Personvernerklæring ansatt

Personvernerklæringen for ansatte ved Høgskolen i Østfold (HiØ) viser hvordan vi samler inn og bruker personopplysninger. Målet er å gi deg et overordnet bilde av denne behandlingen.

 

1. Hva er en personvernerklæring?

En personvernerklæring beskriver hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter
du har og hvem du kan kontakte om personopplysningene dine. Denne personvern-erklæringen beskriver hvordan HiØ håndterer personopplysningene dine dersom du er ansatt eller har søkt på en stilling ved Høgskolen.
 

2. Hva er personopplysninger?

Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Det avgjørende for om en opplysning er en personopplysning, er om opplysningene direkte eller indirekte kan identifisere en konkret person. Opplysninger som ikke alene kan knyttes til en enkeltperson, kan i tilfeller hvor opplysningen forekommer sammen med andre data utgjøre en personopplysning.
 

3. Kort om behandling av ansattes personopplysninger.

Ansatte er i egenskap av sine ulike stillinger registrert i ulike IT-systemer og tjenester som enten driftes av høgskolen selv eller av eksterne leverandører. For at vi skal kunne gi deg tilgang til basistjenester er alle ansatte registrert i våre sentrale system, slik som lønns- og personal-system, arkivsystem, adgangskontrollsystem og ulike IT-system. I tillegg kan den enkelte ansatte være registrert i ytterligere systemer for å utføre arbeid for HiØ.
 

4. Ansattes behandling av personopplysninger

Den enkelte ansatte er ansvarlig for de personopplysninger vedkommende behandler. Disse opplysningene skal behandles i tråd med gjeldende
lov- og regelverk.

 

5. Behandling av personopplysninger i sentrale system

5.1 Felles formål og rettslig grunnlag

5.1.1 Formål

Formålet med behandlingen av personopplysninger i sentrale system er å ivareta dine oppgaver, rettigheter og plikter som ansatt og HiØs oppgaver, rettigheter og plikter som arbeidsgiver.

Det er nødvendig for HiØ å behandle personopplysningene dine slik at HiØ eksempelvis kan

  • gi deg lønn
  • utføre nødvendig administrasjon rundt arbeidsforholdet
  • sikre tilganger til IT-systemer og forvaltning av eiendommer

5.1.2 Rettslig grunnlag

Behandling av personopplysninger i sentral system er hjemlet i personvernforordningen artikkel 6 nr. 1 bokstaver b og e. Det vil si for å oppfylle arbeidskontrakten med deg som ansatt og for å oppfylle plikter vi er pålagt i øvrig lovgivning, slik som arbeidsmiljøloven, statsansatteloven, arkivlova og universitets- og høyskoleloven, regnskapsloven og ligningsloven.
 

5.2 Rekrutteringssystem

5.2.1 Jobbnorge.


HiØ benytter Jobbnorge som rekrutteringssystem.
 

5.2.2 Hvilke personopplysninger blir behandlet?
  • søknadstekst
  • personopplysninger knyttet til søknaden
  • vedlegg som søker laster opp
5.2.3 Hvor lenge lagres personopplysningene?
  • ett år for søknader
  • 540 dager for de som bli innkalt til intervju/ansatt

 

5.3 Lønns- og personalsystem

5.3.1 SAP Portal.

HiØ benytter plattformen SAP Portal og DFØ-app som system for lønns- og personaladministrasjon. Systemet drives i stor grad av en standardløsning fra det tyske programvarefirmaet SAP.

Systemet benyttes i hovedsak til

  • personaladministrasjon
  • lønnsbehandling
  • reise- og refusjonsoppgjør
  • sykepengebehandling
  • intern og ekstern rapportering
     
5.3.2 Hvilke personopplysninger blir behandlet i SAP Portal?

Følgende personopplysninger kan bli behandlet:

  • navn
  • fødselsnummer
  • ansattnummer
  • kontaktinformasjon
  • lønnsinformasjon
  • betalingsinformasjon
  • arbeidstid
  • informasjon om sykefravær, sykemeldinger, avspasering, ferie og permisjon
  • skatteopplysninger
  • reise- og refusjonskrav
  • informasjon om sidegjøremål og eierinteresser
  • informasjon om nærmeste pårørende
  • fagforeningstilhørighet
  • hovedtariffavtale
  • informasjon om barn under 12 år eller barn med spesielle behov

5.3.2 Personopplysningene dine hentes inn til SAP Portal fra:
  • deg selv
  • folkeregisteret
  • enhetsregisteret
  • tidligere arbeidsgiver
  • sidegjøremåls- og eierinteressetjenesten ved HiØ
  • skattedirektoratet
  • medlemskap i fagforening

5.3.3 Automatisk saksbehandling i SAP Portal

SAP Portal gjør flere automatiske behandlinger av dine personopplysninger. Dette vil kunne være for å beregne antall feriedager du har krav på, antall omsorgsdager du har krav på basert på antall barn som forsørges.


