Personvernerklæring til ansatte

Personopplysninger er alle opplysninger om identifisert eller identifiserbar fysisk person. I forbindelse med at du ansettes hos oss vil vi behandle en rekke slike personopplysninger om deg. Informasjonen innhentes fra deg og fra tredjeparter som for eksempel skattemyndigheter, NAV og tidligere arbeidsgivere.

I våre systemer registreres følgende personopplysninger:

Identitetsopplysninger:

• navn
• alder
• kjønn
• fødsels- og personnummer
• bilde 

Kontaktopplysninger:

• bostedsadresse
• e-postadresse
• telefonnummer

Opplysninger om tredjepersoner:

• kontaktinformasjon til nærmeste pårørende
• opplysninger om dine barn og alder på barn 

Andre typer opplysninger:

• kontonummer

Disse opplysningene får vi fra deg. Opplysninger om navn, stillingstittel og arbeidsområde er offentlige, og kan publiseres på våre nettsider med mindre den ansatte aktivt reserverer seg mot dette.

På bakgrunn av den ansettelsesprosessen som vi gjennomfører, behandler vi informasjon fra din søknad og CV. Det samme gjelder dine vitnemål og attester, samt bekreftelse på gjennomført referansesjekk og våre vurderinger av deg. Noe av denne informasjonen får vi fra deg, noe innhentes fra referanser og noe er et resultat av våre egne vurderinger. 

Helseopplysninger

Dersom du blir syk, må vi også behandle opplysninger knyttet til ditt sykefravær. I tillegg til egenerklæringer og sykmelding fra lege, gjelder dette opplysninger som fremkommer gjennom den sykefraværsoppfølgingen som vi etter folketrygdloven og arbeidsmiljøloven er forpliktet til å gjennomføre. Opplysningene vil her dels komme fra deg, dels fra din lege, og dels være resultat av din leders vurdering.

På grunnlag av HMS-regler vil det kunne være nødvendig å oppbevare opplysninger om ulykker, personskader og avviksmeldinger. Det kan også være behov for å lagre opplysninger om allergier, herunder eventuell intoleranse for matvarer. Opplysninger knyttet til allergier/intoleranse gir du oss, mens opplysninger om ulykker, skader og avviksmeldinger kan enten komme fra deg eller andre arbeidstakere.

Fagforeninger

Dersom du er medlem i en fagforening, og det skal gjennomføres lønnstrekk for fagforeningskontingent, må vi oppbevare opplysninger om dette medlemskapet. Slike opplysninger kommer enten fra deg eller fra den fagforening som du er medlem i. 

Kameraovervåking og adgangskontroll

I forbindelse med kameraovervåking i lokaler lager skolen opptak som kan inneholde ditt bilde. I forbindelse med adgangskontroll behandles det bevegelsesdata.

Andre typer opplysninger/vurderinger

Vi lagrer opplysninger om ansettelsesdato, stillingsbeskrivelse, referater fra medarbeidersamtaler og andre oppfølgingsmøter, f.eks. i forbindelse med prøvetid. Videre lagres evalueringer av deg, opplysninger om lønnsutvikling og andre opplysninger knyttet til din karriereutvikling hos oss. I tillegg til at opplysninger innhentes fra deg, vil kildene til en del av disse opplysningene være våre systemer og andre arbeidstakere hos oss, herunder din leder. Dette kan eksempelvis være: registrert arbeidstid, plusstid, avvikling av ferie og fravær.

Vi oppbevarer også opplysninger om eventuell bonus, utlegg og refusjonskrav, reiseregninger, forsikringer, pensjon, og avtale om kredittkort. Opplysningene kommer dels fra deg, din leder og våre systemer.

I de stillinger der vandelsattest kreves, vil denne lagres. Opplysningene kommer fra deg. 

Det registreres videre opplysninger om permisjoner, pensjonering og avslutning av arbeidsforhold (oppsigelse/avskjed). Opplysningene kommer dels fra deg, din leder og våre systemer.

Dersom du ikke oppfyller dine plikter i arbeidsforholdet, kan det være nødvendig å lagre opplysninger om advarsler og suspensjon. Disse opplysningene kommer fra din leder og vår HR-avdeling.

Dersom du varsler om kritikkverdige forhold, vil det lagres opplysninger om deg som varsler. Det vil også lagres opplysninger om deg dersom andre gir slike varsler om deg. Navn og e-post på varsler lagres, med mindre det varsles anonymt.  Informasjon om lagringstid finner du i avsnittet «Så lenge lagrer vi dine personopplysninger».

Vi kan bruke din adresse og telefonnummer til å sende deg blomster ved spesielle anledninger med mindre du aktivt reserverer seg mot dette.

