Personvernerklæring for digitale skjema

Denne personvernerklæringen forteller hvordan Holmestrand kommune samler inn og bruker personopplysninger i forbindelse med utfylling og innsending av digitale skjema. Målet er å gi deg overordnet informasjon om vår behandling av personopplysningene.

Kommunedirektøren er behandlingsansvarlig for kommunens behandling av personopplysninger. Det daglige ansvaret for de forskjellige behandlingene er delegert. Delegeringen omfatter kun oppgavene, ikke ansvaret.
Kommunen har en egen informasjonssikkerhetsansvarlig som er delegert det daglige ansvaret for informasjonssikkerhet på overordnet nivå i kommunen.
Holmestrand kommune er ansvarlig for at all behandling av personopplysninger er i tråd med ny personvernforordning GDPR) som ble del av norsk lov 20.07.18.
Det vil si at opplysningene skal behandles på en slik måte at de ivaretar kravene til:

  • Konfidensialitet (at data kun skal være tilgjengelig for autoriserte personer og prosesser)
  •  Integritet (at data er nøyaktige, fullstendige og gyldige)
  • Tilgjengelighet (krav til service- alle berettigede krav om tilgang til korrekt informasjon dekkes ved behov)
  • Opplysningene må være korrekte, oppdaterte, relevante og tilstrekkelige.

Kommunen skal også sikre at det foreligger internkontroll som viser at oppgavene blir utført i samsvar med personvernforordningen og regler gitt i henhold til loven.
Hvis ikke annet er oppgitt, lagres alle opplysninger som kommunen samler inn i systemer som kommunen har databehandleravtale med. Disse databehandleravtalene regulerer hvordan databehandler skal ivareta personopplysningen og også informasjonssikkerheten. Tilgang til systemene er begrenset til de som har tjenstlig behov for det. IKT-leverandøren ivaretar behovet for fysisk og teknisk sikring.

Formål og rettslig grunnlag for å behandle personopplysningene

Alle personopplysninger som Holmestrand kommune behandler, skal ha et behandlingsgrunnlag. I de fleste tilfeller er dette grunnlaget hjemlet i lovverk som omhandler levering av våre tjenester.
Personopplysningene du blir bedt om å oppgi i skjema gjør det mulig for oss å saksbehandle din henvendelse. De skal kun benyttes til det gitte formålet, og dersom kommunen ønsker å benytte de innsamlede opplysningene til noe annet, skal du informeres og kunne gi ditt samtykke til dette eller ikke. Personopplysninger skal ikke lagres lenger enn det som er nødvendig for vår tjenesteytelse overfor deg, hvis ikke lagring er regulert av annet lovverk.

Hvor hentes personopplysningene fra? 

I mange skjemaer vil du bli bedt om å logge inn med ID-porten eller oppgi fødselsnummer. Dette er fordi vi ønsker å gi digitalt svar på henvendelser (via SvarUt) og at vi i mange tilfeller må være sikre på at søker og/eller mottaker av digital post er riktig person. Fødselsnummer vil aldri vises på offentlig tilgjengelige dokumenter.
Når du logger inn med ID-porten kan opplysninger om deg bli innhentet fra offentlige registre (Folkeregisteret, Brønnøysundregisteret, Kontakt- og reservasjonsregisteret).

Lagring av opplysninger

Dersom du logger deg på med e-post/ID-porten kan du når som helst velge å lagre og så avbryte utfyllingen. I noen skjemaer vil du kunne fortsette utfyllingen senere Opplysningene du har tastet inn vil i så fall ligge lagret på vår server, men vil ikke være tilgjengelige for mottaker før du bestemmer deg for å sende inn søknaden.  
Opplysningene du oppgir i skjema skal ikke lagres i våre arkiv lengre enn det som er nødvendig ut fra formålet de er blitt brukt til. Vi har plikt til å oppbevare opplysninger lengre der arkivlov eller annen lovgivning stiller krav til det. Når opplysningene ikke lenger er nødvendige vil de bli slettet, gjort anonyme eller gjort om til ikke-identifiserende opplysninger.
Din brukerprofil på Min side blir lagret i våre systemer på ubestemt tid, inntil du selv foretar sletting av din brukerprofil. Brukerprofilen består av: navn, adresse, e-postadresse og telefonnumre.

