Personvernerklæring for BFD

Innledning

I forbindelse med sin saksbehandling og virksomhet som offentlig organ, vil Barne- og familiedepartementet (BFD) behandle personopplysninger om personer utenfor egen virksomhet (brukere).

Personopplysninger er enhver opplysning om fysiske personer, mens behandling omfatter enhver bruk av disse opplysningene.

BFD er behandlingsansvarlig for den behandlingen av personopplysninger som beskrives i denne erklæringen, hvor departementsråden har det overordnede ansvaret for at BFD skal behandle personopplysninger i tråd med personopplysningsloven og personopplysningsforskriften.

Personopplysningsloven, personvernforordningen og personopplysningsforskriften setter krav til behandling av personopplysninger som utføres med elektroniske hjelpemidler eller inngår i et personregister.

Departementets retningslinjer gir føringer for behandlingen av personopplysninger i BFD, og er en del av departementets internkontrollsystem.

Denne personvernerklæringen skal gi nærmere informasjon om hvordan BFD behandler personopplysninger om personer utenfor egen virksomhet.

Behandling av personopplysninger i BFD

Behandling av personopplysninger i forbindelse med BFDs saksbehandling

BFD behandler personopplysninger for å oppfylle departementets lovpålagte oppgaver etter blant annet forvaltningsloven, offentleglova, arkivloven og personopplysningsloven.

Slik saksbehandling kan også omfatte henvendelser fra privatpersoner, organisasjoner eller andre offentlige myndigheter/underliggende virksomheter, med formål om å få redegjort for en sak eller BFDs forståelse av et gitt regelverk.

Det registreres ulike typer personopplysninger i sak- og arkivsystemet. Dette er opplysninger som navn, adresse, telefonnummer, e-postadresse (grunndata) og annen relevant informasjon som fremgår av henvendelsen. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger.

I forbindelse med saksbehandlingen kan BFD komme til å behandle andre typer personopplysninger enn de som er nevnt her, dersom dette er nødvendig for å gjennomføre behandlingen av den enkelte sak.

Disse personopplysningene kan gjelde for mange ulike kategorier registrerte slik som for eksempel privatpersoner saken omhandler og andre som er involvert i den enkelte sak.

Personopplysningene som behandles i forbindelse med BFDs saksbehandling kan være innhentet fra BFDs etater og virksomheter

Dersom det er nødvendig for behandlingen av den enkelte sak, kan opplysninger også innsamles direkte fra den saksbehandlingen gjelder, eller andre med tilknytning til den enkelte sak.

Som en del av den pålagte saksbehandlingen innhenter BFD i noen tilfeller opplysninger fra andre etater på eget initiativ i medhold av forvaltningsloven § 17.

Personopplysningene knyttet til BFDs saksbehandling vil lagres hos BFD så lenge de er nødvendige for å gjennomføre saksbehandlingen. BFD har som offentlig myndighet arkivplikt for arkivverdige dokumenter og vil derfor ikke slette slike nødvendige opplysninger. Registrering, lagring og oppbevaring av saksbehandlingsmateriale skjer i henhold til arkivlovgivningen.

BFD benytter sak- og arkivsystem med elektronisk lagring og journalføring av dokumenter, systemet følger den offentlige standarden NOARK.

Mottakere av opplysninger og innsyn etter offentleglova

BFD er lovpålagt å gjøre sine offentlige postjournaler tilgjengelige for allmennheten på internett. En journal er systematisk og fortløpende registrering av alle inngående og utgående saksdokumenter.

Journalene gjøres tilgjengelig på portalen eInnsyn, dette er en samordning av offentlige postjournaler i en allment tilgjengelig tjeneste på internett.

Forespørsler om innsyn via eInnsyn blir behandlet i en egen modul for innsynsbehandling.

Ved krav om innsyn utleveres personopplysninger i henhold til offentleglova og forvaltningsloven. Opplysninger som er nødvendig for behandling av klagesaker vil bli utlevert til Kongen i statsråd, som er BFDs klageorgan.

Behandling av personopplysninger i forbindelse med pressehenvendelser til BFD

BFD behandler personopplysninger til alle journalister som tar kontakt med departementet.

Disse personopplysningene er navn og kontaktinformasjon, tilknytning til redaksjon, og innhold i spørsmål og svar som utveksles på epost og telefon. Personopplysninger lagres i tilknytning til sak.

Har en journalist vært i kontakt med oss i forbindelse med flere saker, vil det være flere loggføringer. Personopplysninger slettes tre år etter at den ble loggført.

Du har rett til å be om at dine personopplysninger ikke skal behandles av departementet. Dette kan du presisere ved din neste henvendelse til departementet eller ved å sende en e-post til media@bfd.dep.no.

Behandlingsgrunnlag for journalisters personopplysninger er berettiget interesse, jf. GDPR art. 6. Det er nødvendig for departementet å behandle journalisters personopplysninger for å utføre en oppgave i offentlig interesse.

Henvendelser til BFD

BFD benytter e-post og telefon som en del av det daglige arbeidet. Relevante opplysninger som fremkommer av e-postutveksling som skjer som en del av saksbehandling, journalføres. Disse opplysningene behandles i så fall som beskrevet over (se «Behandling i forbindelse med saksbehandling»).

Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat eller en merknad etter samtalen som registreres i sak- og arkivsystemet. Ved ansattes fratreden slettes e-postkontoene, men enkelte relevante e-poster vil normalt bli overført til kollegaer.

Sensitive personopplysninger skal ikke sendes med e-post. BFD gjør oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer derfor til å ikke sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.

Dine rettigheter

I den grad BFD behandler personopplysninger om deg, har du flere rettigheter etter personvernregelverket.

