Hopp til hovedinnhold

Tips noen om denne nettsiden


Laster
* Du må skrive inn 2 gyldige e-postadresser
Ditt tips er sendt
Det oppstod en uventet feil. Vennligst forsøk på nytt senere
Lukk

Datatilsynets personvernerklæring

Denne personvernerklæringen forteller om hvordan Datatilsynet samler inn og bruker personopplysninger.

Datatilsynet, ved direktøren, er behandlingsansvarlig for virksomhetens behandling av personopplysninger. Der det daglige ansvaret er delegert, kommer det fram under hvert enkelt punkt. Delegeringen omfatter kun oppgavene og ikke ansvaret. Erklæringen inneholder opplysninger du har krav på når det samles inn opplysninger fra nettstedet vårt (personopplysningsloven § 19) og generell informasjon om hvordan vi behandler personopplysninger (personopplysningsloven § 18 1.ledd).

1. Nettbasert behandling av personopplysninger

2. Saksbehandling og arkiv
3. E-post og telefon
4. Besøk i Datatilsynets lokaler
5. Personvernombudsordningen
6. Opplysninger om ansatte
7. Logging i Datatilsynets fagsystemer
8. Annen relevant lovgivning
9. Rettigheter
10. Kontaktinformasjon

1. Nettbasert behandling av personopplysninger

Kommunikasjonsdirektøren har det daglige ansvaret for Datatilsynets nettbaserte behandlinger av personopplysninger på www.datatilsynet.no, med mindre annet er oppgitt under. Det er frivillig for de som besøker nettsiden å oppgi personopplysninger i forbindelse med tjenester som å motta nyhetsbrev, benytte del- og tipstjenesten og så videre. Behandlingsgrunnlaget er samtykke fra den enkelte, med mindre annet er spesifisert.

Making Waves er Datatilsynets databehandler, og er vår totalleverandør for utvikling, drift og vedlikehold av nettstedet. Leverandøren benytter underleverandører til å utføre databehandleroppgaver: SysIT (drift av nettstedet) og Siteseeker (drift av søkemotor).

Opplysninger som samles inn i forbindelse med drift av nettstedet, lagres på egne servere som driftes av leverandøren. Det er kun Datatilsynet og Making Waves (med underleverandører) som har tilgang til opplysningene som samles inn. En egen databehandleravtale mellom Datatilsynet og Making Waves regulerer hvilken informasjon leverandøren har tilgang til og hvordan den skal behandles.

Nettstatistikk

Datatilsynet samler inn avidentifiserte opplysninger om besøkende på datatilsynet.no. Formålet med dette er å utarbeide statistikk som vi bruker for å forbedre og videreutvikle informasjonstilbudet på nettstedet. Eksempler på hva statistikken gir svar på, er hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes.

Opplysningene behandles i avidentifisert og aggregert form. Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn tilbake til den enkelte bruker. Vi samler først inn hele IP-adressen, men IP-adressen avidentifiseres slik at bare de tre første gruppene i adressen brukes til å generere statistikk. Det vil si at dersom IP-adressen består av numrene 195.159.103.82, brukes bare 195.159.103.xx. I tillegg behandles IP-adressene på aggregert nivå, det vil si at all data slås sammen til en gruppe og ikke behandles individuelt.

Vi bruker analyseverktøyet Piwik på vårt nettsted. Dette er et verktøy med åpen kildekode (GPL) og som er installert på en egen server hos driftsleverandøren. Informasjon fra dette verktøyet utleveres ikke fra Datatilsynet til andre aktører.

Verktøyet er satt opp slik at informasjonskapsler ikke benyttes. Vi respekterer også innstillinger for ”Do Not Track” i brukerens nettleser (gjelder headerne X-Do-Not-Track og DNT). Funksjonen for Do Not Track er inkludert i de fleste nye nettlesere. Den kan alternativt legges inn av brukeren selv.

