1. Innledning
2. Behandling av personopplysninger i forbindelse med Sametingets saksbehandling
3. Behandling av personopplysninger i forbindelse med adgang og sikkerhet
4. Mottakere av opplysninger og innsyn etter offentlighetsloven
5. Behandling av personopplysninger i forbindelse med pressehenvendelser til Sametinget
6. Henvendelser til Sametinget
7. Dine rettigheter
8. Dataportabilitet
9. Informasjonssikkerhet og internkontroll
10. Behandlingsansvarlig
11. Personvernombud
12. Databehandlere
13. Personvernpolitikk på internettsidene til Sametinget
14. Opplysninger om ansatte og jobbsøkere
15. Logging i Sametingets fagsystemer
16. Løpende oppdatering
Denne personvernerklæringen gir nærmere informasjon om hvordan Sametinget behandler personopplysninger om personer i og utenfor egen virksomhet.
I forbindelse med sin saksbehandling og virksomhet som offentlig organ, vil Sametinget behandle personopplysninger om personer både i og utenfor egen virksomhet (brukere). Personopplysninger er alle opplysninger som direkte eller indirekte kan knyttes til deg som enkeltperson. Behandling av person-opplysninger innebærer enhver bruk av slike opplysninger, eksempelvis innhenting, registrering, sammenstilling, lagring eller utlevering.
Sametingets styringssystem for personvern, er en integrert del av vårt styringssystem for informasjons-sikkerhet. Informasjonssikkerhet fungerer som Sametingets internkontroll med behandlingen av personopplysninger.
Sametinget er ansvarlig for at behandlingen av personopplysninger som beskrives i denne erklæringen er i samsvar med personvernforordningen, personopplysningsloven, og tilhørende forskrifter. Sametingets direktør har det overordnede ansvaret for behandlingen av personopplysninger i Sametinget.
Personvernforordningen, personopplysningsloven, og forskrifter til personopplysningsloven setter krav til helt eller delvis automatisert behandling av personopplysninger og til ikke-automatisert behandling av personopplysninger som inngår eller skal inngå i et personregister. Sametingets retningslinjer for behandling av personopplysninger, er en del av vårt internkontrollsystem.
All behandling av personopplysninger som gjøres av Sametinget er for å kunne utføre de oppgaver og tjenester Sametinget skal ivareta. Hvilke konkrete personopplysninger som innhentes og registreres er avhengig av oppgaven som skal utføres.
Sametinget behandler personopplysninger for å oppfylle våre lovpålagte oppgaver etter bl.a. forvaltningsloven, offentlighetsloven og arkivloven. Bestemmelser i disse lovene vil utgjøre behandlingsgrunnlag etter personvernforordningen artikkel 6 for Sametingets behandling av personopplysninger.
Sametingets saksbehandling omfatter behandling av henvendelser til/fra privatpersoner, selskaper/ organisasjoner/institusjoner eller andre offentlige myndigheter, i forbindelse med Sametingets myndighetsutøvelse, forvaltning og administrative funksjoner.
Det registreres ulike typer personopplysninger i saks- og arkivsystemet og tilskuddsforvaltningssystemet. Dette er grunndata som bl.a. navn, adresse, e-postadresse, og annen relevant informasjon som fremgår av henvendelsen. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger.
I forbindelse med saksbehandlingen kan Sametinget komme til å behandle andre typer personopplysninger enn de som er nevnt her, dersom dette er nødvendig for å gjennomføre behandlingen av den enkelte sak.
Opplysninger kan innhentes direkte fra den saksbehandlingen gjelder, eller fra andre med tilknytning til den enkelte sak. Som en del av den pålagte saksbehandlingen innhenter Sametinget i noen tilfeller opplysninger fra andre etater på eget initiativ, i medhold av forvaltningslovens paragraf 17.
