Rettigheter til grunnleggende informasjon om behandling av personopplysninger

Grunnleggende informasjon om kommunens behandling av personopplysninger skal etter personvernsforordningen gis på en lettfattelig og oversiktlig måte på i henhold til GDPR Artikkel 13. Heim kommune har gitt denne informasjonen i denne erklæringen, og vil henvise til den ved eventuelle forespørsler.

 

Generelt om kommunens behandling av personopplysninger

Heim kommune, ved kommunedirektøren, er behandlingsansvarlig for kommunens behandling av personopplysninger. Det daglige ansvaret for de forskjellige behandlingene er delegert til enhetslederne. I det etterfølgende oppgis hvilke enhetsledere som er delegert behandlingsansvarlig for de forskjellige typene personopplysninger. Delegeringen omfatter kun oppgavene, ikke ansvaret.

Det øverste organet i sikkerhetsorganisasjonen er kommunens ledergruppe. 

Heim kommune er ansvarlig for at alle data blir behandlet på en sikker måte med hensyn til;

  • konfidensialitet - sikkerhet for at bare personer som har behov og er godkjent for det får tilgang til følsom eller gradert informasjon.

  • integritet  - sikkerhet for at data er nøyaktige, fullstendige og gyldige

  • tilgjengelighet – sikkerhet for at aktuelle data er tilgjengelige når det er behov for dem

Kommunen skal også ha kontroll på at oppgavene blir utført i samsvar med personvernlovgivningen og regler gitt i henhold til loven.

Hvis ikke annet er oppgitt lagres alle opplysninger som kommunen samler inn i systemer som driftes av kommunens eget personell, på kommunens egne dataservere. Kommunens personell i denne sammenheng er personell i det resultatområdet som er delegert behandlingsansvarlig og ansatte på kommunens IKT-avdeling.

Den som er delegert behandlingsansvar er som regel også systemeier.  De ivaretar den administrative driften av systemet og har dermed tilgang til personopplysninger. Der ett system brukes av flere resultatområder er hver enhetsleder informasjonseier for personopplysninger innen sitt ansvarsområde og har bare tilgang til disse. Personell ved IKT-avdelingen har ansvar for den tekniske driften av systemene, og vil normalt ikke behandle personopplysninger. Alle ansatte har signert konfidensialitetserklæringer. Kommunens servere er forsvarlig fysisk og teknisk sikret.

Heim kommune innhenter de personopplysninger vi trenger for å kunne utføre oppgavene og tjenestene våre. Behandling av personopplysninger skjer i henhold til gjeldende lov og forskrift. Du blir varslet dersom vi henter inn opplysninger om deg, med mindre innsamlingen av opplysninger er lovpålagt, varsling er umulig eller svært vanskelig, eller er det er opplagt at du kjenner til opplysningene som varselet skal inneholde.

Nettbasert behandling av personopplysninger

Hvis ikke annet er oppgitt er leder for Servicekontoret i sentraladministrasjonen delegert behandlingsansvarlig for Heim kommunes nettbaserte behandlinger av personopplysninger på www.heim.kommune.no. Enhetsledere har ansvaret for informasjon om sine tjenester utgitt på kommunens nettsider. Løsningen driftes av kommunens eget personell med bidrag fra leverandøren innen utvikling, drift og vedlikehold av nettstedet. Kommunen har databehandleravtale med leverandøren. Det er frivillig å oppsøke kommunens nettbaserte tjenester, og behandlingsgrunnlaget er samtykke fra den enkelte med mindre annet er spesifisert.

 

Informasjonskapsler (cookies) og automatisk lagring av informasjon

Informasjonskapsler er små tekstfiler som lastes ned og lagres på datamaskinen din når du åpner en nettside. De aller fleste nettsider bruker slike informasjonskapsler. Hemne kommune bruker informasjonskapsler til å forbedre brukeropplevelsen din og til å samle inn statistikk.

Bruken av informasjonskapsler utgjør ingen sikkerhetsrisiko for deg. Det er foretatt en teknisk anonymisering av cookies. Det vil si at ingen av opplysningene vi får inn via informasjonskapsler blir brukt til å identifisere enkeltpersoner.