Informasjonskapsler

Informasjonskapsler (cookies) er små tekstfiler som plasseres på din datamaskin når du laster ned en nettside, slik som datatilsynet.no. Datatilsynet bruker ikke informasjonskapsler til å generere statistikk og vi kan dermed ikke spore din bruk av nettstedet tilbake til deg som enkeltperson.

Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt med mindre bruker både har blitt informert om og har gitt sitt samtykke til behandlingen. Brukeren skal få vite om og godkjenne hvilke opplysninger som behandles, hva formålet med behandlingen er og hvem som behandler opplysningene. Denne bestemmelsen kom med den reviderte ekomloven fra 2013 og ble kalt «cookie-paragrafen» (ekomloven § 2-7b).

Følgende informasjonskapsler brukes på datatilsynet.no:

  • ASP.NET_SessionId (Eksempel på verdi: l05aucudkhggfv45dd2l3g55) Denne informasjonskapselen brukes for at publiseringsløsningen (EpiServer) skal fungere. Informasjonskapselen fjernes fra datamaskinen når du lukker nettleseren.
  • FormCookie: Når du fyller ut et skjema for å sende oss informasjon, legges det igjen en FormCookie på datamaskinen din. Slike skjema brukes på sider der du kan gi oss tilbakemelding på om du ”Fant du det du lette etter?”. Denne informasjonskapselen settes på din datamaskin for at vi skal kunne styre om du kan sende meldingen en eller flere ganger. Den fjernes ikke når du lukker nettleseren. Dersom du ønsker å fjerne den, må du gjøre dette i nettleserens innstillinger.
  • Informasjonskapsler ved bruk av meldeskjema: Hvis du sender oss melding om behandling av personopplysninger ved å bruke elektronisk meldeskjema, legges det igjen en informasjonskapsel på datamaskinen din. Dette er nødvendig for at meldeskjemaet skal fungere.

Slik administrerer du informasjonskapsler/cookies

Søk

Datatilsynet lagrer informasjon om hvilke søkeord brukerne benytter i søkeverktøyet SiteSeeker. Formålet med lagringen er å gjøre informasjonstilbudet vårt bedre. Bruksmønsteret for søk lagres i en egen database, og de blir bare lagret i aggregert form. Det er bare søkeordet som lagres og de kan ikke kobles til andre opplysninger om brukerne, slik som til IP-adressene.

Nyhetsbrev

Datatilsynet bruker en løsning fra Makenewsmail for å administrere abonnenter og sende ut nyhetsbrev. For at vi skal sende e-post til riktig abonnent, må du registrere navn og e-postadresse. Vi ønsker også gjerne å vite om du er interessert i kapasitet av å være privatperson eller om du representerer en virksomhet (privat eller offentlig). I løsningen føres det aggregert statistikk over brukeres aktivitet i nyhetsbrevet. Det logges hvor mange ganger et nyhetsbrev åpnes, hvor mange ganger ganger lenken til en artikkel er klikket på, hvor mange som melder seg av, og hvor mange e-poster vi får i retur.

Makenewsmail er en databehandler for Datatilsynet. Vi har derfor underskrevet en databehandleravtale med firmaet. Makenewsmail har utviklet en personvern-modul for oss hvor statistikkdataene ikke er koblet til mottaker eller IP-adresse. Unntaket er loggingen av e-poster som kommer i retur. Der kommer det et svar rett fra e-postserveren til mottakeren som forteller at meldingen ikke kunne leveres.

Åpner du webversjonen av nyhetsbrevet, settes en session cookie. Denne heter ASPSESSIONIDACABABQ, og brukes til å sette språk i tilbakemeldinger til deg som bruker.

Dersom du tar i bruk nyhetsbrevtjenesten vår, samtykker du til at vi oppbevarer navnet ditt og e-postadressen din i en database. Du kan når som helst slutte å abonnere på nyhetsbrevet ved å klikke på avmeldingslenken som følger med i hvert nyhetsbrev.

