Inger Talberg Behandling av personopplysninger knyttet til personal- og lønnsarbeid.



Like dokumenter
Særavtale om lønns- og personalregistre

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

BEHANDLING AV PERSONOPPLYSNINGER VED NTNU

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjon om bruk av personnummer i Cristin-systemet

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale.

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Ny personopplysningslov fokus på personalmappen

Brukerinstruks Informasjonssikkerhet

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

BEHANDLING AV PERSONOPPLYSNINGER

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Personvern og informasjonssikkerhet

Felles studentsystem leverer elektronisk studentopplysninger til følgende interne systemer: Lånekort til Universitetsbiblioteket

Databehandleravtaler

RETNINGSLINJER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORVALTNING OG FORSKNING VED NTNU

Databehandleravtalen skal sikre at personopplysninger om de Registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Databehandleravtale etter personopplysningsloven

Personopplysninger og opplæring i kriminalomsorgen

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Rettslig regulering av helseregistre

Nye personvernregler

Personvernerklæring for Kong Arthur Admin (KA Admin)

1 av 5. Personalavdelingen

Policy for personvern

Personvernperspektivet og oppbevaring av intervjumateriale

Databehandleravtalen skal sikre at personopplysninger om de Registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Medlemsmøte DIS-Hadeland 1/2-14 Foredrag v/ove Nordberg. Personvern. Bruk av og regler rundt personopplysninger i forbindelse med slektsforskning.

Personvernerklæring for EVUweb - søkere

Personvernerklæring for EVUweb - søkere

Personvern - behandlingsgrunnlag etter personopplysningsloven

Retningslinjer for databehandleravtaler

102 Definisjoner og forklaringer

Er din bedrift klar for ny personopplysningslov?

Personvernerklæring for Flyt Høgskolen i Molde

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Implementering av det nye personvernregelverket ved UiB

Personvernerklæring Stendi

Personvernerklæring. Hvorfor behandler vi personopplysninger om deg?

Krav til rettslig grunnlag for behandling av personopplysninger. Dag Wiese Schartum

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Personvernerklæring for Studentweb

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

DEL I TILRÅDING ELLER KONSESJON?

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

OM PERSONVERN TRONDHEIM. Mai 2018

Personvernerklæring for Søknadsweb

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Personvern i forskning

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

Prosedyre for personvern

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

Etikk- og personvernshensyn i brukerundersøkelser

Personvernerklæring. Innledning. Om personopplysninger og regelverket

Tilbakemelding på melding om behandling av personopplysninger

Det juridiske rammeverket for helseregistre

Personvernerklæring for Søknadsweb

Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet.

Personvern eller vern av personopplysninger. Hvem vet hva om oss

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Postadresse Kontoradresse Telefon* Universitets- og

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Personvernerklæring for Studentweb

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Personvernerklæring for Studentweb

NAV-evaluering. - behandling av personopplysninger. Voksenåsen, Oslo. Personvernombudet for forskning. 23.oktober 2007

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

GDPR - Personvern

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

NINAs personverndokument

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Arbeidsgivers styringsrett og ansattes personvern. Partnerforum 16. september 2008 Aslaug Bendiksen

Personvernerklæring for Kong Arthur Admin (KA Admin)

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Kunngjort 28. august 2017 kl PDF-versjon 30. august 2017

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Taushetsplikt og konfidensialitet

Transkript:

