Personvernerklæring for ansatte, arbeidssøkere og oppdragstakere ved Nord universitet

Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Det avgjørende for om en opplysning er en personopplysning er om opplysningene kan identifisere en konkret person.

Opplysninger, som ikke alene kan knyttes til en enkeltperson, kan i tilfeller hvor opplysningen forekommer sammen med andre data utgjøre en personopplysning.

Vi behandler personopplysninger for å ivareta våre forpliktelser som arbeidsgiver, og andre rettslige forpliktelser. Som eksempel kan vi behandle opplysninger om deg for å gjennomføre en ansettelse, betale ut lønn og annen godtgjørelse, avgjøre søknad om permisjon, gi sykefraværsoppfølging, innberette lønn til skattemyndighetene m.m. 

Informasjon om deg vil være registrert i ulike IT-systemer og tjenester. Du må være registrert i våre sentrale system, slik som lønns- og personaladministrasjons-system, arkivsystem, adgangskontrollsystem og ulike IT-system for at vi skal kunne gi deg tilgang til basistjenester.

I tillegg kan du være registrert i ytterligere systemer som du benytter i din konkrete stilling/oppdrag for kunne utføre jobben din. 

Av sikkerhetshensyn har vi videoovervåkning på deler av våre campus, og i den sammenheng kan vi behandle videobilder av deg. Vi har også elektronisk adgangskontroll på alle våre campus, og din bruk av adgangskort vil bli registrert hos oss. 

Vi behandler personopplysninger med hjemmel i personvernforordningen (GDPR) artikkel 6 nr. 1 bokstaver b og e, og artikkel 9 nr. 2 bokstav b.

Behandlingene er nødvendig for å oppfylle arbeidskontrakten med deg, og for å oppfylle plikter vi er pålagt i øvrig lovgivning, slik som arbeidsmiljøloven, statsansatteloven, arkivloven og universitets- og høyskoleloven, regnskapsloven og ligningsloven.

Noen behandlinger gjøres på grunnlag av en interesseavveining etter personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav f. Dette gjelder videoovervåkning av campus som vi anser som nødvendig for å sikre bygninger, samt ivareta sikkerhet ved en eventuell ulykke/krise.

Det kan oppstå tilfeller der vi må ha ditt samtykke til å behandle opplysninger om deg. Du blir da bedt om å signere en samtykkeerklæring. Personopplysninger som er samlet inn til ett formål, skal ikke uten samtykke benyttes til andre formål.

Vi vil kun behandle de opplysninger som er nødvendig for å oppnå formålet med behandlingen. For arbeidssøkere vil vi dermed kun behandle de opplysningene som er nødvendig for å gjennomføre en ansettelsesprosess. For oppdragstakere vil vi kun behandle de opplysningene som er nødvendig for gjennomføringen av oppdraget, og for å administrere avtaleforholdet. For ansatte vil vi behandle de opplysninger som er nødvendig for å administrere arbeidsforholdet. 

Personopplysninger som vi behandler vil i hovedsak være: 

• Navn
• Fødsels- og personnummer
• Kontonummer
• Telefonnummer
• Adresse
• Sivilstand
• Navn på pårørende og deres telefonnummer
• Navn og fødselsdato på egne barn
• Søknad på stilling
• CV
• Attester og vitnemål
• Ansiennitet
• Utdannelse/stillingsnivå
• Stillingskode
• Ansattnummer
• Arbeidsavtale/oppdragsavtale
• Dokumentasjon på eventuelle endringer i arbeidsforholdet
• Lønnsinformasjon
• Særskilte avtaler i arbeidsforholdet, for eksempel permisjoner og pensjonsmeldinger
• Eventuell korrespondanse mellom deg og arbeidsgiver
• Referat fra medarbeidersamtaler
• Ordenstraff
• Sykemeldinger, egenmeldinger, fravær
• Ferie
• Bilder
• Videobilder fra videoovervåkning
• Logg av din aktivitet i IT-systemer
• Logg av din aktivitet i adgangskontroll
• Informasjon om fratreden og sluttattest
• Språk
• Fagforeningstilhørighet
• Helseopplysninger
• Etnisitet

Personopplysninger innhentes primært fra informasjon du gir fra deg via deg via søknad/CV, samt ulike papir- og elektroniske skjemaer. I tillegg kan din leder og saksbehandlere ved Nord registrere opplysninger om deg når dette er nødvendig. Opplysninger kan også komme fra eksterne instanser som Folkeregisteret, Nav og Skatteetaten. 

Personopplysninger om deg behandles i Nord universitet sine elektroniske systemer. I tillegg kan vi ha opplysninger om deg i papirdokumenter. Du vil også legge igjen elektroniske spor ved bruk av adgangskort, IT-systemer, digitale verktøy, kameraovervåkning m.m. 