Les forvaltningslovens paragraf 17
Personopplysningene knyttet til Sametingets saksbehandling lagres hos Sametinget så lenge de er nødvendige for å gjennomføre saksbehandlingen. Sametinget har, som offentlig myndighet, arkivplikt for arkivverdige dokumenter og vil derfor ikke slette opplysninger i arkivverdige dokumenter. Registrering, lagring og oppbevaring av arkivverdig materiale skjer i henhold til arkivlovgivningen.
Sametinget bruker WebSak saks- og arkivsystem med elektronisk journalføring og elektronisk lagring av dokumenter. WebSak er et saks- og arkivsystem fra leverandøren Acos AS som følger offentlige standarder (NOARK).
Sametinget bruker også et tilskuddsforvaltningssytem med elektronisk lagring av dokumenter og personopplysninger. Systemet er levert av Innovit AS og heter eApply. Alt arkivverdig materiale overføres automatisk til saks- og arkivsystemet. I systemet behandles personopplysninger slik at vi kan forvalte tilskuddsordninger i samsvar med Økonomireglementet i Staten. Dette omfatter blant annet:
- behandle søknader
- kreve tilbakebetaling av tilskudd
- bruke personopplysningene i forbindelse med lovpålagte oppgaver som budsjett, regnskap, statistikk og rapportering til andre myndighetsorganer
- utlevere personopplysninger til andre offentlige myndigheter som har et lovgrunnlag for innhenting, eks skatteetaten
- tilby korrekt og relevant informasjon om tilskuddsordningene
- analysere informasjon om bruken av doarjja.samediggi.no (søknadsportalen), så vi er i stand til å tilby brukervennlige, raske og korrekte tjenester
Sametinget behandler også personopplysninger om deltakere til kurs og seminarer som vi arrangerer.
Sametinget innhenter personopplysninger for å ivareta sikkerheten på Sametinget.
Alle besøkende til Sametinget i Karasjok registreres i vårt besøksregistersystem. Vi registrerer navn, eventuelt firma og navnet på den du skal besøke. Ved besøk av grupper i organisert omvisning registreres kun gruppeansvarlig i besøksregisteret samtidig med antallet i gruppen. Opplysninger som registreres i besøkssystemet lagres i 10 dager.
Sametingets bygningsmasse i Karasjok er videoovervåket både inne og ute. Bilder og video fra Sametingets videoovervåking slettes automatisk etter syv dager. Ved hendelser som kan medføre etterforskning fra politiet, kan opptak oppbevares i inntil 30 dager.
Sametinget er lovpålagt å gjøre sine postjournaler offentlig tilgjengelige for allmennheten. En journal er systematisk og fortløpende registrering av alle Sametingets dokumenter. Hovedregelen etter offentlighetsloven er at forvaltningsorganers saksdokumenter er tilgjengelige for offentligheten. Det betyr at alle som spør om det, presse og andre, vil kunne gjøre seg kjent med innholdet i dokumentene. Din henvendelse til Sametinget vil dermed også være offentlig, enten den kommer i form av brev, muntlig og nedtegnes, eller e-post.
En journal er Register over saksdokumenter som behandles i et organ. Sametingets dokumenter legges tilgjengelige på våre nettsider. Ansvarlig leder og saksbehandler er ansvarlig for at dokumentasjon er unntatt korrekt og tilstrekkelig, dokumentasjonsseksjonen gjennomfører en kvalitetssikring av offentlig dokumenter før publisering på Sametingets nettsider.
Forespørsler om innsyn utover det som er gjort tilgjengelig via Sametinget åpne postlister på nettsidene behandles i vårt saks-/arkivsystem. Alle innsynskrav og svar på disse registreres her.
Ved krav om innsyn utleveres personopplysninger i samsvar med reglene i offentlighetsloven og forvaltningsloven. Opplysninger som er nødvendige for behandling av klagesaker vil bli utlevert til klagenemnda i Sametinget, som er Sametingets klageorgan.
