Hopp til hovedinnhold (trykk enter)
Arkivplan.no
Opp ett nivå

Protokoll for behandling av personopplysninger i visma enterprise HRM
Printer-ikon  Utskriftsvennlig versjon

Protokoll for behandling av personopplysninger

Fylt ut av: HR-konsulent Anna Damps

Dato: 23.11.2018. Revidert: 19.06.2020

  1. A.     LØSNING, PROSESS OG SYSTEM

Behandlingsansvarlig:

Røros kommune ved kommunedirektør

postmottak@roros.kommune.no

Tlf. 72 41 94 00

Navn på løsning, prosess eller system:

Visma Enterprise HRM

Dato for etablering av løsning, prosess eller system:

2013

Kort og generell beskrivelse av løsning, prosess eller system:

Visma HRM er kommunens personal- og lønnssystem.

Dersom systemet er integrert mot andre systemer, beskriv hvilke personopplysninger som utleveres til andre systemer, samt hvilke systemer som mottar opplysningene:

Rekrutteringsmodulen EasyCruit er koblet opp mot både HRM og sakarkivsystemet vårt – ESA. Her arkiveres det opplysninger som; navn, adresse, telefonnummer, e-post og fødselsnummer.

 

Formålet med behandlingen av personopplysningene:

Utredningsplikten i henhold til forvaltningsloven § 37 – sikre at saken er tilstrekkelig opplyst før vedtak fattes.

HJEMMELSGRUNNLAG OG SAMTYKKE

Hjemmelsgrunnlag for behandling av personopplysninger: (se nettside Personvernforordningen, artikkel 6 for veiledning)

☐ Forskrift, skriv inn hjemmel:

☒ Lov, skriv inn hjemmel:

-       Forvaltningsloven § 37

-       Personvernforordningen artikkel 6, første ledd bokstav C

-       Arkivloven

-       Bokføringsloven (krav om oppbevaringsplikt)

-       Skatteloven (innberetningsplikt)

 

☐ Samtykke, dato for inngått samtykke:

☐ Avtale, nevn avtale:

☐ Annet:

 

Er det krav om innhenting av samtykke for den aktuelle behandlingen av personopplysningen?

☒ Ja

☐ Nei

 

Kort beskrivelse av hvordan samtykke er innhentet og dokumentert:

Ved rekruttering innhentes samtykke ved å huke av for «Jeg godtar personvernerklæringen». En del av personvernerklæringen ligger vedlagt og kan leses før man samtykker, og det er videre henvist til en link søkeren kan gå inn på for å lese fullstendig versjon av personvernerklæringen.

I tillegg er det et punkt i arbeidsavtalen om at man ved signering godtar at som ansatt i Røros i kommune blir det samlet inn og lagret personopplysninger om deg med bakgrunn i arbeidsforholdet ditt.

Kort beskrivelse av hvordan samtykke kan trekkes tilbake:

Det kan sendes forespørsel om sletting av visse opplysninger i etterkant av en rekruttering.

Er personvernombud orientert om behandlingen: ☒ Ja        ☐ Nei

OPPLYSNINGER

Nevn alle typer av personopplysninger som behandles i beskrevet løsning, prosess eller system:

☒ Navn

☐ Sensitive opplysninger:

☒ Adresse

☒ Fødselsdato

☒ Personnummer

☒ Telefonnummer

☒ E-postadresse

☐ IP-adresse

☐ Annen type; gårds- og bruksnummer

☒ Etnisk bakgrunn

☐ Politisk tilhørighet

☐ Livssyn

☒ Helseforhold

☐ Seksuelle forhold

☒ Fagforeningstilknytning

☐ Straffeforhold

BEHANDLINGER

Nevn alle typer behandling av personopplysninger som foregår i løsning, prosess eller system:

☒ Innsamling

☒ Utlevering mv

☒ Lagring

☒ Tilgangsstyring

☒ Sammenstilling

☒ Uttrekk av statistikk, styringsdata

☒ Endring av opplysninger

☒ Retting

☒ Sletting

☐ Annen behandling:

 

Hvem registreres det data om: 

☒ Ansatt

☒ Oppdragstaker

☐ Elev/barn

☐ Tjenestemottaker

 

☐ Pasient

☐ Forelder/foresatt

☐ Annet, beskriv:

 

Kort beskrivelse av hvordan behandling av opplysningene foregår i løsning, prosess eller system (for eksempel til hvem opplysninger er levert, hvem har direkte tilgang til systemene, hvem de samler opplysninger fra?):

Kun saksbehandlere med nødvendige tilganger har mulighet til å behandle disse opplysningene og har direkte tilgang. Et tilgangsstyringssystem er satt opp for å ivareta informasjonssikkerheten. Taushetsbelagt og gradert informasjon er tilgjengelig kun for ansatte med formålstjenlig rettighet til opplysningene.

