Personvernerklæring
Personopplysninger er opplysninger som kan kobles til deg som person. Det kan være navn og kontaktopplysninger, eller annen informasjon som kan knyttes til deg mer indirekte. Du skal vite hva slags personopplysninger vi behandler, slik at du kan ivareta dine rettigheter etter personvernlovgivningen.
Reglene for behandling av personopplysninger bygger på noen grunnleggende prinsipper.
- Behandling av personopplysninger må være lovlig
Det må finnes et rettslig grunnlag for den behandlingen en virksomhet ønsker å gjøre.
- Behandling av personopplysninger må skje rettferdig
Behandlingen av personopplysninger skal gjøres i respekt for de registrertes interesser og rimelige forventninger. Behandlingen skal dessuten være gjennomsiktig og forståelig for de registrerte, den skal ikke foregå på fordekte eller manipulerende måter.
- Behandling av personopplysninger skal være gjennomsiktig
Behandling av personopplysninger skal være oversiktlig og forutsigbar for den registrerte. Den det behandles opplysninger om skal være informert om dette.
1. Innhenting og behandling av personopplysninger
1a.Hvilke opplysninger trenger Nok. SF for ulike grupper av personer2a
1b.Samtykke for innhenting, oppbevaring og deling av personopplysninger
1c.Oppbevaring/sikring av og innsyn i personopplysninger
1d.Informasjon om innsamling og behandling av personopplysninger
2. Kvalitetssikring av personopplysninger
2aLagring av personopplysninger
2b.Rett til retting og sletting av personopplysninger
2c.Registrering og rapportering av avvik
3. Utlevering av personopplysninger
3a.Dokumentasjon og informasjon til samarbeidsparter og offentlige instanser
3b.E-post, sms og telefonsamtaler – internt og eksternt
3c.Føring av statistikk og rapportering til Buf.dir
4. Sosiale medier; Årsrapport, nettside, TV, avis og facebook
1.Innhenting og behandling av personopplysninger
All informasjon og personopplysninger som Nok. SF innhenter, behandler, lagrer og utleverer skal utføres med saklighet og være relevante i forhold til senterets ansatte og brukere. Registrering av personopplysninger skjer for å sikre at Nok. SF har de opplysninger og dokumentasjon som trengs for å ivareta sitt arbeidsgiveransvar samt oppfølging og dokumentasjon av brukeren – både «her og nå» og i fremtiden.
Personopplysningene innhentes med bakgrunn i at:
- Den registrerte har samtykket i å være tilknyttet Nok. SF som ansatt, styremedlem, bruker, samarbeidsparter, student el.
- Opplysningene er nødvendige for at Nok. SF skal oppfylle sine forpliktelser;
- som arbeidsgiver (A-melding til NAV, SSB og skatteetaten, fagforening, KLP og revisjon)
- ivareta sine brukere gjennom kontakt og samarbeid med dem og deres øvrige hjelpere
- Rapportere til Buf.dir og statistikk
- Søke om tilskudd fra kommunene i Sogn og Fjordane, fylkeskommunen, Helse Vest og Buf.dir.
- Informasjon til offentlige instanser og allmenheten via Årsmelding og Årsrapport
Referanse
Personvernforordningen Artikkel 5 – Prinsipper for behandling av personopplysninger
Personvernforordningen Artikkel 6 – Behandlingens lovlighet pkt. 1a (samtykke), 1b (oppfylle avtale) og 1f (berettiget interesse) Personvernforordningen Artikkel 9, pkt 2a – Behandling av særlige kategorier av personopplysninger
1.a Hvilke opplysninger trenger Nok.SF for ulike grupper av personer
Nok. SF innhenter, oppbevarer og videreformidler personopplysninger for følgende grupper;
Ansatte
Ikke sensitive personopplysninger; Navn, tlf.nr., adresse, E-post, fødselsnummer og kontonummer Sensitive personopplysninger; Fagforening, medarbeidersamtaler og sykefravær
Styret
Ikke sensitive personopplysninger; Navn, tlf.nr., adresse, E-post, fødselsnummer og kontonummer
Brukere
Ikke sensitive personopplysninger; fornavn, alder, bostedskommune, tlf.nr og evt E-post
Sensitive personopplysninger; utsatt/pårørende-status og helseopplysninger
Samarbeidsparter og studenter
Ikke sensitive personopplysninger; Navn, tlf.nr, E-post, arbeidssted
1.b. Samtykke for innhenting, oppbevaring og deling av personopplysninger
De ansatte ved Nok. SF skal gi nødvendig informasjon til og innhente samtykke fra sine brukere
- Informert/presumert samtykke for ikke sensitive personopplysninger gjelder alle grupper
- Brukeren skal gi samtykke for oppheving av taushetsplikt og utlevering av personopplysninger
-
- Muntlig samtykke for sensitive personopplysninger som deles muntlig
- Skriftlig samtykke ved utlevering av sensitive personopplysninger som deles skriftlig
- Unntak gjelder ved meldeplikt til barnevern og nødverge (Barnevernsloven § 6-7 og Straffeloven § 196 Plikt til å avverge et straffbart forhold )
1.c. Oppbevaring av og innsyn i personopplysninger
Personopplysninger om ansatte og brukere kan oppbevares så lenge opplysningene er relevante for det formål de er opprettet. Nok. SF har ikke arkiveringsplikt eller tilgang på fjernarkiv.