I forbindelse med ansattmobilitet innen Erasmus-samarbeid kan ansattes navn, skolens e-postadresse, og mobilnummer overføres til partnerskoler i EU/EØS. Dette reguleres av Erasmusavtale og OLA (Online Learning Agreement).

Vi har berettiget interesse i å gjennomføre interne spørreundersøkelser blant de ansatte. Det er frivillig å svare på dem. Hensikten med undersøkelser er å gjøre arbeidsdagen for de ansatte bedre.

Vi har berettiget interesse for å innhente informasjon om ansattes kompetanse (CV) og sidegjøremål, og lagre dette i HR-systemet. Informasjon og oversikt over ansattes kompetanse gir Kristiania mulighet til bedre å kunne utnytte ansattes kompetanse, og gi ledere bedre mulighet for å se kompetansen til avdelingen for en med strategisk kompetanseutvikling. Oversikten kan også brukes i forbindelse med kompetansekartlegging i omstillingsprosesser.

Registrering av ansattes sidegjøremål gjøres for å sikre at ansatte ikke innehar sidegjøremål som:

• er i strid med Kristianias verdier og etiske retningslinjer
• kan føre til inhabilitet eller illojalitet i saker den ansatte har ansvar for ved Kristiania
• kan skape tvil om den ansatte kan utføre sitt arbeid ved Kristiania
• kan komme i konkurranseforhold til Kristianias egen virksomhet

Her får du en oversikt over de viktigste formålene med behandlingen av dine personopplysninger.

• Vi behandler personopplysninger om deg for å ivareta våre forpliktelser som arbeidsgiver overfor deg og overfor offentlige myndigheter
• Vi behandler opplysninger om personer som søker jobb hos oss for å vurdere dem som kandidater og gjennomføre ansettelsesprosessen
• For å kunne administrere arbeidsforholdet og følge opp deg i arbeidssituasjonen har vi behov for å vite hvem du er (din identitet) og hvilken utdanning, praksis mv som du har gjennomført. I tillegg må vi behandle en rekke opplysninger som genereres på grunnlag av det arbeid som du utfører og den oppfølging som vi gjennomfører
• For at du skal få utbetalt lønn og andre ytelser, i samsvar med hva som er avtalt, må vi behandle en rekke opplysninger om deg. Dette kan blant annet være kontonummer, personnummer, timelister, eventuelt trekk av fagforeningskontingent og eventuelle andre trekk i lønn/feriepenger
• Dersom vi ønsker å bruke bilder av deg til å markedsføre virksomheten eller noen av våre produkter/tjenester, vil vi bare gjøre dette der du uttrykkelig samtykker. Vi gjør oppmerksom på at du når som helst kan trekke tilbake et slikt samtykke. Tilbaketrekking av samtykke vil ikke uten videre få betydning for allerede produserte brosjyrer, reklamefilmer og studiekataloger
• Dersom vi ønsker å bruke bilder av deg på www.kristiania.no og intranett, vil vi bare gjøre dette der du uttrykkelig samtykker. Vi gjør oppmerksom på at du når som helst kan trekke tilbake et slikt samtykke
• Som en del av personaladministrasjonen og blant annet for å ivareta et fullt forsvarlig arbeidsmiljø, er vi som arbeidsgiver forpliktet til å følge opp klager, varsler, advarsler mv. Til dette bruker vi en rekke opplysninger som genereres på grunnlag av ditt arbeid hos oss
• For at vi skal kunne oppfylle krav i bokføringsloven, må vi oppbevare opplysninger som dokumenterer bokføringen. I hovedsak er dette lønnsrelaterte opplysninger, men det kan også gjelde oversikter over timer (timelister), bonusoversikter mv.
• Kameraovervåking og adgangskontroll vil bidra i sikkerheten i skolens lokaler, og i den forbindelsen kan skolen behandle en rekke personopplysninger om deg
• For å organisere påmelding til obligatoriske og frivillige møter, som for eksempel allmøter via digital plattform
• Fordi det er nødvendig for å utføre dine arbeidsoppgaver (dette gjelder for eksempel bruk av en rekke digitale løsninger som Zoom og Panopto). 

Hjemmelsgrunnlaget for behandlingen av personopplysningene om ansatte er personopplysningsloven og personvernforordningens artikkel 6 nr. 1 a), b), c), e), f), artikkel 9 nr. 2 a), b), artikkel 88. Herunder:

• at dette er nødvendig for å oppfylle den arbeidsavtalen som vi har inngått med deg
• at vi er pålagt dette gjennom lovregler (slik som arbeidsmiljøloven, arkivloven, universitets- og høyskoleloven, fagskoleloven, og regnskapsloven)
• at vi som virksomhet har en berettiget interesse som overstiger de personvernmessige ulempene som du påføres (slike interesseavveininger vil foreligge skriftlig)
• at du har samtykket til behandlingen – bortsett fra ved publisering av bilder benytter vi i liten grad samtykke som behandlingsgrunnlag – et eventuelt samtykke blir inngått skriftlig

Internt

Opplysninger blir lagret hos oss i elektroniske og fysiske personalmapper. Opplysninger er tilgjengelig kun for HR-avdelingen, økonomiavdelingen og nærmeste leder. Kun ansatte som har tjenstlige behov for tilgang til personopplysninger, skal få slik tilgang. Opplysninger om navn og skolens kontaktdetaljer er tilgjengelige for øvrige ansatte.

