Grunnleggende personvernprinsipper etter nytt regelverk (GDPR):

Formålsbegrensning: Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål.

Dataminimering: Mengden innsamlede personopplysninger skal begrenses til det som er nødvendig for å realisere innsamlingsformålet.

Riktighet: Personopplysninger som behandles skal være korrekte. Opplysningene skal også oppdateres hvis det er nødvendig.

Lagringsbegrensning: Personopplysninger skal lagres slik at de slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for.

Integritet og fortrolighet: Personopplysninger skal behandles slik at opplysningenes integritet og fortrolighet beskyttes.

Ansvarlighet: Prinsippet om ansvarlighet understreker den behandlingsansvarliges ansvar for å opptre i samsvar med reglene for behandling av personopplysninger.

Definisjoner

Med personalsaker menes all dokumentasjon som vedrører virksomhetens forhold til de ansatte.

Med personalarkiv menes dokumenter som inneholder saker vedrørende den enkelte ansatte.

Med personalmapper menes mapper i personalarkivet på den enkelte ansatte.

Med saksarkiv menes dokumenter som er ordnet etter virksomhetens emnebaserte arkivnøkkel (f.eks. K-kode).

2. Forholdet saksarkiv – personalarkiv

   Personaldokumentasjon finnes både i saksarkivet og i personalarkivet.

   Hovedregler:

   • Saker av generell art, eller som angår grupper av ansatte oppbevares i saksarkivet.
   • Saker som gjelder den enkelte ansatte oppbevares i personalarkivet.

   Bare unntaksvis kan samme dokumentasjon oppbevares i begge arkiver (dobbelarkivering). Dette vil evt. gjelde for saker som danner presedens for liknende saker og disiplinærsaker.

   Forholdet personalarkiv – personalmappe

   Personalarkivet vil bestå av dokumentasjon av ulik betydning for den enkelte og virksomheten. All dokumentasjon av betydning for den enkeltes arbeidsforhold skal oppbevares i personalmappen (se liste). Dokumenter med mer tidsbegrenset informasjon (personalinformasjon) kan oppbevares hos leder eller lønns- og personalavdelingen. (se pkt. 3.2.2).

   Personalregister

   Alle virksomheter plikter å ha et personalregister med ajourførte opplysninger om alle ansatte, enten i form av personalkort eller som edb-register. Rauma Kommune bruker Visma HRM som personalregister – elektronisk register. Følgende opplysninger om den ansatte finnes i Visma HRM:

   • lønnsdata
   • navn
   • adresse
   • epostadresse
   • fødselsnummer
   • kontonummer
   • ansettelsesforhold
   • stillingskode
   • trekkopplysninger
   • fravær.

   Ansettelsessaker

   Ansettelsessaker arkiveres i saksarkivet. I ansettelsessaken skal følgende dokumenter ligge:

   • Dokument om vurdering av stilling (behovsvurdering)
   • Annonsetekst
   • Innkomne søknader
   • Evt. foreløpig svar
   • Søkerliste (offentlig og utvidet)
   • Innkalling til intervju
   • Evt. uttalelser fra arbeidstakerorganisasjonene
   • Ansettelsesprotokoll m/evt. uttalelser fra arbeidstakerorg.
   • Avslag til andre søkere

   MERKNAD: Eventuelle papirbaserte (printede) vedlegg fra søkere som ikke får stillingen, skal makuleres etter klagefristens utløp.

   Personalmapper

   Personalmappen dokumenterer den ansattes arbeidsforhold. Personalmappene arkiveres i arkivdel Personal.  Personalmapper opprettes av leder som foretar ansettelse i stillingen. Hver enkelt leder er ansvarlig for å arkivere og ajourholde innholdet i personalmappene. Personalmappene og innholdet er unntatt offentligheten, og derfor er graderingen særdeles viktig.

