Persondatainstruks og Avtale om adgangskontrollsystemer Instructions on personnel data and Agreement on admission control systems Persondatainstruksen gir interne retningslinjer om bruk og behandling av opplysninger om selskapets ansatte.Avtale om adgangskontrollsystemer er et supplement til Persondatainstruksen og dekker de adgangskontrollsystemer selskapet bruker ved sine arbeidssteder Instructions on Personnel Data gives internal guidelines on use and handling of information about the employees.The Agreement on Admission Control Systems is a supplement to the instructions, and covers the admission control systems that the company uses at the workplaces [Tilbake til velkomstside]

Innholdsfortegnelse: Innledning Informasjonsplikt og samarbeidsform Regler for bruk av persondata Utlevering Sletting av data Gyldighet Vedlegg: Taushetserklæring Regler for datasikkerhet Driftsinstruks - Persondatasystemet Systeminstruks - Persondatasystemet Regler for sikring av manuelle personarkiver Avtale om adgangskontrollsystemer

Informasjonsplikt og samarbeidsform

Foreningens styrer skal utpeke en felles datatillitsvalgt som sin kontakt vis à vis selskapet. Den tillitsvalgte utpekes for en periode av to år. Denne personen skal ha adgang til all nødvendig dokumentasjon om systemer, utstyr og selskapets planer innenfor instruksens område.

Selskapet skal holde den datatillitsvalgte i organisasjonen løpende orientert om alle viktige saker innen området instruksen omfatter. Spesielt gjelder dette saker som har med endring av allerede eksisterende registre eller opprettelse av nye.

Selskapet og foreningene vil sammen vurdere behovet for opplæring både av datatillitsvalgt og øvrige tillitsvalgte. Denne opplæring bekostes av selskapet.

Alle opplysninger fra selskapet til de ansattes organisasjoner skal gis i en oversiktlig form og på et forståelig språk.

Regler for bruk av persondata

Innsamling, lagring, bearbeiding og bruk av persondataopplysninger skal ikke finne sted uten at dette er saklig begrunnet. Det vises for øvrig i denne forbindelse til Lov om personregistre. All innsamling, bruk og lagring skal være ens for alle ansatte i selskapet.

I persondataregisteret kan bare lagres data som er hjemlet i forskriftenes kapittel 2, §2 - 12. Personopplysninger som bygger på subjektive vurderinger skal ikke lagres i persondataregisteret med mindre dette er avtalt mellom selskapet og fagforeningene.

Selskapet àjourholder en fullstendig liste over samtlige manuelle og elektroniske persondataregistre.

Beskyttelse

Alle persondataregistre som er lagret elektronisk skal passordbeskyttes. Den enkeltes adgang til pesondatasystemet reguleres ved passord og skal være i henhold til pålagte arbeidsoppgaver.

Passordene skiftes etter rutiner beskrevet i vedlegg 3 - Regler for datasikkerhet.

Manuelle personalarkiver er sikret etter et opplegg fastlagt av personaldirektør og meddelt datatillitsvalgt.

Det er utarbeidet særskilte regler for utkjøring av lister, sikkerhetskopiering, makulering o.l. der persondata inngår. Det er laget et reglement for datamaskinoperatører, systemfolk, brukere o.a. som fastlegger rutiner for slikt arbeid (se vedlegg 3, 4 og 5).

Selskapets taushetserklæring omfatter også forholdet til persondataregistre.

Utlevering

Utlevering av persondata til utenforstående må ikke skje. Unntak er:

• Når det foreligger samtykke fra den opplysningene gjelder

• Når det er hjemlet i lov eller forskrift

• Når det er hjemlet i avtale mellom selskapet og fagforeningene

• Når den andre instans i praksis er en del av selskapets personaladministrasjon

Selskapet skal oversende datatillitsvalgt en periodisk oversikt over hvilke data som er sendt til eksterne organisasjoner. Dette skal skje minimum en gang pr. år.

Den enkelte har rett til full innsikt i de data som er lagret i persondataregisteret og som angår ham/henne. En utskrift av alle personlige opplysninger som er lagret i persondataregisteret skal sendes hver ansatt for oppdatering en gang pr. år.

Statistiske opplysninger skal distribueres eksternt og internt på en slik måte at det beskytter enkeltpersoner.

Sletting av data

Uriktige data skal slettes eller eventuelt korrigeres uten unødig forsinkelse.

Personopplysninger på tidligere ansatte skal lagres på en minst like betryggende måte som for øvrige ansatte.

Ved fratredelse skal datautskrift utleveres på forespørsel til den som fratrer. Etter dette kan det bare legges inn data som har betydning for at Saga kan oppfylle sine forpliktelser ovenfor offentlige myndigheter eller den tidligere ansatte.

Gyldighet

Denne instruksen trer i kraft straks og gjelder inntil videre. Forslag til endringer vil bli på forhånd drøftet med datatillitsvalgt.