Ansatte, medlemmer av styret og samarbeidsparter
Ikke sensitive personopplysninger som navn, tlf.nr, e-post ol kan oppgis på nettside og Årsrapport
Sensitive personopplysninger oppbevares i låst arkivskap med tilgangskontroll, og passord beskyttet på PC med mulighet for fjernsletting. Økonomikonsulent og daglig leder har tilgang.
Brukere av senteret
Anonymiserte/ikke sensitive personopplysninger oppbevares i låst safe med tilgangskontroll, og på passordbeskyttet PC og mobil med mulighet for fjernsletting. Alle faglige rådgivere har tilgang på disse.
Sensitive personopplysninger oppbevares i låst safe med tilgangskontroll. Alle faglige rådgivere har tilgang på disse. Ingen sensitive opplysninger blir lagret på PC eller mobil.
1.d Informasjon om innhenting og behandling av personopplysninger
Nok. SF er pålagt å informere sine brukere om innhenting og behandling av personopplysninger. Muntlig informasjon skal gis ved ansettelse, tildeling av tillitsverv og oppstart av brukerkontakt. Skriftlig informasjonen skal være tydelig og lett tilgjengelig
- På oppslagstavle på senteret
- På nettside og facebookside
2.Kvalitetssikring av personopplysninger
Nok. SF fører ikke journal og har ikke arkiveringsplikt, så det skal bare lagres et minimum av personopplysninger for alle grupper. Brukere skal i prinsippet kunne være anonyme, og informasjon til Buf.dir, statistikk og Årsrapport skal anonymiseres.
2.a Lagring av personopplysninger
Det skal i minst mulig grad lagres personopplysninger i papirformat
- Økonomikonsulent har en personalmappe i papirformat for nåværende ansatte og en personalmappe for tidligere ansatte (for å oppfylle arbeidsgiverplikten til diverse etater)
- Ikke sensitive personopplysninger om brukere oppbevares i en perm i safe.
Digitale personopplysninger lagres på passord beskyttet område på PC og mobil med tilgangskontroll og kan fjernslettes ved eventuelt tyveri/tap av mobiltelefon.
Sensitive brukeropplysninger kan kun oppbevares etter følgende prinsipper;
- Mail til Post@ kan oppbevares i inntil 1mnd hvis ikke annet er avtalt med brukeren
- Telefonnummer og SMS kan oppbevares så lenge brukeren benytter senterets tilbud
- Uttalelser, bekreftelser, brev, mail ol kan oppbevares i inntil 1 mnd hvis ikke annet er avtalt med brukeren
2.b Rett til retting og sletting av personopplysninger
Ansatte kan ved henvendelse til daglig leder be om retting og sletting av sine personopplysninger. Daglig leder vurderer dette i henhold til gjeldene lovverk, ved tvil drøftes dette med styreleder.
Brukere kan ved henvendelses via faglig rådgiver eller direkte til daglig leder be om sletting av personopplysninger, og dette skal imøtekommes umiddelbart. Anonymiserte personopplysninger vil bli slettet når disse ikke lenger er nødvendige for rapportering til Buf.dir og statistikk.
Ellers slettes personopplysninger fortløpende i samsvar med 2.a og senest ved opphør av kontakten.
