Personvernerklæring

SJT behandler i hovedsak opplysninger som du har gitt til oss på følgende måter:

• Du har besøkt nettsidene våre.
• Du har bedt SJT om veiledning eller sendt oss en klage.
• Du har bedt om innsyn etter offentleglova.
• Du har meldt deg på et seminar eller frokostmøte.
• Du abonnerer på nyhetsbrevet vårt.
• Du har kontaktet oss.
• Du har søkt jobb hos oss.
• Du besvarer en utsendt spørreundersøkelse.

Vi får også opplysninger indirekte av følgende årsaker:

• Vi har bedt en virksomhet om en redegjørelse, og opplysningene dine fremkommer i redegjørelsen.
• En avviksmelding inneholder opplysninger om de
• En klage eller veiledningssak inneholder opplysninger om deg.
• Et varsel inneholder opplysninger om deg.
• Opplysninger om deg blir lagret i forbindelse med en tilsynssak.
• Vi mottar opplysninger om deg fra et annet myndighetsorgan.
• En ansatt har oppgitt deg som nærmeste pårørende.
• En jobbsøker har oppgitt deg som referanse.

Personopplysningene som samles inn, vil bare bli brukt til formålet de ble samlet inn for.

Du kan utøve rettighetene dine ved å sende en e-post til SJTs personvernombud, Thomas Berg, på personvernombud@sjt.no.

Du har krav på svar uten ugrunnet opphold, og senest innen 30 dager. For at vi skal kunne besvare henvendelsen din, må du bekrefte identiteten din via ID-porten. Dette gjør vi for å være sikre på at det kun er deg som får tilgang til opplysningene dine, og for at de ikke gis til andre som utgir seg for å være deg. Dersom du ikke har mulighet til å logge inn via ID-porten, ber vi om at du møter opp på et av kontorene våre. Da kan vi kontrollere identifikasjon.

2.1  Innsyn i egne opplysninger

Du kan be om en kopi av alle opplysninger vi behandler om deg.

Les mer om retten til innsyn.

2.2  Korrigering av personopplysninger

Du kan be oss rette eller supplere opplysninger som er feilaktige eller misvisende.

Les mer om retten til å rette eller supplere opplysninger.

2.3  Sletting av personopplysninger

I gitte situasjoner kan du be oss slette opplysninger om deg selv.

Les mer om retten til sletting.

2.4 Begrensning av behandling av personopplysninger

I noen situasjoner kan du også be oss begrense behandlingen av opplysninger om deg.

Les mer om retten til begrensning.

2.5  Protestere mot en behandling av personopplysninger

Dersom vi behandler opplysninger om deg med grunnlag i oppgavene våre, eller på bakgrunn av en interesseavveining, har du rett til å protestere på behandlingen vår av opplysninger om deg.

Les mer om retten til å protestere.

2.6  Dataportabilitet

Dersom vi behandler opplysninger om deg med grunnlag i samtykke eller en kontrakt, kan du be oss om å overføre opplysningene dine til deg eller til annen behandlingsansvarlig.

Les mer om retten til dataportabilitet.

2.7  Du kan klage på behandlingen vår av personopplysninger

Vi håper du vil si fra hvis du mener at SJT ikke har overholdt rettighetene dine i henhold til personvernregelverket. Du kan henvende deg til personvernombudet eller ta kontakt med oss. Du har også rett til å sende en klage til Datatilsynet.

SJT er ansvarlig for å behandle personopplysninger som samles inn ved bruk av nettstedet www.sjt.no. En databehandleravtale mellom SJT, systemutvikleren NOVA Consulting Group AS og IKT-leverandøren Intility AS regulerer hvilke opplysninger databehandlerne har tilgang til, og hvordan de skal behandles. Det er bare SJT, NOVA Consulting Group AS og Intility AS som har tilgang til opplysningene som samles inn.

SJT tilbyr brukere å abonnere på nyheter fra www.sjt.no ved å legge inn e-postadressen. Opplysningene oppbevares av Intility, og de slettes automatisk hvis brukeren velger å avslutte abonnementet.

4.1  Henvendelser og veiledning

Når du kontakter oss for veiledning, behandler vi opplysninger for å kunne besvare spørsmålet ditt. Vi lagrer opplysninger som er nødvendig for å kunne besvare henvendelsen din.

