Personvernerklæring for Meteorologisk institutt

Behandlingsansvarlig

Meteorologisk institutts øverste leder har det overordnede ansvaret for METs behandling av personopplysninger.  Den daglige oppfølgingen av hver enkelt tjeneste er delegert til divisjonsledere og deres tjeneste- og systemeiere.

 

Når samler Meteorologisk institutt inn personopplysninger?

Formålet med Meteorologisk institutts behandling av personopplysninger er i første rekke å bedre ivareta våre brukere og samarbeidspartneres opplevelser ved henvendelser til instituttet eller ved bruk av våre digitale tjenester. 

Vi behandler i hovedsak opplysninger som du har gitt til oss for en av disse årsakene:

• Du har hentet inn informasjon om vær og klima på en av våre websider, eller gjennom våre api’er.
• Du har henvendt deg til oss med spørsmål om klima og vær
• Du har sendt oss en klage
• Du har bedt om innsyn etter offentleglova
• Du er bruker av Værio eller Luna.
• Du har meldt deg på kurs eller seminar
• Du har søkt jobb hos oss
• Du besøker våre lokaler

Vi får også opplysninger indirekte av følgende årsaker:

• En ansatt har angitt deg som pårørende
• En jobbsøker har angitt deg som referanse 
• Du er oppgitt som kontaktpersoner i en avtale inngått hvor Meteorologisk institutt er en part.
• Du er med i et prosjekt, referansegruppe eller lignende i samarbeid med Meteorologisk institutt.

Vi oppfordrer alle til ikke å benytte post@met.no til oversending av sensitive personopplysninger til oss.

Kontaktinformasjon

Personvernombud ved Meteorologisk institutt.
Epost: post@met.no
Telefon: 22 96 30 00
Postadresse: Postboks 43 Blindern, 0313 Oslo

Behandling av personopplysninger på met.no

Systemeier/webredaktør er ansvarlig for behandling av personopplysningene for nettsiden. Nettsiden driftes av Enonic. En databehandleravtale mellom MET og Enonic regulerer hvilken informasjon leverandøren har tilgang til og hvordan den skal behandles. 

Cookies/informasjonskapsler

MET samler inn opplysninger om besøkende på en del av våre nettsteder. MET benytter to verktøy for dette; Matomo og Google Analytics. 

MET benytter Matomo levert fra matomo.org for webanalyse og besøksstatistikk for met.no. Nettstedene benytter cookies/informasjonskapsler slik at vi kan se og analysere hvordan nettstedet vårt brukes. Informasjonen som informasjonskapslene samler inn om din bruk av nettstedet, sendes til Matomo. Matomo tjenesten vi benytter er levert som en skyløsning. Løsningen er fullt ut GDPR compliant. Met.no lar våre brukere velge bort web analytic tracking, slik at det er fullt mulig å benytte met.no uten å bli tracket. For all vår tracking benytter vi anonymiseringstknikker av IP adresser og andre data som plattformen tilbyr.

MET benytter Google Analytics for webanalyse og besøksstatistikk for enkelte av våre forskningsprosjekt nettsteder. Nettstedene benytter cookies/informasjonskapsler slik at vi kan se og analysere hvordan nettstedet vårt brukes. Informasjonen som informasjonskapslene samler inn om din bruk av nettstedet, sendes til Google og lagres på selskapets servere i USA. En kode fjerner de siste sifrene fra IP-adressen din før informasjonen lagres av Google Analytics. Dette gjør at analyseverktøyet kan anslå brukerens geografiske plassering, men at adressen ikke kan brukes til å identifisere deg som bruker.

Google vil bruke denne informasjonen til å vurdere bruk av nettsiden, lage rapporter til oss om aktiviteten på nettstedet, og yte andre tjenester i tilknytning til aktiviteten på nettstedet og bruken av Internett.  Ved å bruke nettstedet godtar du at Google behandler opplysninger om deg på denne måten og for det formålet som er beskrevet ovenfor. Det er mulig å reservere seg mot all Google Analytics-registrering ved å installere et tillegg til nettleseren. Tillegget kan lastes ned her: Google Analytics Opt-out Browser Add-on.

Mottatte opplysninger er underlagt Googles retningslinjer for personvern. MET vil bruke statistikkopplysningene til å forbedre nettstedet. Vi vil ikke bruke opplysningene til å identifisere enkeltpersoner. Statistikkdata vil ikke bli sammenstilt med data fra andre kilder.