1 av 13 Personalavdelingen Til: Nettverksmøtene i lønnsprosessen Kopi til: Om: Inger Talberg Behandling av personopplysninger knyttet til personal- og lønnsarbeid. Signatur: H.S. PREMISSER Behandling av personopplysninger er regulert i Lov om behandlinger av personopplysninger (Personopplysningsloven) og forskrift (Personopplysningsforskriften) som trådte i kraft 1. jan. 2001. Ved behandling av personopplysninger i offentlig forvaltning mer generelt, kommer også bestemmelsene om offentlighet, meroffentlighet og taushetsplikt i Offentlighetsloven og Forvaltningsloven til anvendelse. AKTØRER Datatilsynet er et uavhengig forvaltningsorgan med kontroll og tilsynsoppgaver for å ivareta enkeltindividets personvern. Informasjon, rådgivende- og kontaktskapende virksomhet er sentrale elementer i tilsynsfunksjonen. Ved etablering av personvernombud etter Personopplysningsforskriftens 7-12, overføres flere av Datatilsynets oppgaver til dette. Personvernombudet skal bistå Rektor (som behandlingsansvarlig) i arbeidet med å ivareta personvernet i organisasjonen og med å etablere et system for internkontroll i henhold til bestemmelsene i Personopplysningslovens 14 og Helseregisterlovens 17. All behandling som ellers ville vært meldepliktig til Datatilsynet, skal meldes ombudet. Personvernombudet skal også være institusjonens kontaktperson mot Datatilsynet. NTNU har, i likhet med de øvrige norske universitetene, inngått avtale med Norsk samfunnsvitenskapelige datatjeneste (NSD) om Datafaglig saksbehandling om forsknings- og studentprosjekt som omfattes av bestemmelsene i personopplysningsloven. Avtalen innebærer at NSD er NTNUs personvernombud for forskning og at meldeplikten til Datatilsynet erstattes med meldeplikt til NSD. NSD er etter avtalen ansvarlig for informasjon, veiledning og saksbehandling i forhold til enkeltprosjekter som meldes inn for godkjenning og nødvendig oppfølging for å sikre at vilkårene for godkjenning etterleves. Postadresse Org.nr. 974 767 880 Besøksadresse Telefon Høgskoleringen 1 E-post: Hovedbygget + 47 73 59 80 70 7491 Trondheim 7034 Trondheim Telefaks http://www.ntnu.no/administrasjon + 47 73 59 80 50 Tlf: + 47 All korrespondanse som inngår i saksbehandling skal adresseres til saksbehandlende enhet ved NTNU og ikke direkte til enkeltpersoner. Ved henvendelse vennligst oppgi referanse.

2 2 av 13 For behandling av personopplysninger i forvaltningssammenheng, er det ikke utnevnt noe eget personvernombud ved NTNU. Rapportering etter Personopplysningslovens bestemmelser skjer derfor direkte til Datatilsynet fra ledere og systemansvarlige i linje og stab etter delegasjon. MELDE- / KONSESJONSPLIKT Behandlinger av personopplysninger med elektroniske hjelpemidler og opprettelse av manuelle registre som inneholder sensitive opplysninger, er som hovedregel underlagt konsesjonsplikt etter Personopplysningsloven eller Helseregisterloven. Meldesystemet representerer en forenkling i forhold til kravene om konsesjonsbehandling. Meldinger er ikke gjenstand for forhåndskontroll og behandlingen forutsetter ikke godkjenning av Datatilsynet før den kan starte. Datatilsynet skal registrere meldingene, kvittere for mottakelsen og i etterkant ha mulighet for å kontrollere at innholdet i meldingene stemmer overens med både virkelighet og regelverk. ANSVARSFORDELING VED BEHANDLING AV PERSONOPPLYSNINGER VED NTNU Ansvars- og funksjonsfordelingen for behandling av personopplysninger følger organisasjons- og delegasjonsstrukturen ved NTNU med Styret som overordnet ansvarlig og med delegasjoner som følger linjen. Behandlingsansvarlig Rektor er behandlingsansvarlig i henhold til Personopplysningslovens 13 og 14, og skal sørge for tilfredsstillende informasjonssikkerhet gjennom avklaring av myndighets- og ansvarsforhold knyttet til etablering og vedlikehold av systemer, prosedyrer og rutiner for arbeidet med personinformasjon. Rektor rapporterer til styret om status for personopplysningssikkerheten ved NTNU Organisasjonsdirektøren er delegert myndighet til å iverksette tiltak for sikre at personopplysningssikkerheten ivaretas i henhold til Styrets mål og lovbestemte krav.. Leder på fakultet, institutt og i de sentrale avdelingene/seksjonene har ansvar for at behandlingen av personopplysninger i egen enhet skjer i samsvar med lov og gjeldende retningslinjer. Enhetsledere på fakultets- og avdelingsnivå har innenfor sin enhet ansvar for å utarbeide, kvalitetssikre og samordne prosedyrer og rutiner for behandling av personopplysninger ved grunnenhetene (institutter og seksjoner). fastsette rolle- og funksjonsfordelingen på områder der personinformasjon samles inn, bearbeides eller lagres (arkiv-, personal-, økonomi-, studie- og IT - funksjonene). Dokumentert funksjonsog ansvarsbeskrivelse skal danne basis for de enkelte ansattes tilgang til taushetsbelagte opplysninger i manuell form og til sentrale eller lokale servere/datafiler med personinformasjon