Sametinget håndterer imidlertid mye dokumentasjon som inneholder taushetsbelagte opplysninger. Dette er for eksempel sensitive opplysninger knyttet til både politikere og ansatte, samt taushetsbelagte opplysninger i kontrakter etc. og eventuelle forretningshemmeligheter. Slik informasjon er unntatt fra offentlighet. Interne dokumenter kan også unntas offentlighet.
Henvendelser fra pressen arkiveres i saks- og arkivsystemet til Sametinget.
Sametinget har e-post oversikt med adresser til redaksjoner og noen enkeltjournalister.
Det rettslige grunnlaget for denne behandlingen er Sametingets berettigede interesse i å sørge for god kommunikasjon med pressen, og for å ivareta åpenheten i forvaltningen. For å ivareta denne interessen opprettholder Sametinget e-post oversikten for å kunne sende ut pressemeldinger, kronikker, invitasjoner, tips og andre henvendelser.
E-post adressene slettes dersom Sametinget får beskjed om at journalisten ikke lenger ønsker å stå oppført i e-post oversikten og oppdateres når Sametinget blir kjent med endringer.
Sametinget benytter e-post og telefon som en del av det daglige arbeidet. Relevante opplysninger som fremkommer av e-postutveksling som skjer som en del av saksbehandling, journalføres. Disse opplysningene behandles i så fall som beskrevet over (se «2. Behandling av personopplysninger i forbindelse med Sametingets saksbehandling»). Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som journalføres. Når en ansatt slutter slettes vedkommendes e-postkonto.
Sensitive personopplysninger skal ikke sendes med e-post. Sametinget gjør oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer derfor til å ikke sende taushetsbelagte eller andre beskyttelsesverdige opplysninger via e-post.
Når Sametinget behandler personopplysninger om deg, har du flere rettigheter etter personvernregelverket.
Du har rett til å få informasjon om hvorvidt Sametinget behandler personopplysninger om deg. Dersom dette er tilfellet, har du og rett til å be om innsyn i opplysningene og å få utlevert en kopi av disse opplysningene. Videre har du krav på innsyn i behandlingen, og hva som er formålet og grunnlaget for behandlingen. Dersom Sametinget behandler opplysninger om deg med grunnlag i samtykke eller avtale, har du rett til å få opplysningene utlevert i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet). Siden Sametinget kun unntaksvis behandler personopplysninger om privatpersoner med grunnlag i samtykke eller avtale, gjelder imidlertid denne retten de aller færreste av personopplysningene vi behandler.
Dersom du mener personopplysningene Sametinget har lagret om deg ikke er riktige (f.eks. feil epostadresse, navn, bosted eller lignende) har du rett til å be om at disse blir rettet.
I visse tilfeller kan du be om at personopplysningene Sametinget har om deg, slettes. Omfanget av denne retten vil avhenge av ditt forhold til oss. Personopplysninger registrert i kommunikasjonsstabens medielogg vil for eksempel kunne slettes på din forespørsel, mens en stor del av personopplysningene Sametinget behandler vil måtte arkiveres i henhold til vår lovpålagte arkiveringsplikt. Du kan også i enkelte tilfeller, be om at vi begrenser vår behandling av opplysninger om deg.
Sametinget behandler i all hovedsak personopplysninger om privatpersoner utenfor egen organisasjon som ledd i utførelse av vår myndighetsutøvelse, forvaltning og administrative funksjoner. Der Sametinget behandler dine personopplysninger med grunnlag i ditt samtykke, har du rett til når som helst å trekke dette tilbake. Behandlingen vil da stanses, og dine personopplysninger slettes. Der Sametinget behandler personopplysninger om deg med grunnlag i vår berettigede interesse har du videre rett til å protestere mot behandlingen, noe som også vil medføre stans av behandlingen, med påfølgende sletting av opplysningene. Disse rettighetene får derfor ikke anvendelse på mange av behandlingene Sametinget utfører. Retten til å protestere kan allikevel benyttes i forbindelse med registrering i Sametingets presseliste. Der behandlingen har grunnlag i samtykke, vil du bli spurt om å avgi dette for hvert tilfelle.