Dersom du ringer oss, vil vi lagre telefonnummeret ditt og tidspunkt for samtalen. SJT benytter Phonero som sin leverandør av mobiltelefoni, og vi har ingen fasttelefoniløsning. Se Phoneros personvernvilkår.

Behandlingsgrunnlaget for å behandle disse opplysningene er GDPR art. 6 nr. 1 bokstav f. Den tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å være tilgjengelig for de registrerte på telefon. Vi vurderer det slik at dette overveier eventuelle ulemper tilknyttet den enkeltes personvern.

Dersom du kontakter oss per e-post vil vi lagre henvendelsen din, svaret vårt og e-postadressen din. Vi bruker TLS-kryptering for å sikre e-postkommunikasjonen vår. Behandlingsgrunnlaget for å behandle disse opplysningene er GDPR art. 6 nr. 1 bokstav f. Den tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Særlige personopplysninger eller beskyttelsesverdig informasjon skal ikke sendes per e-post.

Vi skanner all inn- og utgående e-post for virus og skadevare. Behandlingsgrunnlaget for dette er GDPR art. 6 nr. 1 bokstav f. Den tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å sikre SJTs IKT-infrastruktur i tillegg til å være tilgjengelig for kommunikasjon per e-post. Etter vårt syn veier det tyngre enn eventuelle ulemper tilknyttet den enkeltes personvern.

Opplysningene vi mottar i forbindelse med veiledning lagres i to år etter at saken er avsluttet. Dersom saken er journalpliktig, vil opplysningene bli lagret i henhold til bestemmelsene i SJTs plan for bevaring og kassasjon. Det betyr at vi vil kunne ha plikt til å lagre opplysningene i inntil 25–30 år. Dokumentene med tilhørende opplysninger vil deretter bli overført Riksarkivet for langtidsbevaring. Bevaring- og kassasjonsplaner skal godkjennes av Riksarkivaren. Behandlingsgrunnlaget for dette er GDPR art. 6 nr. 1 bokstav e. Den tillater oss å behandle opplysninger som er nødvendig for å utføre en oppgave i allmennhetens interesse. Dersom henvendelsen din inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget vårt GDPR artikkel 9 nr. 2 bokstav g.

4.2  Besøkende til våre lokaler

Registrering av besøkende gjøres på iPad og er en del av Phoneros sentralbordløsning. Besøkende må legitimere seg ved ankomst.

Besøkende som kan ferdes på egenhånd i SJTs lokaler må i tillegg undertegne en taushetserklæring og ha besøkskort. Taushetserklæringer lagres i vårt sak- og arkivsystem, og bevares/slettes i henhold til bestemmelser i bevaring- og kassasjonsplanen. Per dags dato er dette i 25–30 år.

Register over samtlige registrerte besøkende slettes etter 12 måneder. Behandlingsgrunnlaget for dette er GDPR art. 6 nr. 1 bokstav f. Den tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å sikre tilgangen til SJTs lokaler. Vi vurderer at dette veier tyngre enn hensynet til den enkeltes personvern.

4.3  Kamera / ITV-løsning ved inngangsparti

For lokalene våre i Trondheim har vi kontinuerlig kameraovervåking ved hovedinnganger, innkjøring til parkeringskjelleren og sykkelparkering som del av ITV-løsningen vår. Opptakene blir lagret i 7 dager. Ved inngangspartiet til lokalene våre i Oslo er det montert et kamera med mikrofon. Kameraet aktiveres når du ringer på dørklokka. Bildet av inngangspartiet vises i sanntid, og har ikke opptaksmulighet.

Behandlingsgrunnlaget for dette er GDPR art. 6 nr. 1 bokstav f. Den tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å sikre tilgangen til SJTs lokaler. Vi vurderer det slik at dette veier tyngre enn hensynet til den enkeltes personvern.

5.1  Klage til SJT

Når SJT behandler klager, behandler vi opplysninger for å kunne gjennomføre de lovpålagte oppgavene våre. Dette inkluderer blant annet kontaktinformasjon og annen informasjon som er nødvendig for å kunne behandle saken. Informasjonen kan inkludere opplysninger om lovovertredelser, helseopplysninger, opplysninger om arbeidsforhold og lignende. Opplysningene lagres så lenge saken pågår.