3 3 av 13 dokumentere prosedyrer og rutiner for å sikre at ansatte innenfor eget ansvarsområde som får tilgang til personopplysninger, er kjent med de krav til informasjonssikkerhet som gjelder, får nødvendig opplæring og får tilrettelagt arbeidssituasjonen på en slik måte at tilfredsstillende personvernsikkerhet kan ivaretas. tilrettelegge arbeidssituasjonen både fysisk - og IT- teknisk for behandling og lagring av gradert personinformasjon (jfr. vedlegg: Retningslinjer for utforming av sikkerhetstiltak ved behandling av personopplysninger) føre tilsyn med at behandlingen av personinformasjon skjer i henhold til vedtatte prosedyrer og rutiner. Eventuelle avvik skal følges opp som grunnlag for forbedringer av prosedyrer og rutiner (avvikshåndtering). Ledere med systemansvar for sentraladministrative IT baserte datasystemer som inneholder personopplysninger, skal føre oversikter over ansatte som er tildelt tilgangsrettigheter. Der tilgangen tildeles andre enn ansatte ved systemansvarliges enhet, skal godkjenning være betinget av anbefaling / bekreftelse fra vedkommendes nærmeste overordnede eller enhet for registrert studietilhørighet INFORMASJONSBEHANDLINGEN VED NTNU skal ivareta følgende hensyn Offentlighetens rett til innsyn etter prinsippet om meroffentlighet. Beskyttelse av den enkelte mot at personvernet blir krenket ved behandling av personopplysninger i organisasjonen. Sikre at den enkelte - som registrert eller som part - ved forespørsel til NTNU får de opplysninger de har krav på etter Personopplysningsloven og Forvaltningsloven SIKKERHET VED BEHANDLING AV PERSONOPPLYSNINGER Behandling og lagring av personopplysninger av ikke sensitiv karakter, skal så langt det er hensiktsmessig og sikkerhetsmessig forsvarlig, skje ved bruk av elektroniske hjelpemidler. Informasjonssikkerhet omfatter (jfr. Personopplysningsloven 13) - Sikring av konfidensialitet (beskyttelse mot at uvedkommende får innsyn i opplysningene) - Sikring av integritet (beskyttelse mot utilsiktet endring av opplysningene) - Sikring av tilgjengelighet (sørge for tilstrekkelig og relevant informasjon) Ved behandling av sensitiv informasjon skal sikring av konfidensialitet prioriteres foran integritet og tilgjengelighet. Sikkerheten ved behandling av sensitive personopplysninger skal - uavhengig av behandlingsmåte - dokumenteres i form av skriftlige prosedyrer og rutiner.