Referanser
Personvernforordningen Artikkel 17, pkt 1 – Rett til sletting («rett til å bli glemt») Personvernforordningen Artikkel 32 – Sikkerhet ved behandling
2.c Registrering og rapportering av avvik
Personopplysninger kan komme på avveie dersom disse ikke oppbevares forsvarlig i låst arkivskap/safe med tilgangskontroll, på passord beskyttet PC eller mobiltelefon eller ved tyveri/innbrudd. Ved mistanke om at personopplysninger er kommet på avveie skal daglig leder/stedfortreder utføre:
- Kartlegge avviket, involverte aktører, vurdere risikograd og føre avviksskjema
- Registrere avviket til datatilsynet i henhold til GDPR-krav innen 72 timer etter avdekking
- Ved sterk risiko for avvik skal brukere som er berørte varsles om dette innen 72 timer
Referanser
GDPR forordningens artikkel 33 og 34
- Utlevering av personopplysninger
Ikke sensitive og anonymiserte personopplysninger kan brukes i Årsrapport og på nettside. Informasjon med personopplysninger til offentlige myndigheter overføres på en sikker måte slik at ikke uvedkommende får tilgang til dem. Ved behov for utlevering av muntlige og/eller skriftlige sensitive personopplysninger gjelder følgende:
3.a Dokumenter og informasjon til og fra samarbeidsparter og offentlige instanser
Som hovedregel skal daglig leder/stedfortreder åpne og fordele all post som ikke har spesifisert mottaker. Post med spesifisert mottaker skal legges uåpnet til mottaker.
Dokumenter og informasjon som sendes ut;
- A-melding vedrørende ansatte og andre lønnsmottakere sendes til NAV, SSB og skatteetaten
- Nødvendige personopplysninger vedrørende ansatte og styremedlemmer sendes til Brønnøysunds-registeret, Virke, KLP, Buf.dir, Nok.Norge
- Sensitive personopplysninger angående brukere kan sendes som papirdokument i brev til advokat, politi ol. hvis skriftlig samtykke fra brukeren foreligger
3.b Epost, SMS og telefonsamtaler – internt og eksternt
Personinformasjon overføres på en sikker måte uten at uvedkommende får tilgang til den.
- Alle ansatte har en jobbmobil som ligger på hvert enkelt kontor (som kan fjernslettes) hvor telefonsamtaler og SMS med brukere og samarbeidsparter utføres og registreres
- Innkomne mail, SMS og telefonsamtaler anonymiseres og registreres i statistikk til Buf.dir og slettes i samsvar med 2.a og 2.b.
- Muntlig informasjon om brukeren kan gis til samarbeidsparter hvis brukeren har gitt muntlig samtykke, skriftlig informasjon krever skriftlig samtykke.
- Alle eksterne mail og SMS skal anonymiseres så godt som mulig
3.c Føring av statistikk og rapportering til BUF Direktoratet
Nok.SF er pålagt å føre statistikk og rapportere til Buf.dir på A-, B-, C- og D-skjema. Alle data som rapporteres er anonymiserte, og regnes dermed ikke som sensitive personopplysninger.
Referanse
Personvernforordningen Artikkel 29 – Behandling som utføres for den behandlingsansvarlige eller databehandleren
Personvernforordningen Artikkel 30, pkt 1d – protokoll over behandlingsaktiviteter
Personvernforordningen Artikkel 32, pkt 4 – sikkerhet ved behandling
- Sosiale medier; Årsrapport, nettside, TV, avis og Facebook
Det må utviser bevissthet rundt informasjon som publiseres i Årsrapport og media, for å sikre at personer som intervjues eller blir tatt bilde av til dette formål har gitt sitt samtykke. Nok. SF har egen nettside med kontakt-mail og facebookside.
Følgende spilleregler gjelder;
- Daglig leder/stedfortreder har ansvar for publisering i Årsrapport, media og nettsider
- Det kan benyttes bilder av brukere til intern bruk med muntlig samtykke
- Det kan benyttes bilder av brukere til ekstern bruk ved skriftlig samtykke
- Brukerrepresentanter oppgis ved navn og kontaktinformasjon på nettside og må underskrive samtykke og taushetserklæring
Informasjonskapsler (cookies)
Når du besøker våre nettsider installerer vi cookies som er nødvendig for at du skal kunne benytte deg av nettsidene våre. Informasjonskapsler er små tekstfiler som plasseres på din datamaskin når du laster ned en nettside. Noen av informasjonskapslene er nødvendige for at ulike tjenester på nettsiden vår skal fungere. Informasjonskapsler benyttes også for å analysere bruken av våre nettsider.
De fleste nettlesere er innstilt slik at de automatisk aksepterer informasjonskapsler. Dersom du ikke ønsker dette, kan du endre nettleserens innstillinger slik at den blokkerer informasjonskapsler fra noksognogfjordane.no. Vær oppmerksom på at dette kan føre til at våre nettsider ikke fungerer optimalt.