5. Behandling av personopplysninger i Eidfjord fjellstyre

Eidfjord fjellstyre behandler personopplysninger for å administrere forholdet til sine ansatte og forholdet til sine kunder og leverandører, samt annen behandling dersom dette fremkommer nedenfor.  

5.1 Oversikt over behandling av personopplysninger 

Det skal føres en oversikt over behandling av personopplysninger i Eidfjord fjellstyre («Behandlingsoversikt» eller omtalt som «protokoll» i GDPR) som skal inneholde minimum de krav som stilles etter GDPR artikkel 30.  

All behandling skal føres inn i oversikten, og oversikten skal gjennomgås regelmessig for å vurdere om oversikten er dekkende.  

5.2 Generelt om behandling av personopplysninger 

Det skal sikres at all behandling av personopplysninger kun skjer etter det formål som opplysningene ble innsamlet for. Det er den som er ansvarlig for behandlingen av opplysningene etter Behandlingsoversikten som har ansvar for å kontrollere at alle former for behandling som skjer med personopplysningene er dekket av det opprinnelige formål for innsamling av personopplysningene. Er den ansvarlige usikker på om behandlingen er innfor det opprinnelige formålet, skal daglig leder rådføres.  

Det skal sikres at det ikke samles inn og behandles mer personopplysninger enn nødvendig (dataminimering) ved at enhver som er i befatning med personopplysninger skal vurdere om det er nødvendig å behandle personopplysningene. Enhver som er ansvarlig for de ulike behandlinger av personopplysninger skal minimum årlig vurdere om de personopplysninger som behandles er nødvendige eller om behandlingen av personopplysninger skal begrenses.  

Alle i Eidfjord fjellstyre skal ha informasjon og eventuelt opplæring om hvordan personopplysningene skal håndteres, og om nødvendig kan de søke hjelp hos sin nærmeste leder. Ansatte som i stor grad håndterer personopplysninger, skal ha opplæring i behandling av personopplysninger. Eidfjord fjellstyre skal alltid kunne svare på spørsmål, både fra publikum og de som er registrert, om behandlingene av personopplysninger. Henvendelser fra ansatte om behandling av personopplysninger skal håndteres av ledelsen eller den som er ansvarlig for ansatte. Henvendelser fra eksterne, kunder og andre om behandling av personopplysninger skal håndteres av ledelsen eller den som har ansvar for dette. 

5.3 Behandling av særlige kategorier (sensitive) personopplysninger og opplysninger om straffeovertredelser mv.  

Med særlige kategorier personopplysninger regnes følgende etter personvernforordningen:  

  • Rasemessig/etnisk opprinnelse 
  • Politisk oppfatning 
  • Religion og overbevisning 
  • Fagforeningsmedlemskap 
  • Helseopplysninger 
  • Seksuelle forhold eller orientering  
  • Genetiske og biometriske opplysninger for identifikasjonsformål 

Behandling av særlige kategorier (sensitive) personopplysninger skal kun forekomme om det foreligger grunnlag for slik behandling, og det skal begrenses tilgang til slike opplysninger i virksomheten.  

Det skal ikke sendes særlige kategorier (sensitive) personopplysninger per e-post eller overføres på annen måte ukryptert. Lagres særlige kategorier (sensitive) personopplysninger på portabelt lagringsmedium, herunder telefon eller nettbrett, skal opplysningene krypteres.  

5.4 Behandling av personopplysninger om mindreårige 

Det skal søkes å ikke behandle personopplysninger om mindreårige, og i den grad det behandles personopplysninger om personer under 18 år, skal opplysningene begrenses i størst mulig grad, slettes så snart som mulig og sikres på best mulig måte.  

Behandles det personopplysninger om personer under 15 år, skal det sikres samtykke fra foresatte/verger for behandlingen.  

5.5 Grunnlag for behandling 

Det skal foreligge et lovmessig grunnlag for all behandling av personopplysninger som gjøres i Eidfjord fjellstyre.  

Eidfjord fjellstyre skal kun behandle nødvendige personopplysninger om ansatte og andre. De som registreres hos i Eidfjord fjellstyre skal om mulig informeres og være klar over behandlingen, se nærmere om informasjonsplikten i punkt 6.4. 

5.6 Sikring av kvalitet av personopplysninger. Retting og korrigering 

Personopplysninger om ansatte og andre skal være tilstrekkelige og relevante for formålet med behandlingen. Kravet til relevans trekker opp en ytre grense for hvilke personopplysninger som kan tas med i behandlingen, og kan ikke fravikes gjennom samtykke fra den registrerte. Kravet til tilstrekkelighet innebærer at man må ha nok opplysninger for å kunne ivareta formålet med behandlingen. 