4 4 av 13 KATEGORISERING AV PERSONOPPLYSNINGER Sensitive opplysninger er opplysninger om; - Rasemessig eller etnisk bakgrunn - Politisk, religiøs eller filosofisk oppfatning - Misstanke, siktelse, tiltale, pådømmelse for straffbar handling - Helseforhold - Seksuelle forhold - Medlemskap i fagforeninger Grunnopplysninger (etter Datatilsynets kategoribeskrivelse); navn, adresse, statsborgerskap/bosted/land, anropsnummer for teletjenester, rullenummer / arbeidstakernummer, rubriseringsdata (som kategori, type ansatt/representant, distrikt, type varer, kontonummer i regnskap, representantkategori, andre opplysninger til bruk i statistikk og annen bedriftsintern avregning ), kjønn, nærmeste pårørende, sivilstand, antall barn og barnas fødselsår, stillingsbetegnelse, yrkesopplysninger som etter overenskomst eller tariffavtale har betydning for lønns- og arbeidsvilkår, opplysninger om utdannelse og praksis, lønns- og provisjonsopplysninger, pensjonsopplysninger, sluttårsak, fraværsdato, type fravær og varighet (angivelse av sykdommens art tillates ikke registrert utover det som er pålagt ved lov 4. februar 1977 nr 4 om arbeidervern og arbeidsmiljø mv 20), ansettelses- og sluttdato (permisjoner e l), dødsdato, firmabil eller lignende, utlånte eiendeler, lån til ansatte eller garanti for lån, opplysning om den ansatte er mobiliseringsdisponert, (ja/nei), evt. militært løpenummer, grad, og rulleførende avdeling

5 5 av 13 Kategorisering av personopplysninger etter følsomhet og formål med behandlingen. Behandling av personopplysninger ved NTNU er i hovedsak knyttet til følgende funksjoner og formål. Generell personalforvaltning herunder tilsetting, karriere- og kompetanseutvikling, stillingsog lønnsopprykk, sykefravær, arbeidsmiljømessige forhold, arbeidsrettslige problemstillinger og lignende. Studenters forhold til institusjonen i forbindelse med opptak til studier, godkjenning /innpassing av tidligere utdanning, dispensasjonssaker, annullering av eksamen /utestengning, klager på enkeltvedtak og lignende. forskning Med bakgrunn i kartlegging av personopplysninger og behandlingen av disse, deles personinformasjonen ved NTNU inn i følgende kategorier gradert etter følsomhet. F1 - Sensitiv informasjon (se over) F2 - Informasjon om personlige forhold som er unntatt fra offentlighet etter sitt innhold ( 6 nr.6 i Offentlighetsloven) eller som er taushetsbelagt etter 13.1. i Forvaltningsloven. Dette omfatter; - vurderinger knyttet til personlig egnethet og kvalifikasjoner i tilsettings- / oppsigelsessaker - eksamensbesvarelser og eksamensresultater for enkeltpersoner * - saksopplysninger vedrørende annullering av eksamen eller prøve, utestenging fra studier og skikkethetsvurderinger med hjemmel i 4-7 til 4-10 i Universitets- og høgskoleloven. F3 - Spesielle opplysninger av grunnopplysningskarakter som indirekte kan avsløre sensitiv info og/eller som innebærer særlig risiko for misbruk - herunder pålagte trekk, identifikasjonsinformasjon (eg. personnummer) og bankkontonummer spesielt i forbindelse med elektronisk behandling av data F4 - Grunnopplysninger om ansatte, om studenter med norsk statsborgerskap (herunder opplysninger om generell studiekompetanse, e mail adresse, personkode /studentnummer, betaling av semesteravgift) og tilleggsopplysninger om studenter som ikke er norske statsborgere (herunder opplysninger om lånebehov, oppholdstillatelse, statsborgerskap, ankomst / utreisedato, levert helseskjema**, levert bekreftelse på tub. sjekk** og erstatningsnummer for personnummer). * Eksamensbesvarelser er i utgangspunktet ikke unntatt fra offentlighet med mindre de inneholder opplysninger som er taushetsbelagt etter Forvaltningslovens 13. Men de kan unndras fra innsyn etter Off. lovens 6 nr 6. Når det gjelder eksamensresultater for enkeltpersoner begrunnes dette i forhold til unntak knyttet til kunngjøring av sensur. Normalt benyttes studentnummer, men i forbindelse med muntlig brukes navn fordi faglærer ikke skal kjenne kombinasjonen av nummer og navn. ** ikke spesifikke helseopplysninger