   Følgende dokumenter skal importeres og registreres i personalmappene:

   • Søknad med CV, attester og vitnemål (overført fra ansettelsessak)
   • Kopi av signert tilbudsbrev + svarbrev (overført fra ansettelsessak)
   • Arbeidsavtaler
   • Taushetserklæring
   • Databrukeravtale
   • Pensjonsforhold
   • Tuberkuloseattest
   • Kvittering for mottatt politiattest. Se punkt 3.3
   • Politiattest – kun barnevern
   • Dokument vedr. ansiennitets- og lønnsplassering, -opprykk
   • Dokumentasjoner av permisjoner uten lønn (med ansiennitetstap) – søknad og vedtak
   • Lokale lønnsforhandlinger, korrespondanse vedr. resultat
   • Dokument ang. foreldrepermisjon (søknad og vedtak)
   • Dokumenter vedr. særavtaler, godtgjørelser, stipend
   • Dokumentasjon på og oppfølging av yrkesskader
   • Kompetanseutvikling som har betydning for den ansattes lønns- og ansettelsesforhold
   • Ev. AKAN-tiltak (journalposten graderes med «PS»). Slettes 2 år etter avsluttet behandling
   • Ev. særskilte arbeidsavtaler, f.eks. tilpasset arbeid og attføring
   • Ev. disiplinærtiltak (journalposten graderes med «PS»)
   • Korrespondanse til og fra den ansatte dersom saken har betydning for den ansattes langvarige tjenesteforhold og pensjonsforhold
   • Oppfølging i forbindelse med sykemelding dersom saken har betydning for den ansattes langvarige tjenesteforhold og pensjonsforhold
   • Oppsigelsesbrev / ev. korrespondanse
   • Sluttattest / tjenestebevis

   Dokumenter som oppbevares utenfor personalmappen

   Dokumentasjon som gjelder den enkelte ansatte, men som har tidsbegrenset interesse og som ikke er nødvendig for å dokumentere den enkeltes arbeidsforhold, skal ikke skannes og arkiveres i personalmappen. Enkelte dokumenter kan inneholde personlige opplysninger, og bør oppbevares nedlåst, eller lagres på sikker sone elektronisk. Den slags dokumenter kan for eksempel være:

   Hvor oppbevares denne dokumentasjonen faktisk?

   • Permisjoner uten ansiennitetstap (bl.a. velferdspermisjon)
   • Ferier / feriepenger
   • Tjenestereiser, reiseforskudd
   • Gjenparter av rutinemessige meldinger til pensjonskasse, NAV
   • Egenmeldinger og sykemeldinger
   • Lønnsutbetaling, lønningskort, kopi av lønnsslipper, lønns- og trekkoppgaver
   • Underbilag til lønn: timelister, akkordsedler, stemplingskort, overtidslister, fraværslister
   • Lønnstrekk til fagforening, og evt. andre trekk
   • Bilgodtgjørelse, telefongodtgjøring
   • Medlemslister til pensjonskassen
   • Annen dokumentasjon som har tidsbegrenset interesse og som ikke er nevnt i punkt 3.2.1. Ved tvilstilfelles, sjekk med arkivansvarlig (se sign. dette dokument).

   Politiattester

   Politiattester skal fremvises arbeidsleder senest den dagen arbeidstaker starter i ny stilling. Arbeidsleder skal så registrere at politiattest er fremvist, ved å opprette et internt notat uten oppfølging i P360. I notatet settes standardteksten "Politiattest fremvist" inn (den finnes i mappen "Personal", både på bokmål og nynorsk), og aktuelle felter hukes av/fylles ut.

    

   Viktig: Politiattester skal i utgangspunktet ikke lagres i personalmappa. Men det gjelder et unntak for ansatte i barnevernet - for disse skal selve politiattesten arkiveres i personalmappen. Attesten (dvs. filen som ligger i saksdokumentet i P360) skal slettes når vedkommende slutter i stillingen, jf. Forskrift om politiattest i henhold til barnevernloven § 8.

   Evt. fremlagt attest fra person som ikke får tildelt stillingen skal uansett slettes.

   Innsyn i personalmappe

   Krav om innsyn i en personalsak behandles etter reglene for partsinnsyn i Forvaltningslovens §§ 18-20, og etter innsynsbestemmelsene i Personopplysningslovens § 18. Ansatte har som hovedregel rett til innsyn i sine egne saker. Innsynet skal gis sammen med virksomhetsleder, evt. med annet kvalifisert personell. Det gis en oversikt over hvilke saker/journalposter som finnes (journalpostliste). Den som begjærer innsyn, gir beskjed om hvilke saker man ønsker innsyn i. Det tas deretter utskrifter av de aktuelle dokumentene. Den som ønsker innsyn, søker om det på kommunens hjemmeside: Postliste/Søk etter sak.