Dersom du mener at noen av disse rettighetene er aktuelle i ditt forhold til Sametinget, kan du rette en henvendelse om dette til oss ved å sende e-post til samediggi@samediggi.no. Når du sender en slik henvendelse, vil vi svare deg innen 30 dager.
Dersom du mener at Sametinget behandler dine personopplysninger i strid med personvernforordningen, personopplysningsloven eller andre regler har du rett til å levere en klage til Datatilsynet. Klager kan leveres via kontaktfunksjonen på deres nettsider.
Du kan lese mer om dine rettigheter, og hva disse innebærer på Datatilsynets nettsider.
Med retten til dataportabilitet kan du få utlevert personopplysninger om deg og gjenbruke disse som du vil på tvers av ulike systemer og tjenester, og du kan flytte persondata fra en tjenesteleverandør til en annen på en trygg og sikker måte. Din rett til dataportabilitet gjelder kun hvis opplysningene du ønsker utlevert er samlet inn på bakgrunn av samtykke eller kontrakt. Rettigheten gjelder kun opplysninger som du selv har gitt til virksomheten. Dette gjelder for eksempel opplysninger som du bevisst og aktivt har gitt fra deg, for eksempel i forbindelse med opprettelse av en brukerkonto. Det gjelder også opplysninger som er samlet inn fra deg gjennom aktiv bruk av en tjeneste.
Personopplysninger som ikke er samlet inn direkte fra deg, er ikke omfattet av denne retten. Dette gjelder blant annet opplysninger som er utledet basert på din aktive bruk av en tjeneste. Dette er ikke opplysninger som er gitt direkte av deg, men som virksomheten selv har opprettet basert på analyse av din bruk av tjenesten.
Du har krav på å få dataene utlevert så raskt som mulig, og senest innen en måned. Du bør sende opplysningene videre på samme måte som du fikk dem.
Sametinget vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg – og ikke noen som gir seg ut for å være deg.
Personopplysningsloven pålegger behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet som ivaretar konfidensialitet, integritet og tilgjengelighet. Dette gjelder uavhengig av hva slags personopplysninger som behandles, og uavhengig av hvilke hjelpemidler som benyttes. Gjennom planlagte og systematiske tiltak skal det sørges for tilfredsstillende informasjonssikkerhet. Det skal gjøres risikovurderinger av alle viktige systemer jevnlig eller etter behov. Sametinget har utarbeidet en egen policy for internkontroll, prinsipper for informasjonssikkerhet og rutiner som legges til grunn ved sikring av personopplysninger.
Det er etablert rutiner, herunder planlagte og systematiske tiltak, som er nødvendige for å oppfylle kravene i personopplysningsloven. Etterlevelsen av kravene til behandling av personopplysninger skal dokumenteres etter gjeldende rutiner. Sametinget har også en oversikt over hva slags personopplysninger som behandles hos oss. Oversikten skal holdes oppdatert.
Det er etablert særlige sikkerhetstiltak og rutiner for svært beskyttelsesverdig informasjon i Sametingets arkiv, som for eksempel personopplysninger, opplysninger underlagt taushetsplikt og gradert informasjon.
Det skal rapporteres om avvik ved brudd på kravene til behandling av personopplysninger. Avvik skal rapporteres til direktøren, avdelingsdirektør i administrasjonsavdelingen, sikkerhetsrådgiver, personvernombud, og/eller Datatilsynet alt etter alvorlighetsgrad.
All bruk av Sametingets IKT-infrastruktur etterlater elektroniske spor. Sametinget samler inn, analyserer og oppbevarer elektroniske spor for å administrere IKT-infrastrukturen, sikre effektiv og kostnadsbærende drift, og for å beskytte vårt IKT-infrastruktur mot trusler og misbruk. Sametingets IKT-infrastruktur er tilrettelagt med løsninger for registrering av aktiviteter (logging) og sikkerhetskopiering blant annet for å kunne dokumentere lovbrudd eller avvik fra interne regler og rutiner, men også for å kunne avdekke/ oppdage brudd på sikkerheten i IKT-infrastrukturen. Innsamling, lagring og bruk (og sletting) av elektroniske spor gjøres i henhold til gjeldende lovverk.