Blir Eidfjord fjellstyre kontaktet av registrerte som ønsker at personopplysninger som Eidfjord fjellstyre behandler skal rettes eller på andre måter korrigeres, så skal den som har ansvar for behandlingen av opplysningene, ha ansvar for å sørge for retting eller korrigering dersom opplysningene som behandles ikke er korrekte. Er det uklart hva som er korrekte opplysninger, skal den registrertes tilbakemelding på opplysningene registreres sammen med opplysningene fra Eidfjord fjellstyre.  

Følgende rutine skal gjelde for behandling av forespørsel om retting og supplering: 

  • Mottak av forespørsel om retting eller supplering for ansatt eller andre. 
  • Formidling av forespørsel til henholdsvis HR-ansvarlig eller ansvarlig for salg/kunde. 
  • Mottakeren av forespørselen skal verifisere korrekthet av forespurte endringer av opplysninger. 
  • Hvis endringene er verifisert, utstede arbeidsordre for oppdatering av system(er). 
  • Bekrefte skriftlig til den som forespør endringer. 

5.7 Rett til innsyn i personopplysninger for registrerte 

Den registrerte har rett på innsyn i opplysninger om seg selv. Rettigheten følger av personvernforordningen artikkel 15. Unntak finnes i personopplysningsloven §§ 16 og 17.   

Eidfjord fjellstyre skal ikke utlevere opplysninger med mindre det er sikkerhet om at den registrerte er mottakeren av opplysningene. 

Besvarelse av innsynskrav skal håndteres av daglig leder eventuelt i samarbeid med systemeier eller den som er ansvarlig for den konkrete behandling.   

Henvendelser om innsyn skal behandles på følgende måte:  

  1. Henvendelse fra den registrerte om Eidfjord fjellstyre behandler personopplysninger om den registrerte skal formidles til og håndteres av daglig leder eventuelt i samarbeid med systemeier eller den som er ansvarlig for den konkrete behandling. Det skal ikke besluttes å sende ut personopplysninger uten at den daglig leder er involvert og har godkjent. 

    For ansatte skal forespørsel om innsyn håndteres av HR-ansvarlig.

    Forespørsel kan være muntlig, men å etterkomme forespørsler om innsyn kan det bes om skriftlig forespørsel bl.a. for å kunne dokumentere svartid. Det skal føres logg om innsynsforespørsler.
     
  2. Dersom det behandles personopplysninger om den registrerte, skal det gis følgende informasjon til den registrerte:
    a. Formålene med behandlingen, 
    b. de berørte kategoriene av personopplysninger, 
    c. mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, særlig mottakere i tredjestater (dvs. utenfor EØS-området), samt om de nødvendige garantiene i henhold til GDPR artikkel 46 i forbindelse med overføringen. 
    d. dersom det er mulig, hvor lenge det forventes at personopplysningene vil bli lagret, eller, dersom dette ikke er mulig, kriteriene som brukes for å fastsette denne perioden, 
    e. retten til å anmode Eidfjord fjellstyre om korrigering eller sletting av personopplysninger eller begrensning av behandlingen av personopplysninger som gjelder den registrerte, eller til å protestere mot nevnte behandling, 
    f. retten til å klage til Datatilsynet, 
    g. dersom personopplysningene ikke er samlet inn fra den registrerte, all tilgjengelig informasjon om hvor personopplysningene stammer fra,
    h. forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i GDPR artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.
     
  3. Dersom den registrerte ber om det, skal det gjøres tilgjengelig en kopi av de personopplysninger som behandles om den registrerte.

    I slike tilfeller skal det påses at innsyn i og utlevering av personopplysninger ikke medfører at den som ber om innsyn får innsyn i andre fysiske personers personopplysninger. Ved utsendelse av kopi av opplysningene om den registrerte, skal opplysninger om andre sladdes og sikre at alle opplysninger faktisk dreier seg om den som har bedt om innsyn.

    Det skal foretas en verifikasjon av den registrertes identitet før personopplysninger utleveres. Det skal sikres at det ikke utleveres personopplysninger om andre fysiske personer eller at andre fysiske personers personvern krenkes på noen måte ved utleveringen eller innsynet i personopplysningene. Dersom det er tvil om det er den registrerte som foretar innsynsforespørsel, skal opplysninger ikke utleveres. Det skal også sikres at utlevering av personopplysninger ikke gis på en måte som kan medføre risiko for opplysningenes konfidensialitet og integritet.

