PERSONVERNPOLICY FOR ONSITE
1.INTRODUKSJON
1.1 Formål
Denne personvernpolicyen ("Policyen") er utarbeidet for Onsite Holding AS og dets datterselskaper Onsite Security Solutions AS og Onsite Security Vaktdrift AS (heretter samlet referert til som "Onsite", "vi", "oss").
Onsite skal opptre i samsvar med personvernregelverket. Det ligger i kjernen av vår virksomhet å behandle opplysninger konfidensielt og utvise særlig aktsomhet når vi behandler personopplysninger.
Denne Policyen fungerer som en manual for vår behandling av personopplysninger for å sikre overholdelse av den norske personvernlovgivningen, herunder EUs personvernforordning 2016/679 (GDPR). Begrepene som benyttes i denne Policyen skal ha samme betydning som angitt i GDPR.
Denne Policyen består av tre deler:
-
Styrende dokumentasjon. Grunnleggende personvernprinsipper og intern organisering, herunder fordeling av roller og ansvar vedrørende personvern.
-
Gjennomførende dokumentasjon. Våre interne retningslinjer og prosedyrer for implementering av personvernprinsippene og overholdelse av gjeldende personvernlovgivning. Noen retningslinjer og prosedyrer vil være beskrevet i separate dokumenter, referert til i denne Policyen.
-
Kontrollerende dokumentasjon. Våre interne rutiner for revisjon og kontroll for å sikre etterlevelse av nevnte retningslinjer/prosedyrer for personvern og gjeldende personvernlovgivning.
1.2 Omfang
Denne Policyen gjelder helt eller delvis automatisert behandling av personopplysninger og ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register.
Personopplysninger betyr enhver opplysning om en identifisert eller identifiserbar fysisk person ("den registrerte"). En identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, for eksempel et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons identitet. Vi behandler primært personopplysninger som databehandler på vegne av våre bedriftskunder. Vi behandler også personopplysninger som behandlingsansvarlig om våre ansatte, om visse kontaktpersoner hos våre kunder, leverandører og samarbeidspartnere, samt om privatkunder i den utstrekning vi leverer våre sikkerhetstjenester direkte til disse.
Behandling betyr enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
Automatisert betyr at behandlingen av personopplysninger utføres helt eller delvis elektronisk. Det meste av vår behandling av personopplysninger er automatisert.
Register betyr enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag. Et eksempel er arbeidstakeres personalmapper som oppbevares i papirkopi.
1.3 Behandlingsansvarlig vs databehandler
Denne Policyen gjelder generelt for alle tilfeller der Onsite opptrer som behandlingsansvarlig.
Vi opptrer imidlertid i all hovedsak som databehandler når vi leverer tjenester til våre kunder. Punkt 3.7.2 i denne Policyen gjelder for de tilfeller der Onsite opptrer som databehandler.
2.DEL 1: STYRENDE DOKUMENTASJON
2.1 Fordeling av roller og ansvar i virksomheten
Hver av Onsite-selskapenes øverste ledelse er behandlingsansvarlig etter GDPR og har det overordnede ansvaret for at Onsite som helhet overholder våre forpliktelser etter gjeldende personvernlovgivning, herunder for å sikre gjennomføringen av egnende tekniske og organisatoriske sikkerhetstiltak. Vi skal sørge for at alle ansatte som behandler personopplysninger er kjent med innholdet i denne Policyen.
Onsite har utpekt et personvernombud som skal kontrollere Onsites overholdelse av personvernlovgivningen og denne Policyen. Personvernombudet fungerer som kontaktperson ved personvernrelaterte spørsmål i hele gruppen.
2.2 Prinsipper for behandling av personopplysninger
Vi vil sørge for at vi behandler personopplysninger i samsvar med personvernprinsippene angitt nedenfor.
Vi vil integrere disse prinsippene både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for selve behandlingen (innebygd personvern).
Prinsipp
Definisjon
Hvordan vi overholder prinsippene
Dataminimering
Personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for.
1. Vi vil ikke samle inn personopplysninger som vi ikke har behov for.
2. Vi vil begrense bruken av personopplysninger i dokumenter som vi produserer.
Riktighet
Personopplysninger skal være korrekte og om nødvendig oppdaterte.