 

Webanalyse

Vi ønsker at du som besøkende på nettsidene våre skal finne det du er ute etter raskest mulig. For å lage og vedlikeholde et brukerrettet nettsted er vi avhengige av å kunne analysere brukermønsteret til de som bruker sidene våre. Vi samler derfor inn avidentifiserte opplysninger om besøkende på www.heim.kommune.no. Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn, tilbake til den enkelte bruker.

Hensikten er å utarbeide statistikk som vi bruker til å forbedre og videreutvikle informasjonstilbudet på nettstedet. Eksempel på hva statistikken gir svar på er hvilke søkeord som er brukt, hvor mange som besøker ulike sider, hvor lenge besøket varer og hvilke nettlesere som blir brukt. Opplysningene blir behandlet i aggregert form. Det vil si at alle data blir slått sammen til en gruppe og blir ikke behandlet individuelt. I tillegg blir opplysningene anonymisert. Informasjonen kan ikke spores tilbake til den enkelte brukere.

 

Informasjon lagret i elektroniske skjema

Vi bruker elektroniske skjema for å forenkle og effektivisere våre forvaltningsoppgaver. Når du fyller ut elektroniske skjema på www.heim.kommune.no vil informasjonen du gir fra deg, bli sendt sikkert til den saksbehandler eller avdeling som trenger informasjonen til sin saksbehandling. I de tilfelle det er eksterne leverandører som mottar opplysningene er dette angitt spesielt og de eksterne leverandørene vil ha egne personvernerklæringer og databehandleravtaler med Heim kommune. På grunn av informasjonssikkerhet knyttet til sensitiv informasjon er det ikke alle tjenester det er mulig å søke elektronisk på.

 

Bildebruk

Bildene vi bruker på nettsidene er som oftest illustrasjonsbilder. Ved bruk av andre bilder innhenter vi samtykke først.

 

Sosiale medier

Heim kommune driver ikke saksbehandling i sosiale medier, og samler heller ikke data i sosiale medier.

 

Saksbehandling og arkiv

Heim kommune har et sak- og arkivsystem med elektronisk journalføring og elektronisk lagring av saksdokumenter. Dette driftes og leveres av TietoEvry. Arkivleder er ansvarlig for daglig drift av Heim kommunes arkiv.

Sak- og arkivsystem følger offentlige standarder (NOARK) og er tilgangs- og rollestyrt. Det er utarbeidet nødvendige rutiner og styrende dokumenter som sikrer at den faktiske saksbehandlingen er i samsvar med gjeldende lovverk. I sak- og arkivsystemet behandler kommunen personopplysninger for å oppfylle sine lovpålagte oppgaver etter bl.a. personvernsforordningen, forvaltningsloven, offentleglova og arkivloven.

Det registreres ulike typer personopplysninger i sak- og arkivsystemet. Dette er opplysninger som navn, adresse, telefonnummer og annen relevant informasjon som fremgår av henvendelsen. Registrering, lagring og oppbevaring skjer etter arkivlovgivningens regler. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger. Disse opplysningene blir skravert/anonymisert. Som en del av den pålagte saksbehandlingen innhenter Heim kommune i noen tilfeller opplysninger fra andre etater på eget initiativ etter lovhjemmel (forvaltningsloven §17).

Heim kommunes offentlige journal ligger på kommunens hjemmeside. Korrespondanse med kommunen journalføres etter arkivlovens retningslinjer, og vil bli gjort tilgjengelig i postlisten. Vi vil normalt gi innsyn i korrespondansen om vi får en forespørsel om det og de aktuelle dokumentene ikke er unntatt offentlighet.

Heim kommune benytter en automatisert tjeneste kalt Archive Inspector for scanning av dokumenter. Formålet med denne tjenesten er å forsterke de manuelle rutinene når det gjelder sikring av sensitive opplysninger, og at slike opplysninger ikke blir frigitt på nett. Tjenesten scanner dokumentene i arkivet og gir arkivmedarbeiderne en rapport på hvilke dokumenter som kan inneholde for eksempel helseopplysninger, eller fødselsnummer og andre mer sensitive opplysninger. 

 

E-post og telefon

Leder Servicekontor er delegert behandlingsansvarlig for kommunens e-post og telefoni-løsninger. IKT-leder er delegert det daglige systemansvaret. E-post-løsningen administreres og driftes av kommunens eget personell. Telefoni driftes av kommunens eget personell med teknisk bistand fra leverandøren. Kommunen har databehandleravtale med leverandøren.

