Hjemmel for Behandling av Personopplysninger
I samsvar med personopplysningsloven kan kommunen opprette personalregistre for behandling av personopplysninger. Behandlingen av slike opplysninger er hjemlet i § 8, som angir at personopplysninger (jf. § 2 nr. 1) kun kan behandles dersom den registrerte har gitt samtykke, det er lovfestet at slik behandling er tillatt, eller behandlingen er nødvendig for å ivareta spesifikke formål. Når behandlingen følger bestemmelsene i personopplysningsforskriften § 7-16, er den unntatt fra både konsesjonsplikt og meldeplikt.
Offentlighetsvurdering
Offentlighet i personalarkivet skal vurderes i henhold til bestemmelsene i Lov om rett til innsyn i dokumentasjon i offentlig virksomhet (offentleglova). I henhold til § 11 i offentleglova er kommunen forpliktet til å vurdere meroffentlighet i tilfeller hvor opplysninger kan unntas fra offentligheten.
| TYPE SAK
|
TILHØRENDE SAK
|
ARKIVDEL
|
MERKNADER
|
| Tilsetting
|
Arbeidsavtale Taushetserklæring
|
Personalarkiv
|
|
| Attester, vitnemål og ansiennitet
|
Fremlagte attester Vitnemål Andre dokumenter som har betydning for ansiennitetsberegning
|
Personalarkiv
|
Gjelder dokumentasjon som oppstår etter ansettelsen. Saken følger arkivperioden.
|
| Politiattest
|
X-notat som bekrefter at attesten er mottatt.
|
Personalarkiv
|
Selve attesten skal ikke skannes inn i systemet. Oppbevares etter gjeldende regler.
|
| Permisjoner som strekker seg over lengre periode
|
Søknad Svar
|
Personalarkiv
|
Permisjoner som har innvirkning på lønn, pensjon og/eller ansiennitet.
|
| Godtgjørelser
|
Lokale avtaler/særavtaler iht. særskilte arbeidsoppgaver
|
Personalarkiv
|
|
| Støtte til videre-/etterutdanning
|
Søknad m/ dokumentasjon Svar avtale om bindingstid
|
Personalarkiv
|
|
| Omplasseringer -Arbeidstakers initiativ
|
Svar
|
Personalarkiv
|
|
| Ommplasseringer – arbeidstakers initiativ
|
Vedtak
|
Personalarkiv
|
|
| Arbeidsbekreftelse
|
Arbeidsbekreftelse
|
Personalarkiv
|
Skrives av personalavdeling og beskriver hvor vedkommende har jobbet fra til dato.
|
| Konstituering / Steds fortreder
|
Tilbud/beordring Svar
|
Personalarkiv
|
|
| Oppsigelse
|
Oppsigelse Svar Sluttsamtale Sluttattest
|
Personalarkiv
|
Kan være begrunnet i den ansattes forhold eller i virksomhetens forhold.
|
| Oppdragsavtaler og lignende
|
Signert oppdragsavtale
|
Personalarkiv
|
Eksempel: Oppdragsavtaler og avtaler med fritidskontakt, tilsynsfører, støttekontakt, besøkshjem, fosterhjem osv. Dokumentet skal ikke røpe klientforhold.
|
| Lærlinger
|
Tilbud Svar Arbeidsavtale ut Signert avtale inn Taushetserklæring Politi- og tuberkuloseattest Oppmelding fag/svenneprøve
|
Personalarkiv
|
Midlertidig ansettelse
|
| Assistenter
|
Arbeidsavtale Taushetserklæring
|
|
Vanlig ansettelsessak, men dersom kommunen inngår avtale om at andre virksomheter skal være arbeidsgiver for assistene f.eks. ULOBA, ligger arkiveringsplikten hos disse.
|
Innsyn
Krav om innsyn i personalsaker behandles etter reglene for partsinnsyn i forvaltningslovens §§ 18-20 og innsynsbestemmelsene i personopplysningsloven § 18. Ansatte har som hovedregel rett til innsyn i egne saker. Innsyn skal gis i samarbeid med virksomhetsleder eller annet kvalifisert personell. En oversikt over eksisterende saker og journalposter skal gis, og den som ønsker innsyn må spesifisere hvilke saker de ønsker innsyn i.
Sikkerhet
Sikkerheten for personopplysninger er regulert av personopplysningslovens §§ 13 og 14 om informasjonssikkerhet og internkontroll. Personopplysningsforskriften kapittel 2 inneholder detaljerte sikkerhetsbestemmelser som gjelder for behandling av personopplysninger som skjer helt eller delvis med elektroniske hjelpemidler. Behandling av sensitive personopplysninger stiller strengere krav enn andre typer personopplysninger. Sensitive personopplysninger er definert i § 2 i loven som:
a) Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning
b) At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling
c) Helseforhold
d) Seksuelle forhold
e) Medlemskap i fagforeninger
Sikkerhetsrutiner:
- Personopplysninger og saksdokumenter skal ikke produseres eller lagres på private datamaskiner eller flyttbare medier.
- Alle dokumenter skal registreres og produseres i sak-/arkivsystemet.
- Opplysninger som er unntatt offentlighet skal ikke sendes på e-post.
- Maskiner med tilgang til sak-/arkivsystemet skal aldri forlates uten at tilgangen låses.
- Ved bruk av hjemmekontor skal tekniske sikkerhetsløsninger være tilfredsstillende.
- Ved utskrift skal det velges riktig skriver, og utskriftene skal hentes umiddelbart.
I henhold til personopplysningsloven skal vi gjennomføre følgende tiltak:
- Utarbeide sikkerhetsmål og en sikkerhetsstrategi.
- Foreta risikovurderinger, som inkluderer muligheten for uautorisert tilgang til systemet, bruk av eksterne medier, og hvem som har tilgang til sensitive områder som skannere.
- Sammenligne risikovurderinger med akseptabelt risikonivå og iverksette nødvendige sikkerhetstiltak.
Sikkerhetstiltak:
- Tilgang til systemet skal kun være mulig i internt nettverk bak brannmur.
- Autorisasjon skal gis av leder, og systemansvarlig tildeler tilgang i sak-/arkivsystemet basert på tjenstlige behov.
- Det skal alltid være pålogging av autoriserte personer, inkludert kursmaskiner.
- Dokumenter unntatt offentlighet skal stoppes automatisk med varsling i systemet ved forsøk på elektronisk ekspedering.
- Tilgang til skanner og skannermapper gis av arkivtjenesten/arkivleder.
- Nettverksinnstillinger skal være satt opp slik at det ikke er mulig å velge skrivere utenfor egen virksomhet.
Saksbehandlere skal følge disse sikkerhetsrutinene:
- Utlån av bruker-ID/passord skal ikke forekomme.
- Datamaskiner skal ikke forlates uten at de er låst.
- Dokumenter skal ikke lagres på eksterne medier.
- Personopplysninger skal kun lagres i sak-/arkivsystemet.
- Utskrifter skal hentes umiddelbart.
Dokumentasjon av informasjonssystemet og informasjonssikkerheten:
Kommunen må ha et system som sikrer at kravene i personopplysningsloven blir oppfylt. Ansatte som behandler personopplysninger skal ha kjennskap til gjeldende behandlingsregler, ha tilgang til oppdatert dokumentasjon for gjennomføring av rutinene, og ha denne dokumentasjonen tilgjengelig for innsyn.
