Personvernerklæring for ansatte

En personvernerklæring beskriver hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter du har og hvem du kan kontakte om personopplysningene dine. Denne personvernerklæringen beskriver hvordan AHO håndterer personopplysningene dine dersom du er ansatt eller har søkt på en stilling ved Høgskolen.

Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Det avgjørende for om en opplysning er en personopplysning, er om opplysningene direkte eller indirekte kan identifisere en konkret person.

Arkitektur- og designhøgskolen i Oslo er en institusjon med 170 ansatte som i egenskap av sine ulike stillinger er registrert i ulike IT-systemer og tjenester som enten driftes av høgskolen selv eller av eksterne leverandører. Felles for alle ansatte er å være registrert i våre sentrale system, slik som lønnssystem, arkivsystem, adgangskontrollsystem og ulike IT-system for at vi skal kunne gi deg tilgang til basistjenester slik som e-post og SAP. I tillegg vil ulike ansatte være registrert i ytterligere systemer som benyttes i den konkrete stillingen for å kunne utføre arbeid for AHO.

4.1 Formålet med, og rettslig grunnlag for behandling av personopplysninger i sentrale system

4.1.1 Formål

Formålet med behandlingen av personopplysninger i sentrale system er å ivareta dine rettigheter som ansatt, for å oppfylle AHOs oppgaver og plikter som arbeidsgiver, og for at du skal kunne gjøre jobben du er ansatt for å gjøre.
Det er nødvendig for AHO å behandle personopplysningene dine slik at AHO eksempelvis kan
gi deg lønn
utføre nødvendig administrasjon rundt arbeidsforholdet
sikre tilganger til IT-systemer og forvaltning av eiendommer4.1.2 Rettslig grunnlag
Behandlingene hjemles i personvernforordningen artikkel 6 nr. 1 bokstaver b og e. Det vil si for å oppfylle arbeidskontrakten med deg som ansatt og for å oppfylle plikter vi er pålagt i øvrig lovgivning, slik som arbeidsmiljøloven, statsansatteloven, arkivloven og universitets- og høyskoleloven, regnskapsloven og ligningsloven.

4.2 Lønnssystem

AHO benytter plattformen SAP som system for lønns- og personaladministrasjon. Systemet drives i stor grad av en standardløsning fra det tyske programvarefirmaet SAP, men det er gjort noen modifikasjoner. Denne tilpassede løsningen har fått navnet SAP og eies av økonomiavdelingen. HR-portalen er SAPs selvbetjeningsløsning for ansatte i ulike roller.

Systemet benyttes i hovedsak til

• lønnsbehandling
• reise- og refusjonsoppgjør
• sykepengebehandling
• intern og ekstern rapportering
• Registrering av arbeidstid (administrativt ansatte)4.2.1 Hvilke personopplysninger blir behandlet i SAP?

• navn
• fødselsnummer
• ansattnummer
• kontaktinformasjon
• lønnsinformasjon
• betalingsinformasjon
• arbeidstid
• informasjon om sykefravær, sykemeldinger, avspasering, ferie og permisjon
• skatteopplysninger
• reise- og refusjonskrav
• informasjon om sidegjøremål og eierinteresser
• informasjon om nærmeste pårørende.

4.2.2 Personopplysningene dine hentes inn til SAP fra:

• deg selv via HR-portalen
• folkeregisteret
• enhetsregisteret
• tidligere arbeidsgiver
• sidegjøremåls- og eierinteressetjenesten ved AHO
• skattedirektoratet

4.2.3 Automatisk saksbehandling i SAP

SAP gjør flere automatiske behandlinger av dine personopplysninger. Dette vil kunne være for å beregne antall feriedager du har krav på, antall omsorgsdager du har krav på basert på antall barn som forsørges.

4.2.4 Hvor lenge lagrer vi personopplysningene dine i SAP?

Opplysningene dine i SAP lagres i ti år før det slettes. Det følger av krav i bokføringsloven. 

4.3 Saksbehandlings- og arkivsystem

Public 360 er AHOs elektroniske saksbehandlings- og arkivsystem. Personalmapper opprettes i Public 360. Personalmappen skal inneholde dokumentasjon som har betydning for den ansattes tjeneste- og pensjonsforhold.

