Personvernerklæring for Departementenes sikkerhets- og serviceorganisasjon

Innledning

I forbindelse med sin saksbehandling og virksomhet som offentlig organ vil Departementenes sikkerhets- og serviceorganisasjon (DSS) behandle personopplysninger om personer utenfor egen virksomhet (brukere). Personopplysninger er enhver opplysning om fysiske personer, mens behandling omfatter enhver bruk av disse opplysningene.

DSS er behandlingsansvarlig for den behandlingen av personopplysninger som beskrives i denne erklæringen, hvor direktøren har det overordnede ansvaret for at DSS skal behandle personopplysninger i tråd med personopplysningsloven og personopplysningsforskriften.

Personopplysningsloven, personvernforordningen og personopplysningsforskriften setter krav til behandling av personopplysninger som utføres med elektroniske hjelpemidler eller inngår i et personregister. Virksomhetens retningslinjer gir føringer for behandlingen av personopplysninger i DSS, og er en del av virksomhetens internkontrollsystem.

Denne personvernerklæringen skal gi nærmere informasjon om hvordan DSS behandler personopplysninger om personer utenfor egen virksomhet.

Behandling av personopplysninger i DSS

Behandling av personopplysninger i forbindelse med DSSs saksbehandling

DSS behandler personopplysninger for å oppfylle Virksomhetens lovpålagte oppgaver etter bl.a. forvaltningsloven, offentleglova, arkivloven og personopplysningsloven.

Det registreres ulike typer personopplysninger i saks- og arkivsystemet. Dette er opplysninger som navn, adresse, telefonnummer, e-postadresse (grunndata) og annen relevant informasjon som fremgår av henvendelsen. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger

I forbindelse med saksbehandlingen kan DSS komme til å behandle andre typer personopplysninger enn de som er nevnt her, dersom dette er nødvendig for å gjennomføre behandlingen av den enkelte sak.

Disse personopplysningene kan gjelde for mange ulike kategorier registrerte slik som eksempelvis privatpersoner som er gjenstand for saken og andre som er involvert i den enkelte sak.

Dersom det er nødvendig for behandlingen av den enkelte sak, kan opplysninger også innsamles direkte fra den saksbehandlingen gjelder, eller andre med tilknytning til den enkelte sak. Som en del av den pålagte saksbehandlingen innhenter DSS i noen tilfeller opplysninger fra andre etater på eget initiativ i medhold av forvaltningsloven § 17.

Personopplysningene knyttet til DSSs saksbehandling vil lagres hos DSS så lenge de er nødvendige for å gjennomføre saksbehandlingen. DSS har som offentlig myndighet arkivplikt for arkivverdige dokumenter og vil derfor ikke slette slike nødvendige opplysninger. Registrering, lagring og oppbevaring av saksbehandlingsmateriale skjer i henhold til arkivlovgivningen.

DSS bruker WebSak saks- og arkivsystem med elektronisk journalføring og elektronisk lagring av dokumenter. WebSak er et saks- og arkivsystem fra leverandøren Acos AS som følger offentlige standarder (NOARK).


Mottakere av opplysninger og innsyn etter offentleglova

DSS er lovpålagt å gjøre sine offentlige postjournaler tilgjengelige for allmennheten på internett. En journal er systematisk og fortløpende registrering av alle inngående og utgående saksdokumenter. Journalene gjøres tilgjengelig på en felles portal som kalles eInnsyn, som er en samordning av offentlige postjournaler i en allment tilgjengelig tjeneste på internett.

Forespørsler om innsyn via eInnsyn blir lagt inn i en egen modul for innsynsbehandling. Alle innsynskrav fra eInnsyn registreres her, og svar blir ekspedert fra samme modul.

Ved krav om innsyn utleveres personopplysninger i henhold til offentleglova og forvaltningsloven. Opplysninger som er nødvendig for behandling av klagesaker vil bli utlevert til Kommunal- og moderninseringsdepartementet, som er DSSs klageorgan.


Behandling av personopplysninger i forbindelse med pressehenvendelser til DSS

DSS behandler også personopplysninger som mottas ved henvendelser fra pressen og lignende interessenter.

I forbindelse med henvendelser fra pressen opprettholder DSS en oversikt med relevante opplysninger om de pressekontaktene DSS kommuniserer med. Denne oversikten omfatter opplysninger gitt av det enkelte pressemedlem ved henvendelser til DSS, som omfatter navn, kontaktinformasjon (epost og telefon) og arbeidsgiver.

Grunnlaget for denne behandlingen er DSSs berettigede interesse i å besørge god kommunikasjon med pressen for å ivareta åpenheten i forvaltningen. For å ivareta denne interessen opprettholder DSS oversikten over pressekontakter for å administrere henvendelser, da det anses som et nødvendig for å håndtere henvendelser fra pressen på en oversiktlig og effektiv måte.

Opplysningene slettes dersom DSS får beskjed om at et pressemedlem ikke lenger ønsker å stå oppført i presselisten, og ellers når DSS blir kjent med endringer.


Henvendelser til DSS

DSS benytter e-post og telefon som en del av det daglige arbeidet. Relevante opplysninger som fremkommer av e-postutveksling som skjer som en del av saksbehandling, journalføres. Disse opplysningene behandles i så fall som beskrevet over (se «Behandling i forbindelse med saksbehandling»). Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som journalføres. Den enkelte saksbehandler er ansvarlig for å slette e-poster som ikke lenger er aktuelle, og minst hvert år gjennomgå og slette unødvendig innhold i e-postkassen. Ved fratreden slettes e-postkontoene, men enkelte relevante e-poster vil normalt bli overført til kollegaer.