   Retting og sletting fra personalmappe

   En ansatt som mener at arbeidsgiver behandler uriktige, ufullstendige eller unødvendige opplysninger, kan kreve at disse rettes eller slettes.  Krav om retting eller sletting skal fremmes skriftlig og behandles i tråd med kommunens etablerte saksbehandlingsrutiner. Behandlingsansvarlig skal vurdere og gi en saklig begrunnelse for sin håndtering og oppfølging av fremsatt krav om retting/sletting.

   Informasjonsplikt

   Ansatte skal ha informasjon om hvilke typer opplysninger som arbeidsgiver lagrer i personalmappen. Rauma Kommune har et eget punkt i arbeidsavtalen med informasjon om hvilke opplysninger som lagres. Ansatte må krysse av og signere for at de har lest det. Slik ivaretar kommunen informasjonsplikten.

   Sikkerhet for personopplysninger

   Sikkerhet for personopplysninger reguleres av Personopplysningslovens §§ 13 og 14 om informasjonssikkerhet og internkontroll. Personopplysningsforskriften kap. 2 inneholder lovens sikkerhetsbestemmelser. Bestemmelsene gjelder for behandlinger av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler.

   Ved behandling av sensitive personopplysninger er det strengere krav til behandlingen enn om man behandler andre personopplysninger. Sensitive personopplysninger er definert i § 2 i loven som:

   1. rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning
   2. at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling
   3. helseforhold
   4. seksuelle forhold
   5. medlemskap i fagforeninger

   Sikkerhetsrutiner og tilgangskontroll

   Personalmapper vil kunne inneholde opplysninger som den enkelte anser som høyst personlig informasjon, og som også er sensitive etter personopplysningsloven. Dette betyr at innholdet kun skal være tilgjengelig for en meget begrenset krets av personer, og beskyttes mot uautorisert innsyn. Bare personer med tjenstlig behov for opplysningene skal ha tilgang, dvs. at personalmappene bare skal være tilgjengelig for ansatte som er avhengige av tilgang for å kunne utføre sine arbeidsoppgaver. I Rauma Kommune har lederne tilgang til sine egne ansatte pr. avdeling. Lønns- og personalavdelingen og HR har tilgang til alle personalmappene. Lederne skal sende melding til arkiv når en ansatt med tilganger slutter eller går ut i langvarig fravær/permisjon, eller ved bytte av stilling.

   Elektroniske registre må lagres på sikre soner, og det må iverksettes tiltak som hindrer at data kan komme på avveier. Dette kan for eksempel være etablering av brannmurer, logging av oppslag eller tilgangskontroll. Rauma Kommune har brannmurer, logging av oppslag og tilgangskontroll. Alle oppslag blir elektronisk loggført, med dato og tidspunkt.

   Rauma Kommune skal gjennomføre årlig tilgangskontroll i P360/Personalsaker. Ansvarlig for å initiere gjennomgangen er arkivtjenesten.

   Følgende sikkerhetsrutiner skal følges av saksbehandler:

   • Utlån av brukerid/passord skal ikke forekomme
   • Ikke gå fra åpen maskin (trykk windows-tast + L for å låse)
   • Lagring av dokumenter på andre medier skal ikke forekomme
   • Personopplysninger i personalarkivet skal kun lagres i sak-/arkivsystemet
   • Ikke la utskrifter ligge igjen på skriver. Bruk sikker print.

    

   Bevaring

   Personvernforordningen gir strenge krav til hvor lenge opplysningene kan lagres, men Arkivloven går foran forordningen, og dermed har kommunen tilstrekkelig grunnlag for arkivering utover primærformålet. Forordningen innebærer at arkivlovens regler om bevaring på samme måte som i dag vil gå foran retten til sletting.

   Arbeidsgiver skal i utgangspunktet ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med bruken av opplysningene. Formålet med bruken følger Arkivloven mht. sakstyper som skal bevares for ettertiden. 

   Arbeidsgiver har rutiner for gjennomgang av lagret informasjon.

   Rauma kommune har utarbeidet bevarings- og kassasjonsplan som er styrende for personopplysningene i kommunen.

   Retningslinjene for arkivering av personalsaker skal revideres årlig, og Arkivleder er ansvarlig for å initiere revideringen.