Del/tips-tjenesten på datatilsynet.no og i nyhetsbrevet

Datatilsynets delingstjeneste på datatilsynet.no kan brukes til å videresende tips eller dele artikler fra nettstedet. Opplysninger om deling, slik som e-postadresse, logges ikke. Hvordan det aktuelle nettsamfunnet håndterer dataene videre reguleres av din avtale med nettsamfunnet.

I nyhetsbrevløsningen vår brukes det heller ikke dynamiske delingsknapper. Det vil si at det ikke kjøres et skript på siden som automatisk sender opplysninger om deg i Facebook og Twitters univers, slik det ofte gjøres. I stedet er det lagt enkle lenker på knappene som du kan bruke for å dele nyhetsbrevet til Facebook og Twitter.

Bestilling av veiledningsmateriell

På nettsiden kan du bestille veiledningsmateriell ved å oppgi blant annet virksomhet, navn, e-post og postadresse. Bestillingsinformasjonen deles med distributøren ILAS som sender ut veiledningsmateriellet på vegne av Datatilsynet. Personopplysninger vi får inn ved bestillinger av veiledningsmateriell blir ikke benyttet til andre formål enn å effektuere bestillingen.

”Fant du det du lette etter?” - tilbakemeldingsfunksjon

Nederst i noen av artiklene på nettstedet finner du en funksjon der du kan gi tilbakemelding om du fant informasjonen du lette etter, eller ikke. Vi bruker tilbakemeldingen til å forbedre innholdet på nettstedet. Bruker du denne funksjonen, legges det igjen en FormCookie på datamaskinen din. Tilbakemeldingen du sender oss lagres i vår database. Meldingen kan ikke spores tilbake til deg og inneholder dermed ikke personopplysninger.

Funksjonen brukes ikke til veiledning og vi ber deg derfor om ikke å registrere spørsmål som du ønsker svar på her. Vi ber deg om å ikke registrere sensitiv informasjon, ettersom funksjonen ikke er sikret (kryptert).

Personvernbloggen.no

Datatilsynet administrerer personvernbloggen.no. Dette er en separat publiseringsløsning med en egen personvernerklæring.

Meldesystemet

Avdelingsdirektør for fagavdeling 2 har det daglige ansvaret for meldesystemet. Datatilsynet skal vedlikeholde en offentlig fortegnelse over alle behandlinger av personopplysninger som meldes inn (personopplysningsloven § 42).

Meldesystemet gjør det mulig for enkeltpersoner å sjekke hvordan vedkommendes personopplysninger blir behandlet, slik at man kan ivareta sine rettigheter. Tilsynet foretar ikke noen fortløpende godkjennelse av meldingene som sendes inn, men benytter meldesystemet ved enkelthendelser angående bestemte virksomheter, samt for planlegging av tilsyn og kontroll.

Alle opplysninger som rapporteres inn til meldingssystemet publiseres i en offentlig database, med unntak av e-postadressene og telefonnummer. Opplysningene knytter seg til virksomheten som sådan, og er ikke personopplysninger i personopplysningslovens forstand. Meldinger som mottas i papirformat blir lagt inn elektronisk og følger samme prosedyre som øvrige meldinger.

Datatilsynets meldetjeneste bruker informasjonskapsler for å gjøre det mulig for brukeren å legge inn melding.

Meldinger løper ut etter tre år. Virksomhetene må da melde på nytt om de fortsatt behandler personopplysninger. Virksomheten er selv ansvarlig for å følge med på dette.

Spørreundersøkelser

Avdelingsdirektør for fagavdeling 1 har det daglige ansvaret for Datatilsynets spørreundersøkelser. Datatilsynet bruker EasyQuest til å gjennomføre undersøkelser. Vi vil alltid informere om formålet med spørreundersøkelsen, og hvorvidt den er anonym eller ikke. Datatilsynet vil ikke dele opplysningene med andre eller bruke opplysningene til andre formål enn det som er angitt.