Heim kommune benytter e-post og telefon som en del av det daglige arbeidet, og det kan forekomme at kommunen bruker e-post eller telefon til deler av saksbehandling. I slike tilfeller skal saksbehandler journalføre relevant korrespondanse i tilhørende fagsystem. Saksbehandling som inneholder sensitive personopplysninger gjøres ikke på e-post. Mottatte e-post som inneholder sensitive opplysninger skal ikke distribueres videre, og vil fjernes fra e-postsystemet.
Heim kommunes medarbeidere benytter i tillegg e-post i alminnelig dialog med interne og eksterne kontakter. Kommunen har egen rutine for e-post som gjelder alle ansatte. Ved fratreden slettes e-post automatisk etter en kortere karantenetid.

Heim kommune ønsker å gjøre deg oppmerksom på at vanlig e-post er ukryptert, og vi oppfordrer deg derfor til ikke å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger til oss med e-post.

Telefonsamtaler blir ikke logget, men ansatte har en oversikt over de siste anropene på sine telefoner. Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som journalføres. Det gjøres ingen øvrig systematisk registrering av telefonsamtaler hvor innringer kan identifiseres.

 

Personopplysninger, ansatte

Heim kommune behandler personopplysninger om sine ansatte for å administrere lønn og personalansvar i henhold til GDPR Artikkel 6.1 a), b), c), f) samt Artikkel 9.2 b). Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeningstilhørighet mm.

Kommunedirektøren er informasjonseier for informasjonen om ansatte.

Kommunens katalogtjeneste er «master-system» for tilgangsstyring til kommunens øvrige IKT infrastruktur, tilganger er rollestyrte og gir standard tilgang til pålogging, intranett og andre ressurser. Ved opphør slettes alle tilganger, filmområder og brukerkontoer automatisk etter en kort karanteneperiode.
IKT-leder er delegert behandling- og systemansvarlig for katalogtjenesten. Systemet administreres og driftes av kommunens eget personell.

Videre registrerer kommunen personopplysninger i sitt adgangskontrollsystem, sammen med logging av inn- og utpasseringer. Loggingen brukes ikke systematisk, og har kun som formål å kunne ettergå bevegelser i gitte tilfeller.

Leder fellestjenester er delegert behandlingsansvarlig for adgangskontrollen på rådhuset. For de andre lokasjonene er enhetsleder ved tjenesten delegert behandlingsansvarlig for sine adgangskontrollsystemer. Systemet administreres og driftes av kommunens eget personell, med bistand fra leverandøren som kommunen har databehandleravtale med.

Alle opplysningene om ansatte innhentes fra de ansatte selv og utleveres kun i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven. Opplysninger om navn, stilling og arbeidsområde regnes å være offentlige opplysninger og kan publiseres.

Tilganger til øvrige fagsystemer administreres av den enkelte systemansvarlig iht styrende dokumenter og gjeldene rutiner for det enkelte fagsystem.
Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer.

 

Helseopplysninger

Heim kommune behandler helseopplysninger knyttet til lovpålagte tjenester (Jf. GDPR Artikkel 6 og 9, Helseregisterloven §21 og Pasientjournalloven §22) i flere av sine fagsystemer innen helse og mestring, og innenfor oppvekstområdet. Enhetslederne for Helse og mestring, Helsestasjon, Barnevern og NAV er delegert behandlingsansvarlig for pleie og omsorgstjenester og enhetslederne for Skole er delegert behandlingsansvarlig innen oppvekst.

Den daglige systemdriften gjøres av systemansvarlige for det enkelte fagsystem i samarbeid med kommunens IKT-avdeling. I noen tilfeller kan leverandøren være involvert i utvikling, drift og vedlikehold – i slike tilfeller har kommunen inngått databehandleravtale med leverandøren.

Data og systemer som inneholder sensitive helseopplysninger ligger i noen tilfeller i egen «lukket sone» avskjermet fra kommunens øvrige miljø. Data fra lukket sone kan ikke transporteres ut av kommunens systemer, og det finnes egne rutiner for opplæring, tilgangsstyring, og kontrolltiltak til det enkelte fagsystem i lukket sone. I tillegg har vi systemer som behandler sensitive opplysninger i sky (Saas). Disse systemene er alltid sikret med tofaktor-autentisering. 
Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer.