1. Vi vil kontrollere innsamlede personopplysninger hvis vi har grunn til å tro at opplysningene er uriktige med hensyn til formålene de behandles for.
2. Vi vil korrigere lagrede personopplysninger hvis vi har grunn til å tro at opplysningene er utdaterte.
Lagringsbegrensning
Personopplysninger skal ikke lagres i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for.
1. Vi vil etablere bestemte lagringstider.
2. Vi vil slette og anonymisere personopplysninger når den relevante lagringstiden utløper.
Integritet og konfidensialitet
Personopplysninger skal beskyttes mot uautorisert og ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade.
1. Vi vil iverksette egnede tekniske og organisatoriske tiltak som sikrer tilstrekkelig sikkerhet for personopplysningene.
2. Vi vil benytte systemer tilpasset den tekniske utviklingen og sørge for at leverandørene vi benytter også har et tilfredsstillende sikkerhetsnivå.
Ansvar
Enhver behandlingsansvarlig er ansvarlig for og skal kunne påvise overholdelse av personvernlovgivningen.
1. Vi vil dokumentere våre retningslinjer og prosedyrer for personvern.
2. Vi vil kontrollere overholdelse av nevnte retningslinjer og prosedyrer.
2.3 Behandlingens lovlighet
2.3.1 Generelt
Vi kan bare behandle personopplysninger i den utstrekning vi har ett eller flere rettslige grunnlag for behandlingen (behandlingsgrunnlag). De behandlingsgrunnlagene vi baserer oss på når vi behandler personopplysninger er angitt i vår Protokoll over behandlingsaktiviteter (se punkt 3.8 nedenfor).
I punkt 2.3.2 og 2.3.3 nedenfor følger en generell oversikt over vår tilnærming til de relevante behandlingsgrunnlagene for henholdsvis ikke-sensitive og sensitive personopplysninger. I punkt 2.3.4 følger en nærmere beskrivelse av lovligheten av behandlingen av personopplysninger i forbindelse med kameraovervåking, som utgjør en sentral del av vår virksomhet.
2.3.2 Ikke-sensitive personopplysninger
Ved behandling av ikke-sensitive personopplysninger kan vi som regel basere oss på ett av følgende behandlingsgrunnlag:
-
Avtale: Behandlingen er nødvendig for å oppfylle en avtale med den registrerte. Eksempel: For å håndtere en avtale som vi har inngått med en ansatt eller en privatkunde.
-
Lovkrav: Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse. Eksempel: Innsamling og lagring av opplysninger for bokføringsformål.
-
Berettiget interesse: Behandlingen er nødvendig for å oppnå en berettiget interesse som overstiger den registrertes rett til personvern. Eksempel: Bruk av personopplysninger for visse analyse- og produktforbedringsformål.
-
Samtykke: Den registrerte har gitt sitt frivillige, spesifikke, informerte og dokumenterte samtykke til behandlingen. Eksempel: For markedsføringsformål (se punkt 3.2 nedenfor).
I den grad vi baserer oss på samtykker fra de registrerte vil vi alltid sørge for at samtykket er:
-
Frivillig. Samtykket må være gitt frivillig. Bruk av våre tjenester skal ikke være betinget av samtykke.
-
Spesifikt. Samtykket må være gitt til et klart og presist formulert formål. Dersom vi ønsker å bruke personopplysninger til flere formål, må vi be om samtykke til hvert enkelt formål separat.
-
Informert. Samtykkeforespørselen må gi den registerte informasjon om hva han/hun samtykker til på et klart, enkelt og forståelig språk.
-
Utvetydig. Et gyldig samtykke forutsetter at det foretas en aktiv handling, f.eks. ved å hake av i en boks. Det er ikke mulig å samtykke ved passivitet, stillhet eller på forhånd avhakede bokser.
-
Dokumenterbart. Vi må kunne dokumentere at hvert samtykke faktisk har blitt gitt, enten elektronisk eller skriftlig.
-
Balansert. Vi kan ikke basere oss på samtykke dersom det er en klar ubalanse mellom oss og den registerte. Som et eksempel vil vi som regel ikke basere oss på samtykker fra våre ansatte ettersom maktbalansen mellom oss som arbeidsgiver og våre ansatte medfører at et samtykke fra en ansatt ikke nødvendigvis vil kunne regnes som frivillig.
