Personvernerklæring for ansatte

Hva er en personvernerklæring?

Hva er personopplysninger?

Kort om behandling av ansattes personopplysninger

Behandling av personopplysninger i sentrale system

Systemer knyttet til bestemte roller

Sikkerheten rundt personopplysningene dine

Rettighetene dine

Kontakt

 

1. Hva er en personvernerklæring?

En personvernerklæring beskriver hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter du har og hvem du kan kontakte angående personopplysningene dine. Denne personvernerklæringen beskriver hvordan NMH håndterer personopplysningene dine dersom du er ansatt eller har søkt på en stilling ved Høgskolen.

2. Hva er personopplysninger?

Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Det avgjørende for om en opplysning er en personopplysning, er om opplysningene direkte eller indirekte kan identifisere en konkret person.

3. Kort om behandling av ansattes personopplysninger

Norges musikkhøgskole er en institusjon med omtrent 350 ansatte som i egenskap av sine ulike stillinger er registrert i ulike IT-systemer og tjenester som enten driftes av høgskolen selv eller av eksterne leverandører. Felles for alle ansatte er å være registrert i våre sentrale system, slik som lønnssystem, arkivsystem, adgangskontrollsystem og ulike IT-system for at vi skal kunne gi deg tilgang til basistjenester slik som e-post og SAP. I tillegg vil ulike ansatte være registrert i ytterligere systemer som benyttes i den konkrete stillingen for å kunne utføre arbeid for NMH.

4. Behandling av personopplysninger i sentrale system

4.1. Formålet med, og rettslig grunnlag for behandling av personopplysninger i sentrale system

4.1.1 Formål

Formålet med behandlingen av personopplysninger i sentrale system er å ivareta dine rettigheter som ansatt, for å oppfylle NMHs oppgaver og plikter som arbeidsgiver, og for at du skal kunne gjøre jobben du er ansatt for å gjøre. Det er nødvendig for NMH å behandle personopplysningene dine slik at NMH eksempelvis kan gi deg lønn, utføre nødvendig administrasjon rundt arbeidsforholdet, sikre tilganger til IT-systemer og forvaltning av eiendommer.

4.1.2 Rettslig grunnlag

Behandlingene hjemles i personvernforordningen artikkel 6 nr. 1 bokstaver b og e. Det vil si for å oppfylle arbeidskontrakten med deg som ansatt og for å oppfylle plikter vi er pålagt i øvrig lovgivning, slik som arbeidsmiljøloven, statsansatteloven, arkivloven og universitets- og høyskoleloven, regnskapsloven og ligningsloven.

4.2 Lønnssystem

NMH benytter plattformen SAP som system for lønns- og personaladministrasjon. Systemet drives i stor grad av en standardløsning fra det tyske programvarefirmaet SAP, men det er gjort noen modifikasjoner. Denne tilpassede løsningen har fått navnet SAP og eies av Seksjon for økonomi, personal og arkiv. HR-portalen er SAPs selvbetjeningsløsning for ansatte i ulike roller.

Systemet benyttes i hovedsak til

  • lønnsbehandling
  • reise- og refusjonsoppgjør
  • sykepengebehandling
  • intern og ekstern rapportering
  • Registrering av arbeidstid (administrativt ansatte)

4.2.1 Hvilke personopplysninger blir behandlet i SAP?

Følgende personopplysninger kan bli behandlet:

  • navn
  • fødselsnummer
  • ansattnummer
  • kontaktinformasjon
  • lønnsinformasjon
  • betalingsinformasjon
  • arbeidstid
  • informasjon om sykefravær, sykemeldinger, avspasering, ferie og permisjon
  • skatteopplysninger
  • reise- og refusjonskrav
  • informasjon om sidegjøremål og eierinteresser
  • informasjon om nærmeste pårørende.

4.2.2 Personopplysningene dine hentes inn til SAP fra:

  • deg selv via HR-portalen
  • folkeregisteret
  • enhetsregisteret
  • tidligere arbeidsgiver
  • sidegjøremåls- og eierinteressetjenesten ved NMH
  • skattedirektoratet

4.2.3 Automatisk saksbehandling i SAP

SAP gjør flere automatiske behandlinger av dine personopplysninger. Dette vil kunne være for å beregne antall feriedager du har krav på, antall omsorgsdager du har krav på basert på antall barn som forsørges.

4.2.4 Hvor lenge lagrer vi personopplysningene dine i SAP?

Opplysningene dine i SAP lagres i ti år før det slettes. Det følger av krav i bokføringsloven. 