Du har rett til å be om innsyn, for å få informasjon om hvorvidt personopplysninger om deg behandles av BFD. Dersom dette er tilfellet har du og rett til å få utlevert en kopi av disse opplysningene.

Dersom behandlingen av personopplysninger du har gitt til BFD bygger på samtykke eller avtale, har du videre rett til å få disse utlevert i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet).

Siden BFD kun unntaksvis behandler personopplysninger om privatpersoner med grunnlag i samtykke eller avtale, gjelder imidlertid denne retten kun de aller færreste av personopplysningene BFD behandler.

Dersom du mener personopplysningene BFD har lagret om deg ikke er riktige (f. eks. feil epostadresse, navn, bosted eller lignende) har du rett til å be om at disse blir rettet.

Foruten BFDs interne rutiner om sletting, har du også rett til å be om at personopplysningene departementet har om deg, slettes. Omfanget av denne retten vil avhenge av ditt forhold til BFD.

Personopplysninger registrert i kommunikasjonsavdelingens medielogg vil eksempelvis kunne slettes ved din forespørsel, mens en stort del av personopplysningene BFD behandler vil måtte arkiveres i henhold til BFDs lovpålagte arkiveringsplikt.

Dersom du ikke ønsker at BFD skal slette opplysningene dine, men har en grunn til å ønske at departementet skal stanse å behandle de på andre måter, har du etter nærmere omstendigheter rett til å be om dette.

Der BFD behandler dine personopplysninger med grunnlag i ditt samtykke, har du rett til å når som helst trekke dette tilbake. Behandlingen vil da stanses, og dine personopplysninger slettes.

Der BFD behandler personopplysninger om deg med grunnlag i BFDs berettigede interesser har du videre rett til å protestere mot dette, noe som også vil medføre stans av behandlingen med påfølgende sletting av opplysningene.

BFD behandler i all hovedsak personopplysninger om privatpersoner utenfor egen organisasjon i forbindelse med BFDs lovpålagte oppgaver. Disse rettighetene får derfor ikke anvendelse på mange av behandlingene BFD utfører.

Retten til å protestere kan allikevel benyttes i forbindelse med registrering i BFDs presseliste. Der behandlingen har grunnlag i samtykke, vil du bli spurt om å avgi dette for hvert tilfelle.

Dersom du mener at noen av disse rettighetene er aktuelle i ditt forhold til BFD, kan du rette en henvendelse om dette til BFD ved å sende e-post til personvernombud@bfd.dep.no og postmottak@bfd.dep.no. Når du sender en slik henvendelse, vil BFD svare deg innen 30 dager.

Dersom du mener at BFD behandler dine personopplysninger i strid med personopplysningsloven, personvernforordningen, eller personvernregelverket for øvrig har du rett til å levere en klage til Datatilsynet. Klager kan leveres via kontaktfunksjonen på deres nettsider.

Du kan lese mer om dine rettigheter, og hva disse innebærer på Datatilsynets nettsider.

Informasjonssikkerhet og internkontroll

Personopplysningsloven pålegger behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet.

Dette gjelder uavhengig av hva slags personopplysninger som behandles, og uavhengig av hvilke hjelpemidler som benyttes.

Gjennom planlagte og systematiske tiltak skal det sørges for tilfredsstillende informasjonssikkerhet. Det skal gjøres risikovurderinger av alle viktige systemer jevnlig eller etter behov.

BFD har utarbeidet en egen informasjonssikkerhetspolicy, retningslinjer for informasjonssikkerhet og brukerinstrukser som legges til grunn ved sikring av personopplysninger.

Det er etablert rutiner, herunder planlagte og systematiske tiltak, som er nødvendige for å oppfylle kravene i personopplysningsloven. Etterlevelsen av kravene til behandling av personopplysninger skal dokumenteres etter gjeldende rutiner.

BFD har også en oversikt over hvilke typer personopplysninger som behandles i departementet. Oversikten skal holdes oppdatert.

Det er etablert særlige sikkerhetstiltak og rutiner for svært beskyttelsesverdig informasjon i arkivet, som for eksempel sensitive personopplysninger og gradert informasjon.

Det skal rapporteres om avvik ved brudd på kravene til behandling av personopplysninger. Avvik skal rapporteres til departementsråd, ekspedisjonssjefer, sikkerhetsleder, personvernombud, og/eller Datatilsynet alt etter alvorlighetsgrad.

Databehandlere

Når eksterne behandler personopplysninger på vegne av BFD, stilles det klare krav til behandlingen. Det inngås databehandleravtaler i henhold til gjeldende lov. Databehandleravtalene etablerer klare ansvars- og myndighetsforhold med alle som opptrer som databehandlere for BFD.

Ved saksbehandling og andre henvendelser fra eksterne, benytter BFD ekstern bistand til blant annet rekruttering.

Personvernombud

Det er opprettet et personvernombud for BFD. Personvernombudet skal påse at kravene til behandling av personopplysninger blir fulgt, og være en ressursperson som styrker departementets kunnskap om personvern.

Personvernombudets hovedoppgaver omfatter blant annet å:

  • Være kontaktpunkt for de registrerte, og mellom Datatilsynet og departementet
  • Informere og gi råd til departementet og de ansatte om de forpliktelser som følger av regelverket
  • Kontrollere etterlevelse av personopplysningsloven og departementets retningslinjer for personvern
  • Gi råd om og delta i arbeidet med konsekvensanalyser i medhold av forordningen art. 39 1 c)
  • Samarbeide med Datatilsynet

Kontaktinformasjon: personvernombud@bfd.dep.no.  

Ytterligere informasjon

BFDs personvernerklæring vil være under utvikling for å følge opp krav i regelverket.

Personvernerklæring for regjeringen.no