Anonyme undersøkelser

Dersom undersøkelsen er anonym, vil ikke Datatilsynet eller EasyQuest samle inn noe informasjon som kan kobles til deg.

Identifiserbare undersøkelser

Dersom undersøkelsen ikke er anonym, kan Datatilsynet identifisere de som har besvart undersøkelsen. Vi kan også benytte EasyQuest til å sende ut undersøkelsen, din e-postadresse vil i så fall bli delt med Sendgrid.

2. Saksbehandling og arkiv

Datatilsynet bruker Public360 arkiv- og saksbehandlersystem med elektronisk journalføring og til dels elektronisk lagring av dokumenter. Public360 er et arkiv- og saksbehandlingssystem fra leverandøren Software Innovation som følger offentlige standarder (NOARK). Arkivleder er delegert det daglige ansvaret for systemet og manuelt arkiv, og at det er utarbeidet nødvendige rutiner for bruk av dette. Respektive avdelingsdirektører følger opp at den faktiske saksbehandlingen er i samsvar med rutinene.

Datatilsynet behandler personopplysninger for å oppfylle tilsynets lovpålagte oppgaver etter bl.a. personopplysningslov, forvaltningslov, offentlighetslov og arkivlov.

Det registreres ulike typer personopplysninger i arkiv- og saksbehandlingssystemet. Dette er opplysninger som navn, adresse, telefonnummer og annen relevant informasjon som fremgår av henvendelsen. Registrering, lagring og oppbevaring skjer i hht arkivlovgivningens regler. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger. Som en del av den pålagte saksbehandlingen innhenter Datatilsynet i noen tilfeller opplysninger fra andre etater på eget initiativ etter lovhjemmel (forvaltningsloven §17).

Ved krav om innsyn utleveres personopplysninger i henhold til offentlighetsloven og forvaltningsloven. Opplysninger som er nødvendig for behandling av klagesaker vil bli utlevert til Personvernnemnda som er Datatilsynets klageorgan.

Det er etablert særlige sikkerhetstiltak og rutiner for svært beskyttelsesverdig informasjon i arkivet, som for eksempel sensitive personopplysninger.

Recall oppbevarer Datatilsynets historiske arkiv. Samarbeidet er regulert av en databehandleravtale og Recall utleverer ikke opplysninger til tredjeparter.

Datatilsynet er pålagt å gjøre sine offentlige journaler tilgjengelig for allmennheten på Internett. En journal er systematisk og fortløpende registrering av alle inngående og utgående saksdokumenter. Journalene gjøres tilgjengelig på en felles portal, Offentlig elektronisk postjournal (OEP). Det betyr at det er en samordning av offentlige postjournaler i en tjeneste på internett som er allment tilgjengelig.

I offentlighetsforskriften § 7, jf § 6 fjerde ledd, er det spesifisert en del opplysninger som ikke skal framgå av offentlig journal og journaler som legges ut på nettet. Videre er det fastsatt at personnavn ikke skal kunne søkes fram i OEP når innførselen er eldre enn ett år.

Vi gjør oppmerksom på at forespørsler om innsyn via den offentlige, elektroniske postjournalen blir oppbevart (arkivert). Alle innsynskrav fra OEP registreres og kvitteres ut i eget skjema. Skjemaet blir journalført ved årets slutt, og vi vil normalt gi innsyn i dette om vi får en slik forespørsel.

3. E-post og telefon

Datatilsynet benytter e-post og telefon som en del av det daglige arbeidet for å oppfylle tilsynets lovpålagte oppgaver etter personopplysningslov og forvaltningslov. Avdelingsdirektøren i avdelingen der e-posten eller telefonsamtalen mottas har det daglige ansvaret for behandlingen av personopplysninger i denne sammenheng. Relevante opplysninger som fremkommer av telefonsamtaler og e-postutveksling som skjer som en del av saksbehandling journalføres. Disse opplysningene behandles i så fall som beskrevet over (se ”Saksbehandling og arkiv”).