Databehandlere

Vi benytter en rekke databehandlere som behandler personopplysninger om våre ansatte på vegne av oss. Nedenfor er det en oversikt over de viktigste kategoriene av slike databehandlere som vi har avtaler med:

Virksomheter som hjelper oss med lønnskjøring:

• Tieto Evry leverer oss Unit 4 Enterprise Resource Planning (ERP), se personvernerklæringen
• Maksit 
  
  

Virksomheter som hjelper oss med ulike systemer, slik som HR-system, rekrutteringssystem og kontraktsystem:

• CatalystOne Solutions AS som leverer vår HR-system 
• Recruitment Manager, se personvernerklæringen
• ReachMee, se personvernerklæringen
• Canon Scrive, se personvernerklæringen
• Simployer AS, se personvernerklæringen
• Microsoft Office 365, se personvernerklæringen
• TimeEdit 
• Travelnet Reisevarehuset, se personvernerklæringen

 

Andre samarbeidspartnere

Virksomheter som kan motta personopplysninger i forbindelse med rekruttering:

• Semac bakgrunnssjekk i forbindelse med rekruttering, se Semac sin personvernerklæring
• Samtext Norway AS – oversettelsesbyrå som sladder personinformasjon på vitnemål og diplomer, se Samtext Norway AS sin personvernerklæringen
• NOKUT – Nasjonalt organ for kvalitet i utdanningen – turbovurdering og rådgivnings-tjenester, se personvernerklæringen.

 

For å administrere våre pensjons- og forsikringsordninger deles relevante opplysninger med Pareto Forsikringsmegling, herunder Sparebank1, Protector Forsikring, Europeiske Reiseforsikring og DNB. 

Vi har bedriftshelsetjeneste i Avonova Helse. Det kan deles relevante opplysninger med de i situasjoner hvor det er nødvendig, se Avonova sin personvernerklæring.            

I tilknytning til utbetaling av lønn vil relevante personopplysninger deles med vår bankforbindelse Nordea Bank AB, Filial Norge, se Nordea sin personvernerklæring.

Visma Innkjøpsportal er en av personalytelsene til våre ansatte, med rabatter til ulike virksomheter. Ansatte registrerer seg selv for å utnytte rabattene, se Visma sin personvernerklæring.

Euroflorist blir benyttet dersom det skal bestilles blomster til ansatte, gjennom rabattavtale med Visma Innkjøpsportal. Samarbeidspartnere i forbindelse med gaver til ansatte er IDÉ House of brands. Se Euroflorist sin personvernerklæring og IDÉ sin personvernerklæring. 

 

Konsern 

Fagskolen Kristiania AS, inkludert ESMOD og Bårdar Akademiet, er et heleid datterselskap av Høyskolen Kristiania, og vi deler en rekke personopplysninger. Vi som konsern deler de samme digitale systemene, inkludert når det gjelder ansattadministrasjon. Imidlertid har vi innført en strengt begrenset tilgang, og personopplysninger deles bare når det er nødvendig og hensiktsmessig.

 

Offentlige myndigheter

Offentlige myndigheter kan kreve at vi utleverer personopplysninger om våre ansatte. For oss er dette særlig aktuelt i forhold til NAV, Skatteetaten, Arbeidstilsynet og Statens Pensjonskasse. I aktuelle tilfeller kan UDI motta personopplysninger om våre ansatte. 

Deling av data fra FS til forskningsformål eller til statistikk.

Vi mottar av og til henvendelser fra ulike etater og institusjoner med ønske om opplysninger om undervisningspersonell og forskere til forskningsformål eller for statistikk. Slike henvendelser skal alltid referere til en hjemmel/grunnlag for å kunne være gjenstand for en vurdering. Det kontrolleres at det faktisk er en hjemmel som åpner for tilgang og at den går foran generelle bestemmelser i personvernforordningen. Det rettslige grunnlaget for å dele personopplysninger er allmenn interesse jf. GDPR artikkel 6 nr.1 e. Dette grunnlaget forutsetter et supplerende rettslig grunnlag i norske lover, og det kan være for eksempel den norske personopplysningsloven § 8.

