Generell personvernerklæring for ansatte på NLA Høgskolen

Denne erklæringen informerer deg om hvordan NLA behandler personopplysningene om deg som ansatt.

Når du er ansatt på NLA vil vi behandle personopplysninger om deg. Nedenfor finner du informasjon om personopplysninger som samles inn, hvorfor vi gjør dette og dine rettigheter knyttet til behandlingen av personopplysningene.

Behandlingsansvarlig for dine personopplysninger er:

NLA Høgskolen AS, organisasjonsnummer: 995189186, representert ved rektor. Ansvaret for personopplysninger som vedrører ansatte er delegert til HR-leder. Kontaktinformasjon for HR-leder: hr-leder@nla.no. Telefon: 905 61 906. For spørsmål du måtte ha om vår behandling av dine personopplysninger, kan du kontakte HR-leder.

Personopplysning og sensitiv personopplysning

En personopplysning er enhver opplysning som kan knyttes til en fysisk person (fødselsnummer, navn, fingeravtrykk, postadresse, bilnummer m.m.)

Særlige kategorier (sensitive) personopplysninger er for eksempel opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, livssyn, fagforeningsmedlemskap, genetiske eller biometriske opplysninger, helseopplysninger, seksuelle forhold eller seksuell orientering.

Formål og hjemmel for å innsamle og behandle personopplysninger

Det er nødvendig å innhente og behandle personopplysninger for å blant annet kunne skrive arbeidsavtaler, utbetale lønn, innvilge permisjoner, rapportere til Kunnskapsdepartementet (KD) og Nav, skrive attester, følge opp sykefravær og ha mulighet for å kommunisere med deg som ansatt.

Hjemmelsgrunnlaget for å behandle personopplysninger ligger både i arbeidsmiljøloven kap. 9, personopplysningslovens § 8 og EUs personvernforordning, GDPR.

Videre ligger hjemmelsgrunnlaget for å samle inn opplysninger om kandidater som søker stilling på høgskolen, i samtykkeerklæringer som kandidater automatisk gir fra seg via Jobbnorge.no når de søker jobb ved høgskolen.

Hvilke opplysninger som samles inn, hvor de innhentes fra og hvordan de behandles

Informasjon som behandles om deg som ansatt er navn, fødselsnummer, kontaktinformasjon (adresse og telefonnummer) og epostadresse. Før du ble ansatt ble i tillegg CV, karakterer og vurderinger samlet inn. Videre registreres stillings- og lønnsopplysninger, utdanning og tjenesteansiennitet, samt navn og alder på barn under 12 år og navn og kontaktinformasjon til nærmeste pårørende.

Informasjonen innhentes fra deg som jobbsøker eller ansatt. Det er frivillig å gi fra seg opplysningene.

Videre hentes opplysningene fra andre instanser, som skattemyndigheter og Nav.

Personopplysninger om ansatte behandles bl.a i høgskolens lønn- og personalsystemer (Simployer og Unimicro). Videre finnes det fysiske og digitale personalarkiv med personalmapper.

Opplysninger om navn, stilling og arbeidsområde regnes å være offentlige opplysninger og kan publiseres på høgskolens Internettsider.

Vi bruker profilbilde av deg på nettsidene, Teams og Outlook. Du har mulighet for å reservere deg mot dette.   

Sletting av personopplysninger

Vi lagrer dine opplysninger hos oss så lenge det er nødvendig for det formål personopplysningene samles inn for. For de enkelte typer behandling av personopplysninger innebærer dette at vi beholder opplysningene i følgende tidsperiode:

Opplysninger knyttet til rekruttering, som tester, interne vurderinger mv, slettes etter endt prøvetid om du ikke har samtykket til lengre oppbevaring.

Når du slutter på høgskolen blir personalmappen din gjennomgått og unødvendig informasjon slettes etter seks måneder. Høgskolen vil fortsatt lagre historiske opplysninger som for eksempel hvem som har jobbet i virksomheten, hvor lenge og hvilken stilling de hadde.