I hovedsak behandles dine personalopplysninger i følgende systemer (opplistingen er ikke uttømmende):

Jobbnorge

System for rekruttering. Her behandles opplysninger om personer som søker på stillinger hos oss. 

Saksbehandlings- og arkivsystem

Her behandles bl.a. ansettelsessaker og personalsaker. Ved ansettelse opprettes det en personalmappe i vårt saksbehandler- og arkivsystem som inneholder dokumenter som har betydning for ditt arbeidsforhold og pensjon.

Adgangskontroll og videoovervåkning

Opplysninger om deg vil være registrert i adgangskontrollsystemet for at du skal få tilgang til universitetets bygg og rom ved hjelp av ditt ansattkort.

Ved enkelte campus har vi videoovervåkning. Opptak fra videoovervåking lagres i 7 dager. Ved utlevering til politiet, kan opptak lagres i inntil 30 dager.

Krise og beredskapssystem

Styringssystem for sikkerhet og beredskap. Opplysninger om deg vil være registrert her for at vi skal ha mulighet til å kontakte deg raskt ved en eventuell krise eller uønsket hendelse.

Økonomi og personalsystem

Her behandles dine personalopplysninger for å sikre dine rettigheter og plikter med hensyn til lønn, ferie, avspasering m.m.

Office 365 

Samhandlingsløsning. Her behandles opplysninger om deg for å gi deg tilgang til bl.a. e-post, Yammer, ​Teams og SharePoint (Intranet og Onedrive).

Feide

Innloggingssystem. Her behandles opplysninger om deg for å gi deg tilgang til intranett og alle digitale tjenester som krever innlogging.

Reiseoperatør

Opplysninger om deg vil bli overført og behandlet hos reiseoperatør. Dette gjøres for at du skal kunne bestille tjenestereiser, og for at reiseoperatør skal kunne kontakte deg om endringer o.l. i forbindelse med reiser.​

Øvrige elektroniske system som vi behandler personalopplysninger om ansatte i:

• E-postløsning
• Løsning for telefoni og videokonferanse
• Kjernesystem for persondataflyt til og fra andre persondatasystem ved institusjonen
• Microsofts katalogtjeneste for håndtering av brukere, brukerrettigheter, og ressurskontroll
• Sakshåndteringssystem for behandling av saker og bestillinger til driftsavdelingen
• Sentralbord – distribuering av samtaler
• Sakshåndteringssystem
• Utstyr- og avtaleregister 
• Bibliotektjenester
• System for studieadministrasjon
• System for romfordeling og timeplanlegging

I tillegg kan opplysninger om deg bli behandlet i systemer knyttet til bestemte roller eller tjenester ved universitetet. Dette kan bl.a. gjelde følgende systemer: 

• Verktøy for opptak og publisering
• Verktøy for webmøter
• Verktøy for opptak, streaming og publisering
• Kvalitetssikringssystem, risikovurdering og avvik
• Database for forskningsresultater og informasjon for dokumentasjon av vitenskapelig aktivitet
• Digitalt arkiv for forskningsresultater
• System for administrasjon av og støtte til gjennomføring av undervisning, eksamen og studentoppgaver
• System for administrering av eksamen og sensur
• System for plagiatkontroll av eksamen og forskning
• Sikkerhetsdatablad for farlige kjemikalier
• System for emneplanlegging
• System for pensumlister

I noen tilfeller utfører vi en helt eller delvis automatisert behandling. I SAP gjøres flere automatiske behandlinger av dine personopplysninger, bl.a. når det beregnes antall feriedager eller omsorgsdager du har krav på.

Nord universitet gjennomfører regelmessig risiko- og sårbarhetsanalyser av datasystemene vi benytter, for å sikre personopplysningene dine. 

I tillegg har vi sikkerhetstiltak, slik som tilgangskontroller for å hindre at flere ansatte en nødvendig får tilgang til personopplysningene dine. Slike tilgangskontroller kan være både tilgangskontroll i datasystemer og fysisk kontroll i form av låsbare arkiv/skap. Personer som vil ha tilgang til dine opplysninger, kan være leder, personalavdelingen, organisasjonsavdelingen og lønnsavdeling. 

Ansatte som behandler personopplysninger er underlagt taushetsplikt og gis opplæring i personvern. Alle registreringer logges.

Vi gir ikke personopplysningene dine videre til andre med mindre det foreligger et lovlig grunnlag for slik utlevering. Eksempler på slikt grunnlag vil typisk være fordi du har samtykket til det, fordi utleveringen er nødvendig for å oppfylle en avtale med deg eller det foreligger lovgrunnlag som pålegger oss å gi ut informasjonen.