 

 

Personopplysninger, brukere av hjemmetjenester

I tillegg til de behandlingene som er nevnt under helseopplysninger har kommunen et system hvor personellet bruker håndholdte mobile enheter for å vedlikeholde journalene til den enkelte bruker. Informasjonen i enheten er både kryptert på selve enheten og all overføring mellom enheten og journalsystemet er kryptert.

Enhetsleder Helse og mestring er delegert behandlingsansvarlig for systemet. Kommunens IKT-avdeling drifter løsningen med bistand fra leverandøren som kommunen har databehandleravtale med.

 

Personopplysninger om elever, barnehagebarn og foresatte

Heim kommune behandler personopplysninger knyttet til lovpålagte tjenester (jfr. opplæringsloven og barnehageloven med henvisninger til forvaltningsloven og GDPR i flere av sine fagsystemer innen i oppvekstsektorene.

Enhetsledere ved skolene er delegert behandlingsansvarlige for de systemene som brukes i skolene og enhetsledere ved barnehagene er delegert behandlingsansvarlig for de systemene som brukes i barnehagene. Systemdriften gjøres av systemansvarlige for det enkelte fagsystem, i hovedsak i samarbeid med kommunens IKT-avdeling.

I noen tilfeller kan leverandøren være involvert i utvikling, drift og vedlikehold – i slike tilfeller har kommunen inngått databehandleravtale med leverandøren.

Kommunens system for administrasjon av barnehageplasser inneholder personopplysninger knyttet til barn og foresatte som søker om eller har barnehageplass. Webbasert søknad om barnehageplass formidles gjennom en ekstern leverandør som kommunen har databehandleravtale med, men leverandøren har ikke innsyn i disse personopplysningene.

Kommunen har et system for elever og foresatte med timeplaner, læreplaner, karakterer mm. Systemet er en passordbeskyttet skytjeneste som i sin helhet leveres av en ekstern driftsleverandør. Kommunen har databehandleravtale med leverandøren.

Systemet inneholder noen personopplysninger om elever og er integrert med kommunens skoleadministrative system som inneholder personopplysninger om elever og foresatte. Det skoleadministrative systemet er videre integrert med et SMS-basert varslingssystem. Varslingssystemet inneholder personopplysninger som navn, adresser og telefonnummer til elever og foresatte, og formålet er at skolen skal kunne ha et effektivt verktøy for kommunikasjon med hjemmet under kriser og ellers.

Det finnes egne rutiner for opplæring, tilgangsstyring, og kontrolltiltak i det enkelte fagsystem. Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer.

 

Personopplysninger barnevern

Heim kommune behandler personopplysninger knyttet til lovpålagte tjenester (jfr lov om barneverntjenester §6-7), i sitt fagsystem for barnevern. Fagsystemet er en skybasert tjeneste, sikret med to-faktor-autentisering. 
Enhetsleder Barnevern er delegert behandlingsansvarlig. Systemdriften gjøres av systemansvarlige for fagsystemet, i hovedsak i samarbeid med kommunens IKT-avdeling

 

Generelt om logging i Heim kommunes fagsystemer

Heim kommune har alminnelige sikkerhetslogger i sine arkiv- og fagsystemer og den enkelte behandlingsansvarlig er delegert ansvaret for oppfølging av dette. Det er de ansattes bruk av fagsystemet som blir registrert her, og det finnes egne rutiner for sjekklister og kontrolltiltak i det enkelte fagsystem.
Det rettslige grunnlaget for slike logger er kravet om logger i GDPR Artikkel 32, for å ivareta virksomhetens sikring av andre informasjonsverdier enn personopplysninger.

Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer.

 

Videoovervåking

Kommunen har et system for utendørs videoovervåking av kommunal eiendom (GDPR Artikkel 61.f)). Formålet er å sikre bygningsmasse mot ildpåsettelse, hærverk og innbrudd. Sektorleder Teknisk er delegert behandlingsansvarlig for systemet, og personell ved enheten er delegert systemansvaret.