Hvilke personopplysninger som deles avhenger av forsknings- eller statistikkprosjekt, men kan omfatte opplysninger som for eksempel emner hen underviser i, skole, osv. Det er mulig å reservere seg mot denne behandlingen ved å sende e-post til behandlingsansvarlig@kristiania.no. Eksempler av mottakere er:

• NIFU - Nordisk institutt for studier av innovasjon, forskning og utdanning.
• Statistisk Sentralbyrå (SSB).
  
  

Hvor lenge personopplysningene dine lagres hos mottakere avhenger av forsknings- eller statistikkprosjekt eller ditt samtykke.  

Ditt personvern ved medlemskap i kantineordningen 

Hvis du vil delta i lunsjordningen i Oslo vil Kristiania dele dine personopplysninger (e-postadresse, stillingsprosent, og kantinetilhørighet) med våre kantineoperatører Toma og 4Service gruppen AS.

Hvis du vil delta i lunsjordningen i Bergen vil Kristiania dele dine personopplysninger (fullt navn) med vår kantineoperatør Sammen. 

Formålet med behandlingen av personopplysninger er å tilby deg rabatt/refusjon på mat i kantinene våre. 

Det rettslige grunnlaget for behandling og deling av personopplysninger er en berettiget interesse. Kristiania har en berettiget interesse i å arrangere lunsjordningen til ansatte, slik at ansatte får rabatt på mat og vi kan samles i kantinene og møte kollegaer til hyggelige samtaler.  

Les mer om ditt personvern ved medlemskap i kantineordningen. 

 

Systemer knyttet til bestemte roller ved Kristiania 

På grunn av din egen stilling ved Kristiania kan det kreves at du bruker ulike IT-tjenester for å utføre ditt arbeid. Disse IT-tjenestene lagrer selv personopplysninger om deg. Det kommer an på hva tjenesten gjør, og hvilken funksjon du har ved Kristiania. 

Mange av disse tjenestene har en brukerprofil på deg. Noen tjenester vil også kunne logge din aktivitet av ulike hensyn, slik som sikkerhets-, drifts- eller tjenesteutviklingshensyn. 

Ansatte kan være registrert i ytterligere systemer som benyttes i den konkrete stillingen for å kunne utføre arbeid: Feide, Felles Studentsystem (FS), læringsportalen Canvas (Instructure), Zoom, videoopptakstjeneste Panoptoog lignende systemer. Denne behandlingen er nødvendig for oppfyllelse av arbeidsavtalen, jf. (GDPR) art. 6 nr. 1 b).  

Når sosiale medier benyttes, gjelder tjenestens retningslinjer. Når skolen er felles behandlingsansvarlig med tjenesteleverandøren, blir det gitt informasjon om dette i tjenesten.

 

Kvalitetsarbeid   

Som en del av kvalitetsarbeid vil Kristiania behandle opplysninger om emner og emneevaluering fra studenter som kan inneholde indirekte personidentifiserbare opplysninger om faglig ansatte. Personalkarakteristikk som kan bli knyttet til konkrete emneansvarlige kan fremkomme fra studentenes svar i fritekstfelt.  

Personalkarakteristikk skal aldri publiseres og skal lagres kun for intern bruk med begrenset tilgang. Disse behandlingene er nødvendig for oppfyllelse av våre rettslige forpliktelser, jf. personvernforordningen art. 6(1)(c) med supplerende rettslig grunnlag i universitet- og høgskoleloven §4-3 om læringsmiljø og forskrift om tilsyn med utdanningskvaliteten i høyere utdanning (studietilsynsforskriften) §4-1 (“krav til det systematiske kvalitetsarbeidet”).  

 

Særlig om Zoom og Panopto

Ved bruk av Zoom til undervisning, møte- og konferansevirksomhet må man som regel delta ved bruk av bilde og/eller lyd under strømmingen. Dette styres av den ansatte med innstillinger ved tilkobling og kan når som helst endres av den ansatte. Når ansatte logger seg på med Feide-bruker sendes for-, etternavn og skolens epostadresse til Sikt AS, som leverer Zoom til skolen. Vi bruker Panopto for å produsere, lagre og distribuere videoopptak til bruk i undervisning. 

Vi lagrer personopplysninger om deg så lenge det er nødvendig for vår behandling og i henhold til lagringskrav i lov og arbeidsavtale. Mens arbeidsforholdet består er det nødvendig å oppbevare mange opplysninger om deg, men når arbeidsforholdet opphører vil vi slette mange av opplysningene. I forbindelse med kameraovervåking oppbevares opptak i 7 dager. I forbindelse med adgangskontroll oppbevares bevegelsesdata i 14 dager.