-
Nødvendig. Vi skal unngå å innhente samtykker dersom vi heller kan basere oss på et annet behandlingsgrunnlag. Følgelig vil vi ikke be om samtykke dersom det ikke er nødvendig.
-
Mulig å trekke tilbake. Vi skal gi den registerte mulighet til å trekke tilbake sitt samtykke til enhver tid like lett som det ble gitt og uten negative konsekvenser. Vi skal videre gi den registerte informasjon om retten til å trekke tilbake sitt samtykke.
2.3.3 Sensitive personopplysninger (GDPR artikkel 9 og 10)
Ved behandling av sensitive personopplysninger (omtalt som særlige kategorier av personopplysninger i GDPR) vil vi utvise særlig forsiktighet. Sensitive personopplysninger er opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, samt opplysninger om straffedommer og lovovertredelser.
Vi vil kun behandle sensitive personopplysninger dersom det er påkrevd for å utføre visse bestemte behandlingsaktiviteter, og vil i så tilfelle typisk basere oss på ett av følgende behandlingsgrunnlag (i tillegg til de alminnelige behandlingsgrunnlagene i GDPR art. 6):
-
Arbeidsrettslige forpliktelser: Behandlingen er nødvendig for å kunne oppfylle forpliktelser og utøve særlige rettigheter på området arbeidsrett. Eksempel: Bruk av helseopplysninger om våre ansatte for å oppfylle våre forpliktelser som arbeidsgiver, eller innhenting av politiattest fra ansatte som skal utføre vakttjeneste eller har oppgaver direkte knyttet til vakttjeneste, jf. vaktvirksomhetsloven § 8.
2.3.4 Særlig om lovligheten av kameraovervåking
Onsite leverer tjenester som er underlagt forskrift om kameraovervåking i virksomhet. I den forbindelse behandler vi personopplysninger både som selvstendig behandlingsansvarlig og som databehandler på vegne av våre bedriftskunder (se punkt 3.7.1 og 3.7.2 nedenfor).
Når vi behandler personopplysninger som selvstendig behandlingsansvarlig i forbindelse med kameraovervåking vil vi som regel basere oss på følgende behandlingsgrunnlag:
-
Avtale: Behandlingen er nødvendig for å oppfylle en avtale vi har med en kunde eller leverandør om levering av sikkerhetstjenester eller andre tjenester.
Denne Policyen er i samsvar med kravene som følger av nevnte forskrift om kameraovervåking i virksomhet og gjeldende personvernregelverk, og skal sikre at kravene til enhver tid overholdes. Mer informasjon om kravene til sletting av opptak gjort ved kameraovervåking fremgår av punkt 3.1.2 nedenfor.
2.4 Formålsbegrensning
Vi kan bare behandle personopplysninger for spesifikke, uttrykkelige, angitte og legitime formål. Formålene med vår behandling fremgår av vår Protokoll over behandlingsaktiviteter (se punkt 3.8 nedenfor).
Vi skal sørge for at personopplysningene ikke behandles på en måte som er uforenlig med det opprinnelige formålet som opplysningene ble samlet inn for. Basert på en konkret vurdering fra sak til sak vil følgende formål typisk ikke være uforenlig med det opprinnelige formålet: bokføring, revisjon og etterforskning, tvisteløsning, analyser og rapportering, samt forretningsutvikling.
3.DEL 2: GJENNOMFØRENDE DOKUMENTASJON
3.1 Lagring og sletting av personopplysninger (GDPR artikkel 5)
3.1.1 Generelt
Vi kan bare lagre personopplysninger så lenge det er nødvendig. De planlagte lagringstidene for de ulike kategoriene av personopplysninger vil fremgå av vår Protokoll over behandlingsaktiviteter (se punkt 3.8 nedenfor). Her vil vi også gi en kort begrunnelse for de angitte lagringstidene.
Vi vil kunne ta i bruk følgende slettemetoder: automatisk sletting, manuell sletting eller anonymisering. Dersom vi velger manuell sletting vil vi sørge for at den blir utført på årlig basis.