Dersom saken er journalpliktig vil opplysningene bli lagret i henhold til bestemmelsene i SJTs plan for bevaring og kassasjon. Det betyr at vi vil kunne ha plikt til å lagre opplysningene i inntil 25–30 år. Dokumentene med tilhørende opplysninger vil deretter bli overført Riksarkivet for langtidsbevaring. Bevaring- og kassasjonsplaner skal godkjennes av Riksarkivaren.

Behandlingsgrunnlaget for dette er GDPR art. 6 nr. 1 bokstav e. Den tillater oss å behandle opplysninger som er nødvendig for å utøve offentlig myndighet. Dersom henvendelsen din inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget vårt GDPR art. 9 nr. 2 bokstav g.

5.2  Varsling til SJT

SJT er en tilsynsmyndighet. Vi mottar regelmessig varsler som omhandler tilsynsobjektene våre. I disse varslene kan vi motta personopplysninger. SJT kan også bli varslet av personer i andre bedrifter hvis de opplever kritikkverdige forhold på arbeidsplassen. Dette er fordi SJT er en offentlig myndighet, og varsling til offentlige myndigheter anses som forsvarlig. I slike tilfeller kan vi motta personopplysninger.

Behandlingsgrunnlaget for dette er GDPR art. 6 nr. 1 bokstav e. Den tillater oss å behandle opplysninger som er nødvendig for å utføre en oppgave i allmennhetens interesse. Dersom henvendelsen din inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget vårt GDPR art. 9 nr. 2 bokstav g.

5.3  Abonnere på nyhetsvarsling

SJT sender ut varsler om publiserte nyheter på nettstedet www.sjt.no pr. e-post til de som ønsker det. Nyhetsvarslet inneholder veiledning, høringer, informasjon om kurs og seminarer, samt annet relevant innhold. 

For at vi skal kunne sende deg nyhetsvarsel per e-post, må du registrere en e-postadresse. E-postadressen vil bare bli brukt til å sende ut nyhetsvarsel og eventuelt brukerundersøkelser om nyhetsvarslet for å få tilbakemelding om hva leserne har behov for og hva de synes er interessant. E-postadressen lagres i en egen database hos SJTs IKT-leverandør Intility.

Adressen deles ikke med andre, og slettes når du melder deg av nyhetsvarslet. Du kan melde deg av ved å trykke på lenken for dette i nyhetsvarslet eller ved å kontakte oss.

Behandlingsgrunnlaget for behandling av e-postadressen din i tilknytning til nyhetsvarslet vårt er personvernforordningen artikkel 6 nr. 1 f. Den tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å formidle relevant informasjon til interessenter. Vi vurderer at dette veier tyngre enn eventuelle konsekvenser for den enkeltes personvern.

5.4  Spørreundersøkelser

Når vi gjennomfører spørreundersøkelser vil vi alltid informere om formålet med den, og hvorvidt den er anonym eller ikke. SJT benytter Questback til slike formål. Vi vil ikke dele opplysningene med andre eller bruke opplysningene til andre formål enn det som er angitt.

Questback som leverandør av tjenesten vil ha tilgang til dataene på lik linje med SJT. Behandlingsgrunnlaget for behandling av dataene dine i tilknytning til spørreundersøkelser er GDPR art. 6 nr. 1 bokstav e. Den tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å innhente informasjon og vurderinger fra våre brukere, som kan bidra til å heve nivået på informasjonen vår og tjenestene våre. Vi anser dette for å veie tyngre enn eventuelle konsekvenser for den enkeltes personvern.

5.4.1 Anonyme undersøkelser

Dersom undersøkelsen oppgis å være anonym, vil ikke SJT få tilgang til personopplysningene dine.

5.4.2 Identifiserbare undersøkelser

Dersom undersøkelsen ikke er anonym, kan SJT identifisere de som har besvart undersøkelsen. I de tilfeller hvor vi sender ut evalueringsundersøkelser etter vår årlige SJT-konferanse, vil svarene også bli delt med vårt konsulentselskap, Just Cruzin’ Productions (JCP), som har ansvar for prosjektledelsen av konferansen. Behandlingsgrunnlaget for dette er GDPR art. 6 nr. 1 bokstav a. Der samtykker du til behandlingen vår av opplysninger om deg.

