Hopp til hovedinnhold

Personvern

​Erklæring om hvordan vi samler inn og bruker personopplysninger.

Publisert 07.01.2019

Riksrevisjonen, ved daglig leder (riksrevisor), er behandlingsansvarlig for virksomhetens behandling av personopplysninger. Der det daglige ansvaret er delegert, kommer det fram under hvert enkelt punkt.

Delegeringen omfatter kun oppgavene og ikke ansvaret. Erklæringen inneholder opplysninger du har krav på når det samles inn opplysninger fra nettstedet vårt og generell informasjon om hvordan vi behandler personopplysninger.

Behandling av personopplysninger i forbindelse med revisjons- og kontrollarbeidet

Riksrevisjonen innhenter og behandler personopplysninger i forbindelse med revisjons- og kontrollarbeidet. Hjemmel for slik behandling av personopplysninger er lov om riksrevisjonen § 17, 1.ledd.

Det fremkommer av lov om riksrevisjonen § 17, 2. ledd at Riksrevisjonen er unntatt fra artiklene 15, 16, 17, 18, og 19 i personvernforordningen. Dette er bestemmelser om rett til korrigering, rett til sletting, rett til begrensning av behandling og bestemmelse om underretningsplikt.

Behandling av personopplysninger på www.riksrevisjonen.no

Søk

Vi lagrer informasjon om hvilke søkeord brukerne benytter på vårt nettsted via Google Analytics. Formålet med lagringen er å gjøre informasjonstilbudet vårt bedre. Bruksmønsteret for søk blir lagret i aggregert form. Det er bare søkeordet som lagres, og de kan ikke kobles til andre opplysninger om brukerne, slik som til IP-adresser.

Trafikkanalyse

Som en viktig del av arbeidet med å lage et brukervennlig nettsted, ser vi på brukermønsteret til de som besøker nettstedet. For å analysere informasjonen bruker vi analyseverktøyet Google Analytics.

En IP-adresse er definert som en personopplysning fordi den kan spores tilbake til en bestemt maskinvare og dermed til en enkeltperson. Vi anonymiserer brukerens IP-adresse før informasjonen lagres og bearbeides av Google. Dermed kan ikke denne brukes til å identifisere den enkelte brukeren.

Google Analytics bruker informasjonskapsler (cookies) (små tekstfiler som nettstedet lagrer på brukerens datamaskin). Disse gir informasjon om den enkelte brukers bevegelser på nett. Eksempler på hva statistikken gir oss svar på, er hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes.

Data knyttet til informasjonskapsler slettes automatisk senest 14 måneder etter registering. Du kan selv administrere bruken av informasjonskapsler i nettleseren din.

Informasjonen som samles inn av Google Analytics lagres på Googles servere i USA. Mottatte opplysninger er underlagt Googles retningslinjer for personvern.

Spørreundersøkelser

Riksrevisjonen bruker Questback til å gjennomføre undersøkelser. Vi vil alltid informere om formålet med spørreundersøkelsen, hvorvidt den er anonym eller ikke og hjemmel for behandling av personopplysninger i denne sammenheng. I noen tilfeller vil Riksrevisjonen overlate til andre å behandle informasjonen, og det vil da bli inngått egen databehandleravtale.

Saksbehandling og arkiv

Riksrevisjonen bruker Public360 arkiv- og saksbehandlersystem med elektronisk journalføring og elektronisk lagring av dokumenter. Public 360 er et arkiv- og saksbehandlingssystem fra leverandøren Tieto som følger offentlige standarder (NOARK). Arkivleder er delegert det daglige ansvaret for systemet og manuelt arkiv, og at det er utarbeidet nødvendige rutiner for bruk av dette. Respektive avdelingsdirektører følger opp at den faktiske saksbehandlingen er i samsvar med rutinene.

Riksrevisjonen behandler personopplysninger for å oppfylle tilsynets lovpålagte oppgaver etter bl.a. riksrevisjonsloven, personopplysningsloven, forvaltningsloven, offentlighetsloven og arkivloven.

Det registreres ulike typer personopplysninger i arkiv- og saksbehandlingssystemet. Dette er opplysninger som navn, adresse, telefonnummer, e-postadresse (grunndata) og annen relevant informasjon som fremgår av henvendelsen. Registrering, lagring og oppbevaring skjer i henhold til arkivlovgivningen. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger. Som en del av den pålagte saksbehandlingen innhenter Riksrevisjonen i noen tilfeller opplysninger fra andre etater på eget initiativ etter lovhjemmel.

Ved krav om innsyn utleveres personopplysninger i henhold til offentlegova og forvaltningsloven.

Det er etablert særlige sikkerhetstiltak og rutiner for svært beskyttelsesverdig informasjon i arkivet, som for eksempel sensitive personopplysninger.

Selskapet Iron Mountain oppbevarer den delen av Riksrevisjonens historiske arkiv som ikke er avlevert til Riksarkivet. Samarbeidet er regulert av en databehandleravtale. Iron Mountain utleverer ikke opplysninger til tredjeparter.

Riksrevisjonen er pålagt å gjøre sine offentlige postjournaler tilgjengelig for allmennheten på Internett. En journal er systematisk og fortløpende registrering av alle inngående og utgående saksdokumenter. Journalene gjøres tilgjengelig på Riksrevisjonens nettsider.