6 6 av 13 Sikkerhetstiltak skal iverksettes slik at personer utenfor virksomheten ikke skal kunne forårsake hendelser med alvorlige konsekvenser for enkeltmenneskers personvern. Egne medarbeidere skal heller ikke, ved uaktsomhet eller av mangel på kunnskap om eller kjennskap til behandling av sensitiv personinformasjon, kunne forårsake slike hendelser. NTNUs behandling av forskningsdata er regulert gjennom avtale med Norsk samfunnsvitenskapelige datatjeneste (NSD). BEHANDLING AV PERSONOPPLYSNINGER (Alminnelige regler etter personopplysningsloven ) 8. Vilkår for å behandle personopplysninger Personopplysninger (jf. 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for a. å oppfylle en (arbeids)avtale med den registerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, b- at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse c- å vareta den registrertes vitale interesser d- å utføre en oppgave av allmenn interesse, e- å utøve offentlig myndighet, eller f- at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen 9. Behandling av sensitive personopplysninger Sensitive personopplysninger (jf. 2 nr. 8) kan bare behandles dersom behandlingen oppfyller et av vilkårene i 8 og a- den registrerte samtykker i behandlingen b- det er fastsatt i lov at det er adgang til slik behandling, c- behandlingen er nødvendig for å beskytte en persons vitale interesser, og den registrerte ikke er i stand til å samtykke d- det utelukkende behandles opplysninger som den registrerte selv frivillig har gjort alminnelig kjent e- behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav, f- behandlingen er nødvendig for at den behandlingsansvarlige kan gjennomføre sine arbeidsrettslige plikter eller rettigheter,

7 7 av 13 g- behandlingen er nødvendig for forebyggende sykdomsbehandling, medisinsk diagnose, sykepleie eller pasientbehandling eller for forvaltning av helsetjenester, og opplysningene behandles av helsepersonell med taushetsplikt, eller h- behandlingen er nødvendig for historiske, statistiske eller vitenskapelige formål, og samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte Såkalte grunnopplysninger knyttet til arbeidsforholdet kan behandles av arbeidsgiver med hjemmel i 8, uten samtykke fra arbeidstaker 11. Grunnkrav til behandling av personopplysninger Den behandlingsansvarlige skal sørge for at personopplysningene som behandles a- bare behandles når dette er tillatt etter 8 og 9, b- bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, c- ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker d- er tilstrekkelige og relevante for formålet med behandlingen, og e- er korrekte og oppdatert, og ikke lagres lenger enn det som nødvendig ut fra formålet med behandlingen, jf. 27 og 28. Senere behandling av personopplysningene for historiske, statistiske eller vitenskapelige formål anses ikke uforenlig med de opprinnelige formålene med innsamlingen av opplysningene, jf. første ledd bokstav c, dersom samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene den kan medføre for den enkelte. Tilgang til personopplysninger - Arbeidsgiver har tilgang til alle registerte opplysninger etter personopplysningsloven som behandles etter bestemmelsene i pol. - Regnskaps- og revisjonsmyndighetene har tilgang til alle nødvendige opplysninger. - Staten kan få opplysninger om medlemskap i forhandlingsberettiget organisasjon såfremt det i lov eller tariffavtale er knyttet noen bestemt rettsvirkning til slikt medlemskap.(jfr. lønnsoppgjør /streik) - Vedkommende arbeidstaker har tilgang til alle opplysninger om seg selv, jf. pol 18 og 23 og kan til enhver tid kreve feil rettet etter pol 27. - Arbeidstaker har i samsvar med offentlighetsloven rett til innsyn i dokumenter som viser en oversikt over lønnsopplysninger til de ansatte i virksomheten, jf. pol 6 første ledd.