Nord universitet kan utlevere eller eksportere data som inneholder personopplysninger til andre systemer, det vil si ekstern databehandler i de tilfellene der det anses som nødvendig. Det inngås da en databehandleravtale mellom Nord og databehandler som skal ivareta de registrertes rettigheter og beskyttelsesbehov.

I utgangspunktet blir ikke personopplysninger utlevert til land utenfor EU/EØS, eller noen internasjonale organisasjoner. I de tilfeller der dette er nødvendig, vil Nord sørge for å ha lovlig overføringsgrunnlag, og gjennomføre nødvendige sikringstiltak.

Dine personopplysninger kan bli utlevert til følgende parter/virksomheter:

1. Det sentrale folkeregisteret (Folkeregisteret)

For at navnet og adressen din skal være riktig registrert i vårt økonomisystem Agresso og SAP, henter vi inn ditt navn, fødselsnummer (11 siffer) og din folkeregisterregistrerte adresse. 

2. Nav

I saker om f.eks. sykefravær og foreldrepermisjon er vi pålagt å utlevere informasjon til NAV. 

3. Skatteetaten

Vi har en rettslig plikt til å innberette din lønnsinntekt til Skatteetaten.

4. Statens pensjonskasse

Vi har en rettslig plikt til å utlevere informasjon til Statens pensjonskasse.

5. Andre parter som etter offentleglova har krav på innsyn i dine personopplysninger

I tilfeller hvor Nord universitet mottar begjæringer om innsyn iht. bestemmelsene i offentleglova, vil ikke bestemmelsene i personopplysningsloven gi begrensninger i denne innsynsretten. Det kan derfor skje at Nord universitet sender personopplysninger om deg til andre parter enn det som er nevnt i denne personversnerklæringen.

Som utgangspunkt skal ikke personopplysninger lagres lengre enn det som er nødvendig. Det er behandlingsansvarliges ansvar å vurdere hvor lenge det er nødvendig å ha opplysningene tilgjengelig. I noen tilfeller har vi en plikt til å lagre opplysningene i en viss tid, i henhold til bl.a. arkivloven og bokføringsloven.

Personopplysninger om søkere til stillinger blir slettet i Jobbnorge 120 dager etter at søknadsprosessen ved Nord universitet er avsluttet, med mindre vedkommende blir ansatt eller samtykker til at opplysningene oppbevares lengre. Informasjon om søkere kan i tillegg bli behandlet i vårt saksbehandlings- og arkivsystem i forbindelse med en ansettelsessak, og for disse sakene vil Nord være pålagt en arkiveringsplikt.

Dokumenter som ikke har varig virkning på ditt ansettelses- eller lønnsforhold, blir slettet så snart det ikke er nødvendig å lagre dem lenger. For øvrige dokumenter er Nord underlagt arkiveringsplikten i arkivloven, slik at informasjon i Public360 i utgangspunktet ikke kan slettes uten samtykke fra Riksarkivaren, jf. arkivloven § 9. Dette gjelder selv etter arbeidsforholdets opphør.

Som registrert har du krav på informasjon om hvordan Nord universitet behandler dine personopplysninger. Du har også en del andre rettigheter som er opplistet nedenfor. 

Dersom du ønsker å benytte deg av dine rettigheter, har spørsmål eller behov for rådgivning omkring behandling av personopplysninger ved Nord, kan du ta kontakt på behandlingsansvarlig@nord.no. Vi vil behandle din henvendelse uten ugrunnet opphold, og senest innen 30 dager.

Når du henvender deg til oss, kan du bli bedt om å bekrefte identiteten din. Dette gjør vi for å sikre at uvedkommende ikke får tilgang til dine personopplysninger. Du kan også bli bedt om å oppgi ytterligere informasjon.

Rett til innsyn

Du har rett til å se/få innsyn i alle personopplysninger som er registrert om deg ved Nord universitet. Du har også rett til å få utlevert en kopi av personopplysninger om deg, dersom du ønsker det. I enkelte IT-systemer kan du selv se hva vi har registrert om deg. I ESS/DFØ-portalen kan du se hvilke opplysninger vi har lagret om deg i vårt lønnssystem SAP, og hvilke opplysninger vi har registrert om dine sidegjøremål. Her har du også mulighet til selv å endre noen av opplysningene. 

Rett til å trekke samtykke

Dersom vi behandler opplysninger om deg på grunnlag av ditt samtykke, kan du til enhver tid trekke tilbake samtykket. Den enkleste måten å gjøre dette på, er å ta direkte kontakt med den avdelingen/enheten som innhentet ditt samtykke. Du kan også ta kontakt med behandlingsansvarlig.