Vi vil sørge for at enhver databehandler som lagrer personopplysninger på våre vegne overholder de lagringstidene som vi har etablert. Vi kan videre kreve at hver databehandler sletter eller tilbakeleverer alle personopplysninger til oss etter at tjenestene som behandlingen knytter seg til er levert.
3.1.2 Særlig om sletting av opptak gjort ved kameraovervåking og politiattester
Denne Policyen er i samsvar med de særlige krav som gjelder for sletting av politiattester etter politiregisterforskriften og om sletting av opptak gjort ved kameraovervåking i forskrift om kameraovervåking i virksomhet:
-
Politiattest. I henhold til politiregisterforskriften § 37-2 kan politiattester bare oppbevares så lenge det er nødvendig for formålet med politiattesten, men ikke utover det tidspunkt den ansatte slutter i den stillingen som ga grunnlaget for vandelskontroll. Politiattest som ikke lenger er nødvendig for formålet, skal slettes. Vi oppbevarer imidlertid ikke politiattester. I den grad vi har behov for å kontrollere vandel må den ansatte selv innhente politiattest og fremvise denne for oss. Vi instruerer den ansatte til å makulere politiattesten umiddelbart etter fremvisning.
-
Opptak fra kameraovervåking. I henhold til forskrift om kameraovervåking § 6 skal opptak gjort ved kameraovervåking som hovedregel slettes senest én uke etter at opptakene er gjort, med mindre det foreligger slike omstendigheter som etter forskriften gir grunnlag for en forlenget lagringstid. Datatilsynet kan gjøre unntak fra bestemmelsene i denne forskriften dersom det foreligger et særlig behov for oppbevaring i lengre tid enn det som fremgår av forskriften.
3.2 Markedsføring og profilering (GDPR artikkel 6 og 21)
Vår markedsføringskommunikasjon må være i overensstemmelse med personvernlovgivningen og relevant markedsføringslovgivning.
Vi vil ikke sende markedsføringskommunikasjon per e-post med mindre:
-
Vi har den registrertes samtykke, eller
-
Vi har et eksisterende kundeforhold (som gir oss muligheten til å basere vår behandling av personopplysninger på berettiget interesse fremfor den registrertes samtykke).
Per i dag utfører vi ingen markedsføringsaktiviteter utover å kontakte potensielle kunder som selv har henvendt seg til oss gjennom vårt kontaktskjema på våre nettsider.
Vi utfører ikke profilering (vurdering av visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons interesser etc.) for markedsføringsformål. Dersom vi planlegger å gjøre det vil vi først vurdere hvorvidt gjeldende lovgivning krever at vi innhenter samtykker eller om det er tilstrekkelig at vi gir den registrerte muligheten til opt-out.
3.3 Bruk av cookies (GDPR artikkel 6 og ekomloven § 2-7b)
Vi benytter informasjonskapsler (cookies) på nettsiden vår [sett inn referanse til nettside]. For å overholde gjeldende regelverk vil vi publisere en Cookie Policy på nettsiden [sett inn lenke]. Vi vil også gi våre besøkende muligheten til opt-out (ved å administrere deres nettleserinnstillinger).
Vi bruker for øyeblikket ikke cookies til markedsføringsformål. Dersom vi planlegger å gjøre det vil vi sørge for å oppdatere vår Cookie Policy som er tilgjengelig på nettsiden og vurdere hvorvidt vi etter gjeldende regelverk plikter å innhente samtykker fra de besøkende på nettsiden.
3.4 Informasjon og åpenhet (GDPR artikkel 12 – 14)
Vi skal behandle personopplysninger på en åpen og transparent måte. Vi vil på et klart og enkelt språk gi de registrerte informasjon om hvem vi behandler personopplysninger om, hvem vi er, hvorfor vi behandler deres personopplysninger og hvordan behandlingen utføres.
På bakgrunn av ovennevnte vil vi publisere en Personvernerklæring (ekstern) på nettsiden vår med informasjon til våre kunde- og leverandørkontakter, samarbeidspartnere og brukerne av nettsiden. Vi vil referere til denne personvernerklæringen i våre standard avtalevilkår.
Vi vil også gjøre tilgjengelig en Personvernerklæring (intern) for våre ansatte. Denne vil til enhver tid være tilgjengelig på vårt intranett [sett inn referanse].