I tabellen nedenfor får du en oversikt over hvor lenge vi oppbevarer personopplysningene dine. For øvrige dokumenter er vi underlagt arkiveringsplikten i arkivloven. Dette gjelder selv etter arbeidsforholdets opphør.

Hovedregel: alle dokumenter tilknyttet ansatte skal lagres på den respektives personalmappe med begrenset tilgang.

Sletting: Når dokumentet er utarbeidet (og eventuelt signert) skal det slettes fra PC og eventuell dialog på mail skal også slettes. Eventuelle notater på papir må makuleres.

En oversikt over de ulike dokumenttyper og hvilke regler som skal gjelde for lagring (gjelder både dokumenter og separate personopplysninger som de inneholder). Ingen andre dokumenter lagres i forbindelse med ansettelsesforholdet.

Dokument	Lagringstid	Kommentar
Rekruttering
CV	Lagres under hele ansettelsesforholdet. Slettes når den ansatte slutter.
Søknad	Lagres under hele ansettelsesforholdet. Slettes når den ansatte slutter.
Attest	Lagres under hele ansettelsesforholdet. Slettes når den ansatte slutter.
Bekreftelse på referansesjekk	Lagres under hele ansettelsesforholdet. Slettes når den ansatte slutter.
Vitnemål	Lagres under hele ansettelsesforholdet. Slettes når den ansatte slutter.
Avtaler
Ansettelsesavtale	Lagres under hele ansettelsesforholdet. Kan oppbevares lenger hvis det er en rettslig forpliktelse eller berettiget interesse.
Stillingsinstruks	Lagres under hele ansettelsesforholdet. Kan oppbevares lenger hvis det er en rettslig forpliktelse eller berettiget interesse.
Endringsbrev Individuelle avtaler som er inngått etter den ansatte starter i bedriften.	Lagres under hele ansettelsesforholdet. Kan oppbevares lenger hvis det er en rettslig forpliktelse eller berettiget interesse.
Lønnsbrev	Lagres under hele ansettelsesforholdet. Kan oppbevares lenger hvis det er en rettslig forpliktelse eller berettiget interesse.
Funksjonstillegg	Lagres under hele ansettelsesforholdet. Kan oppbevares lenger hvis det er en rettslig forpliktelse eller berettiget interesse.
Tilleggsavtaler	Lagres under hele ansettelsesforholdet. Slettes når den ansatte slutter.
Kommisjonsvurderinger	Lagres under hele ansettelsesforholdet. Slettes når den ansatte slutter.	Avslag oppbevares til ny kommisjonsvurdering er godkjent.
Permisjoner	Permisjoner som er innvilget lagres under hele ansettelsesforholdet. Kan oppbevares lenger hvis det er en rettslig forpliktelse eller berettiget interesse.
Advarsler	Lagres i 5 år med mindre særlige nye forhold (f.eks nye advarsler eller annet mislighold) taler for at det må bevares lenger.
Oppfølgingsplan (Sykemelding)	Lagres under hele ansettelsesforholdet. Slettes når den ansatte slutter.
Kursbevis	Lagres under hele ansettelsesforholdet. Slettes når den ansatte slutter.
Medarbeidersamtale	Lagres i inntil 10 år, men slettes uansett når den ansatte slutter.
Varsling om kritikkverdige forhold	Lagres under hele ansettelsesforholdet. Kan oppbevares lenger hvis det er en rettslig forpliktelse eller berettiget interesse.	Åpenbart grunnløse varsler skal slettes umiddelbart.

Rett til informasjon og innsyn 

Du har krav på å få informasjon om hvordan Kristiania behandler personopplysningene dine. Denne personvernerklæringen er ment å inneholde den informasjonen du har rett til å få. 

Du har også rett til å se/få innsyn i alle personopplysninger som er registrert om deg ved Kristiania. Du har også rett til å få utlevert en kopi av personopplysninger om deg, dersom du ønsker det. 

Rett til retting 

Du har rett til å få uriktige personopplysninger om deg rettet. Du har også rett til å få ufullstendige personopplysninger om deg supplert. Dersom du mener vi har registrert feil eller mangelfulle personopplysninger om deg, ber vi deg kontakte oss. Det er viktig at du begrunner og eventuelt dokumenterer hvorfor du mener personopplysningene er feil eller mangelfulle. 

Rett til begrensing av behandling 

I enkelte tilfeller kan du har rett til å kreve at behandlingen av personopplysningene dine blir begrenset. Begrensning av personopplysninger vil si at personopplysningene fortsatt blir lagret, men at mulighetene for videre bruk og behandling blir begrensede. 

Dersom du mener at personopplysningene er feil eller mangelfulle, eller har protestert mot behandlingen, har du rett til å kreve at behandlingen av personopplysningene dine er midlertidig eller blir begrenset. Det vil si at behandlingen blir begrenset inntil vi eventuelt har rettet personopplysningene dine, eller har fått vurdert om protesten din er berettiget. 

