Du er nå inne i den nye versjonen av SAMKOS WEB-portal, versjon 1.1.   Digitaliserings- og IKT-kontoret minner om at denne løsningen også er tilgjengelig på mobil og nettbrett.

Personvernvilkår

1. Innledning

EUs nye personvernforordning (GDPR) trådte i kraft og ble en del av den norske lovgivningen 20. juli 2018. Hovedformålet med det nye lovverket er å ivareta personvernet til den enkelte ved elektronisk behandling av personopplysninger.

For kommunen vil forordningen ha betydning for hvordan kommunen behandler og sikrer personopplysninger. Hovedsakelig medfører den nye personvernlovgivningen:

  • Nye rettigheter for de registrerte
  • Nye og strengere krav til kommunen
  • Ved overtredelse av bestemmelsene i forordningen kan den behandlingsansvarlige (kommunen) bli gjenstand for ulike typer sanksjoner, for eksempel bøter eller tvangsmulkt.

2. Sentrale begreper i forordningen

Personvern er en menneskerettighet, og handler om:

Personvern

  • Retten til privatliv
  • Retten til å bestemme over egne opplysninger

Personopplysninger

Personopplysninger defineres som alle opplysninger eller vurderinger som indirekte eller direkte kan knyttes til en bestemt person. Eksempelvis navn, adresse, alder, telefonnummer, e-postadresse, bankkontonummer og fødselsnummer. Slike vurderinger eller opplysninger regnes som personopplysninger, uavhengig av om de foreligger som tekst, bilder, lyd- eller videoopptak.

Sensitive personopplysninger

I forordningen defineres sensitive personopplysninger som særlige kategorier av personopplysninger . Dette er opplysninger som krever ekstra vern. Det kan være opplysninger om helse og helserelaterte forhold, genetikk, etnisk eller rasemessig bakgrunn, politiske eller religiøse oppfatninger og livssyn, seksuell forhold og – legning, samt fagforeningsmedlemskap.

Behandling av personopplysninger

Med behandling av personopplysninger menes alle former for bruk av personopplysninger, for eksempel registrering, lagring, sammenstilling, overføring, publisering eller sletting.

De registrerte

De registrerte henviser til personer (elever, foresatte, ansatte, osv.) som personopplysningene kan knyttes til.

Behandlingsansvarlig

Behandlingsansvarlig (kommunen) defineres som den som bestemmer formålet med behandlingen av personopplysninger og hvilke elektroniske hjelpemidler som skal anvendes til å behandle opplysningene.

Databehandler

Databehandler er den eller de som behandler personopplysninger på vegne av den behandlingsansvarlige, som oftest leverandører til kommunens fagsystemer som Evry og Visma. Forholdet mellom behandlingsansvarlig og databehandleren skal være regulert i en databehandleravtale.

3. Sentrale krav i forordningen

De registrertes rettigheter De registrerte har i forordningen følgende definerte rettigheter:

  • Innsyn og informasjon Rett til innsyn i personopplysninger om seg selv.
  • Retting og sletting.
  • Rett til å få supplert eller korrigert personopplysninger som er feil eller unøyaktige.

Plikten til å slette personopplysninger er i noen tilfeller begrenset av annet lovverk (f.eks. regnskapsloven og arkivloven) og det kan også gjøres unntak fra sletteplikten for data som lagres for historisk, vitenskapelig eller statistisk formål. Det betyr at opplysninger som er arkivert i godkjente arkiv/fagsystemer ikke kan slettes, med mindre det har særlige gode grunner for det.

  • Begrensning og innsigelse mot behandling I tilfeller hvor opplysninger er feilaktige eller unøyaktige kan den registrerte be om at behandlingene av personopplysningene begrenses eller opphører.
  • Dataportabilitet: Retten til dataportabilitet handler om de registrertes rettigheter til å flytte data mellom forskjellige systemer og tjenester.
  • Automatiserte avgjørelser og profilering Personvernforordningen forbyr automatiserte individuelle avgjørelser som både er helautomatiske og/eller har rettsvirkning for eller innvirkning på deg. Avgjørelser tatt på bakgrunn av dataprogram, eks. lånesøknader på nett.

Personvernprinsippene

Personvernforordningen inneholder rettigheter og pikter knyttet til behandling av personopplysninger. Felles for alle reglene i forordningen er at de bygger på noen grunnleggende prinsipper for personopplysningsvern – de såkalte personvernprinsippene som all behandling av personopplysninger skal være i samsvar med.

Lovlig, rettferdig og gjennomsiktig Behandling av personopplysninger skal være lovlig. Det kreves et rettslig behandlingsgrunnlag.

Formålsbegrensing

Personopplysninger skal kun behandles for klart definerte formål.

Dataminimering

Personopplysninger skal være tilstrekkelig, relevante og begrenset til det som er nødvendig for å realisere formålet med behandlingen.