4.3.1 Hvilke personopplysninger blir behandlet i systemet?

Personalmappen vil blant annet kunne inneholde

• dokumenter fra søknadsprosesser, slik som permisjonssøknader
• ansettelseskontrakt
• CV og jobbsøknad
• lønnsprosesser og -forhandlinger
• arbeidsplan
• advarsler
• sykemeldinger
• personalsaker
• attester
• vurderinger
• referater fra arbeidssamtaler

4.3.2 Hvor lenge lagres personopplysninger i personalmappen?

Personopplysningene dine i Public 360 blir slettet så snart det ikke er nødvendig å lagre dem lenger. Dette gjelder likevel kun dokumenter som ikke har varig virkning på ansettelses- eller lønnsforhold. For øvrige dokumenter er AHO underlagt arkiveringsplikten i arkivloven, slik at informasjon i Public 360 i utgangspunktet ikke kan slettes uten uttalelse fra Riksarkivaren, jf. arkivloven |§ 9. Dette gjelder selv etter arbeidsforholdets opphør.

4.4 AHO adgangskontrollanlegg

Adgangskontrollsystemet til AHO har som formål å forvalte Høgskolens eiendommer og sørge for sikkerhet ved, og autorisert tilgang til, våre områder.
Det er driftsavdelingen ved AHO som er ansvarlig for anlegget.
Anlegget består av AHOs kortlesere og overvåkingskameraer som er plassert både ute og inne på AHOs områder.

4.4.1 Hvilke personopplysninger blir behandlet i systemet?

• navn
• adresse
• kortnummer
• passeringsdata når kortbruker registrerer kort i kortleser
• opptak fra kameraovervåking

4.4.2 Hvor lenge lagres personopplysninger i systemet?

Din kontaktinformasjon blir lagret så lenge du har et gyldig adgangskort for å ha tilgang til AHOs eiendommer.Passeringsdata fra kortleser slettes etter 6 mnd.
Opptak fra videoovervåking lagres i 7 dager. Ved utlevering til politiet, kan opptak lagres i inntil 30 dager.

4.5 Brukeradministrativt system AHO-BAS (FIM)

AHO-BAS (FIM) er navet til nesten alle IT-systemer ved Høgskolen. FIM er et Identity Access Management system (IAM), og skal sikre enkel og trygg bruker- og gruppeadministrasjon for AHO.
FIM er kildesystem for brukernavn, passord, e-postadresser og gruppeinformasjon, og integrerer med andre systemer. Med kildesystem menes et system som andre systemer henter informasjon fra. FIM muliggjør for eksempel innlogging i ulike tjenester med ditt AHO-brukernavn. FIM skal oppleves som noe som bare fungerer, og skal være usynlig for brukeren.
FIM selv henter sin grunndata fra SAP, så endrer du eller arbeidsgiver informasjon om deg i SAP, så vil det automatisk endres i FIM, og med det i alle tilknyttede system.
Eksempler på systemer som henter sin grunndata fra FIM er skylagringstjenester, bibliotekstjenester, intranett, hjemmeområder, krisevarsling, FEIDE, e-postsystem, tilgangskontroll- og ulike innloggingstjenester. 

4.5.1 Hvilke personopplysninger blir behandlet i systemet?

• brukernavn
• passord
• e-postadresse
• personnummer
• ansattnummer
• fornavn
• etternavn
• dato for tiltredelse og fratredelse
• sivilstatus
• organisasjonsenhet
• telefon
• medarbeidergruppe
• medarbeiderundergruppe
• tittel 

 4.5.2 Hvor lenge lagres personopplysninger i systemet?

Opplysninger i FIM slettes innen 1 år etter at ditt arbeidsforhold er avsluttet. Brukernavn vil ikke slettes fordi AHO har en regel om at brukernavn ikke resirkuleres av sikkerhetshensyn.

I egenskap av din egen stilling på AHO kan det hende at det kreves at du bruker ulike IT-tjenester for å utføre ditt arbeid. Disse IT-tjenestene lagrer selv personopplysninger om deg. Det kommer helt an på hva tjenesten gjør, og hvilken funksjon du har på AHO.
Mange av disse tjenestene har en brukerprofil på deg for å sikre at du har lovlig tilgang til systemet. Noen tjenester vil også kunne logge din aktivitet av ulike hensyn, slik som sikkerhets-, drifts- eller tjenesteutviklingshensyn.
Du vet selv best hvilke tjenester du bruker i din hverdag, og kan forhøre deg med lokal IT hvordan disse tjenestene/systemene behandler dine personopplysninger.