 

Innsynsrett

Alle har rett til å kreve innsyn i offentlige dokumenter, journaler, registre og liknende. Alle kommunale saksdokumenter er offentlige hvis det ikke er gjort unntak som er hjemlet i lov. Ved informasjon som unntas fra offentlighet plikter kommunen å vurdere om informasjonen likevel bør kunne gjøres helt eller delvis kjent.
Heim kommune bruker elektronisk skjema for innsynsbegjæring (link åpnes i nytt vindu). Man kan også sende en epost til postmottak@heim.kommune.no eller kontakte Ekspedisjon, Heim rådhus.

 

Innsyn i egne opplysninger

Alle som er registrert i en av Heim kommunes systemer har rett til å be om innsyn i egne opplysninger. Ved krav om innsyn utleveres personopplysninger i henhold til offentlighetsloven ,forvaltningsloven og personopplysningsloven.

 

Partsinnsyn

Med få unntak får alle se opplysninger som gjelder en selv. Familiemedlemmer eller andre har kun rett til partsinnsyn dersom det forevises skriftlig fullmakt fra personen det gjelder.

 

Interne dokumenter

Du kan nektes innsyn i interne dokumenter, men som hovedregel skal du likevel få innsyn i saksliste eller saksdokumenter til kommunestyre eller annet kommunalt folkevalgt organ, dokumenter til/fra kommunens kontrollutvalg, klagenemnd eller kommunal revisjon, og dokumenter til/fra enheter i administrasjonen som har selvstendig avgjørelsesmyndighet for saken dokumentet gjelder.

 

Kriterier/vilkår

Det kan være en fordel for behandlingen om søknad om innsyn inneholder en presisering av hvilken hjemmel som påberopes for kravet. Innsyn i dokumenter til og fra Heim kommune bestilles via elektronisk skjema for generell henvendelse eller ved å sende e-post til kommunens postmottak. Ved begjæring om innsyn i personopplysninger ber vi deg om å se Datatilsynets veileder for innsynsbegjæring.

Tjenesten er i utgangspunktet gratis, men enkelte unntak finnes. Dette vil du få informasjon om i det enkelte innsynskrav.

 

Retting og sletting

Heim kommune plikter på selvstendig grunnlag å slette personopplysninger som ikke lenger er relevante for behandlingen. Dette selv om opplysningene ikke er feilaktige eller mangelfulle, og innen rimelig tid.

I henhold til GDPR Artikkel 13 har alle som er registrert i en av Heim kommunes systemer har rett til å kreve at uriktige eller ufullstendige opplysninger blir rettet eller supplert, og at opplysninger kommunen ikke har adgang til å behandle blir slettet. Krav om retting eller sletting rettes til kommunens postmottak, og skal besvares kostnadsfritt innen 30 dager.

Plikten til å slette personopplysninger er i noen tilfeller begrenset av annet lovverk som regnskapsloven og arkivloven. Det kan også gjøres unntak fra sletteplikten for data som lagres for historisk, vitenskapelig eller statistisk formål. Hvis du får avslag på et krav om innsyn i opplysninger, kan du sende en klage på dette til Statsforvalteren.

 

Annen relevant lovgivning

I tillegg til personopplysningsloven har blant annet følgende lover betydning for Heim kommunes behandling av personopplysninger:

Offentleglova med forskrifter inneholder reglene for når et dokument er offentlig tilgjengelig for allmennheten, og når et dokument kan unntas offentlighet. Heim kommune praktiserer meroffentlighet, det vil si at kommunen så langt det er mulig etterstreber at dokumenter skal være offentlige.

Forvaltningsloven inneholder saksbehandlingsregler for hvordan saken din vil bli behandlet i Heim kommune. Som part i saken har du særskilte rettigheter, bl.a. om innsyn i sakens dokumenter.

Arkivloven inneholder regler om hvordan sakens dokumenter skal oppbevares, herunder om lagring i arkivinstitusjon.

 

Kontakt

Kontaktinformasjon

Personvernombud: Eirik Johansen

E-post: eirik.johansen@heim.kommune.no

E-post: post@heim.kommune.no

Telefon: +47 72 46 00 00
Postadresse: Trondheimsveien 1, 7200 Kyrksæterøra

Personvernombudet har taushetsplikt.

Personvernforordningens artikkel 38, punkt 4, slår fast at «de registrerte kan kontakte personvernombudet angående alle spørsmål om behandling av deres personopplysninger og om utøvelsen av de rettighetene de har i henhold til denne forordning».