4.3 Saksbehandlings- og arkivsystem

Public 360 er NMHs elektroniske saksbehandlings- og arkivsystem. "Personalmapper" opprettes i Public 360. Personalmappen skal inneholde dokumentasjon som har betydning for den ansattes tjeneste- og pensjonsforhold.

4.3.1 Hvilke personopplysninger blir behandlet i systemet?

Personalmappen vil blant annet kunne inneholde

  • dokumenter fra søknadsprosesser, slik som permisjonssøknader
  • ansettelseskontrakt
  • CV og jobbsøknad
  • lønnsprosesser og -forhandlinger
  • arbeidsplan
  • advarsler
  • sykemeldinger
  • personalsaker
  • attester
  • vurderinger
  • referater fra arbeidssamtaler

4.3.2 Hvor lenge lagres personopplysninger i personalmappen?

Personopplysningene dine i Public 360 blir slettet så snart det ikke er nødvendig å lagre dem lenger. Dette gjelder likevel kun dokumenter som ikke har varig virkning på ansettelses- eller lønnsforhold. For øvrige dokumenter er NMH underlagt arkiveringsplikten i arkivloven, slik at informasjon i Public 360 i utgangspunktet ikke kan slettes uten uttalelse fra Riksarkivaren, jf. arkivloven |§ 9. Dette gjelder selv etter arbeidsforholdets opphør.

4.4 NMH adgangskontrollsystem

Adgangskontrollsystemet til NMH har som formål å forvalte Høgskolens eiendommer og sørge for sikkerhet ved, og autorisert tilgang til, våre områder.

Det er Seksjon for drift og IKT ved NMH som er ansvarlig for anlegget.

Anlegget består av kortlesere inne i NMHs bygningsmasse.

4.4.1 Hvilke personopplysninger blir behandlet i systemet?

  • navn
  • kortnummer
  • passeringsdata når kortbruker registrerer kort i kortleser

4.4.2 Hvor lenge lagres personopplysninger i systemet?

Din kontaktinformasjon blir lagret så lenge du har et gyldig adgangskort for å ha tilgang til NMHs eiendommer.Passeringsdata fra kortleser slettes etter 6 mnd.

4.5 Brukeradministrativt system NMH-BAS (Cerebrum)

NMH-BAS (Cerebrum) er navet til nesten alle IT-systemer ved Høgskolen. Cerebrum er et Identity Access Management system (IAM), og skal sikre enkel og trygg bruker- og gruppeadministrasjon for NMH.

Cerebrum mottar data fra SAP (og FS) og er videre et kildesystem for brukernavn, passord, e-postadresser og gruppeinformasjon, og integrerer med andre systemer. Med kildesystem menes et system som andre systemer henter informasjon fra. Cerebrum muliggjør for eksempel innlogging i ulike tjenester med ditt NMH-brukernavn. Cerebrum skal oppleves som noe som bare fungerer, og skal være usynlig for brukeren.

Cerebrum selv henter sine grunndata fra SAP (og FS), så endrer du eller arbeidsgiver informasjon om deg i SAP, så vil det automatisk endres i Cerebrum, og med det i alle tilknyttede system.

Eksempler på systemer som henter sin grunndata fra Cerebrum er skylagringstjenester, bibliotekstjenester,  hjemmeområder,  FEIDE, e-postsystem, tilgangskontroll- og ulike innloggingstjenester. 

4.5.1 Hvilke personopplysninger blir behandlet i systemet?

  • brukernavn
  • passord
  • e-postadresse
  • personnummer
  • ansattnummer
  • fornavn
  • etternavn
  • dato for tiltredelse og fratredelse
  • sivilstatus
  • organisasjonsenhet
  • telefon
  • medarbeidergruppe
  • medarbeiderundergruppe
  • tittel 

 4.5.2 Hvor lenge lagres personopplysninger i systemet?

Opplysninger i Cerebrum slettes innen 1 år etter at ditt arbeidsforhold er avsluttet. Brukernavn vil ikke slettes fordi NMH har en regel om at brukernavn ikke resirkuleres av sikkerhetshensyn.

5. Systemer knyttet til bestemte roller

I egenskap av din egen stilling på NMH kan det hende at det kreves at du bruker ulike IT-tjenester for å utføre ditt arbeid. Disse IT-tjenestene lagrer selv personopplysninger om deg. Det kommer helt an på hva tjenesten gjør, og hvilken funksjon du har på NMH.

Mange av disse tjenestene har en brukerprofil på deg for å sikre at du har lovlig tilgang til systemet. Noen tjenester vil også kunne logge din aktivitet av ulike hensyn, slik som sikkerhets-, drifts- eller tjenesteutviklingshensyn.

Du vet selv best hvilke tjenester du bruker i din hverdag, og kan forhøre deg med IT-drift hvordan disse tjenestene/systemene behandler dine personopplysninger.