    Opplysninger som er ellers er tilgjengelig offentlig, slik som kontaktopplysninger mv. kan sendes per e-post. Opplysninger som er ikke tilgjengelig offentlig, skal sendes til folkeregistrert adresse eller sikker digital postkasse. I saker med særskilt beskyttelsesbehov, som særlige kategorier personopplysninger, se punkt 5.3, skal opplysningene sendes rekommandert.

    Det skal ikke utleveres opplysninger som kan krenke andres rettigheter eller friheter, herunder forretningshemmeligheter eller immaterialrett og opphavsrett. Disse hensynene bør imidlertid ikke føre til at den registrerte nektes innsyn i alle opplysninger. Behandles det en stor mengde opplysninger om den registrerte, bør det anmodes om at den registrerte presiserer hvilke opplysninger eller behandlingsaktiviteter anmodningen gjelder.  

Det skal ikke kreves gebyr eller annen betaling for oppfyllelse av innsynet.  

Innsyn skal gis uten ugrunnet opphold og senest én måned etter mottak av anmodningen (om det ikke kreves lenger tid, hvor den registrerte skal informeres om dette).  

Se også om dataportabilitet under punkt 6.6. 

5.8 Anmodning om endring eller sletting fra registrerte 

Anmodning om endring eller sletting fra registrerte skal håndteres av den ansvarlige for behandlingen etter Behandlingsoversikten. Sletting skal kun skje dersom det foreligger grunnlag for sletting og det ikke er et fortsatt formål for behandling av personopplysningene. Ved tvil skal daglig leder konfereres.  

Når det skal slettes personopplysninger skal det sikres at det foretas sikker sletting. Det skal forsøkes å slettes fra sikkerhetskopi om dette er gjennomførbart på en enkel måte, ellers skal sikkerhetskopier overskrives ved normal syklus for sikkerhetskopiering. Foretas det gjenoppretting fra sikkerhetskopi, skal det iverksettes ekstra tiltak for å sikre at slettede opplysninger i produksjonsdata ikke gjenopprettes ved tilbakeføring av sikkerhetskopi.  

For regnskapsmateriale og arkivverdig materiale skal det vurderes om opplysninger kan slettes etter spesiell lovregulering.  

5.9 Sletting av personopplysninger 

Personopplysninger skal ikke beholdes og slettes sikkert når det ikke lenger er saklig behov for å oppbevare dem i Eidfjord fjellstyre, som at det ikke foreligger formål for fortsatt behandling, eller når den registrerte ber om sletting (dersom det er grunnlag for sletting). Den som er angitt som ansvarlig for behandlingen i Behandlingsoversikten er ansvarlig for dette hvis det er endringer ved Eidfjord fjellstyre som tilsier at opplysningene skal slettes.  

Det vil eventuelt angis sletteplikter for konkret behandling i Behandlingsoversikten. 

5.10 Oppfyllelse av informasjonsplikt 

Det skal sørges for at de registrerte får informasjon når det samles inn informasjon fra de registrerte (GDPR artikkel 13) og når det samles inn opplysninger fra andre enn de registrerte (GDPR artikkel 14).  

Eidfjord fjellstyre skal utarbeide personvernerklæringer både for ansatte og for andre (kunder, leverandører og andre eksterne) som skal være dekkende for den behandling av personopplysninger som skjer i virksomheten. Informasjonen skal dekke kravene i personvernforordningens krav til informasjon.  

Det skal søkes i størst mulig grad å gi informasjon direkte til den registrerte om behandling av personopplysninger i Eidfjord fjellstyre. Dette kan gis ved e-post eller skriftlig informasjon på annen måte. Uansett skal Eidfjord fjellstyre ha dekkende informasjon om behandling av personopplysninger i Eidfjord fjellstyre tilgjengelig på sine eksterne nettsider for kunder og andre som det behandles personopplysninger om, og informasjon på intranettet om behandling av personopplysninger om ansatte.  

5.11 Registrertes innsigelse mot behandling 

Protesterer registrerte av grunner knyttet til vedkommendes særlige situasjon mot behandling etter GDPR artikkel 21 om vedkommende når behandling skjer med grunnlag i GDPR artikkel 6 nr. 1 bokstav e) (behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet) eller f) (interesseavveining), herunder profilering med grunnlag i nevnte bestemmelser, skal behandlingen opphøre med mindre det kan påvises at det foreligger tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, eller for å fastsette, gjøre gjeldende eller forsvare rettskrav. 