Informasjon kan utleveres til andre i forbindelse med blant annet deling av relevant informasjon til blant annet skatteetaten, offentligheten (søkerlister), NAV når det gjelder sykepenger, ved tarifforhandlinger o.l.

 
  1. B.     ROLLER, ANSVAR OG DATABEHANDLERAVTALER (databehandler er den virksomheten som behandler opplysningene på vegne av Røros kommune)

Navn på virksomhet som er databehandler:

Visma Enterprise AS

 

Sak/arkivnr. på databehandleravtale(r): 18/2227

 

Dersom det ikke finnes databehandleravtale må dette skaffes, og arkiveres i ESA. Denne protokollen er ikke gyldig før databehandleravtale foreligger.

 
  1. C.     DEN REGISTRERTES RETTIGHETER

Informasjon. Kort beskrivelse av hvordan man informerer den registrerte om hvilken informasjon vi behandler.

 

Registreringer i Visma Enterprise HRM er ikke samtykkebasert og hjemlet i forvaltningsloven og arkivloven. Et unntak er når det gjelder rekrutteringer, der samtykke må gis og personvernerklæring er tilgjengelig.

Generell informasjon i personvernerklæring på Røros kommunes nettside.

Innsyn. Kort beskrivelse av hvordan den registrerte kan få innsyn i egne opplysninger:

Postliste eller ved henvendelse til servicetorget.

Retting og sletting. Kort beskrivelse av hvordan den registrerte kan få rettet og slettet opplysninger:

Ved henvendelse til servicetorget.
  1. D.    INFORMASJONSSIKKERHET

Sikkerhetstiltak som er etablert for at behandling skal foregå på en forsvarlig måte?

 

☒ Pålogging med unike brukernavn og passord

☐ To-nivå pålogging

☒ Rettighetsstyrt tilgang til opplysninger

☒ Loggføring av behandling

☒ Gjennomført opplæring av ansatte i behandlingen av informasjonen

☐ Behandling/register kun tilgjengelig i lukket sone

☐ Annet:  

 

Finnes det fysiske sperrer i systemet: 

Server innlåst på datarom.
  1. E.     ROS-VURDERING

Forenklet risikovurdering;

 

Fare for at uvedkommende kan få tilgang til personopplysninger (konfidensialitet)

☐Høy risiko ☐ Middels risiko ☒ Lav risiko

 

Fare for uautorisert endring/manipulering av personopplysninger, ubevisst eller bevisst, eks. at ansatte har mere tilgang enn man trenger (integritet)

☐Høy risiko ☒ Middels risiko ☒ Lav risiko

 

Fare for at ansatte ikke får tilgang til nødvendige personopplysninger i sitt arbeid:

☐Høy risiko ☐ Middels risiko ☒ Lav risiko

Ved avkryssing av høy risiko på en eller flere punkter så skal det gjennomføres en fullstendig risikovurdering. Se egen prosedyre i kvalitetssystemet.
  1. F.     RUTINER

Finnes det skriftlige rutiner for behandlingen av personopplysningen? (eksempelvis rutiner for sletting, opprettelse av brukere, gi innsyn, samtykke, trekk av samtykke…)

 

☒ Ja, hvilke og hvor finnes de:

-       Elektronisk brukerhåndbok integrert i systemet, brukerveiledninger på systemet som er tilgjengelige etter innlogging (for saksbehandlere), samt brukerveiledninger i Compilo kvalitetssystem (for ansatte).

 

☐ Nei

Kort beskrivelse av rutiner for internkontroll:

-       Avvikssystem

-       Interne revisjoner om informasjonssikkerhet

-       Stikkprøvebaserte kontroller

 

Kort beskrivelse av eventuelle andre rutiner som kan ha betydning for sikkerheten:

Opplæring i bruk av systemet.