Utlevering av opplysninger til tredjepart

Dersom det foreligger lovbestemt opplysningsplikt overfor andre, vil aktuelle registrerte personopplysninger bli overlevert i henhold til myndighetenes krav. Relevante personopplysninger kan utleveres til tredjeparter som Holmestrand kommune samarbeider med, for at vi skal kunne utføre de oppgaver og tjenester vi er pålagt å utføre.

Sikkerhet

Alle opplysninger du oppgir overføres over «sikker kryptert linje» (SSL) fra din enhet til våre systemer. Løsningen tilsvarer sikkerheten som brukes i nettbankene. Vi gjør risikovurderinger og sikkerhetstiltak for å sikre at opplysningene ikke kommer på avveie, ikke endres og at de er tilgjengelig for våre saksbehandlere. Vi har også plikt til å gi deg beskjed dersom vi skulle oppleve brudd på sikkerheten.
For å kunne gi digitalt svar på innsendt henvendelse bruker vi sikker digital post, som er godkjent for forsendelser med personsensitivt innhold.

Retten til innsyn i personopplysninger

Enhver som ber om det, uavhengig av om vedkommende er registrert i kommunen, skal få vite hva slags behandling av personopplysninger kommunen foretar, og kan kreve å få følgende informasjon om en bestemt type behandling:

  • Navn og adresse på rådmannen som er behandlingsansvarlig i kommunen.
  • Hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter
  • Formålet med behandlingen
  • Beskrivelser av type personopplysninger som behandles
  • Hvor opplysningene er hentet fra, og om opplysningene vil bli utlevert, og eventuelt hvem som er mottaker.

Den som er registrert, kan i tillegg be om innsyn i:

  • Hvilke opplysninger om den registrerte som behandles, og
  • Sikkerhetstiltakene ved behandlingen så langt ikke innsyn svekker sikkerheten.

Den registrerte kan kreve at rådmannen utdyper informasjonen i den grad dette er nødvendig for at den registrerte skal kunne ivareta egne interesser.
Retten til innsyn og informasjonsplikten gjelder ikke dersom opplysningene:

  • Er underlagt lovbestemt taushetsplikt
  • Må hemmeligholdes av hensyn til etterforskning av straffbare handlinger
  • Behandles til historiske, statistiske eller vitenskapelige formål og behandlingen ikke får noen direkte betydning for den registrerte.

En innsynsbegjæring, med henvisning til GDPR, ny personopplysningslov, skal behandles så snart som mulig og senest 30 dager etter henvendelsen ble mottatt. Innsyn er gratis.
Hvis denne fristen overskrides, er det å forstå som avslag og kan påklages. Påklages avslaget, må skriftlig begrunnelse for avslaget gis av saksbehandler innen ti dager.
Leder eller eventuelt saksbehandler skal vurdere om rådmannen skal informeres om innsynsbegjæringen. Momenter som må tenkes igjennom, er om saken kan få stor oppmerksomhet, hvorvidt den er viktig for hele organisasjonen, omdømme eller lignende.

Retting og sletting av personopplysninger

Holmestrand kommune plikter på selvstendig grunnlag å slette personopplysninger som ikke lenger er relevante for behandlingen. Dette selv om opplysningene ikke er feilaktige eller mangelfulle, og innen rimelig tid.
I henhold til personvernforordningenes artikkel 16 og 17 har alle som er registrert i en av Holmestrand kommunes system rett til å kreve at uriktige eller ufullstendige opplysninger rettet eller supplert, og at opplysninger kommunen ikke har adgang til å behandle blir slettet. Krav om retting og sletting rettes til kommunens postmottak og skal besvares kostnadsfritt innen 30 dager.