Saksbehandling, henvendelser og personvernombud
Saksbehandling
Når vi har saker til behandling, for eksempel klager og avviksmeldinger, eller fordi vi har iverksatt et tilsyn, behandler vi personopplysninger for å kunne ivareta oppgavene våre i henhold til personvernforordningens artikkel 57.
Les mer om Datatilsynets oppgaver
Vi behandler blant annet kontaktinformasjon og annen informasjon som er nødvendig for å kunne løse oppgavene våre. Det kan inkludere opplysninger om lovovertredelser, helseopplysninger, opplysninger om arbeidsforhold og lignende. Hvis du sender inn en klage via nettstedet vårt, bruker vi ID-porten til å innhente fødselsnummeret ditt for å identifisere deg.
Behandlingsgrunnlaget vårt for denne behandlingen er personvernforordningen artikkel 6 nr. 1 bokstav e, som gir oss hjemmel til å behandle opplysninger som er nødvendig for å utøve offentlig myndighet, jf. personvernforordningen artikkel 57 og artikkel 58 og forvaltningsloven § 17.
Dersom henvendelsen din inneholder særlige kategorier av personopplysninger, eller saksbehandlingen vår avdekker dette, er behandlingsgrunnlaget personvernforordningen artikkel 6 nr. 1 bokstav e, jf. artikkel 9 nr. 2 bokstav g, jf. artikkel 57 og artikkel 58 og forvaltningsloven § 17.
Internasjonalt samarbeid i saksbehandlingen
Det som står skrevet generelt om saksbehandlingen vår over, gjelder også når vi samarbeider om saker med andre datatilsynsmyndigheter internasjonalt. Prosessene er likevel litt annerledes.
Personvernforordningen har regler om at datatilsynsmyndighetene i EØS skal samarbeide om å behandle saker som påvirker personvernet i flere EØS-land. Formålet er å sikre at personvernreglene tolkes likt.
Ved saksbehandling av såkalt grenseoverskridende saker, vil behandlingen av personopplysningene dine først og fremst skje i et informasjonssystem kalt IMI ("Internal Market Information System"). Da deler vi personopplysningene dine med andre relevante datatilsynsmyndigheter i EØS og sekretariatet til Det europeiske personvernrådet.
I tillegg vil vi i mange tilfeller motta personopplysninger fra andre datatilsynsmyndigheter i EØS gjennom IMI.
Det er EU-kommisjonen som sørger for drift og vedlikehold av systemet IMI. Personopplysninger som behandles i IMI blir normalt blokkert i systemet seks måneder etter at samarbeidsprosedyren er formelt avsluttet, og personopplysningene blir slettet automatisk i systemet tre år etter at samarbeidsprosedyren formelt er avsluttet.
I likhet med oss, har også de andre datatilsynsmyndighetene i EØS taushetsplikt for konfidensiell informasjon.
Utover saksbehandlingen i grenseoverskridende saker og i Personvernrådet, kan vi unntaksvis behandle personopplysninger som ledd i annet internasjonalt arbeid. Dette kan for eksempel skje når datatilsynsmyndighetene deler informasjon om vedtakene sine med datatilsynsmyndigheter i andre land.
Samarbeidet med de andre datatilsynsmyndighetene i EØS og Personvernrådet reguleres av reglene i IMI-forordningen (efta.int, pdf) art. 13, personvernforordningen artikkel 56, artikkel 57 nr. 1 bokstav g og h, artikkel 60-66 og artikkel 70 nr. 1. I de tilfellene vi er lovpålagt å dele informasjon med andre datatilsynsmyndigheter eller Personvernrådet etter disse bestemmelsene, er behandlingsgrunnlaget vårt personvernforordningen artikkel 6 nr. 1 bokstav c, altså at behandlingen av personopplysninger er nødvendig for å oppfylle en rettslig forpliktelse.
I noen tilfeller er vi ikke lovpålagt å dele informasjon, men informasjonsdeling kan for eksempel føre til at vi og de andre datatilsynsmyndighetene samarbeider bedre om håndheving og blir mer kompetente. I slike tilfeller er behandlingsgrunnlaget vårt personvernforordningen artikkel 6 nr. 1 bokstav e, som gir oss hjemmel til å behandle opplysninger som er nødvendig for å utøve offentlig myndighet.
I den grad særlige kategorier personopplysninger inngår i informasjonsdelingen, er det rettslige grunnlaget vårt artikkel 9 nr. 2 bokstav g.