5.12 Tilgang til personopplysninger og sikring av konfidensialitet 

Personopplysninger om kunder og ansatte skal: 

  • Ikke være tilgjengelige for personer som ikke har behov for opplysningene i arbeidet sitt («need to know»). 
  • Være tilgjengelige og oppdaterte i henhold til behov. 

Personopplysninger om kunder må ikke komme på avveie av hensyn til kundene det gjelder, og av hensyn til egen virksomhet. 

Personopplysningene om ansatte skal kun være tilgjengelige internt i virksomheten for medarbeidere med tjenstlig behov, eksempelvis avdelingsleder og personalansvarlig. 

Alle ansatte skal ha bestemmelser om konfidensialitetsplikt inntatt i sine arbeidsavtaler eller ha inngått egen avtale om konfidensialitet/taushetsplikt. Alle som utfører tjenester eller oppdrag for Eidfjord fjellstyre som medfører håndtering av personopplysninger skal enten være underlagt databehandleravtale (dersom de er å anse som databehandlere) eller ha inngått egen avtale om konfidensialitet/taushetsplikt.  

5.13 Utlevering og overføring av personopplysninger til andre 

Utlevering betyr at personopplysninger overlates til annen behandlingsansvarlig (utlevering til databehandler er behandlet i punkt 6). Dette er en ny behandling, og det kreves et eget behandlingsgrunnlag. Dersom ikke annet behandlingsgrunnlag finnes, må det innhentes samtykke fra den registrerte. 

Dersom personopplysninger skal overføres til andre, skal det undersøkes om mottaker av opplysningene har lovlig behandlingsgrunnlag for personopplysningene. Personopplysninger skal ikke overføres dersom mottakeren ikke har behandlingsgrunnlag eller om det er uklart om det foreligger behandlingsgrunnlag, eller om det er usikkert om mottakeren kan behandle personopplysningene på lovlig og sikker måte.  

Overføring av personopplysningene skal skje på sikker måte, som sikrer personopplysningenes konfidensialitet og integritet.  

Opplysninger om egne ansatte kan utleveres til offentlige myndigheter i overensstemmelse med lovpålagte krav. Ved tvil om hjemmel for dette, bes det om at myndighetsorganet beskriver hjemmelen for å kreve opplysningene. 

5.14 Overføring av personopplysninger til tredjeland 

Dersom personopplysninger skal overføres til tredjeland, dvs. land utenfor EØS-området, skal det foreligge et lovlig grunnlag for overføringen etter personvernregelverket. Overføring skal også være godkjent av Eidfjord fjellstyre s øverste daglige ledelse.  

Eidfjord fjellstyre skal søke å begrense overføring av personopplysninger til tredjeland, og det skal ikke benyttes databehandler eller tjenester i tredjeland dersom det foreligger like bra alternativer innenfor EØS-området eller om behandlingen kan skje på måte som gjør at det ikke er nødvendig med overføring til tredjeland.  

5.15 Vurdering av personvernkonsekvenser 

Er det trolig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil kunne medføre en høy risiko for de registrertes rettigheter og friheter, skal det - før behandlingen tar til - foretas en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet («Personvernkonsekvensvurdering»). Vurderingen kan omfatte flere lignende behandlingsaktiviteter som innebærer tilsvarende høye risikoer. 

5.16 Dataportabilitet 

Behandles det personopplysninger på grunnlag av samtykke eller avtale, hvor behandlingen er kun automatisert (involverer ikke behandling av mennesker) og det er kun personopplysninger som de registrerte selv har avgitt, skal det tilrettelegges for dataportabilitet ved at det skal være mulig å eksportere personopplysningene på et maskinlesbart format som kan utleveres til den registrerte og/eller overføres til annen behandlingsansvarlig.  

5.17 Innebygd personvern og personvern som standardinnstilling 

Eidfjord fjellstyre skal gjennomføre egnede tekniske og organisatoriske tiltak, f.eks. pseudonymisering, utformet med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger, f.eks. dataminimering, og for å sikre at behandlingen oppfyller kravene i lovverket og verner de registrertes rettigheter. 

5.18 Rutiner ved felles behandlingsansvar  

Dersom det foreligger felles behandlingsansvarlig, skal dette reguleres i en avtale med den andre behandlingsansvarlige, særlig med hensyn til utøvelse av den registrertes rettigheter og informasjonsplikten overfor de registrerte. Det skal utpekes et kontaktpunkt for registrerte i avtalen.