I andre tilfeller kan du også kreve en mer permanent begrensing av dine personopplysninger. For å ha rett til å kreve begrensing av dine personopplysninger, må vilkårene i personvernforordningen artikkel 18 være oppfylt. Dersom vi mottar en henvendelse fra deg om begrensing av personopplysninger, vil vi vurdere om lovens vilkår er oppfylt. 

Rett til sletting 

I noen tilfeller har du rett til å kreve at vi sletter personopplysninger om deg. Retten til sletting er ikke en ubetinget rett, og hvorvidt du har rett til sletting må vurderes i lys av personopplysningsloven og personvernforordningen. Dersom du ønsker å få slettet personopplysningene dine, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, og om mulig også opplyser om hvilke personopplysninger du ønsker å få slettet. Vi vil da vurdere om de rettslige vilkårene for å kreve sletting er oppfylt. Vær oppmerksom på at lovverket i enkelte tilfeller gir oss anledning til å gjøre unntak fra retten til sletting. For eksempel vil dette være tilfelle når vi er nødt til å lagre personopplysningene for å oppfylle en oppgave vi er pålagt etter universitets- og høyskoleloven, eller for å ivareta viktige samfunnsinteresser som arkivering, forskning og statistikk. 

Rett til å protestere 

Du kan ha rett til å fremme en innsigelse mot behandlingen, det vil si protestere mot behandlingen, dersom du har et særskilt behov for å få stanset behandlingen av personopplysningene dine. Eksempler kan være dersom du har et beskyttelsesbehov, fortrolig adresse, eller lignende. Retten til å protestere er ikke en ubetinget rett, og den avhenger av hva som er det rettslige grunnlaget for behandlingen, og om du har et særskilt behov. Hvis du protesterer mot behandlingen, vil vi vurdere om vilkårene for å protestere er oppfylt. Dersom vi kommer til at du har rett til å protestere mot behandlingen, og at innsigelsen er berettiget, vil vi stanse behandlingen og du vil også kunne kreve sletting av opplysningene. Vær oppmerksom på at vi i enkelte tilfeller likevel kan gjøre unntak fra sletting, for eksempel hvis vi er nødt til å lagre personopplysningene for å oppfylle en oppgave vi er pålagt etter universitets- og høyskoleloven, eller for å ivareta viktige samfunnsinteresser. 

Rett til å klage over behandlingen 

Dersom du mener vi ikke har behandlet personopplysningene på en korrekt og lovlig måte, eller hvis du mener at vi ikke har klart å oppfylle dine rettigheter, har du mulighet til å klage over behandlingen. Du kan kontakte oss via  behandlingsanvarlig@kristiania.no eller personvernombudet på  personvernombud@kristiania.no. 

Dersom vi ikke tar klagen din til følge, har du mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven og personvernforordningen ved behandling av personopplysninger.  

1. Virksomhetens interesse

Registrering av ansattes sidegjøremål gjøres for å sikre at ansatte ikke innehar sidegjøremål som:

• er i strid med Kristianias verdier og etiske retningslinjer
• kan føre til inhabilitet eller illojalitet i saker den ansatte har ansvar for ved Kristiania
• kan skape tvil om den ansatte kan utføre sitt arbeid ved Kristiania
• kan komme i konkurranseforhold til Kristianias egen virksomhet

I arbeidskontrakten mellom Kristiania og den ansatte står det: «Arbeidstaker kan ikke påta seg bierverv eller andre verv uten arbeidsgivers godkjenning. Arbeidsgiver kan ikke nekte samtykke med mindre det foreligger saklig grunn. Arbeidstaker kan heller ikke investere i, eller på andre måter ha interesser i virksomhet som må antas være i konflikt med arbeidsgivers interesser uten arbeidsgivers samtykke. Arbeidstaker må registrere sine sidegjøremål i det til enhver tid gjeldende skjema for sidegjøremålsregistrering i Personalhåndboken».

2. Hensynet til personvernet

Personopplysningene som samles inn handler om omfang/varighet for sidegjøremål, type sidegjøremål og navn på oppdragsgiver. Opplysningene vil i mange tilfeller være tilgjengelige via Brønnøysundregisteret eller via oppdragsgivers annonsering av tjenestene. Alle fast ansatte med Kristiania som hovedarbeidsgiver er omfattet av retningslinjene og plikten til å registrere sidegjøremål.

Opplysningene offentliggjøres ikke, deles ikke med andre virksomheter, kobles ikke sammen med andre opplysninger og analyseres heller ikke for andre formål enn å ivareta at ansattes sidegjøremål ikke er i strid med våre egne retningslinjer. Opplysningene er tilgjengelige for nærmeste leder i vårt interne HR-system, og aggregert rapport over ansattes sidegjøremål tilgjengeliggjøres for øverste ledelse i Kristiania.