5.3.4 Hvor lenge lagrer vi personopplysningene dine i SAP Portal?

Opplysningene dine i SAP Portal slettes aldri.

 

5.4 Saksbehandlings- og arkivsystem
5.4.1 Public 360

Public360 er HiØs elektroniske saksbehandlings- og arkivsystem. Personalmapper opprettes i Public360. Personalmappen skal inneholde dokumentasjon som har betydning for den ansattes tjeneste- og pensjonsforhold.
 

5.4.2 Hvilke personopplysninger blir behandlet i systemet?
Personalmappen vil blant annet kunne inneholde
  • dokumenter fra søknadsprosesser, slik som permisjonssøknader
  • ansettelseskontrakt
  • CV og jobbsøknad
  • lønnsprosesser og forhandlinger
  • arbeidsplan
  • advarsler
  • personalsaker
  • attester
  • vurderinger
  • referater fra arbeidssamtaler
  • referater fra dialogmøter (sykefravær)

5.4.3 Hvor lenge lagres personopplysninger i personalmappen?

Dokumenter ved HiØ er underlagt arkiveringsplikt etter arkivlova slik at informasjon i Public360 i utgangspunktet ikke kan slettes uten uttalelse fra Riksarkivaren, jf. arkivlova § 9. Dette gjelder selv etter arbeidsforholdets opphør.


5.5 Høgskolens adgangskontrollsystem

5.5.1 Adgangskontroll.


Adgangskontrollsystem til Høgskolen har som formål å forvalte Høgskolens eiendommer og sørge for sikkerhet ved, og autorisert tilgang til, våre områder.

Det er IT-drift og CSO ved HiØ som er ansvarlig for anlegget.

Systemet består av HiØs kortlesere og overvåkningskameraer som er plassert på HiØs eiendommer.
 

5.5.2 Hvilke personopplysninger blir behandlet i systemet?
  • navn
  • telefonnummer
  • kortnummer
  • passeringsdata når kortbruker registrerer kort i kortleser
  • opptak fra kameraovervåking
  • personnummer
  • ansattnummer
  • biblioteknummer
  • adgangsrettigheter
  • gyldighetsperiode

5.5.2 Hvor lenge lagres personopplysninger i systemet?

Din kontaktinformasjon blir lagret så lenge du har et gyldig adgangskort for å ha tilgang til HiØs eiendommer.

Passeringsdata fra kortleser slettes etter 30 dager.

Opptak fra videoovervåking lagres i 7 dager. Ved utlevering til politiet, kan opptak lagres i inntil 30 dager.


5.6 Cerebrum/brukeradministrativt system (BAS)

5.6.1 Cerebrum/BAS

Cerebrum er navet til nesten alle IT-systemer ved Høgskolen. Cerebrum er et Identity Access Management system (IAM).

Cerebrum er kildesystem for brukernavn, passord, e-postadresser og gruppe-informasjon, og integrerer med andre systemer. Med kildesystem menes et system som andre systemer henter informasjon fra. Cerebrum muliggjør for eksempel innlogging i ulike tjenester med ditt HiØ-brukernavn.

Cerebrum henter sin data fra SAP Portal. Endringer om deg i SAP Portal, vil automatisk endres i Cerebrum, og med det i alle tilknyttede system.

Eksempler på systemer som henter sin data fra Cerebrum er skylagrings-tjenester, bibliotekstjenester, intranett, hjemmeområder, krisevarsling, FEIDE,
e-postsystem, tilgangskontroll- og ulike innloggingstjenester. 


5.6.2 Hvilke personopplysninger blir behandlet i systemet?

Registrerer og benytter alle tilgjengelige data i SAP Portal (se pkt. 5.3.1).


5.6.3 Hvor lenge lagres personopplysninger i systemet?

Opplysninger i Cerebrum slettes innen 6 måneder etter at ditt arbeidsforhold er avsluttet. Brukernavn vil ikke slettes idet brukernavn ikke resirkuleres av sikkerhetshensyn.
 

6. Behandling av ikke digitale personopplysninger

6.1 Arkivmateriale

HiØ behandler personopplysninger i papirformat. Disse oppbevares enten i nær- eller fjernarkiv som er tilgangsstyrt.

 

7. Systemer knyttet til bestemte roller

7.1 Øvrige system

I egenskap av din stilling på HiØ kan det kreves at du bruker ulike IT-tjenester for å utføre ditt arbeid. Disse IT-tjenestene lagrer selv personopplysninger om deg, basert på hva tjenesten gjør, og hvilken funksjon du har.