Sametingets direktør er overordnet behandlingsansvarlig for Sametingets registrering og behandling av personopplysninger. Behandlingsansvarlig bestemmer formålet med behandlingen av person-opplysningene og på hvilken måte behandlingen skal skje.
Overordnet behandlingsansvarliges oppgaver er videre delegert til avdelingsdirektøren i administrasjonsavdelingen.
Den daglige behandlingen er lagt til ansvarlig avdeling eller seksjon som behandler dine person-opplysninger for å utføre sine arbeidsoppgaver.
Sametinget har et eget personvernombud. Personvernombudet informerer og gir råd til Sametinget og de ansatte om hva slags forpliktelser de har etter personvernlovgivningen. I tillegg til å gi råd og informasjon, skal personvernombudet blant annet:
- Kontrollere Sametinget sin etterlevelse av personvernregelverket.
- Gi råd om vurdering av personvernkonsekvenser.
- Være et kontaktpunkt mellom de registrerte, Datatilsynet og Sametinget, og samarbeide med Datatilsynet i saker som handler om Sametinget.
- Prioritere oppfølging av aktiviteter i Sametinget hvor personvernrisikoen er høyest.
- Bidra til å sikre at Sametinget alltid har oversikt over hvordan virksomheten behandler personopplysninger.
Personvernombud i Sametinget:
Margrethe Anti
Tlf. +47 78 48 42 14
E-post: pvo@samediggi.no
For forespørsel som gjelder innsyn, retting, sletting og sperring av egne personopplysninger vises det til Sametingets personvernerklæring punkt 7.
Ikke send sensitive eller fortrolige opplysninger per e-post.
Postadresse:
Sámediggi - Sametinget
v/Personvernombudet
Postboks 3
9735 Kárášjohka/Karasjok
Når eksterne behandler personopplysninger på vegne av Sametinget, stilles det klare krav til behandlingen. Det inngås databehandleravtaler i henhold til gjeldende regelverk. Databehandleravtalene etablerer klare ansvars- og myndighetsforhold med alle som er databehandlere for Sametinget.
Ved saksbehandling og andre henvendelser fra eksterne, benytter Sametinget ekstern bistand til blant annet oversettelse av dokumenter og i forbindelse med rekruttering.
Sametinget bruker analyseverktøyet Google Analytics for å samle informasjon slik at vi hele tiden kan forbedre nettstedet og gi deg bedre opplevelser. Dataene gjør at vi blant annet kan se hva våre brukere er mest opptatt av og hjelper oss med å prioritere innhold. Informasjon om brukerne hentes gjennom bruk av informasjonskapsler (cookies) på nettsidene våre.
Vi bruker informasjonskapsler eller cookies for å sørge for gode brukeropplevelser på vårt nettsted. I tillegg er det en del funksjonalitet på nettstedet som er avhengig av cookies for å fungere, som for eksempel innlogging.
Vi bruker informasjonskapsler for å:
- Lære av brukernes adferd, slik at vi kan forbedre nettstedets funksjonalitet, brukeropplevelse og innhold.
- Tilpasse innholdet, slik at det blir mest mulig relevant for deg.
- Gjøre nettstedet raskere og sikrere.
Informasjonskapsler er små tekstfiler som nettsiden lagrer på brukerens datamaskin. Filene kan bare leses av samediggi.no i tillegg til brukeren selv. Informasjonen blir anonymisert og brukt til å finne ut om brukeren har besøkt nettstedet tidligere, tidspunktet for besøket og hvilket nettsted brukeren kom fra. Sametinget bruker informasjonen til å forbedre tjenestene vi tilbyr på nettsidene våre. Vi bruker ikke informasjons-kapsler til å lagre personopplysninger.