Innsamling av opplysninger om sidegjøremål og etterfølgelse av våre interne retningslinjer skal bidra til likebehandling av ansatte på tvers i organisasjonen. Kristiania har en positiv holdning til ansattes sidegjøremål, men må samle inn opplysninger om dette for å kunne ivareta forretningsdrift, likebehandling av ansatte og konkurranseevne.

Opplysningene samles inn gjennom egenregistrering i vårt HR-system, og det er således svært liten risiko for at disse opplysningene kan feilregistreres, komme på avveie e.l.

3. Tiltak for å minimere personvernkonsekvensene

Arbeidskontrakten mellom Kristiania og den ansatte spesifiserer at registrering av sidegjøremål er en plikt for ansatte med Kristiania som hovedarbeidsgiver, og det er dermed ikke anledning til å reservere seg mot behandling av disse opplysningene. Det er likevel tydelige begrensninger i hvilke sidegjøremål som er meldepliktige. Følgende sidegjøremål er ikke meldepliktige, og skal ikke registreres eller behandles av Kristiania:

Sidegjøremål som beskyttes av personvernforordningen art. 9 nr. 1, eller som ikke har betydning for ansattes ordinære arbeid eller habilitet, skal ikke meldes.

Eksempler på sidegjøremål som det ikke er behov for å melde:

• Deltakelse i bedømmelseskomitéer
• Ekstern sensorvirksomhet
• Referee fagtidsskrift
• Enkeltstående, faglige foredrag eller lignende virksomhet i begrenset omfang ved annen (ikke konkurrerende) institusjon, eller som ledd i høyskolens formidlingsplikt i forhold til samfunnet
• Opplysningsvirksomhet ved deltakelse i media etc.
• Faglige verv som følger hovedstilling.
• Verv i borettslag, idrettslag, o.l.
• Verv som kan medføre at det avdekkes opplysninger om den ansattes etniske opprinnelse, politiske oppfatninger, religion, overbevisning eller fagforeningsmedlemskap. Tilsvarende gjelder verv som kan avdekke opplysninger om den ansattes helse, seksuelle forhold eller seksuell orientering, jf. personvernforordningen artikkel 9 nr. 1.

Formål:

Mål med CV-funksjonen og innsamling av data, er å få en god oversikt over ansattes formelle kompetanse og erfaring. Dette vil gjøre det mulig å utbytte kompetanse på tvers i organisasjonen, som videre vil bidra til bedre tverrfaglig samarbeid og prosjektarbeid.

I forbindelse med Styrk 2 og faglige organisering vil kompetansekartleggingen handle om innplassering og «rett person på rett plass», og er dermed et forenlig formål med den generelle kompetansekartleggingen.

Behandling:

Ansatte (faste og midlertidige) registrerer kompetanse, arbeids- og prosjekterfaring, utdanning, eventuelle publikasjoner, kurs og sertifikater i KristianiaHR. De ansatte må selv fylle ut, på sterk oppfordring fra organisasjonen, men det er ikke obligatorisk. Ansatte har kontroll på den registrerte dataen, og kan redigere og slette det som er registrert når som helst.

1. Virksomhetens interesse

Hvilke fordeler oppnår virksomheten med behandlingen?

• Bedre utnyttelse av ansattes kompetanse, oversikt over ansattes kompetanse og bedre mulighet for å se kompetansen til avdelingen. Oversikten kan også brukes i forbindelse med kompetansekartlegging i omstillingsprosesser. Det er en fordel å få dette inn i et system, slik at vi kan tilgangsstyre hvem som ser de ansattes CV-er, informasjon innhentes likt for alle, og vi unngår at CV-er ligger på lederes og andres OneDrive.

Hvor viktige er disse fordelene for virksomheten?

• Dette er viktig for å være en effektiv og profesjonell organisasjon. Kristiania ønsker å fokusere mer på kompetanseutvikling, og et slikt system og oversikt vil bidra til det.

Har behandlingen offentlig interesse eller varetar den ideelle interesser som kommer flere til gode? (Dette er ikke et krav, men det kan tale i virksomhetens favør når interesseavveiningen skal foretas.)

• Dette skal kun deles internt i organisasjonen, og mange av våre ansatte har denne informasjonen på nettsider som eks LinkedIn.

2. Hensynet til personvernet

Hva slags personopplysninger er det snakk om? Er personopplysningene veldig beskyttelsesverdige eller sensitive? Er det snakk om personopplysninger som allerede er offentlige et annet sted?