Om arkivlovgivningen, partsinnsyn og offentlighetslovgivningen
Som et offentlig organ har vi plikt til å føre postjournal etter offentlighetsloven § 10. Vi journalfører all korrespondanse i forbindelse med saksbehandling. Dette gjøres med mindre dokumentene skal unntas offentlighet, for eksempel på grunn av taushetsplikt.
Etter arkivloven § 6 har vi arkivplikt. Det innebærer blant annet at saksdokumentene våre lagres i et arkiv på ubestemt tid. Alle dokumenter som er journalført overføres til Arkivverket i tråd med arkivloven § 10.
I disse behandlingene er behandlingsgrunnlaget vårt personvernforordningen artikkel 6 nr. 1 bokstav c, altså at behandlingen er nødvendig for å etterleve de rettslige forpliktelsene våre. Der det er snakk om særlige kategorier personopplysninger er behandlingsgrunnlaget vårt personvernforordningen artikkel 6 nr. 1 bokstav c, jf. artikkel 9 nr. 2 bokstav g.
Publisering av avgjørelser
Vi publiserer utvalgte avgjørelser og vedtak løpende på nettsiden vår. Disse vil kunne inneholde personopplysninger, men da i pseudonym form. Det betyr at de ikke kan knyttes til en bestemt person uten bruk av supplerende opplysninger som kun vi vil ha tilgang til.
I tillegg publiserer vi flere av vedtakene våre på Det europeiske personvernrådet (EDPB) sin nettside. Formålet er å sikre åpenhet, fremme allmenhetens kjennskap til personvernreglene og fremme virksomheters kjennskap til forpliktelsene sine. I noen tilfeller er det lovpålagt å dele vedtak med Personvernrådet for publisering.
Personvernrådet har i dag fire registre der vedtakene våre kan publiseres (alle registrene ligger på edpb.europa.eu):
- Oversikt over avgjørelser i grenseoverskridende saker
Personopplysninger om deg som klager blir fjernet før publisering. - Oversikt over godkjente BCR-er (Binding Corporate Rules)
Her er det bare unntaksvis snakk om personopplysninger, og i så fall er det typisk snakk om deg som er kontaktperson i en virksomhet. - Oversikt over godkjente bransjenormer
Her er det bare unntaksvis snakk om personopplysninger, og i så fall er det typisk snakk om deg som er kontaktperson i en virksomhet. - Oversikt over nasjonale vedtak fattet etter at en sak har blitt løftet til Personvernrådet
Der vi er lovpålagt å dele vedtakene våre med Personvernrådet, er behandlingsgrunnlaget vårt personvernforordningen artikkel 6 nr. 1 bokstav c, altså at behandlingen av personopplysninger er nødvendig for å oppfylle en rettslig forpliktelse. Deling av informasjon med Personvernrådet er regulert i personvernforordningen artikkel 57 nr. 1 bokstav g og artikkel 60-66.
Der vi deler vedtakene våre med Personvernrådet på frivillig basis, er behandlingsgrunnlaget vårt personvernforordningen artikkel 6 nr. 1 bokstav e. Den gir oss hjemmel til å behandle opplysninger som er nødvendig for å utøve offentlig myndighet, jf. personvernforordningen artikkel 57 nr. 1 bokstav b og d.
Dersom det unntaksvis skulle skje at vi deler et vedtak som inneholder særlige kategorier personopplysninger med Personvernrådet, er det rettslige grunnlaget vårt artikkel 9 nr. 2 bokstav g.
Merk at vedtak som publiseres på Personvernrådets nettside, gjennomgår en manuell sladdeprosess, for å sørge for at ingen sensitiv eller konfidensiell informasjon blir publisert.
Ulike henvendelser til Datatilsynet
Telefon
Når du ringer til Datatilsynet, lagres telefonnummeret ditt sammen med opplysninger om når du ringte og hvor lenge samtalen varte. Opplysningene dine lagres hos vår underleverandør Phonero i tre måneder. Dersom en telefonsamtale er knyttet til en åpen sak, vil vi kunne skrive et notat som journalføres etter samtalen (se teksten over om saksbehandling). Vi gjør ingen øvrig systematisk registrering av telefonsamtaler hvor du som innringer kan identifiseres. Veiledningshenvendelser brukes ikke direkte i annen saksbehandling eller tilsynsarbeidet.
Formålet med lagringen av loggen, er å kunne følge opp telefonsamtaler ved behov, for eksempel ringe deg opp igjen dersom du har kontaktet oss.
Behandlingsgrunnlaget vårt er personvernforordningen artikkel 6 nr. 1 bokstav f. Den gir oss hjemmel til å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse. Den berettigede interessen vår er å kunne følge opp telefonsamtaler ved behov.