3.5 De registrertes rettigheter (GDPR artikkel 12 og artikkel 15 – 23)
Vi skal respektere de registrertes rettigheter etter GDPR. Dersom vi mottar en forespørsel fra en registrert om å utøve hans/hennes personvernrettigheter skal denne håndteres uten ugrunnet opphold, og senest innen én måned etter mottak av forespørselen (kan ved behov forlenges med ytterligere to måneder). Alle slike forespørsler skal videreformidles til personvernombudet.
Den registrertes forespørsel skal avslås dersom det hersker rimelig tvil om identiteten til den registrerte som inngir forespørselen, og den registrerte på vår forespørsel ikke fremlegger ytterligere opplysninger som er nødvendige for å kunne bekrefte hans/hennes identitet. Forespørselen kan også avslås dersom vi kan bevise at den er åpenbart grunnløs eller overdreven.
Nedenfor følger våre retningslinjer for håndtering av forespørsler fra de registrerte om å utøve deres personvernrettigheter som vi vil kunne motta:
Rettighet
Når den gjelder
Hvilke unntak som finnes
Rett til innsyn
På forespørsel fra den registrerte om å få en kopi av personopplysningene som behandles om vedkommende.
Når det kreves for å beskytte den nasjonale sikkerhet, forsvaret eller den offentlige sikkerhet.
Når det kreves for å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner.
Når personopplysningene bare finnes i interne arbeidsdokumenter som ikke har blitt utlevert til noen tredjeparter.
Når personopplysningene er underlagt lovbestemt taushetsplikt.
Når det strider mot fundamentale private eller offentlige rettigheter eller interesser (f.eks. hvis opplysningene også inneholder opplysninger om andre, og som ikke lar seg sensurere).
Rett til retting
På forespørsel fra den registrerte om å få uriktige eller ufullstendige personopplysninger om seg selv rettet eller komplettert.
Når personopplysningene verken er uriktige eller ufullstendige.
Rett til sletting
På forespørsel fra den registrerte om å "bli glemt", når:
- personopplysningene ikke lenger er nødvendige for formålet som de ble samlet inn eller behandlet for,
- den registrerte har trukket tilbake sitt samtykke (slettingen er begrenset til de opplysningene som ble behandlet på grunnlag av det relevante samtykket)
- behandlingen baserer seg på en berettiget interesse og den registrerte protesterer mot behandlingen på bakgrunn av hans/hennes særlige situasjon, eller
- personopplysningene har blitt behandlet ulovlig.
Når ytterligere oppbevaring er nødvendig for de formålene som personopplysningene opprinnelig ble samlet inn for. Det betyr at forespørsler fra en registrert om sletting generelt bør avslås hvis de relevante lagringstidene vi har satt ikke har utløpt.
Rett til begrensning av behandlingen
På forespørsel fra den registrerte om at behandlingen av personopplysninger om vedkommende begrenses, når:
- den registrerte bestrider riktigheten av personopplysningene, i en periode som gjør det mulig for oss å kontrollere og bekrefte riktigheten av personopplysningene,
- behandlingen er ulovlig og den registrerte motsetter seg sletting av personopplysningene, eller
- personopplysningene ikke lenger er nødvendige til det som var formålet med behandlingen, men den registrerte har behov for disse for å fastsette, gjøre gjeldende eller forsvare rettskrav.
I andre tilfeller enn de som er nevnt i venstre kolonne.
Rett til dataportabilitet
På forespørsel fra den registrerte om å få personopplysninger om seg selv overført i et maskinlesbart format, når:
- behandlingen er basert på samtykke eller en avtale, og utføres automatisk, og
- kun omfatter personopplysninger som er gitt av den registrerte eller som er generert som følge av den registrertes bruk av en tjeneste.
I andre tilfeller enn de som er nevnt i venstre kolonne.
Rett til å protestere
På forespørsel fra den registrerte om å stanse en pågående behandling av personopplysninger om vedkommende, når:
- behandlingen baserer seg på en berettiget interesse og den registrerte protesterer mot behandlingen på bakgrunn av hans/hennes særlige situasjon, eller
- den registrerte protesterer mot behandling med henblikk på direkte markedsføring (protesten skal i tilfelle kun omfatte behandlingen som utføres for slike direkte markedsføringsformål).