Sensitive personopplysninger skal ikke sendes med e-post. DSS gjør oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer derfor til å ikke sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.


Dine rettigheter

I den grad DSS behandler personopplysninger om deg, har du flere rettigheter etter personvernregelverket.

Du har rett til å be om innsyn, for å få informasjon om hvorvidt personopplysninger om deg behandles av DSS. Dersom dette er tilfellet har du og rett til å få utlevert en kopi av disse opplysningene. Dersom behandlingen av personopplysninger du har gitt til DSS bygger på samtykke eller avtale, har du videre rett til å få disse utlevert i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet). Siden DSS kun unntaksvis behandler personopplysninger om privatpersoner med grunnlag i samtykke eller avtale, gjelder imidlertid denne retten kun de aller færreste av personopplysningene DSS behandler.

Dersom du mener personopplysningene DSS har lagret om deg ikke er riktige (f. eks. feil epostadresse, navn, bosted eller lignende) har du rett til å be om at disse blir rettet.

Foruten DSSs interne rutiner om sletting, har du også rett til å be om at personopplysningene Virksomheten har om deg, slettes. Omfanget av denne retten vil avhenge av ditt forhold til DSS.

Dersom du ikke ønsker at DSS skal slette opplysningene dine, men har en grunn til å ønske at virksomheten skal stanse å behandle de på andre måter, har du etter nærmere omstendigheter rett til å be om dette.

Der DSS behandler dine personopplysninger med grunnlag i ditt samtykke, har du rett til å når som helst trekke dette tilbake. Behandlingen vil da stanses, og dine personopplysninger slettes. Der DSS behandler personopplysninger om deg med grunnlag i DSSs berettigede interesser har du videre rett til å protestere mot dette, noe som også vil medføre stans av behandlingen med påfølgende sletting av opplysningene.

Dersom du mener at noen av disse rettighetene er aktuelle i ditt forhold til DSS, kan du rette en henvendelse om dette til DSS ved å sende e-post til postmottak@dss.dep.no. Når du sender en slik henvendelse, vil DSS som regel svare deg innen 30 dager.

Dersom du mener at DSS behandler dine personopplysninger i strid med personopplysningsloven, personvernforordningen, eller personvernregelverket for øvrig har du rett til å levere en klage til Datatilsynet. Klager kan leveres via kontaktfunksjonen på deres nettsider.

Du kan lese mer om dine rettigheter, og hva disse innebærer på Datatilsynets nettsider.


Informasjonssikkerhet og internkontroll

Personopplysningsloven pålegger behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Dette gjelder uavhengig av hva slags personopplysninger som behandles, og uavhengig av hvilke hjelpemidler som benyttes. Gjennom planlagte og systematiske tiltak skal det sørges for tilfredsstillende informasjonssikkerhet. Det skal gjøres risikovurderinger av alle viktige systemer jevnlig eller etter behov. DSS har utarbeidet en egen informasjonssikkerhetspolicy, retningslinjer for informasjonssikkerhet og brukerinstrukser som legges til grunn ved sikring av personopplysninger.

Det er etablert rutiner, herunder planlagte og systematiske tiltak, som er nødvendige for å oppfylle kravene i personopplysningsloven. Etterlevelsen av kravene til behandling av personopplysninger skal dokumenteres etter gjeldende rutiner. DSS har også en oversikt over hva slags personopplysninger som behandles i virksomheten. Oversikten skal holdes oppdatert.

Det er etablert særlige sikkerhetstiltak og rutiner for svært beskyttelsesverdig informasjon i arkivet, som for eksempel sensitive personopplysninger og gradert informasjon.

Det skal rapporteres om avvik ved brudd på kravene til behandling av personopplysninger. Avvik skal rapporteres til direktør, avdelingsdirektører, sikkerhetsleder, personvernombud, og/eller Datatilsynet alt etter alvorlighetsgrad.


Databehandlere

DSS er en tjenesteleverandør, og vil i den forbindelse være databehandler. Det stilles klare krav til behandlingene. Det inngås databehandleravtaler i henhold til gjeldende lov.

Når eksterne behandler personopplysninger på vegne av DSS, stilles det klare krav til behandlingen. Det inngås databehandleravtaler i henhold til gjeldende lov. Databehandleravtalene etablerer klare ansvars- og myndighetsforhold med alle som opptrer som databehandlere for DSS.

Ved saksbehandling og andre henvendelser fra eksterne, kan DSS benytte ekstern bistand til blant annet oversettelse av dokumenter, varslingssaker og i forbindelse med rekruttering.


Personvernombud

Det er opprettet et personvernombud for DSS. Personvernombudet skal påse at kravene til behandling av personopplysninger blir fulgt, og være en ressursperson som styrker virksomhetens kunnskap om personvern.

Personvernombudets hovedoppgaver omfatter blant annet å:

  • Være kontaktpunkt for de registrerte, og mellom Datatilsynet og virksomheten
  • Informere og gi råd til Virksomheten og de ansatte om de forpliktelser som følger av regelverket
  • Kontrollere etterlevelse av personopplysningsloven og virksomhetens retningslinjer for personvern
  • Gi råd om og delta i arbeidet med konsekvensanalyser i medhold av forordningen art. 39 1 c)
  • Samarbeide med Datatilsynet

Kontaktinformasjon: personvernombud@dss.dep.no  


Ytterligere informasjon

Personvernerklæring for dss.dep.no