Det vil være lagret personopplysninger om deg der du har logget deg inn med din AHO-bruker eller der du som ansatt ved AHO kan være registrert. Eksempler på slike er:

• faktura-, innkjøps-, og øvrige økonomihåndteringssystemer
• drifts- og sikkerhetsverktøy
• Skylagringstjenester (BOX.COM)
• web (aho.no)
• registre over forskning, slik som CRISTin, Adora, NSD.

AHO gjennomfører regelmessig risiko- og sårbarhetsanalyser av datasystemene vi benytter for å sikre personopplysningene dine. Vi har også flere sikkerhetstiltak, som for eksempel tilgangskontroller for å hindre at flere ansatte enn nødvendig får tilgang til personopplysningene dine. Ansatte har taushetsplikt rundt personopplysninger de får i arbeidet. Hvordan vi sikrer dine opplysninger kan du lese om i Ledelsessystem for Informasjonssikkerhet.

Når AHO behandler personopplysninger om deg, enten i personalmappen, i vurderinger, i logger eller i andre registre/systemer, har du enkelte rettigheter etter personopplysningsloven.

7.1 Rett til innsyn

Du har rett til å henvende deg til AHO for å undersøke hvorvidt vi behandler personopplysninger om deg. Hvis vi gjør det har du krav på å få vite blant annet hvilke personopplysninger dette er, hvor de stammer fra og hvorfor vi har dem. Du kan også få utlevert en kopi av de personopplysningene vi sitter på. Du vil ikke har rett til å få informasjon om hvorvidt vi behandler opplysninger om andre. Høgskolen behandler personopplysninger på veldig mange områder. Vi har derfor en rett til å be deg presisere fra hvilke system du ønsker informasjon fra.

Hvis du etter å ha gjort et innsyn i dine personopplysninger oppdager at informasjonen vi sitter på er feil, ufullstendige eller unøyaktig, kan du be AHO om å rette opplysningene.  

7.3 Rett til sletting (retten til å bli glemt)

AHO har allerede strenge sletterutiner, enten det er automatisk sletting av logger hvert kvartal eller automatisk sletting når du ikke lenger er registrert som ansatt. De opplysningene vi sitter på har du i utgangspunktet rett til å be oss slette. Dette er ikke en automatisk rett, men det kan skje på enkelte vilkår. Hvis vi har et rettslig grunnlag til å sitte på opplysningene, en annen lov nekter oss å slette dem, eller du ikke har tungtveiende rettmessige grunner til å kreve sletting, vil vi likevel fortsatt kunne behandle opplysninger om deg.

7.4 Rett til begrenset behandling

Denne retten gir deg mulighet til å kreve at AHO midlertidig stopper bruken av dine personopplysninger. Du kan kreve det hvis du mener at opplysningene vi sitter på er unøyaktige eller vi ikke har tilstrekkelig grunnlag for å behandle opplysningene. Vi vil da stoppe behandlingen inntil vi har undersøkt innsigelsene dine.

7.5 Rett til dataportabilitet

Hvis AHO behandler dine personopplysninger basert på ditt samtykke eller en avtale AHO har med deg, og behandlingen utføres automatisk (for eksempel at data kalkuleres automatisk eller maskiner analyserer opplysningene), vil du kunne kreve at vi overfører flere av dine personopplysninger til deg eller en tredjepart.

7.6 Rett til å protestere

Hvis du er i en særegen situasjon som gjør at AHOs behandling av dine personopplysninger skaper spesielle utfordringer for deg, kan du protestere mot høgskolens behandling. Hvis dine interesser er tyngre enn høgskolens skal vi ikke lenger behandle dine personopplysninger.
 

Behandlingsansvarlig

Direktør organisasjon ved AHO er behandlingsansvarlig for personopplysninger vi behandler. Den daglige oppfølgingen av dette ansvaret er delegert til IKT team leder ved AHO. Dersom du ønsker å benytte deg av dine rettigheter som er omtalt i punkt 7 over, kan du kontakte oss på behandlingsansvarlig@aho.no
 
Dette gjelder også for retting av opplysninger.  Vi vil behandle din henvendelse uten ugrunnet opphold, og senest én måned etter vi mottar anmodningen. 

Personvernombud

AHO har et personvernombud som skal ivareta personverninteressene til både studenter og ansatte ved AHO. Personvernombud for administrative behandlinger av personopplysninger ved AHO kan nås via e-post personvernombud@aho.no.