Når den registrerte ikke er i en særlig situasjon som gir grunnlag for å protestere.
Når behandlingen er nødvendig for å oppfylle en avtale med den registrerte.
Når behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som vi er underlagt.
Når behandlingen er basert på den registrertes samtykke (med unntak av samtykke for direkte markedsføringsformål).
Når behandlingen er basert på en berettiget interesse og vi har tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, eller for å fastsette, gjøre gjeldende eller forsvare rettskrav.
Rett til å ikke være gjenstand for automatiske avgjørelser
På forespørsel fra den registrerte, når:
- avgjørelsen tas uten menneskelig innblanding, og
- den automatiske avgjørelsen har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende.
Når fullautomatiserte avgjørelser er nødvendig for å inngå eller oppfylle en avtale mellom oss og den registrerte.
Når den registrerte har gitt sitt uttrykkelig samtykke til å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling.
3.6 Innebygd personvern og personvern som standardinnstilling (GDPR artikkel 25)
Innebygd personvern. På tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for selve behandlingen, vil vi iverksette egnede tekniske og organisatoriske tiltak med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger (se punkt 2.2 over). Hvis vi ber andre tjenesteleverandører om å utføre systemutvikling eller tilpasning av våre verktøy, skal vi kreve at også disse sørger for å ta tilstrekkelig hensyn til personvernet.
Personvern som standardinnstilling. Vi skal sørge for at det som standard bare er personopplysninger som er nødvendige for hvert spesifikke formål med behandlingen, som behandles. Dette innebærer at vi ikke skal samle inn store mengder personopplysninger, at vi ikke skal behandle personopplysninger for uforenelige formål, at vi ikke skal lagre personopplysninger lenger enn det som er nødvendig, og at vi skal begrense tilgangen til personopplysningene basert på et "need to know"-prinsipp.
3.7 Databehandleravtaler (GDPR artikkel 28)
3.7.1 Når vi opptrer som behandlingsansvarlig
Før vi engasjerer en databehandler (en leverandør som behandler personopplysninger på vegne av oss) vil vi sørge for at databehandleren gir tilstrekkelige garantier for at deres behandling av personopplysninger vil være i samsvar med kravene etter GDPR. Herunder skal vi også foreta en risikovurdering av leverandøren for å kartlegge personvernrisiko knyttet til den nye behandlingen. En slik risikovurdering kan for eksempel foretas gjennom innhenting og vurdering av leverandørens sikkerhetsdokumentasjon.
Vi skal inngå en databehandleravtale (DPA) med enhver databehandler vi benytter. DPAen vil kunne utgjøre et vedlegg til en annen avtale som er inngått mellom oss og den relevante databehandleren. Vi kan benytte databehandlerens DPA-mal forutsatt at denne oppfyller samtlige krav etter GDPR art. 28(3).
3.7.2 Når vi opptrer som databehandler
Hvis vi behandler personopplysninger på vegne av andre, uten å bestemme formålet med behandlingen og hvilke midler som skal benyttes, opptrer vi som databehandler. Dette vil gjelde i de fleste tilfeller der vi leverer tjenester til våre kunder, med unntak av tjenester levert til visse privatkunder. I sistnevnte tilfelle opptrer vi som selvstendig behandlingsansvarlig (se punkt 3.7.1 over).
Når vi opptrer som databehandler skal vi sørge for å inngå en databehandleravtale (DPA) med alle relevante kunder. Dersom vi benytter underleverandører (underdatabehandlere) skal vi inngå en egen DPA med hver underleverandør som pålegger underleverandøren de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i avtalene mellom oss og våre kunder.
Vi har utarbeidet en egen mal for databehandleravtaler som i utgangspunktet skal benyttes overfor alle våre bedriftskunder som vi opptrer som databehandler for. Hvis kunden insisterer på å bruke egen mal skal denne gjennomgås og om nødvendig skal personvernombudet konsulteres.
Vi skal unngå å bruke personopplysninger som vi behandler på vegne av våre kunder for våre egne formål. Vi må også sørge for at slike personopplysninger ikke er lagret sammen med andre personopplysninger som vi behandler som selvstendig behandlingsansvarlig.
