Stor teknologisk utvikling fører til at personopplysningane våre kjem inn i applikasjonar og nettstader, på tvers av landegrensene. Denne utviklinga medførte at det vaks fram eit behov for sterkare beskyttelse av personopplysningane, og dette er bakgrunnen for GDPR. GDPR står for General Data Protection Regulation, og er ei forordning frå EU som gir reglar om vern av fysiske personar i samband med behandling av personopplysningar og om fri utveksling av personopplysningar.
GDPR gjeld alle innafor EU/EØS, og andre som utvekslar personopplysningar om personar innanfor EU/EØS.

I juli 2018 fekk Norge ei ny personopplysningslov. Denne lova består av nasjonale reglar og EU si personvernforordning (GDPR). Med lova vart det strengare krav til dokumentasjon og risikovurderingar for verksemder og rettigheitene til dei som får sine opplysningar registrert er blitt styrka.

Dei nye reglene inneber blant anna:

• Meir åpenheit knytt til innsamling og bruk av personopplysningar. Den som skal bruke personopplysningar skal gi klar og tydeleg informasjon om korleis opplysningane skal brukast.
• Bruk av personopplysningar skal vere begrunna og avgrensa. Det er ikkje lov å samle inn eller lagre personopplysningar utan klart føremål.
• Uriktige eller ufullstendige opplysningar skal rettast, og opplysningar som det ikkje lenger er behov for, skal slettast.

Å «behandle personopplysningar» vil seie å samle inn opplysningar, registrerer dei, sete opplysningane saman, lagre dei eller utleverer dei.

Giske kommune sitt føremål med behandling av personopplysningar er å utføre våre lovpålagte oppgåver og teneste, samt å kunne behandle kontakt frå deg (førespurnad, brev, søknad etc).
Dersom kommunen ønsker å behandle personopplysningar som ikkje er nødvendige for å utføre våre lovpålagte oppgåve, vil du bli informert om at det er frivillig å gi frå seg opplysningane og kva som er føremålet med behandlinga av personopplysningane. (f.eks. ved spørreundersøkelser)

Giske kommune behandlar ulike type personopplysningar:

• Kontaktopplysningar som navn, adresse, telefonnummer, e-postadresse.
• Opplysningar som er nødvendige for å identifisere deg, som fødselsnummer, d-nummer, kjønn, statsborgerskap
• Opplysningar om dine relasjoner til andre, eksempelvis navn på ektefelle, samboar, barn, sivilstatus
• Helseopplysninger som diagnose, medisinar
• Opplysningar knytt til dei tenestene som du som innbyggjer nyttar, eksempelvis barnehage, skule, byggesak, renovasjon m.m.

Ei personopplysning kan definerast som

«Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»)»
 

Kommunen kan berre behandle personopplysningar som er knytt til gitte føremål, og ein har ikkje lov til å behandle fleire opplysningar enn nødvendig (formålsbegrensing). Nokre opplysningar er det ein kallar sensitive personopplysningar (til dømes opplysning om religion, fagforeiningsmedlemskap, helseopplysningar). Behandling av sensitive personopplysningar er strengare med tanke på grunnlag for behandling.

Du kan lese mer på Datatilsynet sine sider om kva som blir rekna som personopplysning og sensitive personopplysning.

• Direkte frå deg
• Frå offentlege registre

Ein del personopplysningar får vi direkte frå innbyggjar, til dømes ved søknad om teneste. Opplysningane kan og vere henta gjennom skulegang, opphald på instistusjon, tilsettingsforhold i kommunen mm.

Vi hentar og opplysningar frå andre offentlege myndigheiter eller nasjonale register, slik som folkeregisteret, Skatteetaten, Nav eller eigedomsregisteret (matrikkel). I dei tilfelle der opplysningane vert henta frå slike registre, vert dette gjort med grunnlag i lov eller forskrift, eller med ditt samtykke.

Alle som skal behandle personopplysningar må ha eit rettsleg grunnlag. Dette blir gjerne omtalt som «behandlingsgrunnlag». For Giske kommune vil det kunne vere at vi skal kunne utføre våre teneste, det kan vere at vi er forplikta gjennom avtale eller at vi skal utøve offentleg mynde. Dette gjeld overfor deg som innbyggjar, men også i relasjon til kommunen sine tilsette, foreiningar, verksemder og andre samarbeidspartar. 

I nokre tilfelle kan kommunen behandle personopplysningar om deg basert på ditt samtykke. Du vil i slike tilfelle bli informert om kva behandlinga går ut på og aktivt bli bedt om å samtykke.  Du kan når som helst trekke ditt samtykke til behandling av personopplysningar tilbake.

Meir om grunnlaget for å kunne behandle personopplysningar:

GDPR er del av Personopplysningsloven, som ilag med andre lover og forskrifter er med å regulere kommunen si behandling av personopplysninger.