Trafikklogger

Nettverkstrafikk inn og ut av METs nettverk logges av ulik infrastruktur som brannmur, servere for navneoppslag (DNS), VPN, Wifi, loggservere og autentiseringstjenester. Loggene kan inneholde informasjon som kan knyttes til enkeltpersoner, slik som IP-adresser. Hensikten med loggene er å forebygge misbruk av METs tjenester og håndtere dataangrep. MET deler i enkelte tilfeller slike opplysninger med enkelte norske myndigheter i anonymisert form for å forebygge dataangrep eller annen uønsket adferd. 

E-postlister

E-postlister brukes for informasjon om tjenester, hendelser, endringer eller tilbakemeldinger og ikke for reklame. Din adresse vil ikke bli brukt til andre formål enn dette. Behandlingsgrunnlaget er “samtykke”.  Du kan melde deg av listen, når du selv ønsker. Se også overskriften “Behandling av personopplysninger ved henvendelser til MET”.

MET har inngått nødvendige databehandleravtaler med eksterne leverandører. 

Påmelding til og informasjon om gjennomført kurs

MET benytter i verktøyet LetsReg.no for påmelding og betaling for kurs arrangert av oss.  Her registreres navn, virksomhet, telefonnummer, e-postadresse,  og ev. stilling og matønsker. Data som ikke er omhandlet av bokføringsplikten blir slettet etter 6 måneder.  I noen tilfeller benyttes Google Skjemaer som verktøy for påmelding til kurs. Informasjon om gjennomført kurs lagres i METs arkivsystem og lagres i tjenestens levetid. 

Behandling av personopplysninger på våre nettsider

Dette gjelder nettsidene api.met.no, arcticdata.met.no, arctic-rcc.org, drifty.met.no, fog.met.no, frost.met.no, ftp.met.no, værio.no, klimaservicesenteret.no, thredds.met.no, wiki.met.no, icewatch.met.no, luna.met.no og andre nettsider for forskningsprosjekter.

Systemeier for hver tjeneste har ansvaret for behandling av personopplysninger for den tjenesten. Behandlingsgrunnlaget er samtykke fra den enkelte, som ønsker å bruke tjenesten. For å få tilgang til tjenestene må man oppgi e-postadresse og i noen tilfeller tittel og telefon, for å lage en bruker eller client-ID, med passord. Dette er nødvendig for å gi alle brukere en så stabil og rask tilgang som mulig, for effektiv bruk av tjenesten og for å styre tilgangen til data som ikke er åpent tilgjengelig for alle. E-postadressen vil bli brukt til å kontakte brukerne med informasjon om tjenesten, vedlikehold og endringer. Opplysningene blir lagret i tjenestens levetid, med mindre annet er spesifisert. 

MET logger bruk av tjenestene, der brukerens IP-adresse inngår. Formålet med å logge bruk er eventuell feilsøking og å utarbeide statistikk som vi bruker til å forbedre og videreutvikle tjenestene. Eksempler på hva statistikken gir svar på, er hvor mange spørringer det er mot de ulike data eller produkter og hvor lang responstiden er. Informasjon om bruksstatistikk utleveres ikke fra MET til andre aktører. 

IP-adresser kan også benyttes til trafikkstyring.

MET drifter også en rekke nettsider for forskningsprosjekter vi leder eller deltar i. Her er det i enkelte tilfeller også nødvendig å lage en bruker for å få tilgang til data. Prosjektleder er behandlingsansvarlig.

MET drifter også nettsteder med meteorologiske data uten innlogging. For slike nettsteder vil ip-adresser bli lagret i opp til 90 dager. Denne informasjonen benyttes for å sikre kapasitet i tråd med bruksmengde og avdekke dataangrep eller andre driftsproblemer.

Opplysninger som samles inn i forbindelse med drift av nettstedene, lagres på servere som driftes av MET. Det er ett unntak. For drifty.met.no lagres data i Microsoft Azure. En databehandleravtale mellom MET og Microsoft regulerer hvilken informasjon leverandøren har tilgang til og hvordan den skal behandles. Opplysningene lagres på servere i Europa. 

Behandling av personopplysninger i rekrutteringsverktøy

Systemeier har ansvaret for behandling av personopplysninger for rekrutteringsverktøyet. Behandlingsgrunnlaget er samtykke fra den enkelte, som ønsker å søke en stilling hos MET. JobbNorge er vår leverandør av rekrutteringsverktøy. En egen databehandleravtale mellom MET og JobbNorge regulerer hvilken informasjon leverandøren har tilgang til og hvordan den behandles. 