8 8 av 13 Utlevering av personopplysninger til andre Utlevering av opplysninger vil kunne skje der det foreligger eget hjemmelsgrunnlag. Hjemmelsgrunnlag vil være samtykke eller lovhjemmel. Utlevering av personinformasjon i NTNUs databaser til andre formål enn det de er samlet inn for, skal godkjennes av Organisasjonsdirektøren. Informasjon som er innsamlet og lagret for generell personalforvaltning og om studenter for administrative formål, skal ikke utleveres til utenforstående. Tilgang til personopplysninger i virksomheten Tjenestemanns- og yrkesorganisasjoners tilgang til personopplysninger i virksomheten (se Særavtale om lønns og personalregistre ( PM 2007 15) Eks. 1. Forhandlingsberettiget tjenestemanns- eller yrkesorganisasjon eller avdeling av slik organisasjon i den enkelte virksomhet, skal få tilgang på følgende opplysninger om egne medlemmer: a. navn, kjønn, fødselsdato (seks siffer), eventuelt ansatt nummer og privat adresse b. arbeidssted c. arbeidstid d. utdannelse e. stillingsbetegnelse, stillingsbrøk og kode, eventuelle opplysninger om ansiennitet f. kontingenttrekk til medlemsorganisasjonen g. lønnsopplysninger som er nødvendige for gjennomføringen av lokale forhandlinger. Hjemmelsgrunnlaget for utlevering av opplysninger om egne medlemmer vil være pol. 8 bokstav f). Opplistingen ovenfor er ikke uttømmende, da det også vil kunne begjæres innsyn etter offentlighetslovens bestemmelser. Lønnsfunksjonen 1. For å ivareta lønnsfunksjonen benyttes alle data som etter lov, tariffavtale eller administrative bestemmelser er nødvendige for å beregne, utbetale og regnskapsføre lønn, honorarer, godtgjøringer og overføre lønn til utbetalende instans. 2. Lønnstrekk og trekk i feriepenger kan bare skje i samsvar med arbeidsmiljøloven 14-15.

9 9 av 13 Fraværsregistering 1. Fravær i tjenesten registreres til bruk ved: a) Beregning av lønn. b) Registrering av ferie og permisjoner. c) Eventuell føring på personalkort/rulleblad. d) Kontroll med gjennomføring av skift- og turnusplaner. e) Utarbeidelse av fraværsstatistikk. 2. Registrering av fravær til bruk ved planlegging av etatens virksomhet for personal- og økonomiforvaltningen (f.eks. for kartlegging av behov for ekstrahjelp og vikarer) og til forebyggende arbeid med helse, miljø og sikkerhet, skal skje uten at personnummer (de fem siste siffer i fødselsnummer) og navn framgår av utskriftene. 3. Som fravær registreres: a) Sykefravær (uten angivelse av sykdommens art) b) Ferie c) Permisjoner d) Annet fravær (militærtjeneste, reiser, ikke legitimert fravær mv.) 4. Fraværet skal registreres med antall fravær og antall fraværsdager. Tidspunktet for fravær kan også registreres. Det skal benyttes de samme, ensartede definisjoner på de ulike typer fravær. 5. Registrering av arbeidstid, fleksitid og avspasering av overtid skjer etter regler fastsatt i egne avtaler. 12 Statistikk Alle opplysninger som er innsamlet om arbeidstakerne, kan benyttes til å produsere statistiske oppgaver, jf. pol 9 første ledd h).