• Offentleglova med forskrifter inneheld reglar for når eit dokument skal vere offentleg tilgjengeleg for ålmenta (publikum), og når eit dokument skal vere unntatt offentligheita. Dokument som ikkje er unntatt er tilgjengeleg i offentleg journal på heimesida.
• Forvaltningsloven inneheld saksbehandlingsreglar for korleis saka di vil bli behandla. Som part i saka har du særskilte rettigheiter, blant anna om innsyn i saksdokumenta.
• Arkivloven inneheld blant annet reglar for korleis dokument skal lagrast, samt avlevering til arkivinstitusjon.
• Opplæringsloven inneheld reglar om blant anna innsamling, bruk og lagring av opplysningar til bruk i grunnskulen og ungdomsskulen.
• Helseregisterloven inneheld reglar for forsvarleg behandling av personopplysningar i samband med behandling av helseopplysningar til å fremme helse, forebygge sjukdom og skade, samt å betre helse- og omsorgstenestene.
• Pasientjournalloven gir reglar for å sikre at helsepersonell får raskt og effektivt tilgang til opplysningar for å yte helsehjelp, samstundes som ein skal ta i vare pasientar og brukerar sitt personvern, pasientsikkerheit og rett til informasjon og medverknad.

Andre aktuelle lover som gir kommunen grunnlag til å behandle personopplysninger er:

• Kommuneloven
• Arbeidsmiljøloven
• Barnevernloven
• SosialhelsetjenestelovenHelse- og omsorgstjenesteloven Helsepersonelloven
• FolketrygdlovenNav-loven Regnskapsloven
• E-kom loven

GDPR er ei forordning frå EU. Det vil seie at lovteksten er lik i alle EU og EØS-land. EU-retten baserer seg på nokre prinsipp, blant anna det som blir kalla Forrangsprinsippet. Forrangsprinsippet inneber at det ved motstrid vil vere EU-retten som går foran nasjonal rett (EØS-loven §2).

I kommunen nyttar vi elektroniske fagsystem når vi saksbehandler eller dokumenterer at vi utfører tenester.

Vi beskytter opplysningene på ulike måtar, til dømes gjennom brannmurar og ved å kontrollere kven som har tilgang til bygningane og systema våre. Det er kun tilsette som arbeider med di sak, eller som skal kunne bistå i di sak, som skal ha tilgang til dine opplysningar.
ei tilsette skal kun gjere dette når det er nødvendig for å utføre arbeidsoppgåvene, og Giske kommune kan kontrollerer dei tilsette si behandling av personopplysninger i datasystema våre. Alle tilsette i kommunen skal ha opplæring i korleis personopplysninger skal bli behandla.

Ved enkelte høve vil dine personopplysningar bli delt med andre. Det kan vere samarbeidsorgan som til dømes NAV, Husbanken eller andre som vi har plikt til å gje informasjon til. I ein del tilfelle gjeld det og lovpålagt rapportering, som til dømes rapportering til helseregister eller elevresultat i nasjonale prøver.

Opplysningane vi har registrert om deg er aktive så lenge vi gjer deg tenester eller behandlar saka di. Etter det vert opplysningane overført til arkivet. Vi må kunne dokumentere kva tenester vi har gitt deg eller kva som har skjedd i saka di. Det er lovene som bestemmer kor lenge vi må bevare desse opplysningane. Ein del av opplysningane skal etter lova bevarast til evig tid, og kan ikkje slettast.

Gjennom våre elektroniske løysingar vil ein del informasjon kunne overførast til eksterne mottakarar, som til dømes, sjukehus, NAV, Utdanningsdirektoratet m.fl. Dette vil kun skje når kommunen har lovbestemt plikt til å utlevere slike opplysningar, og kun til det formålet opplysningane er meint til.

Opplysningane vert og behandla av nokre av våre IKT-leverandørar. I slike tilfelle er det inngått databehandlaravtale med leverandørane for å sikre at desse behandlar opplysningane i samsvar med personopplysningslova.

Opplysningane vi har registrert om deg er aktive så lenge vi gjer deg tenester eller behandlar saka di. Etter det vert opplysningane overført til arkivet. Vi må kunne dokumentere kva tenester vi har gitt deg eller kva som har skjedd i saka di. Det er lovene som bestemmer kor lenge vi må bevare desse opplysningane. Ein del av opplysningane skal etter lova bevarast til evig tid, og kan ikkje slettast.

Når nettstaden giske.kommune.no vert brukt, lagrast enkelte opplysningar om dette på brukaren sin datamaskin i små tekstfilar, kalt informasjonskapslar (engelsk: «cookies»).