Det vil være lagret personopplysninger om deg der du har logget deg inn med din NMH-bruker eller der du som ansatt ved NMH kan være registrert. Eksempler på slike er:

  • faktura-, innkjøps-, og øvrige økonomihåndteringssystemer
  • drifts- og sikkerhetsverktøy
  • Skylagringstjenester (BOX.COM)
  • web (nmh.no)
  • registre over forskning, slik som CRISTin, Brage, NSD.

6. Sikkerheten rundt personopplysningene dine

NMH gjennomfører regelmessig risiko- og sårbarhetsanalyser av datasystemene vi benytter for å sikre personopplysningene dine. Vi har også flere sikkerhetstiltak, som for eksempel tilgangskontroller for å hindre at flere ansatte enn nødvendig får tilgang til personopplysningene dine. Ansatte har taushetsplikt rundt personopplysninger de får i arbeidet. Hvordan vi sikrer dine opplysninger kan du lese om i Ledelsessystem for Informasjonssikkerhet.

7. Rettighetene dine

Når NMH behandler personopplysninger om deg, enten i personalmappen, i vurderinger, i logger eller i andre registre/systemer, har du enkelte rettigheter etter personopplysningsloven.

7.1 Rett til innsyn

Du har rett til å henvende deg til NMH for å undersøke hvorvidt vi behandler personopplysninger om deg. Hvis vi gjør det har du krav på å få vite blant annet hvilke personopplysninger dette er, hvor de stammer fra og hvorfor vi har dem. Du kan også få utlevert en kopi av de personopplysningene vi sitter på. Du vil ikke har rett til å få informasjon om hvorvidt vi behandler opplysninger om andre. Høgskolen behandler personopplysninger på veldig mange områder. Vi har derfor en rett til å be deg presisere fra hvilke system du ønsker informasjon fra.

7.2 Rett til å kreve retting

Hvis du etter å ha gjort et innsyn i dine personopplysninger oppdager at informasjonen vi sitter på er feil, ufullstendige eller unøyaktig, kan du be NMH om å rette opplysningene.  

7.3 Rett til sletting (retten til å bli glemt)

NMH har allerede strenge sletterutiner, enten det er automatisk sletting av logger hvert kvartal eller automatisk sletting når du ikke lenger er registrert som ansatt. De opplysningene vi sitter på har du i utgangspunktet rett til å be oss slette. Dette er ikke en automatisk rett, men det kan skje på enkelte vilkår. Hvis vi har et rettslig grunnlag til å sitte på opplysningene, en annen lov nekter oss å slette dem, eller du ikke har tungtveiende rettmessige grunner til å kreve sletting, vil vi likevel fortsatt kunne behandle opplysninger om deg.

7.4 Rett til begrenset behandling

Denne retten gir deg mulighet til å kreve at NMH midlertidig stopper bruken av dine personopplysninger. Du kan kreve det hvis du mener at opplysningene vi sitter på er unøyaktige eller vi ikke har tilstrekkelig grunnlag for å behandle opplysningene. Vi vil da stoppe behandlingen inntil vi har undersøkt innsigelsene dine.

7.5 Rett til dataportabilitet

Hvis NMH behandler dine personopplysninger basert på ditt samtykke eller en avtale NMH har med deg, og behandlingen utføres automatisk (for eksempel at data kalkuleres automatisk eller maskiner analyserer opplysningene), vil du kunne kreve at vi overfører flere av dine personopplysninger til deg eller en tredjepart.

7.6 Rett til å protestere

Hvis du er i en særegen situasjon som gjør at NMHs behandling av dine personopplysninger skaper spesielle utfordringer for deg, kan du protestere mot høgskolens behandling. Hvis dine interesser er tyngre enn høgskolens skal vi ikke lenger behandle dine personopplysninger.

Kontakt

Behandlingsansvarlig

Direktøren ved NMH er behandlingsansvarlig for personopplysninger vi behandler. Den daglige oppfølgingen av dette ansvaret er delegert til IT-leder ved NMH.

Dersom du ønsker å benytte deg av dine rettigheter som er omtalt i punkt 7 over, kan du kontakte oss på behandlingsansvarlig@nmh.no.

Dette gjelder også for retting av opplysninger.  Vi vil behandle din henvendelse uten ugrunnet opphold, og senest én måned etter vi mottar anmodningen. 

Personvernombud

NMH har et personvernombud som skal ivareta personverninteressene til både studenter og ansatte ved NMH. Personvernombud for administrative behandlinger av personopplysninger ved NMH kan nås via e-post personvernombud@nmh.no.

Sist oppdatert: 16. oktober 2018