Personvernerklæring for Samferdselsdepartementet

Denne personvernerklæringen gir nærmere informasjon om hvordan departementet behandler personopplysninger om personer i og utenfor egen virksomhet.

Innledning

I forbindelse med Samferdselsdepartementets (SD) saksbehandling og virksomhet som offentlig organ vil departementet behandle personopplysninger om personer utenfor egen virksomhet (brukere). Personopplysninger er enhver opplysning om fysiske personer, mens behandling omfatter enhver bruk av disse opplysningene.

SD er behandlingsansvarlig for den behandlingen av personopplysninger som beskrives i denne erklæringen, hvor departementsråden har det overordnede ansvaret for at SD skal behandle personopplysninger i tråd med personopplysningsloven og personopplysningsforskriften.

Personopplysningsloven, personvernforordningen og personopplysningsforskriften setter krav til behandling av personopplysninger som utføres med elektroniske hjelpemidler eller inngår i et personregister. Departementets retningslinjer gir føringer for behandlingen av personopplysninger i SD, og er en del av departementets internkontrollsystem.

Denne personvernerklæringen gir nærmere informasjon om hvordan SD behandler personopplysninger om personer utenfor egen virksomhet.

Behandling av personopplysninger i SD

Behandling av personopplysninger i forbindelse med SDs saksbehandling

SD behandler personopplysninger for å oppfylle departementets lovpålagte oppgaver etter bl.a. forvaltningsloven, offentleglova, arkivloven og personopplysningsloven.

Saker som innenfor SDs fagområder kan omfatte pesonaloppplysninger gjelder, bl.a.  klagesaksbehandling. Dette kan også omfatte henvendelser fra privatpersoner, organisasjoner eller andre offentlige myndigheter/underliggende virksomheter, med formål om å få redegjort for en sak eller SDs forståelse av et gitt regelverk.

Det blir registrert ulike typer personopplysninger i saks- og arkivsystemet. Dette er opplysninger som navn, postadresse, telefonnummer, e-postadresse (grunndata) og annen relevant informasjon som fremgår av henvendelsen. I tillegg kan saksdokumentene i noen tilfeller inneholde sensitive personopplysninger.

I forbindelse med saksbehandlingen kan SD komme til å behandle andre typer personopplysninger enn de som er nevnt her, dersom dette er nødvendig for å gjennomføre behandlingen av den enkelte sak.

Personopplysningene som behandles i forbindelse med SDs saksbehandling er hovedsakelig innhentet fra SDs underliggende etater. Dersom det er nødvendig for behandlingen av den enkelte sak, kan opplysninger også innhentes direkte fra den saksbehandlingen gjelder, eller andre med tilknytning til den enkelte sak. Som en del av den pålagte saksbehandlingen innhenter SD i noen tilfeller opplysninger fra andre etater på eget initiativ i medhold av forvaltningsloven § 17.

Personopplysningene knyttet til SDs saksbehandling vil bli lagret hos SD så lenge de er nødvendige for å gjennomføre saksbehandlingen. SD har som offentlig myndighet arkivplikt for arkivverdige dokumenter og vil derfor ikke slette slike nødvendige opplysninger. Registrering, lagring og oppbevaring av saksbehandlingsmateriale skjer i henhold til arkivlovgivningen.

SD bruker WebSak saks- og arkivsystem med elektronisk journalføring og elektronisk lagring av dokumenter. WebSak er et saks- og arkivsystem fra leverandøren Acos AS som følger offentlige standarder (NOARK).

Ved ansettelser lagres personopplysninger i et rekrutteringssystem i 2 år.

Mottakere av opplysninger og innsyn etter offentleglova

SD er lovpålagt å gjøre vår offentlige postjournal tilgjengelig for allmennheten på internett. En journal er systematisk og fortløpende registrering av alle inngående og utgående saksdokumenter. Journalen gjøres tilgjengelig på en felles portal som kalles eInnsyn, som er en samordning av offentlige postjournaler i en allment tilgjengelig tjeneste på internett.

Forespørsler om innsyn via eInnsyn blir lagt inn i en egen modul for innsynsbehandling. Alle innsynskrav fra eInnsyn blir registrert her, og svar blir ekspedert fra samme modul.

Ved krav om innsyn utleveres personopplysninger i henhold til offentleglova og forvaltningsloven. Opplysninger som er nødvendig for behandling av klagesaker vil bli utlevert til Kongen i statsråd, som er SDs klageorgan.

Behandling av personopplysninger i forbindelse med mediehenvendelser til SD

SD behandler også personopplysninger som mottas ved henvendelser fra media.

SD fører en logg over mediehenvendelser, som også inneholder opplysninger om journalistene som henvender seg. Dette er opplysninger som er gitt av journalisten selv og omfatter navn, kontaktinformasjon (e-post og telefon) og arbeidsgiver

Grunnlaget for denne behandlingen er SDs berettigede interesse i å sørge for god kommunikasjon med media for å ivareta åpenheten i forvaltningen. Medieloggen anses som nødvendig for å håndtere henvendelser fra media på en oversiktlig og effektiv måte.

Opplysningene blir slettet dersom SD får beskjed om at en journalist ikke lenger ønsker å stå oppført i medieloggen.