10 10 av 13 SENTRALE BEGREPER OG DEFINISJONER - Personopplysning; opplysninger og vurderinger som kan knyttes til en enkeltperson - Helseopplysning; Taushetsbelagte opplysninger i henhold til helsepersonelloven 21, og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til enkeltperson. - Behandling av personopplysning; enhver bruk av personopplysninger, som for eksempel innsamling registrering, sammenstilling, lagring, og utlevering, eller en sammenstilling av slike bruksområder - Personregister/ helseregister; registre, fortegnelser med videre der person/helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen - Behandlingsansvarlig/ databehandlingsansvarlig; den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal tas i bruk - Databehandler; den som behandler personopplysninger på vegne av behandlingsansvarlige - Samtykke; en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv - Anonyme opplysninger; opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson - Avidentifiserte (helse)opplysninger; (helse)opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identiteten bare kan tilbakeføres ved en sammenstiling med de samme opplysninger som tidligere ble fjernet

11 11 av 13 RETNINGSLINJER FOR UTFORMING AV SIKKERHETSTILTAK VED BEHANDLING AV PERSONOPPLYSNINGER VED NTNU ARBEIDSRUTINER / FYSISK OG IT - TEKNISK Det er den enkelte enhets- / arbeidsleders ansvar å sørge for at de fysiske rammebetingelsene ligger til rette for sikker behandling av personopplysninger. Kravene til fysisk tilrettelegging skal ses i sammenheng med de håndterings-, lagrings- og arkiveringsrutiner som benyttes ved behandling av personopplysninger i vedkommende enhet Retningslinjer for fysisk avskjerming og arbeidsrutiner ved manuell behandling av personopplysninger o Personinformasjon i kategori F1 og F2 skal arkiveres i låsbare skap som bare personalmedarbeidere eller saksbehandlerne med ansvar for angjeldende saksområde, har tilgang til. Arkivskapene skal plasseres i arkiv på kontorer som holdes låst utenom ordinær arbeidstid. o saksbehandlere på ett ansvarsområde (arkiv, personal, økonomi og studieområdet) skal normalt ikke ha tilgang til personinformasjon innen kategoriene F1 og F2 på andre ansvarsområder. Retningslinjer for elektronisk behandling av persondata på enhetsnivå o Datasikkerheten i lokale IT systemer, servere og databaser skal ivaretas gjennom soneinndeling med tilhørende tilgangskontroll - basert på intern ansvars- og oppgavefordeling. Generelle prinsipper og retningslinjer for inndelig av nettet i soner (subnett) med tilhørende sikkerhetskrav finnes i Sikkerhetsarkitektur for nettet ved NTNU utarbeidet av ITEA. (https://sikkerhet.ntnu.no/infosikkerhet.html) o Saksbehandlere som bearbeider personinformasjon i kategori F1 og F2 skal ved bruk av standard tekstbehandlingsutstyr bare benytte personlige passordbelagte filområder/ eventuelt passordbelagte felles filområder for angjeldende saksbehandlergruppe (personal-, økonomi-, studie-, mv.). o Soneinndeling med oversikt over personer med tilgangsrettigheter til ulike databaser som inneholder personopplysninger, skal dokumenteres av enhetsleder / systemeier.

