Personvernerklæring

1.     Generelt om behandling av personopplysninger i Spordrift

All behandling av personopplysninger i Spordrift skal skje i tråd med norsk lovgiving. Dette innebærer å etterleve både personopplysningsloven og andre lover, såkalt særlovgivning, som regulerer virksomheten. For i praksis å kunne etterleve alle lovkrav er disse overført til interne krav, rutiner og retningslinjer i Spordrifts interne styringsdokumentasjon.

Kjernevirksomheten i Spordrift, som er å vedlikeholde og drifte det nasjonale jernbanenettet, innebærer ikke omfattende behandling av personopplysninger. Hovedvekten av personopplysninger som behandles i Spordrift er knyttet til egne ansatte eller andre som jobber for oss, samt i noen grad behandling av personopplysninger knyttet til de reisende og til jernbanerelaterte oppgaver. Alle personopplysningene som behandles er nødvendige for å kunne levere de tjenestene som er lovpålagte eller hensiktsmessige for å løse samfunnsoppdraget på en god og sikker måte.

2.     Behandlingsansvarlig

Spordrift, ved direktøren, er behandlingsansvarlig for alle personopplysninger som behandles av Spordrift.

3.     Databehandlere

Spordrift benytter databehandlere. Databehandlerne innhenter, lagrer, eller behandler personopplysninger på annen måte, på vegne av Spordrift. Dette reguleres gjennom databehandleravtaler, som ivaretar alle lovmessige krav til slik databehandling.

4.     Sikring av personopplysningene

Personopplysninger sikres til enhver tid etter gjeldene regelverk og beskyttes ut fra en vurdering av mulige konsekvenser for de registrerte. Spordrift har fokus på datasikkerhet og tilgangsstyring for personopplysninger, slik at opplysningene både er trygge og ikke eksponeres for andre enn de som har behov for det. Spordrift har implementert rutiner og prosesser som ivaretar de registrertes rettigheter og våre plikter.

Alle personopplysninger behandles og lagres innenfor EU-sonen.

5.     Rettslig grunnlag for behandling av personopplysninger

All behandling av personopplysninger i Spordrift er hjemlet i norsk lovgiving. Dette kan være regulert direkte i personopplysningsloven eller i andre lover (særlovgiving).

6.     Utlevering av personopplysninger

Helt nødvendige personopplysninger kan utleveres fra Spordrift til for eksempel: de som utfører assistanseoppdrag for de reisende med spesielle behov, offentlige- eller andre aktører der dette er lovpålagt, og til politiet ved anmeldelser eller når politiet selv ber om det.

7.     Oppbevaringstid og sletting

Personopplysninger slettes innen rimelig tid når behandlingsgrunnlaget opphører eller når begrenset oppbevaringstid er lovregulert. Særlovgiving kan stille krav til oppbevaring, for eksempel regnskapslov eller arkivlov. Arkivsaker blir for eksempel oppbevart til de blir avlevert til Riksarkivet.

8.     De registrertes rettigheter

Alle som er registrert med personopplysninger i Spordrift har rett til:

– innsyn i egne personopplysninger
– retting av feil i egne personopplysninger
– sletting av egne personopplysninger dersom krav til formål ikke lenger er oppfylt, og det ikke er lovkrav/lovhjemmel til fortsatt oppbevaring.

9.     De viktigste behandlingene av personopplysninger i Spordrift

Under avsnitt 9 nevnes de viktigste typene av behandling av personopplysninger i Spordrift. Dette er ikke en uttømmende oversikt.

9.1 Kameraovervåkning for å ivareta sikkerheten, og forebygge skade og kriminalitet

Spordrift benytter kameraovervåkning med videoopptak på mange stasjoner, plattformer og anlegg. Opptakene er lovmessig sikret og utleveres kun til politiet eller rettsvesenet, da som bevismateriale. Opptakene kan etter loven, dersom de er bevismateriale, oppbevares ut over ordinær frist for sletting.

9.2 Behandle henvendelser til vårt kundesenter

Ved alle henvendelser til kundesenteret på telefon eller epost registreres navn og kontaktinformasjon for å kunne gi tilbakemelding på henvendelsen.

9.3 Spordrifts nettsider

Våre nettsider benytter såkalte cookies (også kalt informasjonskapsler på norsk). Du kan lese mer om dette her.

9.4 Varslingsordning

Spordrift har en lovpålagt nettbasert varslingsordning for varsling av klanderverdige forhold. Varsling kan gjøres anonymt, eller med navn og kontaktinformasjon. I varslinger kan alle typer personopplysninger forekomme. All varsling behandles konfidensielt etter strenge regler.

9.5 Adgangskontroll til bygninger og anlegg

Det registreres personopplysninger i tilknytning til nøkkeladministrasjon og inn- og utpasseringer av alle som er autorisert for tilgang.

Det registreres også personopplysninger om besøkende ved besøksregistrering.

9.6 Personopplysninger knyttet til ansatte hos leverandører/samarbeidspartnere

Spordrift mottar personopplysninger om enkeltpersoner fra leverandører, entreprenører, togselskaper, samt i nye tilbud, knyttet til enkeltpersoners kontaktinformasjon, CV, kompetanse og lignende.

Det registreres også på enkeltpersoner om de skal ha tilgang til anlegg eller bygninger, ut og innpassering, samt brukertilganger til data systemer.

9.7 Behandling knyttet til rekruttering

Spordrift benytter en nettbasert søknadsløsning ved rekruttering. Her registreres og behandles søknader med CV som senere overføres til arkivet. Alle stillingssøknader blir journalført i Spordrifts postjournal. Det er arkivleder som er ansvarlig for dette. Journalopplysninger slettes ikke, men er skjermet i offentlig elektronisk postjournal (dvs. personnavn/navn på søker fremkommer ikke).

Spordrift benytter også noen ganger rekrutteringsselskaper i rekrutteringsprosesser, samt nettbaserte verktøy for å vurdere egnethet for en stilling. Kredittsjekk og habilitetskartlegging gjennomføres også for enkelte stillinger gjennom autoriserte tjenesteytere for dette.

9.8 Behandling knyttet til sikkerhetsrelaterte funksjoner

Ansatte, innleide, leverandører og andre som har funksjoner som krever sikkerhetsgodkjenninger, registreres og følges opp etter de krav lovverket stiller til slike funksjoner.

9.9 Personopplysninger spesielt knyttet til egne ansatte

Spordrift behandler som arbeidsgiver personopplysninger om egne ansatte for å administrere lønn og personalansvar. Opplysningene er i stor grad innhentet fra de registrerte, og i noen grad fra offentlige registre, som for eksempel skattetrekk, påleggstrekk osv. Mange av opplysningene er lovpålagte å behandle, noen er nødvendige for konkrete formål, mens andre er frivillige og kan i noen grad administreres av den registrerte selv.

Ansatte i enkelte typer stillinger og funksjoner blir underlagt kredittsjekk, og må også registrere opplysninger om økonomiske forhold og eventuell familiær eller annen tilknytning til virksomheter i et habilitetsregister. Habilitetsregisteret skal benyttes til å forebygge interessekonflikt ved anskaffelser og avdekke andre forhold der interessekonflikt kan oppstå.

For kunne gjennomføre kontrollert tilgangsstyring til Spordrifts interne datasystemer, kreves behandling av personopplysninger.

Vår nettstedsadresse er: https://spordrift.no