Rett til retting

Du har rett til å få uriktige personopplysninger om deg rettet. Du har også rett til å få ufullstendige personopplysninger om deg supplert. Dersom du mener vi har registrert feil eller mangelfulle personopplysninger om deg, ber vi deg kontakte oss. Det er viktig at du begrunner og eventuelt dokumenterer hvorfor du mener personopplysningene er feil eller mangelfulle.

Rett til begrenset behandling

I enkelte tilfeller kan du har rett til å kreve at behandlingen av personopplysningene dine blir begrenset. Begrensning av personopplysninger vil si at personopplysningene fortsatt blir lagret, men at mulighetene for videre bruk og behandling blir begrensede.

Dersom du mener at personopplysningene er feil eller mangelfulle, eller har protestert mot behandlingen, har du rett til å kreve at behandlingen av personopplysningene dine midlertidig blir begrenset. Det vil si at behandlingen blir begrenset inntil vi eventuelt har rettet personopplysningene dine, eller har fått vurdert om protesten din er berettiget. I andre tilfeller kan du også kreve en mer permanent begrensing av dine personopplysninger. For å ha rett til å kreve begrensing av dine personopplysninger, må vilkårene i personvernforordningen artikkel 18 være oppfylte. Dersom vi mottar en henvendelse fra deg om begrensing av personopplysninger, vil vi vurdere om lovens vilkår er oppfylte.

Rett til sletting

I noen tilfeller har du rett til å kreve at vi sletter personopplysninger om deg. Retten til sletting er ikke en ubetinget rett, og hvorvidt du har rett til sletting må vurderes i lys av personopplysningsloven og personvernforordningen. Dersom du ønsker å få slettet personopplysningene dine, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, og om mulig også opplyser om hvilke personopplysninger du ønsker å få slettet. Vi vil da vurdere om de rettslige vilkårene for å kreve sletting er oppfylt. 

Vær oppmerksom på at lovverket i enkelte tilfeller gir oss anledning til å gjøre unntak fra retten til sletting. For eksempel vil dette være tilfelle når vi er nødt til å lagre personopplysningene for å oppfylle en oppgave vi er pålagt etter universitets- og høyskoleloven, eller for å ivareta viktige samfunnsinteresser som arkivering, forskning og statistikk.

Jobbsøkere har rett til å få opplysninger om seg slettet når de måtte ønske det.

Rett til å protestere

Du kan ha rett til å fremme en innsigelse mot behandlingen, det vil si protestere mot behandlingen, dersom du har et særskilt behov for å få stanset behandlingen av personopplysningene dine. Eksempler kan være dersom du har et beskyttelsesbehov, fortrolig adresse, eller lignende. Retten til å protestere er ikke en ubetinget rett, og den avhenger av hva som er det rettslige grunnlaget for behandlingen, og om du har et særskilt behov. Hvis du protesterer mot behandlingen, vil vi vurdere om vilkårene for å protestere er oppfylt.

Dersom vi kommer til at du har rett til å protestere mot behandlingen, og at innsigelsen er berettiget, vil vi stanse behandlingen og du vil også kunne kreve sletting av opplysningene. Vær oppmerksom på at vi i enkelte tilfeller likevel kan gjøre unntak fra sletting, for eksempel hvis vi er nødt til å lagre personopplysningene for å oppfylle en oppgave vi er pålagt etter universitets- og høyskoleloven, eller for å ivareta viktige samfunnsinteresser.

Rett til å klage over behandlingen

Dersom du mener vi ikke har behandlet personopplysningene på en korrekt og lovlig måte, eller hvis du mener at vi ikke har klart å oppfylle dine rettigheter, har du mulighet til å klage over behandlingen. 

Dersom vi ikke tar klagen din til følge, har du mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven og personvernforordningen ved behandling av personopplysninger.

Dersom Nord avdekker eller får melding om sikkerhetsbrudd, behandles saken av institusjonens informasjonssikkerhetskoordinator (CISO) i henhold til gjeldende regelverk og rutiner.

Dersom man vurderer at sikkerhetsbruddet medfører risiko for krenkelse av personvernet, vil Datatilsynet bli varslet uten ugrunnet opphold, og senest innen 72 timer.

De registrerte som sannsynlig vil bli berørt av et sikkerhetsbrudd, vil bli varslet så raskt som mulig. De registrerte blir da varslet individuelt. Dersom det ikke er mulig å varsle de registrerte individuelt, vil bruddet bli bekjentgjort som en nyhetssak på Nord universitets nettsider.