12 12 av 13 INFORMASJONSUTVEKSLING Det er den enkelte enhets- / arbeidsleders ansvar å utarbeide interne prosedyrer og rutiner for sikker utveksling av personopplysninger Det skal av hensyn til personopplysningssikkerheten ikke opprettes fellesområder for behandling/ formidling av personinformasjon i kategori F1 og F2 (jfr. Pkt. 2.3) på tvers av saksområder. Fellesområder med tilgang for alle fakultetets, instituttets eller avdelingens ansatte skal ikke benyttes for å lagre eller kommunisere personinformasjon som ikke allerede er offentlig kjent f. eks. ved at opplysningene finnes på enhetens web- hjemmeside, i telefonkatalogen eller lignende E post kan benyttes som kommunikasjonsmedium for personinformasjon i kategori F3 F4 under forutsetning av at rutiner for sletting av midlertidig lagret informasjon er etablert og følges opp. Opplysninger i kategori F1 og F2 som skal benyttes i saksbehandling og / eller som beslutningsgrunnlag, skal normalt formidles pr. brev. Dersom annen oversendelsesmåte (f. eks. faks) avtales, skal bare utstyr som er plassert i lukkede områder benyttes etter forutgående avtale om oversendingstidspunkt. TAUSHETSPLIKT / OPPLÆRING Nærmeste overordnede er ansvarlig for at saksbehandlere får nødvendig opplæring i de bestemmelser som gjelder for behandling av personopplysninger og for å innhente bekreftet aksept på de plikter (herunder taushetsplikten) dette innebærer. Retningslinjer for behandling av personopplysninger ved NTNU kan inngå som element i opplæringsfunksjonen. Alle som rutinemessig arbeider med personopplysninger i kategori F 1 og F 2 (jfr. Pkt. 2.3) skal dokumentere kjennskap til personopplysningslovens bestemmelser og underskrive taushetserklæring. Alle ansatte som gjennom vedlikehold og drift av NTNUs IT nettverk og systemer får tilgang til personopplysninger i kategori F 1 og F 2, skal dokumentere kjennskap til personopplysningslovens bestemmelser og underskrive taushetserklæring. Krav til og opplysninger om taushetsplikten for medlemmer i utvalg og styrer innarbeides rutinemessig i oppnevningsbrevet til medlemmene Det vises for øvrig til Veiledning om offentlighet og unntak fra offentlighet for et utvalg sakstyper (jfr. Pkt.2.3)

13 13 av 13 KOPIERING / LAGRING Hovedarkivet ved NTNU har et overordnet ansvar for arkivfunksjonen og er, som systemeier, ansvarlig for å utarbeide prosedyrer og rutiner for bruk av felles elektronisk arkivsystem og oppfølging / kontroll med dette. Hovedarkivet ved NTNU er også tillagt ansvaret for å ivareta institusjonens lovpålagte oppbevaringsplikt. Ansvaret for den fysiske sikkerheten til desentrale arkiver og for at desentrale arkivfunksjoner følger gjeldende lover og regler, ligger til ledelsen ved den enheten / underenheten der arkivfunksjonen er organisert. Hovedarkivet utarbeider, i samarbeid med de involverte underenheter, retningslinjer for dokumenthåndtering - herunder ansvars- og funksjonsfordeling mellom saksbehandler, fakultets- /avdelingsarkivar og leder for Hovedarkivet - med dokumentasjon av behandlingsrutiner for å ivareta personopplysningssikkerheten. Retningslinjer for innhold i og plassering av saksmapper, personalmapper og studentmapper skal utarbeides og følges opp av Hovedarkivet MAKULERING / SLETTING Elektronisk saksbehandling innebærer mellomlagring og sluttlagring av elektroniske dokumenter. Dersom de mellomlagrede datafilene slettes umiddelbart etter at saken er avsluttet og endelig lagring av saksdokumentet i papir- eller elektronisk form er foretatt, vil det tidsvinduet personinformasjonen er tilgjengelig på vedkommende saksbehandlers personlige lagringsområde, representere en svært begrenset sikkerhetsrisiko. Med gode slettingsrutiner vil det heller ikke over tid samles opp personinformasjon på datafilene slik at utbyttet av et eventuelt innbrudd vil være begrenset Enhetsledere på avdelings- og fakultetsnivå skal med utgangspunkt i enhetens nett- og filstruktur (felles- og personlige lagringsområder) utarbeide slettingsrutiner for å minimalisere informasjonsrisikoen ved elektronisk saksbehandling av personopplysninger. I forbindelse med møter i styrer, råd og utvalg som behandler personinformasjon, kopieres det opp saksdokumenter som, hvis de ikke blir makulert etter møtene, kan utgjøre en betydelig personopplysningsrisiko. Leder for den administrative enheten som utvalget er organisert i tilknytning til - ved sekretæren - tillegges ansvaret for innsamling /makulering av saksdokumenter etter møtene.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding