Kva betyr dei nye personvernreglane (GDPR)?

Den 20. juli 2018 blei ny personvernlovgiving (også kalla GDPR) gjeldande i Noreg. Desse medføra at personvernlovgivinga blir lik i heile Europa. Lova gir deg som innbyggjar rett til sjølv å fastsetje  korleis dine personopplysningar skal behandlast og kven som skal få tilgang til personopplysingane dine.

Det blir strengare krav til dokumentasjon og risikovurderingar for verksemder og dei blir registrerte rettane er på fleire område styrkt.

Dei nye reglane inneber blant anna:

  • Kommunen skal vere meir open rundt innsamling og bruk av personopplysingar. Den som ber om samtykke til å bruke opplysingar skal gi klar og tydeleg informasjon om korleis personopplysingane skal brukast.
  • Kommunen skal grunngje og avgrense bruk av personopplysningar. Det er ikkje lov å samle inn eller lagre personopplysingar ein ikkje treng. Opplysingar som det ikkje lenger er behov for, skal slettast.
  • Kommunen skal korrigere feile eller ufullstendige opplysingar.
  • Under visse vilkår kan du ha til å ta med deg personopplysingar frå ei verksemd til ein annan.
  • Du har i visse tilfelle, ein rett til å protestere mot behandling av personopplysingane dine.
  • Du kan kan sleppe at det blir treft viktige avgjerder om deg basert på ei heilautomatisert behandling av personopplysingar.

GDPR-prosjektet

For å sikre at vi (kommunen) oppfyller pliktene våre i tråd med lova, er vi med i eit eige prosjekt saman med kommunane Midsund, Molde, Rauma og Vestnes, som mellom anna går ut på å få oversikt over alle behandlingar av personopplysingar som skjer i kommunen. Prosjektet skal også ha fokus på ein del tekniske og organisatoriske tiltak som skal gjere at kommunen blir enda betre rusta til å handtere personopplysingar om innbyggjarane våre og tilsette. 

Personvernombod

Kommunen har også etablert eit personvernombod som mellom anna har til oppgåve å gi råd til kommunen om korleis personvernlovgivinga best mogeleg skal takast i vare, samt vere med på å kontrollere at kommunen følgjer opp pliktene sine etter personvernlovgivinga.

Kvifor behandlar vi personopplysningar om deg?

Midsund kommune samlar inn og behandlar personopplysingar som vi treng for å utføre dei lovpålagde oppgåvene våre og andre tenester, samt for å kunne saksbehandle førespurnader/søknader vi får frå deg.

Når vi «behandlar personopplysingar», betyr det for eksempel at vi samlar inn opplysingane, registrerer dei, set dei saman, lagrar dei eller utleverer dei til naudsynte partar som inngår i behandlinga. 

Dersom Midsund kommune ønskjer å behandle personopplysingar som ikkje er nødvendige for å utføre dei lovpålagde oppgåvene våre, vil du bli informert om at det er frivillig å gi frå deg opplysingane og kva som er formålet med behandlinga av personopplysingane. (f.eks. ved spørjeundersøkingar).

Kva er det rettslege grunnlaget for behandling av personopplysningane dine?

For at Midsund kommune kan levere kommunale tenester og ytingar til deg som innbyggjar er det nødvendig å behandle personopplysningar. Det gjeld også i relasjon til kommunens tilsette, foreiningar, verksemder og andre samarbeidspartnarar.

Her er nokre sentrale lover og forskrifter som regulerer kommunen si behandling av personopplysingar:

  • Europeisk personvernforordning (GDPR) regulerer kommunen si behandling av personopplysingar.
  • Ny personopplysningslov utfyller personvernforordninga (GDPR) på enkelte område.
  • Offentleglova med forskrifter inneheld reglane for når eit dokument er offentleg tilgjengeleg for ålmenta, og når eit dokument er unnateke offentlegheit. Midsund kommune praktiserer meiroffentlegheit, det vil seie at kommunen så langt det er mogeleg etterstrever at dokument skal vere offentlege. Dokumenter som ikkje er unnateke, er tilgjengeleg i offentleg journal på heimesida.
  • Forvaltingslova inneheld saksbehandlingsreglar for korleis saka din vil bli behandla. Som part i saka har du særskilde rettar, blant anna om innsyn i sakas dokument.
  • Arkivlova inneheld blant anna reglar for korleis dokument blir lagra, samt avlevering til arkivinstitusjon.
  • Opplæringslova inneheld reglar om blant anna innsamling, bruk og lagring av opplysingar til bruk i grunnskulen og ungdomsskulen
  • Helseregisterlova inneheld reglar om korleis helseopplysingar som blir samla inn vil bli behandla, medrekna korleis dei blir sikra, kven som har tilgang og om dei kan utleverast til andre.

Andre aktuelle lover som gir høve for kommunen til å behandle personopplysingar for å oppfylle kommunen sine lovpålagde oppgåver:

  • Kommuneloven
  • Arbeidsmiljøloven
  • Barnevernloven
  • Sosialhelsetjenesteloven
  • Helse- og omsorgstjenesteloven
  • Helsepersonelloven
  • Helseregisterloven
  • Folketrygdloven
  • Nav-loven
  • Regnskapsloven
  • E-kom loven

Samtykke

I nokre tilfelle kan kommunen behandle personopplysingar om deg basert på samtykket ditt. Du vil i slike tilfelle bli informert om kva behandlinga går ut på og aktivt bli bedt om å samtykkje til behandlinga av personopplysingane dine.  Du kan når som helst trekkje samtykket ditt til behandling av personopplysingar tilbake. Den enklaste måten å gjere dette på, er å kontakte rettleiingstorget i kommunen.

Kor hentar vi opplysningane frå?

Midsund kommune hentar inn nødvendig informasjon frå deg som direkte når du søkjer om ei teneste frå kommunen.

Når vi tilbyr lovpålagde tenester til innbyggjarane våre, kan vi, dersom det er nødvendig, hente opplysingar om deg frå andre offentlege myndigheiter eller offentlege register, eksempelvis likningsopplysingar eller andre opplysingar frå Skatteetaten, NAV eller Folkeregisteret. Vi kan også be deg om å opplyse annan type informasjon når du eksempelvis søkjer om ei teneste eller yting.

Du har alltid rett til å få vite kor vi hentar opplysingar om deg i samband med tenestene og ytingane dine i kommunen. Dei einskilde fagområde skal opplyse deg om dette i samband med at du eksempelvis søkjer kommunen  om ei teneste eller yting.

Kva for personopplysningar behandlar vi?

  • Kontaktopplysingar som namn, adresse, telefonnummer, e-postadresse.
  • Opplysingar som er nødvendige for å identifisere deg, som fødselsnummer, D-nummer, kjønn, statsborgarskap
  • Opplysingar om relasjonane dine til andre, eksempelvis namn på ektefelle, sambuar, barn, sivilstatus
  • Helseopplysingar som diagnose, medisinar
  • Opplysingar knytte til dei tenestene som du som innbyggjaren nyttar, eksempelvis barnehage, skule, byggjesak, renovasjon m.m.

Du kan lese meir på Datatilsynet sine sider om kva som blir rekna som personopplysingar

På kva måte samlar vi inn personopplysningane?

Du gjev personopplysingane direkte til oss, for eksempel via nettskjema på heimesida vår. Opplysingane som du fyller inn i skjemaet, vert sendt elektronisk til Midsund kommune. Nokre tenester du søkjer på, vert framleis sendt til oss per post. Opplysingane som du sender inn, gjer kommunen i stand til å utføre saksbehandlinga.

Midsund kommune ønskjer å gi innbyggjarane eit digitalt svar på førespurnaden/søknaden som blir sendt inn. Det krev at vi må vere sikre på at mottakar er rett person. Du blir derfor beden om å fylle inn fødselsnummer i enkelte skjema. Alle personopplysingar vil bli behandla fortruleg og vil berre bli brukte til saksbehandling av saka innsendinga gjeld. Fødselsnummer vil aldri visast på offentleg tilgjengeleg dokument.

Vi hentar inn personopplysingane dine frå andre offentlege etatar, som for eksempel Folkeregisteret, Kontakt- og reservasjonsregisteret, Arbeids- og velferdsdirektoratet (NAV), Utlendingsdirektoratet (UDI), Brønnøysundregistrene og Fylkesmannen.

Korleis tek vi vare på personopplysningane dine?

Vi tek vare på personopplysingane i registera på ulike måtar, for eksempel gjennom brannmurar, ved å kontrollere kven som har tilgang til bygningane våre eller kven som får tilgang til opplysingane dine. Alle tilsette i kommunen gjennomgår jamleg opplæring i korleis personopplysingar skal behandlast.

Vi har tekniske løysingar som skal sikre at:

  • uvedkomande ikkje skal få tilgang til opplysingane dine
  • opplysingane om deg er tilgjengelege når det er behov for dei
  • opplysingane ikkje kan endrast eller manipulerast etter at dei er registrerte

Kven utleverer vi personopplysingane dine til?

I nokre tilfelle vil personopplysingane dine bli overførte til eksterne mottakarar. Det kan for eksempel vere NAV, sjukehus, Utdanningsdirektoratet (i samband med eksamen eller nasjonale prøvar) med fleire.

Når personopplysingane dine blir behandla i fagsystem som ligg hos ekstern leverandør, har kommunen databehandlaravtale med leverandøren for å regulere sikkerheita rundt behandlinga, og sikre at personvernet blir teke i vare i tråd med lov og forskrift.

Vi arbeider alltid for at den personlege informasjonen din hovudsakleg skal handterast innanfor EU/EØS. I nokre tilfelle kan data lagrast i eit tredjeland. I slike tilfelle er sikkerheitsnivået garantert anten ved avgjerd frå EU-kommisjonen om at det rørte landet sikrar opplysningane tilstrekkeleg, eller ved bruk av såkalla passande "beskyttelsesforanstaltninger", for eksempel godkjent "adferdskodeks" i mottakarlandet, EU-modellklausular eller Privacy Shield.

Kor lenge oppbevarar kommunen personopplysningane dine?

Vi lagrar personopplysingane dine hos oss så lenge det er nødvendig for det formålet personopplysingane blei samla inn for. Dette betyr for eksempel at:

  • Personopplysingar som er vi behandlar på grunnlag av samtykket ditt, blir sletta dersom du trekker samtykket.
  • Personopplysingar vi behandlar for å oppfylle ei lovpålagd plikt blir så lagra lenge lovheimelen krev det, for eksempel etter føresegner i arkivlova.

Kven er behandlingsansvarleg

Rådmannen i Midsund kommune er øverste ansvarleg for behandling av personopplysningar.

Kva for rettar har du?

Du har rett til innsyn

Når kommunen behandlar opplysingar om deg, skal du alltid få vete kva data som behandlast om deg, kva opplysingane brukast til, samt kor lenge opplysingane skal lagrast. Du kan kontakte kommunen og be om å få innsyn i personopplysingane dine. Vi vil svare på førespurnaden din så fort som mogeleg, og seinast innan 30 dagar.

Ved førespurnad om innsyn ta kontakt med serviceavdelinga på tlf.nr. 71 27 05 00

Vi vil be deg om å stadfeste identiteten din eller å gje ytterlegare informasjon før vi lèt deg ta i bruk dine rettar overfor oss. Du må derfor leggje ved kopi av gyldig legitimasjon. Dette gjer vi for å vere sikre på at du er den du er, og at ingen andre gir seg ut for å vere deg.

Du har rett til å få retta opplysningane dine dersom dei er feil

Dersom du oppdagar feilaktige opplysingar om deg sjølv kan du krevje at vi korrigerer informasjonen. I utgangspunktet skal vi på eige initiativ rette mangelfulle eller feilaktige opplysingar. Men dersom du sjølv oppdagar at noko er feil ønskjer vi at du tek kontakt med oss, slik at vi så raskt som mogeleg kan korrigere informasjonen.

Du har rett til å krevje at opplysningane om deg vert sperra eller sletta

Vi slettar eller sperrar opplysingar som ikkje lenger er nødvendige for det formålet vi samla dei inn. Dersom du meiner kommunen registrerer informasjon om deg som ikkje er nødvendig, kan du be om at denne informasjonen blir sletta. Dette gjeld ikkje dersom opplysingane skal oppbevarast etter anna lovgiving, for eksempel arkivlova.

Du har rett til avgrensing av behandling som gjeld deg sjølv

Avgrensing av opplysingane inneber at personopplysingane som blir samla inn ikkje lenger kan bli behandla, men framleis blir lagra.

Du har rett til å protestere

Du kan protestere på at vi behandlar opplysingar om deg.

Du har rett til å få kopi av opplysningane dine i eit digitalt format

Dette blir kalla retten til dataportabilitet. Du har under enkelte omstende rett til å motta opplysingar som du har gitt oss i eit digitalt format, og også rett til å få informasjon overførd til eit anna verksemd dersom du ønskjer dette. Retten til dataportabilitet gjeld berre opplysingar som du har gitt til oss.

Rett til å klage til Datatilsynet

Dersom du meiner at behandlinga vår av personopplysingar ikkje stemmer med det vi har opplyst her eller at vi på andre måtar bryt personvernlovgivinga, så kan du klage til Datatilsynet. Du finn informasjon om korleis du kan kontakte Datatilsynet på Datatilsynets nettsider.

Du har rett til å få utført rettane dine gratis

Når du ber om innsyn, retting, sletting eller tek i bruk andre rettar etter personvernreglane, er dette gratis, med mindre førespurnaden din er openbert grunnlaus eller overdrive. Dersom vi ikkje vil imøtekomme førespurnaden din, er det vi som skal dokumentere at førespurnaden din er grunnlaus eller overdriven.

Partsinnsyn etter forvaltingslova

Dersom du kontaktar oss med ei klage, vil vi normalt vise til eller leggje ved førespurnaden din når vi tek kontakt med den innklaga parten. Du kan be om at vi ikkje seier kven du er til den andre parten. Det skal likevel svært mykje til for å nekte ein part innsyn i ei sak dersom han/ho ber om det. Kommunen kan derfor ikkje garantere anonymitet ved slike spørsmål.

Pressa og publikum sitt innsyn etter offentleglova

Hovudregelen etter Offentleglova er at forvaltingsorgana sine saksdokument er offentleg tilgjengelege. Det betyr at presse eller andre som spør om det, vil kunne gjere seg kjend med innhaldet i kommunen sine saksdokument. Din førespurnad til oss vil dermed også vere offentleg. Kommunen handterer likevel ein del dokument som inneheld teiepliktige opplysingar. Slike dokument blir unnateke offentlegheit. Interne dokument kan også verte unnateke offentlegheit dersom det finst lovheimel for det.

Korleis kan du kontakte personvernombodet

Midsund kommune har eit personvernombod som du kan kontakte om du har spørsmål til kommunen sin behandling av personopplysningar. Personvernombodet skal arbeide for å ta i vare personvernet på ein god måte, både for tilsette og innbyggjarane.

Kontaktinformasjon:

Henrik Gullaker
Personvernombud
Interkommunalt arkiv Møre og Romsdal
Tlf.: 41262364
E-post: henrik.gullaker@ikamr.no