Søknader blir slettet etter 120 dager. Stillingssøknader blir ikke journalført, bare for vedkommende som blir tilsatt. Andre dokumenter, bl.a. søkerlister og innstillinger bevares. Journalopplysninger slettes ikke, men er skjermet i offentlig elektronisk postjournal (dvs. personnavn/navn på søker fremkommer ikke).

Behandling av personopplysninger i saksbehandling og arkiv

MET bruker noark-systemet Elements fullelektronisk arkiv- og saksbehandlersystem fra leverandøren Sikri AS. Sikri AS er vår driftsleverandør og databehandler for Elements. Det foreligger en databehandleravtale mellom MET og Sikri AS som regulerer hvilken informasjon leverandøren har tilgang til og hvordan den skal behandles. Arkivleder har det delegerte systemansvaret og ansvaret for arkivfunksjonen samt at det foreligger nødvendige oppdaterte rutiner og at det tilbys opplæring i bruk av systemet og rutinene. Respektive avdelingsdirektører følger opp at den faktiske saksbehandlingen er i samsvar med rutinene.

MET behandler personopplysninger for å oppfylle lovpålagte oppgaver etter bl.a. personopplysningslov, forvaltningslov, offentlighetslov og arkivlov.

METs dokumentsenter er lokalisert hos Miljødirektoratet. Ved henvendelser til dokumentsenteret lagres opplysningene i Miljødirektoratets ticket-system, Topdesk. MET benytter samme ticket-system som Miljødirektoratet for egen saksbehandling for hendelsesoppfølging. Miljødirektoratet og MET har inngått databehandleravtale med den aktuelle leverandøren.
Det registreres ulike typer personopplysninger i arkiv- og saksbehandlingssystemet. Dette er opplysninger som navn, adresse, telefonnummer, e-postadresse (metadata). Saksdokumentene kan i tillegg inneholde sensitive personopplysninger f.eks helseopplysninger. Ved krav om innsyn utleveres eventuelle personopplysninger i henhold til personopplysningsloven, offentlighetsloven og forvaltningsloven. 

MET er pålagt å gjøre sine offentlige postjournaler tilgjengelig for allmennheten. En journal er systematisk og fortløpende registrering av alle inngående og utgående saksdokumenter. Journalene gjøres tilgjengelig på www.met.no.

Kameraovervåking på METs eiendom

På METs eiendom i Oslo er det montert videoovervåkning. Dette er merket iht gjeldende regelverk. Systemeier har ansvaret for behandling av personopplysninger for kameraovervåkingen. Formålet med kameraovervåking er å trygge METs verdier på eiendommen og sørge for generell sikkerhet for METs medarbeidere. Opptak lagres på servere som driftes av MET og slettes etter 7 dager.

 

Besøk i METs lokaler

Alle besøkende i METs lokaler registreres. I noen av våre lokaler skjer det ved innskriving i besøksprotokoll, i andre lokaler blir det registrert i vårt elektroniske besøksregister Visitor. Systemene tar vare på navn, firma og hvem du besøker. Formålet med besøksregistrering er å trygge METs verdier. Det elektroniske besøksregisteret Visitor sletter data hvert år.

 

Henvendelser til MET

MET får henvendelser på e-post og telefon. Ved behov for videre oppfølging logges opplysninger om henvendelsen i ticket-systemer, saksbehandlingssystemer eller tilsvarende, gjerne på ustrukturert form. Systemeier for hver tjeneste har ansvaret for behandling av personopplysninger for den tjenesten. Vi oppfordrer deg om å ikke sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.

MET bruker Google Workspace som e-post og samhandlingsverktøy. En databehandleravtale mellom MET og Google regulerer hvilken informasjon leverandøren har tilgang til og hvordan den skal behandles. Overføring til tredjeland er håndtert ved at MET har inngått en avtale om overføring av opplysninger til tredjeland (MCC) med Google. Opplysningene lagres i hovedsak  på servere i Europa.

Yr.no

Yr.no er et samarbeid mellom NRK og MET. Det er NRK som har ansvar for frontend. For informasjon om personvern på yr.no, se NRKs nettside om personvern. 

https://developer.yr.no er en dokumentasjonsside knyttet til yr.no, som beskriver bruk av api.met.no/weatherapi/locationforecast/2.0. Siden er uten registrering og refererer videre til met.no sin erklæring om personvern. En av hovedhensiktene med siden er å gjøre det enda enklere å bruke våre tjenester for de app-utviklerne som allerede kjenner til yr.no og vil bruke de samme dataene.