Datatilsynets medarbeidere benytter i tillegg e-post i alminnelig dialog med interne og eksterne kontakter. Den enkelte er ansvarlig for å slette meldinger som ikke lenger er aktuelle, og minst hvert år gjennomgå og slette unødvendig innhold i e-postkassen. Ved fratreden slettes e-postkontoene, men enkelte relevante e-poster vil normalt bli overført til kollegaer.

Det sendes ikke sensitive personopplysninger med e-post. Mottatte e-post som inneholder sensitive opplysninger skal ikke distribueres videre, og tas ut av e-postsystemet.

Vi gjør deg oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer deg derfor ikke til å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.

Telefonsamtaler (telefonnummer fra og til, samt tidspunkt for samtalen) logges i vår telefonsentral. Denne loggen er nødvendig for administrasjon og drift av systemet, samt at den benyttes som grunnlag for statistikk på aggregert nivå. Etter en periode anonymiseres eksterne numre ved at de fire siste siffer slettes. Komplett logg slettes etter ett år. I tillegg har ansatte en oversikt over de siste anropene på sine telefoner. Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som journalføres. Det gjøres ingen øvrig systematisk registrering av telefonsamtaler hvor innringer kan identifiseres. Telefonsamtaler til vår veiledningstjeneste telles i anonym form.

4. Besøk i Datatilsynets lokaler

Ved inngangspartiet til Datatilsynets lokaler er det montert et kamera som aktiveres når man ringer på dørklokka. Bildet av inngangspartiet vises i sanntid og har ikke opptaksmulighet.

5. Personvernombudsordningen

Datatilsynet administrerer personvernombudsordningen i henhold til personopplysningslovens forskrift § 7-12 og det er avdelingsleder for fagavdeling 2 som har det daglige ansvaret. Ordningen er frivillig og har som mål om å øke personvernkompetansen i ulike virksomheter. Datatilsynets behandling av personopplysninger i forbindelse med denne ordningen er samtykkebasert.

Søknader, endringer og annen journalført korrespondanse med personvernombudene registreres i Datatilsynets arkivsystem. Datatilsynet har også en intern elektronisk oversikt med kontaktinformasjon til alle ombud. Oversikten er nødvendig for å gjennomføre den daglige driften og administrasjonen av ordningen, ikke minst utsendelse av informasjon.

En av personvernombudets oppgaver er å bistå med ivaretakelse av rettigheter for den som har opplysninger registrert hos virksomheten. Den som har behov for det, må kunne komme i kontakt med personvernombudet. Datatilsynet har derfor en oversikt på egne nettsider som viser hvilke virksomheter som er med i ordningen og hvem som er personvernombudet. Datatilsynet publiserer også ombudets kontaktopplysninger på nettsidene, men dette gjøres kun dersom ombudet har gitt sin tilslutning til det. Både oversikten på nettsiden og den interne listen med kontaktinformasjon oppdateres kontinuerlig. Så snart Datatilsynet får melding om at noen har sluttet som ombud, slettes vedkommende fra begge listene.

Prinsippene for håndtering av personopplysninger på e-post og telefon gjelder også for kommunikasjon med ombudene (se e-post til Datatilsynet).

6. Opplysninger om ansatte

Datatilsynet behandler personopplysninger om sine ansatte for å administrere lønn og personalansvar i henhold til personopplysningsloven § 8, første ledd og § 8 a), b) eller f) samt § 9 a), b) og f). Det er administrasjonssjefen som har det daglige ansvaret for dette. Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeningstilhørighet. Andre opplysninger om ansatte er knyttet til vedkommendes arbeidsinstruks og tilrettelegging av vedkommendes arbeid.