3.7.3 Internasjonal overføring av personopplysninger
Med unntak av visse land som er anerkjent av Europakommisjonen for å ha et tilstrekkelig beskyttelsesnivå (se oversikt her), er overføring av personopplysninger til land utenfor EØS i utgangspunktet forbudt.
Vi vil ikke overføre personopplysninger til et land etablert utenfor EØS uten at det foreligger nødvendige garantier. Slike garantier vil for eksempel være EU Model Clauses eller EU-US Privacy Shield (sistnevnte gjelder kun for virksomheter som er etablert i USA).
3.8 Protokoll over behandlingsaktiviteter (GDPR artikkel 30)
Vi skal føre en Protokoll over behandlingsaktiviteter (behandlingsprotokoll) for alle kategorier av behandlingsaktiviteter som utføres under vårt ansvar.
Behandlingsprotokollen skal som et minimum inneholde informasjon om: (i) den behandlingsansvarlige, (ii) formålet med behandlingen, (iii) en beskrivelse av de registrerte og kategoriene av personopplysninger, (iv) kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, (v) dersom personopplysninger blir overført til en tredjestat eller en internasjonal organisasjon utenfor EØS; en beskrivelse av denne tredjestaten eller den internasjonale organisasjonen og dokumentasjon på nødvendige garantier, (vi) de planlagte tidsfristene for lagring og sletting av personopplysningene, og (vii) en generell beskrivelse av personopplysningssikkerheten.
Protokollene vil revideres årlig og oppdateres når virksomheten gjennomgår endringer.
3.9 Personopplysningssikkerhet (GDPR artikkel 32)
Vi skal sørge for at våre behandlingssystemer er tilstrekkelig sikret ved hjelp av følgende tiltak:
Sikkerhetskrav
Definisjon
Hvordan vi oppfyller sikkerhetskravet
Konfidensialitet
Beskyttelse mot uautorisert tilgang og utlevering av personopplysninger.
1. Våre ansatte og forretningspartnere vil være underlagt tilfredsstillende konfidensialitetsforpliktelser.
2. Våre databaser vil være kryptert og underlagt tilfredsstillende tilgangskontroll.
3. Våre avtaler med IT-leverandører vil inneholde forpliktelser vedrørende personopplysningssikkerhet.
4. Våre fysiske fasiliteter vil være tilstrekkelig beskyttet mot uautorisert tilgang.
Integritet
Beskyttelse mot utilsiktet og ulovlig ødeleggelse, tap og endringer av personopplysninger.
1. Våre databaser vil være kryptert og underlagt tilfredsstillende tilgangskontroll.
2. Nøkkeldokumenter vil ha versjonskontroll (revisjonskontroll).
Tilgjengelighet
Personopplysningene er tilgjengelige for autoriserte ved behov.
1. Våre avtaler med sentrale IT-leverandører vil ha tilfredsstillende SLAer.
2. Våre hoveddatabaser vil være tilgjengelige ved bruk av fjerntilgang (VPN eller liknende).
Robusthet
Behandlingssystemene og -tjenestenes evne til å gjenopprette normaltilstand.
1. Våre avtaler med sentrale IT-leverandører vil ha tilfredsstillende SLAer.
2. Vi vil ha sikkerhetskopi (backup) av våre personopplysninger.
Vi vil dokumentere våre sikkerhetstiltak, for eksempel ved å gjennomføre risikovurderinger. Dokumentasjonen skal vedlikeholdes, for eksempel ved å foreta oppdateringer dersom virksomhetens art endres eller vi gjør vesentlige endringer i våre IT-systemer eller fasiliteter.
3.10 Brudd på personopplysningssikkerheten (GDPR artikkel 33 og 34)
Vi vil potensielt kunne oppleve et brudd på personopplysningssikkerheten (sikkerhetsbrudd). Det siktes her til et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger. Dette omfatter for eksempel hacking, formidling av personopplysninger til feil mottaker, eller mangel på tilgangskontroll. Det omfatter også brudd som oppstår hos en av våre underleverandører, så fremt bruddet knytter seg til våre personopplysninger.
Hvis det oppstår et avvik skal personvernombudet umiddelbart underrettes om dette. Personvernombudet skal i så fall undersøke de faktiske forhold og melde avviket hvis nødvendig.