Personopplysninger knyttet til reiseregninger må oppbevares i henhold til regnskapsreglene, og slettes 5 år etter utløpet av regnskapsåret reiseregningene gjelder.

Disiplinærvedtak, suspensjon, advarsler og ordensstraff slettes etter 5 år med mindre særlige nye forhold (for eksempel nye advarsler eller annet mislighold) taler for at det må bevares lenger.

Logger (adgangskontroller, aksesslogger på datasystemer, andre it-tekniske logger) oppbevares i 3 måneder og så overskrives disse.

Din brukerkonto, e-postkonto og private områder på høgskolens it-systemer slettes etter 3 måneder fra din eventuelle fratreden dersom ikke noe annet er avtalt.

Behandleransvarlig og personer med innsyn

HR-leder er delegert det daglige ansvaret for behandling av personopplysninger om ansatte, mens systemeier har ansvar for behandlingen i sine system. Dette innebærer å ha ansvar for at personopplysninger behandles etter de til enhver tid gjeldende lover og regler. Systemeier må vurdere risiko, håndtere avvik, sikre god dokumentasjon, ha internkontrollrutiner, utarbeide personvernerklæringer, samt besvare henvendelser fra ansatte som tar kontakt. 

Systemeier må sørge for at det er utarbeidet nødvendige rutiner og prosedyrer for å sikre konfidensialitet og kvalitet og påse at opplysningene ikke lagres lengre enn nødvendig.

Systemeier er også ansvarlig for at det tilbys nødvendig opplæring i bruk av it-systemer og gjeldende rutiner.

Systemeier har ansvar for at informasjonssikkerheten er ivaretatt og at systemene som brukes til å behandle personopplysninger er sikre og lovlige.

Systemeier har også ansvar for at det utformes databehandleravtaler med leverandører av IT-systemer som brukes i behandlingen av personopplysninger.

Systembrukere har kun tilgang til personopplysninger om deg som ansatt som er nødvendig for å ivareta deres arbeidsoppgaver.

Det er enhver leders ansvar at egne ansatte har fått tilstrekkelig opplæring og at dokumenthåndtering og saksbehandling innen eget ansvarsområde skjer i samsvar med NLA sine rutiner.

Spesielt om elektroniske spor

Gjennom arbeidet vil en ansatt legge igjen elektroniske spor, slik som

  • Bruk av adgangskort
  • Digitale løsninger, for eksempel e-post, kalender, OneDrive, Læringsplattformen og TimeEdit
  • Driftslogger og sikkerhetslogger

Arbeidsgiver benytter ikke opplysningene til overvåking av den ansatte. Tilgangen til disse opplysningene er sterkt regulert og kan kun benyttes ved særskilte behov, som for eksempel innbrudd, tyveri eller andre alvorlige lovbrudd.

Dine rettigheter

  • Du har igjennom ny personvernforordningen fått en tydeligere rett til å kreve sletting av egne personopplysninger («retten til å bli glemt»)
  • Du har rett til å kreve at behandlingen begrenses
  • Du har rett til å ta med deg opplysningene til en annen virksomhet (dataportabilitet)
  • Du har rett til å motsette deg automatiserte avgjørelser og profilering.
  • Du har rett til innsyn i hvilke personopplysninger som behandles om deg.

For å utøve dine rettigheter må du kontakte behandlingsansvarlig.

Det kan klages til Datatilsynet på behandling i strid med reglene.

For å utøve dine rettigheter må du kontakte behandlingsansvarlig. Det kan klages til Datatilsynet på behandling som er i strid med reglene. For mer informasjon om dine rettigheter se  Datatilsynets regelverk.

Alle personer kan be om å få utlevert opplysninger om seg selv, se sikresiden.no  

Enkelte systemer er like for studenter og ansatte, se personvernsiden for studenter.