Dessuten registreres det opplysninger i tilknytning til nøkkeladministrasjon av inn- og utpasseringer og opplysninger om tilgangsstyring i IT-systemet. Opplysningene hentes fra de ansatte selv. Opplysningene utleveres bare i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven. Opplysninger om navn, stilling og arbeidsområdet regnes å være offentlige opplysninger og kan publiseres på tilsynets nettsider.

Alle stillingssøknader blir journalført i Datatilsynets postjournal. Disse blir lagret i arkivet i ca ett år før de makuleres. Det er arkivleder som er ansvarlig for dette. Journalopplysninger slettes ikke, men er skjermet i offentlig elektronisk postjournal (dvs. personnavn/navn på søker fremkommer ikke).

Unntak:

  1. Alle stillingssøknader på avdelingsdirektørnivå bevares (regelverket krever at søknader til de to-tre øverste stillingskategoriene skal bevares).
  2. Alle tidligere og nåværende ansatte har en personalmappe i vårt arkivsystem.

Her blir blant annet stillingssøknaden arkivert/oppbevart. Personalmapper skal bevares (dvs. at stillingssøknaden ikke blir slettet eller makulert). Personalmapper blir ryddet ved utløp av arbeidsforholdet. Personalmapper skal avleveres til Arkivverket.

7. Logging i Datatilsynets fagsystemer

Datatilsynet har alminnelige sikkerhetslogger i sine fagsystemer og sikkerhetsansvarlig ansvaret for dette delegert. Det er de ansattes bruk av fagsystemet som blir registrert her. Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer.

Det rettslige grunnlaget for slike logger er kravet om logger i personopplysningsforskriftens §§ 2-8 og 2-14, samt personopplysningslovens § 8 f), for å ivareta virksomhetens sikring av andre informasjonsverdier enn personopplysninger.

8. Annen relevant lovgivning

I tillegg til personopplysningsloven har blant annet følgende lover betydning for Datatilsynets behandling av personopplysninger.

Offentlighetsloven med forskrifter inneholder reglene for når et dokument er offentlig tilgjengelig for allmennheten, og når et dokument kan unntas offentlighet. Datatilsynet praktiserer meroffentlighet, det vil si at tilsynet så langt det er mulig etterstreber at dokumenter skal være offentlige. Forvaltningsloven inneholder saksbehandlingsregler for hvordan saken din vil bli behandlet i Datatilsynet. Som part i saken har du særskilte rettigheter, bl.a. om innsyn i sakens dokumenter.

Arkivloven gir regler om hvordan arkivskaper skal behandle og oppbevare saksdokumenter, samt avlevering til arkivinstitusjon.

Helseregisterloven inneholder regler om hvordan helseopplysninger som samles inn vil bli behandlet, herunder hvordan de sikres, hvem som har tilgang og om de kan utleveres til andre.

SIS-loven (Schengen informasjonssystem versjon II) har egne bestemmelser for innsyn i opplysinger. Se våre vår nettside for informasjon om dette (lenke). Datatilsynet vil behandle klager på mulig registrering i SIS II etter disse reglene og opplysinger vil bli behandlet på samme måte som andre klagesaker ved tilsynet.

9. Rettigheter

Alle som spør har rett på grunnleggende informasjon om behandlinger av personopplysninger i en virksomhet etter personopplysningslovens § 18, 1. ledd. Datatilsynet har gitt denne informasjonen i denne erklæringen, og vil henvise til den ved eventuelle forespørsler. De som er registrert i en av Datatilsynets systemer har rett på innsyn i egne opplysninger. Vedkommende har også rett til å be om at uriktige, ufullstendige eller opplysninger Datatilsynet ikke har adgang til å behandle blir rettet, slettet eller supplert. Krav fra den registrerte skal besvares kostnadsfritt og senest innen 30 dager.

10. Kontaktinformasjon

Til toppen