Våre nettsider nyttar informasjonskapslar. Formålet med vår bruk av cookies er å innhente statistikk og informasjon om korleis våre besøkande brukar nettsidene våre, slik at vi kan gje mest mogeleg relevant informasjon og ein best mogeleg brukaroppleving i framtida.

Ved å gå inn og hente informasjon og/eller nytte tenester på våre nettsider, samtykker du i at det vert sett inn informasjonskapslar i din nettlesar - i og med at dei fleste nettlesarane er innstilt slik at dei automatisk aksepterar cookies

Du kan lese meir om nettsida vår her:

Vi lagrar opplysningar om deg når du sender oss e-post direkte. E-posthenvendinga blir mottatt av vårt postmottak som tar stilling til om e-posten skal bli journalført eller ikkje.  Dersom den skal det, blir e-posten overført til vårt arkivsystem. Dersom e-posten ikkje skal bli journalført, blir den sendt vidare til rette vedkommande som tar kontakt med deg.

Vi gjer deg merksam på følgjande: Henvendingar som du sender direkte via e-post blir ikkje sendt kryptert. Vi oppfordrar deg difor om ikkje å nytte e-post til å sende opplysingar som er underlagt teieplikt eller som er sensitive eller fortrulege.

Behandlingsansvarleg er den som bestemmer formålet med behandlinga av personopplysningane. Det daglege ansvaret ligg til einingane i kommunen. Kommunedirektøren er øverste ansvarleg for behandling av personopplysninger.

Når du er registrert i våre registre, har du rettar som følgje av personopplysningslova og andre lover.

• Innsyn i eigne opplysningar
  Når kommunen behandlar opplysninger om deg, skal du som registrert i våre system kunne få vite kva konkrete personopplysningar vi behandlar om deg, kor opplysningane er henta frå, til kva formål personopplysningane blir brukt, og om dei er utlevert til andre og eventuelt kven.

• Retting av opplysningar
  I utgangspunktet skal vi på eige initiativ rette feil, utdaterte eller ufullstendige opplysninger. Men dersom du oppdagar feil ønsker vi at du tek kontakt med oss. Dersom opplysningane er henta frå andre offentlege aktørar, må du henvende deg til desse for å få retta dine opplysningar. Døme på dette er Skatteetaten eller Kartverket.

• Sletting / begrensing av personopplysningar
  Vi skal slette opplysninger som ikkje lenger er nødvendige for det føremålet vi samla dei inn. Dersom du meiner kommunen registrerer informasjon om deg som ikkje er nødvendig, kan du be om at denne informasjonen blir slettet. Det same gjeld dersom du meiner kommunen registrerer fleire opplysningar enn det som er nødvendig for føremålet. Merk at rett til å få sletta personopplysningar ikkje gjeld dersom desse er arkivpliktige eller vi har plikt til å ta vare på dei i forhold til eventuelle komande rettskrav.

Innsyn i personopplysninger

Du kan ta kontakt med kommunen og be om å få innsyn i dine personopplysninger. Vi vil då be deg om å stadfeste identiteten din eller å gi ytterligare informasjon før vi let deg ta i bruk dine rettar. Dette gjer vi for å vere sikre på at du er den du er, og at ingen andre gir seg ut for å vere deg.

Dersom du ber om innsyn, retting og / eller sletting, så er dette gratis, med mindre det du ber om er tydeleg grunnlause eller overdrevne.
I ein del tilfelle kan du ha rett til å få overført dine personopplysningar frå oss og over til andre. Dette blir kalla retten til dataportabilitet. Merk at det finns fleire unntak frå denne regelen. Retten gjeld kun opplysningar du har gitt til oss, og mellom anna gjeld retten ikkje dersom vi behandlar personopplysningane for å utføre offentleg mynde.

Rett til å klage

Hvis du meiner at vår behandling av personopplysninger ikkje stemmer med det vi har skrive her eller at vi på andre måter bryt personvernlova, så kan du kontakte med oss. Dersom vår respons ikkje gir dei svara du treng, kan du ta kontakt med vårt personvernombud.
Du har også muligheit til å klage til Datatilsynet. Datatilsynet sine nettsider: www.datatilsynet.no

Giske kommune har inngått avtale med Interkommunalt arkiv i Møre og Romsdal (IKA) om kjøp av tenesta personvernombud. 

Personvernombudet rettleier kommunane slik at personopplysningar blir behandla på ein god måte og i tråd med regelverket. Personvernombudet skal og bistå deg med å ivareta dine rettar, og vere bindeledd mellom deg og kommunen dersom du har behov for hjelp til å sikre dine rettar.
Du kan kontakte personvernombodet på tlf  412 65 037 eller epost karen.gurskevik@ikamr.no

Kommunen sin kontaktperson for personvernombudet i IKA er Torill Valderhaug, rådgiver kvalitet og innovasjon, tlf 417 02 320, epost tval@giske.kommune.no.