E-post
Vi benytter e-post for å utføre arbeidsoppgavene våre. Formålet med bruk av e-post er å kunne ha effektiv kommunikasjon både internt i virksomheten og med eksterne i saksbehandlingen og når vi skal utføre andre oppgaver.
Vi ber om at du ikke sender særlige kategorier personopplysninger ukryptert per e-post. Les mer om kryptering
Behandlingsgrunnlaget vårt for behandling av personopplysninger i e-poster er personvernforordningen artikkel 6 nr. 1 bokstav e. Den gir oss hjemmel til å behandle opplysninger som er nødvendig for å utøve offentlig myndighet, jf. personvernforordningen artikkel 57 og 58 og forvaltningsloven § 17. Dersom du sender oss en kryptert henvendelse som inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget vårt personvernforordningen artikkel 6 nr. 1 bokstav e, jf. artikkel 9 nr. 2 bokstav g, jf. artikkel 57 og 58 og forvaltningsloven § 17.
Vi skanner all inn og utgående e-post for virus og skadevare for å sikre integriteten, konfidensialiteten og tilgjengeligheten i systemene våre som behandler personopplysninger.
Behandlingsgrunnlaget vårt for skanningen er personvernforordningen artikkel 6 nr. 1 bokstav c. Vi har en rettslig plikt til å sikre informasjonssikkerhet etter personvernforordningen artikkel 5 nr. 1 bokstav f og 32.
Tipsdatabase
Vi har et tipsskjema som du kan benytte for å tipse oss om mulige brudd på personvernregelverket. Tipsene lagres i en tipsdatabase. Formålet med databasen er å ha en systematisk oversikt over hendelser og områder der det kan være relevant for oss å føre kontroll eller gi veiledning. Databasen inneholder det som er sendt inn av informasjon om det mulige bruddet og informasjon om virksomheten det er tipset om. Vi oppfordrer i skjemaet om at der ikke oppgis personopplysninger.
Opplysningene som du har oppgitt i tipsdatabasen lagres i tre år etter at vi har mottatt tipset før de slettes. Hvis tipset ditt blir fulgt opp og senere brukes i en sak, vil tipset bli journalført sammen med dokumentene i saken, og opplysningene du har oppgitt bli lagret i henhold til gjeldende arkivlovgivning (se over).
Behandlingsgrunnlaget vårt for denne behandlingen er personvernforordningen artikkel 6 nr. 1 bokstav e, som gir oss hjemmel til å behandle opplysninger som er nødvendig for å utøve offentlig myndighet, jf. personvernforordningen artikkel 57 og artikkel 58.
Registrering av personvernombud
Virksomheter som oppretter personvernombud, skal melde ombudets kontaktopplysninger til Datatilsynet (artikkel 37 i personvernforordningen). Dette inkluderer navn, telefonnummer og e-post, samt postadresse dersom denne er en annen enn virksomhetens.
Virksomheten må logge inn via Altinn for å registrere personvernombudet. Opplysningene sendes fra Altinn til saksbehandlingssystemet vårt. Vi benytter disse opplysningene til å sende relevant informasjon til deg som er personvernombud, samt ta kontakt med deg ved behov. Kontaktpplysningene til personvernombudene publiseres på datatilsynet.no.
Formålet med behandlingen av personopplysninger, er å legge til rette for virksomhetenes plikter etter personvernforordningen artikkel 37, samt å gjøre det lettere for oss og enkeltpersoner å kontakte den som er personvernombud i en virksomhet.
Behandlingsgrunnlaget vårt for å motta opplysninger om deg som personvernombud og bruke dem i saksbehandlingen vår, er personvernforordningen artikkel 6 nr. 1 bokstav e. Dette gir oss hjemmel til å behandle opplysninger som er nødvendig for å utøve offentlig myndighet, jf. personvernforordningen artikkel 57, jf. artikkel 37 nr. 7 og artikkel 39 nr. 1 bokstav e.
Behandlingsgrunnlaget for å publisere opplysningene på datatilsynet.no, samt å bruke dem til å sende deg relevant informasjon, er personvernforordningen artikkel 6 nr. 1 bokstav f. Den berettigede interessen vår er å gjøre det lettere for enkeltpersoner å kontakte deg som personvernombud og å bidra til at du som ombud holder deg oppdatert.
Når en virksomhet melder inn at et personvernombud har sluttet, vil opplysningene om ombudet bli slettet i saksbehandlingssystemet vårt senest innen én måned etter at vi mottok meldingen.
Dersom du som personvernombud har vært del av en korrespondanse, for eksempel kopimottaker av et brev fra oss, vil kontaktopplysningene dine lagres i saksbehandlingssystemet vårt i henhold til journalføringsplikten.