 

Konsulenter, gjesteforskere, samarbeidspartnere og observatører

Alle gjesteforskere(inklusive studenter), konsulenter. samarbeidspartnere og værobservatører registreres i vårt personalsystem SAP,  levert av Direktorat for forvaltning og økonomi DFØ, og vårt sentrale tilgangsregister RI, levert av SIKT, uavhengig om du får IT tilganger til MET sine interne systemer eller ikke. Her vil navn, fødselsnummer/d-nummer, telefonnummer og e-postadresse registreres.

Alle inngåtte avtaler/kontrakter oppbevares i vår arkivløsning, Elements, som leveres av Sikri AS. Hvis avtalen er inngått via vår konkurransesystem, vil navn til kontraktspartnere/tilbydere finnes både i vårt arkiveringssystem, Elements og i vårt anskaffelsessystem, Mercell.

Ditt navn og telefonnummer kan forekomme ustrukturert i dokumenter knyttet til oppdraget som gjennomføres for MET. Vår samhandlingsplattform er Google Workspace.

 

Observatører og tilsynspersonell

Alle Observatører registreres i tillegg i vårt krise og varslingssystem Metcim. Her ligger kontaktinformasjon som telefonnummer, navn, stilling, bosted og e-post adresse og eventuelt hvor du er ansatt lagret. Leverandør for METCIM er F24. En databehandleravtale mellom MET og leverandøren regulerer hvilken informasjon leverandøren har tilgang til og hvordan den skal behandles.  Stinfosys driftet av MET selv, og dataene befinner seg i våre lokaler.

 

Observasjonsstasjonsdatabasen Stinfosys innholder posisjon (gps koordinatene) og utstyrliste tilhørende stasjonen, kontaktinfo til stasjonseier og vedlikeholdspersonell, samt historikk over innsendte observasjoner. Dataene oppbevares hos MET.

Kro.met.no benyttes av METs administratorene av observasjonsnettverket. Her registreres informasjon om hendelser i observasjonsnettverket. Denne informasjonen er ustrukturert. Det betyr at det kan forekomme sensitive personopplysninger selv om rutinene tilsier at dette ikke skal registreres. Henvendelsene loggføres av METs tekniske personell og observasjonsnettverkadministratorer.  Dataene oppbevares hos MET.

Rettinn.met.no benyttes av METs teknisk personell knyttet til observasjonsnettverket. Her registreres bilder og dokumenter  inkludert avtaler knyttet til stasjonene. Informasjonen lagres på MET sentrale filarkiv internt hos MET. 
 

Gjesteforsker

Med gjesteforsker mener vi Master og PhD studenter, samarbeidspartnere, pensjonister og lignende som har avtale om tilganger til MET. Som gjesteforsker håndteres du likt som konsulenter.

 

Konsulent med tilganger til METs systemer og bygninger

Mange av  konsulentene hos MET har tilgang til MET sine systemer og bygninger. Så snart du får tilgang til våre systemer, vil du få en brukeridentifikasjon (ident) hos oss. Identen vil bli dannet gjennom vårt sentrale tilgangsregister, Rapid Identity, og i våre identitetsregister, lokal AD, lokal LDAP og FEIDE, levert av SIKT. Du benytter SIKTs FEIDE løsning for å sette og endre passord. Benytter du eget utstyr vil du benytte VPN mot MET sine løsninger. MET benytter seg av sikkerhetslogger i forbindelse med bruk av alle våre tjenester. Her vil brukernavn, tidspunkt og ip-adresser være registrert.

 

Hvis du som konsulent skal jobbe med samhandling og dokumenter i en eller annen form vil du også få en e-postkonto. Denne leveres av Google. I disse tilfellene vil personvernerklæringen for ansatte gjelde. Denne får du presentert ved oppstart av oppdraget i forbindelse med passordsetting på kontoen din. 

 

Dine rettigheter

Du har rett på grunnleggende informasjon om behandlinger av personopplysninger i en virksomhet. MET har gitt denne informasjonen i denne erklæringen, og vil henvise til den ved eventuelle forespørsler. Er du registrert som bruker i en av våre tjenester, har du rett på innsyn i egne opplysninger. Du har rett til retting og sletting av personopplysninger. Selv om du tidligere har gitt samtykke til lagring av personopplysninger har du rett til å ombestemme deg. Du har rett til å klage til Datatilsynet dersom du mener behandlingen er i strid med reglene.

Personvernerklæringen vil bli oppdatert ved behov.