Vedlegg 1 Foreningens felles datatillitsvalgt

Vedlegg 2 Taushetserklæring

Vedlegg 3 Regler for datasikkerhet

Vedlegg 4 Driftsinstruks - Persondatasystemet

Vedlegg 5 Systeminstruks - Persondatasystemet

Vedlegg 6 Regler for sikring av manuelle personarkiver

Vedlegg 7 Instruks for adgangskontrollsystemer

Vedlegg 2

1. Undertegnede forplikter seg herved til ikke uten spesiell tillatelse å la komme til andres kunnskap hva jeg under min ansettelse i Saga Petroleum a.s. får kjennskap til angående Saga Petroleum a.s.'s og samarbeidende parters virksomhet, herunder alle opplysninger av teknisk og forretningsmessig art som ikke er publisert eller gjort offentlig kjent på annen måte.

1. Videre erkjenner jeg en særlig plikt til taushet og aktsomhet ved håndtering og behandling av opplysninger om andre ansatte og ansettelsesforhold.

1. Likeledes forplikter jeg meg til ikke i egen eller andres interesse direkte eller indirekte gjennom andre å gjøre bruk av hva jeg ovenfor har forpliktet meg til å holde hemmelig.

1. Skulle jeg bryte de ovennevnte forpliktelser, skal selskapet ha krav på enhver direkte eller indirekte fordel, som jeg derav måtte ha, liksom jeg forplikter å erstatte selskapet ethvert derved direkte eller indirekte forårsaket tap eller skade.

1. Videre forplikter jeg meg til for eget bruk ikke å kopiere tegninger, rapporter, utredninger og annet materiale som er i Saga Petroleum a.s.'s besittelse, og levere alt utlånt materiale tilbake ved min fratredelse i selskapet.

Vedlegg 3

Regler for datasikkerhet

1. Generelt

Persondata er konfidensiell informasjon og må lagres forsvarlig.

1. Brukere av persondata

Adgang til alle personalarkiv og systemer har bare:

• Ansatte i personalfunksjonen

• Selskapets ledelse

Enkelte ansatte i regnskapsavdelingen og i selskapets interne revisjon har adgang til opplysninger for å utføre sitt arbeid. Linjeledere har bare adgang til opplysninger de har personalansvar for.

1. Kobling

For å beskytte den enkeltes integritet, kan ikke registre for persondata og helsedata kobles sammen.

1. Utlevering/kopiering av persondata

Lister og utskrifter av persondata skal kun utleveres til ansatte som er oppført under pkt. 2. Listene skal stemples med "ORIGINAL". Opplysninger unntatt fra dette er ansattkode, navn, adresse, fødselsdato, avdeling og tittel. De samme ansatte står ansvarlig for at utlevert materiale blir oppbevart utilgjengelig for uvedkommende.

Brukerne må ikke kopiere mottatt materiale hverken helt eller delvis.

Forsendelser må skje i lukket konvolutt og/eller overleveres personlig.

1. Oppbevaring/makulering

Persondata skal låses ned når brukeren forlater sin arbeidsplass. Persondata skal ikke bringes ut av Saga's lokaler med mindre spesielle grunner tilsier det.

Alle datamaskinutskrifter som inneholder personopplysninger oppbevares innelåst til de makuleres. Makulering skal skje straks dersom som datamaskinutskriftene ikke skal brukes innen rimelig tid.

Makulering skal foregå på en betryggende måte. Foretas det av andre enn brukeren, skal vedkommende være fysisk tilstede når makulaturen bringes til maskinen og makulering skal skje umiddelbart.

1. Passord

Passord er knyttet til hver enkelt bruker og vedkommende er selv ansvarlig for at passordet ikke blir kjent. Brukerne bestemmer og setter passordet selv, men må unngå passord som lett kan knyttes til vedkommende.

1. Terminalarbeidsplasser

Alle dataskjermer med skjermbilder tilhørende persondatasystemet logges av systemet hver gang skjermen forlates. Dataskjermen skal plasseres slik at uvedkommende ikke får direkte innsyn på den.

Vedlegg 4

Driftsinstruks - Persondatasystemet

Alle maskinromsoperatører og alt øvrig EDB-driftspersonale er underlagt taushetsplikt med hensyn til de opplysninger av følsom karakter som de måtte få kjennskap til under operering av personaldatasystemet.

Det tas sikkerhetskopi av alle data ved slutten av hver arbeidsdag, hver uke og hver måned. Kopien oppbevares tyveri- og brannsikkert.

Vedlegg 5

Systeminstruks - Persondatasystemet

Databaseansvaret for persondatasystemet er delt i to; en systemansvarlig som organisatorisk er plassert i seksjon for Merkantile systemer og en databaseansvarlig som organisatorisk er plassert i Personalavdelingen.