Vi vil håndtere potensielle sikkerhetsbrudd på følgende måte:
Dokumentasjon: Ethvert brudd på personopplysningssikkerheten skal dokumenteres. Dokumentasjonen skal inneholde en beskrivelse av de faktiske forhold rundt nevnte brudd og, hvis relevant, virkningen av bruddet og hvilke tiltak som er truffet for å utbedre bruddet.
Underretning: Avhengig av personvernrisikoen som er forårsaket av bruddet kan det bli nødvendig å melde bruddet til Datatilsynet og/eller de registrerte som har blitt berørt av bruddet. Personvernrisiko kan for eksempel være risiko for diskriminering, identitetstyveri, svindel, økonomisk tap, skade på omdømme, tap av konfidensialitet, eller sosiale ulemper. Eksempler på avvik som det kan være nødvendig å melde er når passord, personnummer, kredittkortopplysninger eller helseopplysninger er omfattet av det aktuelle sikkerhetsbruddet. Vi skal følge Datatilsynets veileder om melding av avvik.
-
Lav risiko: Hvis bruddet sannsynligvis ikke vil innebære en risiko for de registerte som er berørt, er det ikke behov for å melde fra om bruddet. Bruddet må likevel dokumenteres internt.
-
Medium risiko: Hvis det ikke er usannsynlig at bruddet vil innebære en risiko for de berørte, skal bruddet meldes til Datatilsynet senest innen 72 timer etter at vi fikk kjennskap til bruddet. Avviket skal meldes ved å fylle ut et standardskjema i Altinn.
-
Høy risiko: Hvis det er sannsynlig at bruddet vil innebære en høy risiko for de registerte som er berørt, skal også disse underrettes om bruddet uten ugrunnet opphold. Underretning til de registrerte er imidlertid ikke påkrevd dersom det er gjennomført egnede tekniske og organisatoriske sikkerhetstiltak (f.eks. kryptering av personopplysningene som er berørt av bruddet), etterfølgende tiltak som sikrer at det ikke lenger er sannsynlig at den høye risikoen for de registrertes rettigheter og friheter vil oppstå, eller slik underretning vil innebære en uforholdsmessig stor innsats (i sistnevnte tilfelle skal det i stedet foretas en offentlig underretning, f.eks. på nettsiden vår).
3.11 Vurdering av personvernkonsekvenser (GDPR artikkel 35)
Dersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for de registrertes rettigheter og friheter, vil vi før behandlingen foreta en vurdering av hvilke personvernkonsekvenser den planlagte behandlingen vil ha (DPIA).
En DPIA må i det minste inneholde (i) en systematisk beskrivelse av den planlagte behandlingsaktiviteten, (ii) en vurdering av nødvendighet og forholdsmessighet, (iii) en vurdering av risiko for de registrertes rettigheter og friheter, og (iv) en beskrivelse av nødvendige tiltak for å sikre balansen mellom personverninteresser og virksomhetens interesser. Vi vi dokumentere enhver gjennomført DPIA.
Vi vil følge Datatilsynets veileder for vurdering av personvernkonsekvenser.
3.12 Opplæring
Vi vil sørge for at alle våre ansatte som er involvert i behandlingen av personopplysninger er identifisert og har fått den opplæringen som er nødvendig for å sikre en effektiv implementering av denne Policyen.
4.DEL 3: KONTROLLERENDE DOKUMENTASJON
4.1 Revisjon
Vi vil gjennomgå vår Protokoll over behandlingsaktiviteter minst én gang per år (se punkt 3.8 over).
Personvernombudet skal organisere ad hoc og periodevise revisjoner for å kontrollere overholdelse av denne Policyen. Revisjonene kan for eksempel bestå av diskusjoner/intervjuer med ansatte eller kontrollering av opplysninger, systemer eller prosesser.
Personvernombudet skal organisere årlig rapportering til styret vedrørende overholdelse av GDPR. Han/henne skal også rapportere til styret om forhold som i vesentlig grad bryter med denne Policyen.
4.2 Regulatorisk
De som skal melde avvik eller kommunisere med Datatilsynet er personer i Onsite som har fullmakt til å signere på vegne av det relevante selskapet i konsernet.
4.3 Revisjonsliste
Dato 07/09/2020
Versjon 1
Ansvarlig Jomar Thoresen