Mange av disse tjenestene har en brukerprofil på deg for å sikre at du har tilgang til systemet. Noen tjenester vil også kunne logge din aktivitet av ulike hensyn, slik som sikkerhets-, drifts- eller tjenesteutviklingshensyn.

Du vet selv best hvilke tjenester du bruker i din hverdag, og kan forhøre deg med lokal IT hvordan disse tjenestene/systemene behandler dine personopplysninger.

Det vil være lagret personopplysninger om deg der du har logget deg inn med din HiØ-bruker eller der du som ansatt ved HiØ kan være registrert. Eksempler på slike er:

  • faktura-, innkjøps-, og øvrige økonomihåndteringssystemer
  • drifts- og sikkerhetsverktøy
  • HR-tjenester
  • skylagringstjenester
  • intranett
  • registre over forskning, slik som CRISTin, NSD, REK, og Helseforsk.

8. Sikkerheten rundt personopplysningene dine

HiØ gjennomfører risiko- og sårbarhetsanalyser av datasystemene vi benytter for å sikre personopplysningene dine. Vi har også flere sikkerhetstiltak, som for eksempel tilgangskontroller for å hindre at flere ansatte enn nødvendig får tilgang til person-opplysningene dine. Ansatte har taushetsplikt rundt personopplysninger de får i arbeidet. Hvordan vi sikrer dine opplysninger kan du lese om i Ledelsessystem for informasjonssikkerhet.
 

9. Rettighetene dine

9.1 Rett til innsyn

Du har krav på å få innsyn om HiØ behandler personopplysninger om deg, hvilke personopplysninger dette er, hvor de stammer fra og hvorfor HiØ behandler dem.

Du har også rett til å få utlevert en kopi av personopplysninger om deg, dersom du ønsker det.


9.2 Rett til å kreve retting

Hvis du oppdager at dine personopplysninger er feil, ufullstendige eller unøyaktige har du krav om at disse rettes. 

Det er viktig at du begrunner og eventuelt dokumenterer hvorfor du mener person-opplysningene er feil eller mangelfulle.


9.3 Rett til sletting (retten til å bli glemt)

Du har rett til å kreve at vi sletter personopplysninger om deg. Retten til sletting er ikke en ubetinget rett, og hvorvidt du har rett til sletting må vurderes i lys av personopplysningsloven og personvernforordningen.

Dersom du ønsker å få slettet personopplysningene dine, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, og om mulig også opplyser om hvilke personopplysninger du ønsker å få slettet.


9.4 Rett til begrenset behandling

I enkelte tilfeller kan du har rett til å kreve at behandlingen av personopplysningene dine blir begrenset. Begrensning av personopplysninger vil si at person-opplysningene fortsatt blir lagret, men at mulighetene for videre bruk og behandling blir begrensede.

All behandling stoppes inntil vi har undersøkt ditt krav.

Opplysningene kan kreves begrenset midlertidig eller permanent.


9.5 Rett til å protestere

Du har rett til protestere mot at vi behandler dine personopplysninger, dersom du har et særskilt behov for å få stanset behandlingen. Eksempler kan være dersom du har et beskyttelsesbehov, fortrolig adresse, eller lignende.

Dersom vi kommer til at protesten er berettiget, vil vi stanse behandlingen og du vil også kunne kreve sletting av opplysningene.

HiØ kan gjøre unntak fra sletting dersom vi er pålagt ved lov å behandle dine personopplysninger, dersom det er nødvendig for gjennomføringen av en avtale mellom deg og HiØ, eller for å ivareta viktige samfunnsinteresser.

 

9.6 Rett til å klage til Datatilsynet

Du har mulighet til å klage til Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven og personvernforordningen ved behandling av personopplysninger.

 

10. Kontakt

10.1 Behandlingsansvarlig

HiØ ved Høgskoledirektøren er behandlingsansvarlig for personopplysninger i Felles studentsystem (FS) og de andre systemene vi bruker
i forbindelse med utdanning, jf. personvernforordningen artikkel 4 nr. 7.

Dersom du ønsker å benytte deg av dine rettigheter som er omtalt i punkt 11 over, kan du kontakte oss på epost personvern@hiof.no. Vi vil behandle din henvendelse uten ugrunnet opphold, og senest én måned etter vi mottar anmodningen. 

 

10.2 Personvernombud

HiØ har et personvernombud som skal ivareta personverninteressene til både studenter og ansatte ved HiØ. Personvernombud for administrative behandlinger av personopplysninger ved HiØ kan nås via e-post personvernombud@hiof.no.

Publisert 5. mars 2019 12:00 - Sist endret 5. mars 2019 12:00