Datalast

Datalast er en nettbasert løsning som sikrer kryptert og sporbar overføring av filer fra og til Riksrevisjonen. Aktiviteten i Datalast blir logget. Loggene er beskyttet og vil bare kunne leses av utvalgt personell. De vil bli slettet etter en viss tid. 

E-post og telefon

Riksrevisjonen benytter e-post og telefon som en del av det daglige arbeidet. Avdelingsdirektøren i seksjonen der e-posten eller telefonsamtalen mottas har det daglige ansvaret for behandlingen av personopplysninger i denne sammenheng. Relevante opplysninger som fremkommer av telefonsamtaler og e-postutveksling som skjer som en del av saksbehandling journalføres. Disse opplysningene behandles i så fall som beskrevet over (se «Saksbehandling og arkiv»). Ved fratreden slettes e-postkontoene, men enkelte relevante e-poster vil normalt bli overført til kollegaer.

Sensitive personopplysninger skal ikke sendes med e-post.

Vi gjør deg oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer deg derfor ikke til å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.

Liste over besøkende

Navn på besøkende blir oppbevart hos Riksrevisjonen i 7 dager. Deretter blir informasjonen slettet.

Kameraer

Riksrevisjonen har kameraer montert for overvåkning og det er opptak av alle kameraer unntatt av porttelefonene som kun har bilder. Opptakene slettes fortløpende etter en måned og bruken av disse kameraene er meldt inn til Datatilsynet.

Opplysninger om ansatte

Riksrevisjonen behandler personopplysninger om sine ansatte for å administrere lønn og personalansvar. Rettslig grunnlag følger av personvernforordningen artikkel 6, b) og c).

Det er avdelingslederen for administrasjonsavdelingen som har det daglige ansvaret for dette. Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel personnummer, bankkontonummer, bostedsadresse, lønnsnivå, tidsregistrering, skatteprosent og skattekommune.

Dessuten registreres det opplysninger i tilknytning til inn- og utpasseringer av Riksrevisjonens lokaler og opplysninger om tilgang til IT-systemet.

Opplysningene utleveres bare i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven.

Etter at tilsetting er foretatt, blir søknader for kandidater som ikke ble tilsatt slettet. Dette med unntak av stillingssøknader på avdelingsdirektørnivå. Slike søknader bevares.

Alle tidligere og nåværende ansatte har en personalmappe i Riksrevisjonens arkivsystem. Her blir blant annet stillingssøknaden arkivert/oppbevart. Personalmapper skal bevares (dvs. at stillingssøknaden ikke blir slettet eller makulert). Personalmapper blir ryddet ved utløp av arbeidsforholdet. Personalmapper skal avleveres til Arkivverket. Tilgangen begrenset til tjenstlig behov.

Logging i Riksrevisjonens fagsystemer

Riksrevisjonen har alminnelige sikkerhetslogger i sine fagsystemer, og sikkerhetsansvarlig har fått delegert ansvaret for dette. Det er de ansattes bruk av fagsystemet som blir registrert her. Det gis ikke ytterligere informasjon her av hensyn til sikkerheten i våre systemer.

Det rettslige grunnlaget for slike logger er kravet om logger i personopplysningsforskriftens §§ 2-8 og 2-14, samt personopplysningslovens § 8 f), for å ivareta virksomhetens sikring av andre informasjonsverdier enn personopplysninger.

Rettigheter

Alle som spør har rett på grunnleggende informasjon om behandlinger av personopplysninger i en virksomhet etter personvernforordningen artikkel 15.

Det fremkommer imidlertid av Riksrevisjonslovens § 17, 2.ledd at Riksrevisjonen er unntatt fra denne bestemmelsen når det gjelder behandling av personopplysninger i forbindelse med revisjons- og kontrolloppgaver.

Personvernombud i Riksrevisjonen

Kristin Skaane er personvernombud i Riksrevisjonen.

Personvernombudets plikter fremkommer av personvernforordningens artikkel 39. 

Personvernombudets oppgaver (datatilsynet.no)

Det fremkommer videre av personopplysningslovens § 18 at personvernombudet plikter å hindre at andre får adgang eller kjennskap til det ombudet i forbindelse med utførelsen av sine oppgaver får vite om

  • noens personlige forhold
  • tekniske innretninger, produksjonsmetoder, forretningsmessige analyser og beregninger og forretningshemmeligheter ellers når opplysningene er av en slik art at andre kan utnytte dem i sin egen næringsvirksomhet
  • sikkerhetstiltak hos Riksrevisjonen etter personvernforordningen artikkel 32
  • enkeltpersoners varsling om overtredelser av loven og/eller av personvernforordningen

Taushetsplikten gjelder ikke dersom personvernombudet får samtykke fra den opplysningene gjelder, til å legge dem frem, eller dette er nødvendig for gjennomføring av personvernombudets lovpålagte oppgaver.

Taushetsplikten gjelder også etter at personvernombudet har avsluttet tjenesten eller arbeidet. Opplysninger som nevnt i denne paragraf kan heller ikke utnyttes i egen virksomhet eller i tjeneste eller arbeid for andre.

Kontakt personvernombudet

Kristin Skaane