Riktighet

Opplysningene skal til enhver tid være korrekte og oppdaterte.

Lagringsbegrensing

Personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet.

Integritet, konfidensialitet og tilgjengelighet

Personopplysninger skal behandles slik at opplysningens integritet, konfidensialitet og tilgjengelighet beskyttes.

4. Skjerpede krav til kommunen

Forordningen krever at kommunen (behandlingsansvarlige) iverksetter tiltak som sørger for og dokumenterer at forordningen og reglene i det nye personvernlovgivningen etterleves i det daglige arbeidet.

Avvikshåndtering

Den nye personvernforordningen medfører skjerpede krav til avvikshåndtering. Avvik er en hendelse eller en situasjon som bryter med lover, forskrifter eller gjeldende regler i Bodø kommune. Alle ansatte har ansvar for å melde avvik via avviksskjemaet som ligger i Compilo.

Personvernombud I følge den nye forordningen er kommunen pliktig til å utnevne et personvernombud. Personvernombudet skal være kommunens rådgiver innenfor personvern, og skal veilede behandlingsansvarlig og de ansatte som utfører behandlingen av personopplysninger om de forpliktelsene Bodø kommune har etter personvernlovgivningen. I tillegg skal personvernombudet være kontaktpunkt for de registrerte og bistå dem ved eventuelle spørsmål om personvern.

Compilo (Kvalitetslosen)

Bodø kommune bruker IT-systemet Compilo til å samle all kvalitetsdokumentasjon i kommunen, herunder alle gjeldende prosedyrer og annen styrende dokumentasjon.

5. De ansattes ansvar

Alle ansatte har en viktig rolle i å forebygge, avdekke og håndtere hendelser som kan føre til brudd på personopplysningens konfidensialitet, integritet og tilgjengelighet.

Konfidensialitet

Opplysninger skal ikke gjøres tilgjengelig for uvedkommende, det er kun autoriserte som skal ha tilgang til informasjon.

Integritet

Informasjon skal ikke bli endret utilsiktet eller av uautorisert personell.

Tilgjengelighet

Autoriserte brukere med tjenstlig behov skal ha tilgang til relevante informasjonssystemer, digitale tjenester, opplysninger og informasjon samt nødvendige ressurser. Det betyr i praksis at ingen ansatte skal ha mer tilgang enn de har tjenstlig behov for.

Alle ansatte skal kjenne til og forholde seg til gjeldende regler og interne retningslinjer for behandling av personopplysninger i Bodø kommune, herunder:

  • de lover og regler for taushetsplikt som gjelder for stillingen/rollen/vervet de innehar
  • kommunens retningslinjer for informasjonssikkerhet
  • gjeldende regler for behandling av personopplysninger (personvernlovgivningen) og personvernprinsippene
  • regler og rutiner for bruk av informasjons-/fagsystemer

Under mappen «GDPR – informasjonssikkerhet» i Compilo ligger prosedyrer for hvordan kommunen skal etterleve det nye regelverket.

Viktige hygieneregler for økt sikkerhet:

  • Deling av personopplysninger skal som utgangspunkt foregå i aktuelle fagsystemer eller i kommunens sak/ arkiv-system (Ephorte/Elements) og sendes gjennom Svar Ut eller E-dialog.
  • Saksbehandling i e-post eller andre usikrede elektroniske kommunikasjonsverktøy bør unngås.
  • Lagring av personopplysninger, virksomhetssensitiv eller gradert informasjon utenfor tilgangsstyrte fagsystemer skal begrenses. Om dette ikke kan unngås, skal det foreligge skriftlige rutiner for sletting av disse opplysningene. Personopplysninger skal ikke oppbevares/ lagres lengre enn til formålet med behandlingen er oppnådd.
  • Alle ansatte i Bodø kommune skal til enhver tid ha ID-kort som legitimerer hvem de er og hvilken tilhørighet den ansatte har til kommunen.
  • IT-utstyr (PC/nettbrett/mobiltelefon osv.) skal alltid og aktivt låses av den ansatte når disse forlates.
  • Særlige kategorier av personopplysninger, sensitiv personinformasjon (eksempelvis fødselsnummer), virksomhetssensitiv eller gradert informasjon skal ikke sendes ukryptert med e-post eller annen usikret elektronisk kommunikasjon
  • Ved masseutsendelse av e-post til eksterne mottakere skal blindkopi benyttes.
  • Passord skal ikke skrives ned eller deles med andre.
  • Bruk av usikre trådløse nettverk bør unngås.

Personvern­vilkår

På våre sider bruker vi informasjonskapsler for å gi deg en god brukeropplevelse og relevant innhold. Ved å trykke "godta" godtar du våre personvernvilkår og bruk av slike teknologier.