5.5  Postjournal og innsyn

SJT fører systematisk og fortløpende oversikt over alle inngående, utgående og interne saksdokumenter. Offentlig journal inneholder inngående, utgående og interne notater (type N), og er tilgjengelig på eInnsyn.

Offentlig journal inneholder blant annet opplysninger om avsender, mottaker, tittel på sak og journalpost. Personnavn, publisert på eInnsyn, vil ikke være søkbare i mer enn ett år etter publisering. Behandlingsgrunnlaget for dette er GDPR art. 6 nr. 1 bokstav c. Den tillater oss å behandle opplysninger for å oppfylle en rettslig forpliktelse, jamfør offentlegforskrifta¹ § 6.

Krav om innsyn via eInnsyn behandles i egen modul for innsynskrav i sak- og arkivsystemet. I denne modulen registreres som et minimum e-postadressen til den som har krevd innsyn. Svar på innsynskrav ekspederes via modul for behandling av innsynskrav til e-postadressen til den som krever innsyn har registrert ved bestilling.

Krav om innsyn som ikke blir bestilt via eInnsyn registreres (journalføres) i sak- og arkivsystemet. Her registreres e-postadresse/adresse og navn på bestilleren, hvis dette er oppgitt. Behandlingsgrunnlaget for dette er GDPR art. 6 nr. 1 bokstav c. Den åpner for behandling dersom det er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige.

¹Forskrift av 17. oktober 2008 nr. 1119 til offentleglova.

6.1 Tilsyn

Når SJT gjennomfører lovpålagte oppgaver, inkludert tilsyn, ber vi om opplysninger som er nødvendige for å gjennomføre slike oppgaver.

SJT kan innhente:

• kontaktopplysninger
• opplysninger om fødested
• fødselsdato og personnummer
• fotografi og signatur
• helseopplysninger i form av helseattest
• opplysninger om vandel i form av politiattest
• opplysninger om kompetanse, utdanning, lønnsforhold og arbeidsforhold

Opplysningene lagres så lenge saken pågår. Dersom saken er journalpliktig, vil opplysningene bli lagret i henhold til bestemmelsene i SJTs plan for bevaring og kassasjon. Det betyr at vi vil kunne ha plikt til å lagre opplysningene i inntil 25–30 år. Dokumentene med tilhørende opplysninger vil deretter bli overført Riksarkivet for langtidsbevaring. Bevaring- og kassasjonsplaner skal godkjennes av Riksarkivaren.

Behandlingsgrunnlaget for dette er GDPR art. 6 nr. 1 bokstav e. Den tillater oss å behandle opplysninger som er nødvendig for å utøve offentlig myndighet. Dersom henvendelsen din inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget vårt GDPR art. 9 nr. 2 bokstav g.

Dersom du søker jobb hos SJT, må vi behandle opplysninger om deg for å vurdere søknaden din. Alle søknader med vedlegg registreres av søkerne selv (alternativt av rekrutterer) i WebCruiter.

Etter ett år anonymiseres søkeropplysninger, slik at statistiske data beholdes, men personopplysningene slettes. Søknadspapirene og dokumentasjon (ID, attester, vitnemål, etc.) til den som blir ansatt, arkiveres i personalmappen til vedkommende. Andre dokumenter, som eksempelvis søkerlister og innstillinger, bevares.

Behandlingsgrunnlaget for dette er GDPR art. 6 nr. 1 bokstav b. Den tillater oss å behandle opplysninger for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på anmodning fra den registrerte før en avtale inngås. Dersom søknaden din inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget vårt GDPR art. 6 nr. 1 bokstav b, jamfør personopplysningsloven § 6, jamfør arbeidsmiljøloven § 9-3.

SJT opprettholder nødvendige tekniske og organisatoriske tiltak for å sørge for at personopplysningene behandles sikkert og i tråd med krav til integritet, konfidensialitet og tilgjengelighet i gjeldende personvernlovgivning.

SJTs behandling av personopplysninger følger vår til enhver tid gjeldende policy for informasjonssikkerhet. Personopplysninger som behandles av SJT i henhold til denne personvernerklæringen, lagres så lenge formålet tilsier det. Hvis behovet for behandling opphører, vil vi slette lagrede personopplysninger om deg i henhold til rutinene våre for sletting.