Henvendelser til SD

SD benytter e-post og telefon som en del av det daglige arbeidet. Relevante opplysninger som fremkommer av e-postutveksling som skjer som en del av saksbehandling, blir journalført. Disse opplysningene blir i så fall behandlet som beskrevet over (se «Behandling i forbindelse med saksbehandling»). Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som blir journalført. Den enkelte saksbehandler er ansvarlig for å slette e-poster som ikke lenger er aktuelle. Ved fratreden blir e-postkontoene slettet, men enkelte relevante e-poster vil normalt bli overført til kollegaer.

Sensitive personopplysninger skal ikke sendes med e-post. SD gjør oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer derfor til å ikke sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.

Dine rettigheter

I den grad SD behandler personopplysninger om deg, har du flere rettigheter etter personvernregelverket.

Du har rett til å be om innsyn, for å få informasjon om SD har personopplysninger om deg. Dersom det er tilfelle, har du og rett til å få utlevert en kopi av disse opplysningene. Dersom behandlingen av personopplysninger du har gitt til SD bygger på samtykke eller avtale, har du videre rett til å få disse utlevert i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet). Siden SD bare unntaksvis behandler personopplysninger om privatpersoner med grunnlag i samtykke eller avtale, gjelder denne retten likevel bare et fåtall av personopplysningene SD behandler.

Dersom du mener personopplysningene SD har lagret om deg ikke er riktige (f. eks. feil epostadresse, navn, bosted eller lignende), har du rett til å be om at disse blir rettet.

Foruten SDs interne rutiner om sletting, har du også rett til å be om at personopplysningene departementet har om deg, blir slettet. Omfanget av denne retten vil avhenge av ditt forhold til SD. Personopplysninger registrert i Kommunikasjonsenhetens medielogg vil eksempelvis kunne slettes ved din forespørsel, mens en stort del av personopplysningene SD behandler vil måtte arkiveres i henhold til SDs lovpålagte arkiveringsplikt.

Der SD behandler dine personopplysninger med grunnlag i ditt samtykke, har du rett til å når som helst trekke dette tilbake. Behandlingen vil da stanses, og dine personopplysninger vil bli slettet.

Der SD behandler personopplysninger om deg med grunnlag i SDs berettigede interesser har du videre rett til å protestere mot dette, noe som også vil medføre stans av behandlingen med påfølgende sletting av opplysningene. Retten til å protestere kan for eksempel benyttes i forbindelse med registrering i SDs medielogg. Der behandlingen har grunnlag i samtykke, vil du bli spurt om å avgi dette for hvert tilfelle.

Dersom du mener at noen av disse rettighetene er aktuelle i ditt forhold til SD, kan du rette en henvendelse om dette til SD ved å sende e-post til postmottak@sd.dep.no. Når du sender en slik henvendelse, vil du få svar innen 30 dager.

Dersom du mener at SD behandler dine personopplysninger i strid med personopplysningsloven, personvernforordningen, eller personvernregelverket for øvrig har du rett til å levere en klage til Datatilsynet. Klager kan leveres via kontaktfunksjonen på deres nettsider.

Du kan lese mer om dine rettigheter, og hva disse innebærer på Datatilsynets nettsider.

Informasjonssikkerhet og internkontroll

Personopplysningsloven pålegger behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Dette gjelder uavhengig av hva slags personopplysninger som behandles, og uavhengig av hvilke hjelpemidler som benyttes. Gjennom planlagte og systematiske tiltak skal det sørges for tilfredsstillende informasjonssikkerhet. Det skal gjøres risikovurderinger av alle viktige systemer jevnlig eller etter behov. SD har utarbeidet en egen informasjonssikkerhetspolicy, retningslinjer for informasjonssikkerhet og brukerinstrukser som legges til grunn ved sikring av personopplysninger.

Det er etablert rutiner, herunder planlagte og systematiske tiltak, som er nødvendige for å oppfylle kravene i personopplysningsloven. Etterlevelsen av kravene til behandling av personopplysninger skal dokumenteres etter gjeldende rutiner. SD har også en oversikt over hva slags personopplysninger som behandles i departementet. Oversikten skal holdes oppdatert.

Det er etablert særlige sikkerhetstiltak og rutiner for svært beskyttelsesverdig informasjon i arkivet, som for eksempel sensitive personopplysninger og gradert informasjon.

Det skal rapporteres om avvik ved brudd på kravene til behandling av personopplysninger. Avvik skal rapporteres til departementsråd, ekspedisjonssjefer, sikkerhetsleder og/eller Datatilsynet alt etter alvorlighetsgrad.

Databehandlere

Når eksterne behandler personopplysninger på vegne av SD, blir det stilt klare krav til behandlingen. Det blir inngått databehandleravtaler i henhold til gjeldende lov. Databehandleravtalene etablerer klare ansvars- og myndighetsforhold med alle som opptrer som databehandlere for SD.

Personvernombud

Det er opprettet et personvernombud for SD. Personvernombudet skal påse at kravene til behandling av personopplysninger blir fulgt, og være en ressursperson som styrker departementets kunnskap om personvern.

Personvernombudets hovedoppgaver er blant annet å:

  • være kontaktpunkt for de registrerte, og mellom Datatilsynet og departementet

  • informere og gi råd til departementet og de ansatte om de forpliktelser som følger av regelverket

  • kontrollere etterlevelse av personopplysningsloven og departementets retningslinjer for personvern

  • gi råd om og delta i arbeidet med konsekvensanalyser i medhold av forordningen art. 39 1 c)

  • samarbeide med Datatilsynet

Kontaktinformasjon: personvernombud@sd.dep.no

Ytterligere informasjon

Personvernerklæring for regjeringen.no