av kommunens lønns-/ personalavdeling og driftes av NorIKT. Ved opphør slettes alle tilganger, filområder og brukerkontoer.  

Alle opplysningene om ansatte innhentes fra de ansatte selv og utleveres kun i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Sletterutiner for personalopplysninger følger regnskapslov og arkivlov. Opplysninger om navn, stilling og arbeidsområde regnes å være offentlige opplysninger og kan publiseres. Tilganger til øvrige fagsystemer administreres av den enkelte systemansvarlige. Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer.  

 

Helseopplysninger  

Nordreisa kommune behandler helseopplysninger knyttet til lovpålagte tjenester (Jf. Personopplysningsloven, helseregisterloven §21, pasientjournalloven §22 og personopplysningsforskriften kap. 2) i flere av sine fagsystemer innen pleie og omsorg og innen oppvekst. Kommunedirektøren er behandlingsansvarlig.  

Den daglige systemdriften gjøres av systemansvarlige for det enkelte fagsystem i samarbeid med kommunens driftsleverandør NorIKT. 

Alle data og systemer som inneholder sensitive helseopplysninger ligger i egen «lukket sone» avskjermet fra kommunens øvrige miljø. Data fra lukket sone kan ikke transporteres ut av kommunens systemer, og det finnes egne rutiner for opplæring, tilgangsstyring, og kontroll-tiltak til det enkelte fagsystem i lukket sone. Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer.  

 

Personopplysninger om elever, barnehagebarn og foresatte  

Nordreisa kommune behandler personopplysninger knyttet til lovpålagte tjenester (jf. Opplæringsloven og Barnehageloven med henvisninger til Forvaltningsloven og Person-opplysningsloven) i flere av sine fagsystemer innen oppvekstsektoren. Kommunedirektøren er behandlingsansvarlig, og systemdriften gjøres av systemansvarlige for det enkelte fagsystem, i hovedsak i samarbeid med NorIKT.  

Kommunen har et system for elever og foresatte med timeplaner, læreplaner, karakterer mm, og systemet er passordbeskyttet.  

Systemet inneholder noen personopplysninger om elever, og er integrert med kommunens skoleadministrative system som inneholder personopplysninger om elever og foresatte. Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer.  

 

Personopplysninger barnevern  

Nordreisa kommune behandler personopplysninger knyttet til lovpålagte tjenester (jfr Lov om barneverntjenester §6-7), i sitt fagsystem for barnevern. Fagsystemet har egen, sikker arkivenhet og ligger i sin helhet på egen «sikker sone».  

Systemdriften gjøres av systemansvarlige for fagsystemet, i hovedsak i samarbeid med kommunens IT-driftsleverandør NorIKT.  

 

Generelt om logging i Nordreisa kommunes fagsystemer  

Nordreisa kommune har alminnelige sikkerhetslogger i sine fagsystemer. Det er de ansattes bruk av fagsystemet som blir registrert her.  

Det rettslige grunnlaget for dette er kravet om logger i Personopplysningsloven (POL) og GDPR-forordningen – som i praksis erstatter de tidligere forskriftene til POL - for å ivareta kommunens sikring av andre informasjonsverdier enn personopplysninger. Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer.  

 

Innsynsrett  

Alle har rett til å kreve innsyn i offentlige dokumenter, journaler, registre og liknende. Alle kommunale saksdokumenter er offentlige hvis det ikke er gjort unntak som er hjemlet i lov. Ved informasjon som unntas fra offentlighet plikter kommunen å vurdere om informasjonen likevel bør kunne gjøres helt eller delvis kjent.  

 

Innsyn i egne opplysninger

Du har rett til å få informasjon om vår behandling av dine opplysninger og hvilke sikkerhets-tiltak vi har rundt bruken av opplysningene dine. 

Dersom du ønsker nærmere informasjon om vår behandling av opplysninger om deg, bes du ta kontakt med oss. Da kan du få svar på noen av dine spørsmål, og eventuell bistand med å be om innsyn. Begjæringer om innsyn må gis skriftlig. 

Vi vil deretter svare så snart som mulig, og senest 30 dager etter at vi har mottatt bestillingen din. Hvis særlige forhold gjør det umulig for oss å svare innen 30 dager, vil vi sende et foreløpig svar med en begrunnelse for forsinkelsen og med informasjon om sannsynlig tidspunkt for svar. Vi tar ikke betalt for å behandle din bestilling om innsyn.  

 

  • PARTSINNSYN.  

Med få unntak får alle se opplysninger som gjelder en selv. Familiemedlemmer eller andre har kun rett til partsinnsyn dersom det forevises skriftlig fullmakt fra personen det gjelder.  

 

  • INTERNE DOKUMENTER  

Du kan nektes innsyn i interne dokumenter, men som hovedregel skal du likevel få innsyn i saksliste eller saksdokumenter til kommunestyre eller annet kommunalt folkevalgt organ, dokumenter til/fra kommunens kontrollutvalg, klagenemnd eller kommunal revisjon, og dokumenter til/fra enheter i administrasjonen som har selvstendig avgjørelsesmyndighet for saken dokumentet gjelder.  

 

  • KRITERIER/VILKÅR  

Krever du innsyn i saksdokumenter, må kravet gjelde en bestemt sak, eller i rimelig utstrekning saker av en bestemt art.  

Søknad om innsyn bør inneholde en presisering av hvilken hjemmel som påberopes for kravet. Innsyn i dokumenter til og fra Nordreisa kommune bestilles enklest via kommunens hjemmeside eller ved kontakt med kommunens postmottak postmottak@nordreisa.kommune.no.  

Tjenesten er i utgangspunktet gratis, men noen unntak finnes. Dette vil du få informasjon om i det enkelte innsynskrav.  

 

Retting og sletting  

Nordreisa kommune plikter på selvstendig grunnlag å slette personopplysninger som ikke lenger er relevante for behandlingen. Dette selv om opplysningene ikke er feilaktige eller mangelfulle, og innen rimelig tid.  

Iht. Personopplysningsloven inkl GDPR har alle som er registrert i en av Nordreisa kommunes systemer rett til å kreve at uriktige eller ufullstendige opplysninger blir rettet eller supplert, og at opplysninger kommunen ikke har rettighet til å behandle blir slettet. Krav om retting eller sletting rettes til kommunens postmottak, og skal besvares kostnadsfritt innen 30 dager.  

Plikten til å slette personopplysninger er i noen tilfeller begrenset av annet lovverk (f.eks regnskaps-loven, arkivloven) og det kan også gjøres unntak fra sletteplikten for data som lagres for historisk, vitenskapelig eller statistisk formål.  

 

Annen relevant lovgivning  

I tillegg til Personopplysningsloven inkl GDPR har blant annet følgende lover betydning for Nordreisa kommunes behandling av personopplysninger.  

Offentlighetsloven med forskrifter inneholder reglene for når et dokument er offentlig tilgjengelig for allmennheten, og når et dokument kan unntas offentlighet.  

Forvaltningsloven inneholder saksbehandlingsregler for hvordan saken din vil bli behandlet i Nordreisa kommune. Som part i saken har du særskilte rettigheter, bl.a. om innsyn i sakens dokumenter.  

Arkivloven inneholder regler om hvordan sakens dokumenter skal oppbevares, herunder også eventuell lagring i arkivinstitusjon.  

Helseregisterloven inneholder regler om hvordan helseopplysninger som samles inn vil bli behandlet, herunder hvordan de sikres, hvem som har tilgang og om de kan utleveres til andre.