Du kan blokkere og tillate informasjonskapsler gjennom innstillingene i nettleseren.
Les mer om hvordan du kan blokkere og tillate informasjonskapsler gjennom innstillingene i nettleseren på Nettvett.no sine hjemmesider.
Benytter du nettsidene våre uten å skru av funksjonen for informasjonskapsler i nettleseren din, aksepterer du Sametinget sin bruk av informasjonskapsler.
I tråd med vanlig praksis på internett, blir brukernes IP-adresse registrert på våre nettsider. Sametinget har valgt å legge inn et script som fjerner de siste sifrene fra IP-adressen før informasjonen blir lagret av Google Analytics. Dette sørger for at analyseverktøyet kan anslå brukerens geografiske plassering, men adressen kan ikke brukes til å identifisere de enkelte. Mottatte opplysninger er underlagt Googles retningslinjer for personvern, og Google vil ikke sammenstille IP-adressen din med andre opplysninger Google eventuelt har om deg. Vi bruker funksjonen «anonymizeIP» slik at IP-adressen din ikke blir sendt til Google.
Andre informasjonskapsler
Sametinget behandler også opplysninger om ansatte og om jobbsøkere. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 b), behandlingen er nødvendig for å oppfylle en avtale den registrerte er part i og er i samsvar med tjenestemannsloven, særavtale om lønns- og personalregistre i staten, Hovedtariffavtalene i Staten, samt regnskaps- og bokføringslovgivningen.
Sametinget behandler personopplysninger om sine ansatte for å administrere lønn og personalansvar. Det er avdelingsdirektøren i administrasjonsavdelingen som har det daglige ansvaret for dette. Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeningstilhørighet. Andre opplysninger om ansatte er knyttet til vedkommendes arbeidsinstruks og tilrettelegging av vedkommendes arbeid.
Dessuten registreres det opplysninger i tilknytning til nøkkeladministrasjon av inn- og utpasseringer og opplysninger om tilgangsstyring i IT-systemet. Opplysningene hentes fra de ansatte selv. Opplysningene utleveres bare i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven. Opplysninger om navn, stilling og arbeidsområde regnes å være offentlige opplysninger og kan publiseres på Sametingets nettsider.
Sametinget har et fagsystem som behandler alle stillingssøknader i jobbnorge.no. Stillingssøknader til kandidater som blir ansatt i stillingen og andre arkivverdige dokumenter i forbindelse med en rekruttering blir lagret i Sametingets elektroniske arkiv. Øvrige stillingssøknader slettes automatisk i jobbnorge.no etter 2 år. Det elektroniske arkivet er utgangspunkt for en offentlig journal, som publiseres fortløpende på våre nettsider. Navn på søkere er offentlig informasjon og framkommer der etter søknadsfristens utløp, offentlig søkerliste. Journalopplysninger slettes ikke. Søkere som har bedt om og fått innvilget at søknaden kan unntas offentlighet (jf. offl. § 25 første ledd), får sladdet navnet sitt på våre nettsider. Dette gjelder imidlertid ikke søknaden til alle tidligere og nåværende ansatte. Deres stillingssøknad blir arkivert/oppbevart i personalmappe i vårt arkivsystem. Personalmapper blir ryddet ved utløp av arbeidsforholdet. Personalmapper skal avleveres til Arkivverket. Tilgangen er begrenset til tjenstlig behov.
Sametinget har alminnelige sikkerhetslogger i sine fagsystemer. Det er de ansattes bruk av fagsystemet som blir registrert her. Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer. Sikkerhetslogger er en del av Sametingets styringssystem for informasjonssikkerhet og et tiltak for å sikre etterlevelse av forordningen artikkel 24 og 25.
Denne personvernerklæringen oppdateres fortløpende i forhold til gjeldende lover og forskrifter. Personvernerklæringen ble godkjent av ledergruppen den 26.11.2021.