Alle offentlige organ (med unntak for Stortinget, Riksrevisjonen, Stortingets ombudsmann for forvaltning og andre organ for Stortinget) har en direkte lovpålagt plikt til å holde arkiv. Det følger av personopplysningsloven § 8 at personopplysninger kan behandles på grunnlag av GDPR art. 6 nr. 1 bokstav e dersom det er nødvendig for arkivformål i allmennhetens interesse. Oppbevaringstiden for opplysninger gitt ved registrering som mottaker av nyhetsvarsler og lignende, løper frem til du avregistrerer deg.

a. Logging

SJT har alminnelige sikkerhetslogger i IT-systemene, og sikkerhetsansvarlig har fått delegert ansvaret for dette. Behandlingsgrunnlaget for dette er GDPR art. 6 nr. 1 bokstav f. Den tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn konsekvenser for den enkeltes personvern. Den berettigede interessen er å sikre SJTs IKT-infrastruktur.

b. SJTs bruk av databehandlere

SJT har i dag en IKT-driftsmodell der vi har overlatt driften av systemene våre til eksterne parter. Alle leverandørene våre er forpliktet til å jobbe fra Norge og lagre data på servere i godkjent land, fortrinnsvis Norge. SJT inngår databehandleravtale med de av leverandørene våre som behandler personopplysningene våre.

Til lønn- og regnskapssystem bruker vi tjenester fra Direktoratet for økonomiforvaltning som kjører på deres servere. Programvaren SAP blir brukt for å administrere arbeidstid, aktivitetsregistrering, overtid og fravær.

SJTs nettsider er plassert hos driftsleverandøren vår, og et norsk datasenter blir brukt. Til drift og brukerstøtte av nettsidene brukes den norske leverandøren NOVA Consulting Group AS. Det er ingen koblinger mellom nettsidene og andre av SJTs IKT-systemer.

Driftsleverandøren vår er Intility. De står får drift av PC-er, mobile enheter, Active Directory-servere, brannmurer, printservere, Exchange (e-post) og MDM (mobile device management). Serverne som Intility drifter, er lokalisert i Norge. Også konsulenter som jobber med våre løsninger er i Norge. Dette er regulert i avtalen vår med Intility.

De arkivverdige opplysningene våre ligger i all hovedvekt i sak- og arkivsystemet WebSak+. Systemet er godkjent i henhold NOARK-standarden. NOARK er en norsk standard for dokumentasjonsforvaltning. Standarden er utviklet og blir vedlikeholdt av Riksarkivaren. Standarden stiller strenge krav til rolle- og tilgangsstyring. WebSak+ er en SaaS-løsning. Acos er leverandør av systemet.

SJT benytter seg av følgende databehandlere:

• Intility AS
• ACOS AS
• Sotera AS
• DFØ
• Webcruiter AS
• Capus AS
• DNV AS
• Phonero AS
• Questback AS
• Nova Consulting Group AS

c. Sikkerhetskopiering (back-up)

SJT har avtale om sikkerhetskopiering (back-up) med Intility der sikkerhetskopier av dataene våre lagres på et norsk datasenter. Sikkerhetskopier lagres i normalt 2 år og 10 år før de overskrives. Hvis sikkerhetskopier gjenopprettes, vil personopplysninger slettes dersom den registrerte tidligere har krevd dette.

d. Deling av informasjon til tredjeparter

SJT deler ikke personopplysningene dine med tredjeparter, med unntak av utlevering og rapporteringer som følger av en lovpålagt forpliktelse SJT er underlagt.

Dokumenter SJT mottar er offentlige, så fremt ikke annet følger av lov eller forskrift med hjemmel i lov. Bakgrunnen er at SJT driver offentlig virksomhet som faller inn under offentleglova av 2006. Loven skal sikre at offentlig virksomhet er åpen og gjennomsiktig, for å styrke informasjonsfrihet, rettssikkerhet, tillit til det offentlige og kontroll fra allmennheten.

SJT forbeholder seg retten til å justere og tilpasse denne personvernerklæringen, for eksempel ved endrede regulatoriske krav. Personvernerklæringen skal være tilgjengelig på www.sjt.no.