Systemansvarlig er ansvarlig for:

• Å være kjent med hvordan systemet til enhver til fungerer

• Feilretting og videre utvikling av persondatasystemet etter melding fra databaseadministrator

• At sikkerhetskopieringsrutinene er lagt opp i samsvar med de behov som brukerne har når det gjelder sikkerhet mot tap av data.

• At sikkerhetssystemet/adgangskontroll er lagt opp i samsvar med Personalavdelingens regler og de avtaler om bruk av persondata som eksisterer mellom selskapet og de ansattes organisasjoner.

• Oppretting av brukergrupper i systemet med den tilgangsprofil databaseadministrator har definert. Brukerne er delt inn i grupper. Hver gruppe gir adgang til bestemte deler av personaldataene og til å gjøre bestemte funksjoner på disse.

Databaseadministrator har adgang til alle funksjoner og alle data og er ansvarlig for:

• At datatillitsvalgt informeres om planlagte endringer i persondatabasen.

• Å definere hensiktsmessige brukergrupper og å plassere de respektive brukere i den gruppen som er tilpasset vedkommende arbeidsområde i selskapet. Dette skjer etter skriftlig henvendelse fra nye brukere.

Utvikling

• Brukeren "PASS" benyttes kun i databaseadministratorfunksjoner.

• Utvikling og testing foregår i et testmiljø med egne programmer og en testdatabase helt lik produksjonsbasen PASS, men bestående av fiktive data. Når dette arbeidet er ferdig, kopieres de nye programmene over i produksjonsmiljøet.

• Feilsøking skjer ved bruk av programmene til produksjonsbasen, men mot de fiktive dataene i testdatabasen.

Vedlegg 6

Regler for sikring av manuelle arkiv hvor personopplysninger inngår

Type arkiv som kommer inn under instruksen er:

• Personalarkiv

• Arkiv for lånesaker

• Sykearkiv

• Arkiv for tidsfordelingslister

Tilgang til arkiv som nevnt over har ansatte gjennom pålagte arbeidsoppgaver.

Tilgang til personalarkivet har ansatte i personalavdelingen og linjeledere for personer de har personansvaret for. Mappene skap ikke bringes ut av personalavdelingen.

Der hvor nevnte arkiv er plassert, utpekes en ansatt som er ansvarlig for låsing/åpning av arkivet. Arkivet skal være låst når det ikke er mulig å føre kontroll med hvem som betjener seg av arkivet og utenom kontortid.

Arkivskapene skal være typegodkjent.

Vedlegg 7

Avtale om adgangskontrollsystemer ved Sagas arbeidssteder

Følgende avtale er inngått mellom Saga Petroleum a.s. og foreningene NITO, NOPEF og PIE, på vegne av de ansatte:

1. Avtalens omfang

Avtalen er et supplement til Persondatainstruksen og dekker de adgangskontrollsystemer Saga Petroleum a.s. bruker ved sine arbeidssteder. Med adgangskontrollsystem menes alle systemer som elektronisk lagrer opplysninger om hvem som:

• skal ha rett til adgang

• hvem som har oppholdt seg på området

• når opphold har funnet sted

1. Avtalens varighet

Avtalen er toårig, første gang fra 1.12.88. Den kan sies opp med 1 måneds varsel ved utløp av avtaleperioden. Dersom den ikke sies opp, blir avtalen prolongert med nye to - 2 - år.

1. Lagring av persondata i systemene

Adgangskontrollsystemene skal ikke lagre andre persondata enn de som er relevante for å kunne identifisere en person. Det vil si:

• ansattkode

• navn

1. Bruk av data i systemene

Data innhentet gjennom adgangskontrollsystemer skal ikke kunne brukes av andre systemer, som f.eks. tidskontroll. Data i systemet skal kunne brukes:

• til å gi opplysninger om hvem som er på arbeidsstedet, eventuelt hvor

• ved mistanke om overtredelse av Sagas sikringsregler, hvem som var på arbeidsstedet. Innsyn i historiske data er underlagt egne regler, se punkt 6.

1. Lagring av data

Data for siste 30 dager skal kunne lagres "on-line". Eldre data skal lagres på et ytre medium adskilt fra systemet. Disse data skal oppbevares av en annen organisasjonsenhet enn den som har den daglige driften av systemet. Historiske data skal slettes etter seks - 6 - måneder.

1. Innsyn i lagret data

Driftsansvarlig og Sagas resepsjonstjenester har til enhver tid innsynsrett i det siste døgns transaksjoner.

Innsyn utover det siste døgns transaksjoner skal bare skje dersom det foreligger mistanke om overtredelse av Sagas sikringsregler. Ved framhenting og innsyn i historiske data skal en representant for de ansatte (datatillitsvalgt) være tilstede.

_______________	_______________	_______________	_______________
For bedriften	For PIE	For Nopef	For NITO