• Mange ansatte har allerede disse opplysningene publisert på LinkedIn eller Kristianias ansattsider (kristiania.no). Vi innhenter informasjon om utdanning, arbeidserfaring, prosjekterfaring, kurs og sertifikater, publikasjoner (oftest lenke fra NVA) og sidegjøremål/bistilling.

Hvor mange enkeltpersoners personvern vil påvirkes av behandlingen?

• Alle ansatte (faste og midlertidige) har anledning til å legge inn sin CV og justere / redigere i funksjonen. Det er frivillig å registrere CV ifm. overordnet kompetansestrategi.

Vil ulempene vare over tid?

• Nei.

Kobles ulike typer personopplysninger sammen?

• CV-funksjonen kobles til den årlige medarbeidersamtalen slik at man får en årlig påminnelse til å holde CV-en oppdatert.

Analyseres personopplysningene for å avdekke ukjente sammenhenger eller forutse adferd, interesser eller preferanser?

• Nei.

Vil personopplysningene offentliggjøres eller deles med andre virksomheter?

• Nei.

Hva mener de berørte (ansatte, kunder eller andre)?

• Ingen tilbakemeldinger om protester fra ansatte så langt.

Synes de at behandlingen av personopplysninger er krenkende?

• Nei, ettersom dette er informasjon de selv legger inn og mange allerede har publisert på ulike offentlige plattformer.

Har personene en berettiget forventning om å få ha disse personopplysningene i fred?

• Mange ansatte har offentlig CV på plattformer som eks LinkedIn, vi innhenter ingen annen informasjon enn hva som er naturlig å ha på en CV. De ansatte velger selv hvor mye de skriver på CV-en.

Kan behandlingen ha positive konsekvenser for personene?

• Ja. Ved å registrere kompetanse og erfaring, gir de ansatte organisasjonen en større mulighet til å kunne effektivt sette sammen tverrfaglige grupper /prosjektgrupper / arbeidsgrupper hvor de som har kunnskap og erfaring knyttet til et fagområde kan delta. Dette kan bidra til at flere ansatte kan bidra inn i prosjekter, som videre bidrar til kompetanseutvikling.

Kan behandlingen ha negative konsekvenser for personene, for eksempel ekskludering, diskriminering eller ærekrenkelse?

• Nei. Dette skal ikke være i noens disfavør på den måten.

Er behandlingen egnet til å skape frykt eller uro, eller kan den føre til at personer modererer egne utsagn eller adferd ut fra bekymring over at de blir overvåket (nedkjølingseffekt)?

• Det er mot hensikten til behandlingen, men hva ansatte velger å skrive og ikke har vi ikke kontroll på.

Hva er risikoen for (altså sannsynligheten for og konsekvensene av) at personopplysninger kommer på avveier? Les mer om informasjonssikkerhet

• CV-funksjonen er en del av KristianiaHR (CatalystOne) – Kristianias HRM-system. Sannsynligheten for at informasjon fra denne funksjonen kommer på avveie er liten, da den ikke har integrasjoner mot andre systemer. Der det tilrettelegges for deling av rapporter på ansattes kompetanse, skal det være knyttet strenge rutiner for hvordan disse rapportene skal forvaltes og lagres.

Er personen mindreårig?

• Nei.

3. Tiltak for å minimere personvernkonsekvensene

Er det adgang til å reservere seg mot behandlingen?

• Ja, det er ikke obligatorisk å fylle ut CV-en i KristianiaHR.

Har systemene innebygd personvern?

• Ja, CatalystOne har tilgangsstyring og skreddersydd personvern. Det er kun leder, og HR som har tilgang til å se ansattes CV-er i funksjonen. I tillegg vil tilgangen kunne deles med eks prosjektkontoret når de skal iverksette nye prosjekter, eller dekaner når de skal sette sammen en gruppe for innovasjonsprosesser, eller søke om eksternfinansiering i faglig linje. Dette er tilgang som gis eller stenges fra superbruker HR Global i CatalystOne.

Har virksomheten iverksatt andre tiltak for å minimere personvernkonsekvensene?

• Tilgangsstyring med tilhørende regler / retningslinjer for hvem som skal få tilgang.

4. Balansetesten

Dersom virksomhetens interesser ikke er særlig vektige, kan behandlingen bare iverksettes dersom personvernkonsekvensene er små. Dersom personvernkonsekvensene er større, må virksomhetens interesse i behandlingen være mer tungtveiende. I hvor stor grad virksomheten iverksetter personvernminimerende tiltak vil derfor ha mye å si. Oppsummert handler det om å finne en balanse slik at inngrepet i personvernet er forholdsmessig.

I mange tilfeller vil ikke inngrepet i personvernet stå i forhold til interessen virksomheten har i å samle inn opplysninger. Da må virksomheten basere behandlingen på gyldig samtykke eller et av de andre behandlingsgrunnlagene.