Prosedyre for personvern

Transkript

1 Formål: Hensikten med denne prosedyren er å sørge for samsvar med relevant regelverk for vern av personopplysninger. Prosedyren skal også sikre styring, gjennomføring og kontroll av hvordan selskapet håndterer personopplysninger. Omfang: Prosedyren gjelder for alle i bedriften som behandler personopplysninger. Definisjoner: Begrep eller forkortelse Personopplysning Sensistiv personopplysning Behandling Forklaring Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e- post og fødselsnummer. Et bilde regnes som en personopplysning dersom personer kan gjenkjennes, og lydopptak kan være personopplysninger selv om ingen navn blir nevnt i innspillingen. Biometri slik som fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) er også personopplysninger. Videre er en dynamisk IP-adresse er også definert som personopplysning. Registreringsnummeret på en bil kan være en personopplysning hvis det kan knyttes til en bestemt person, mens ikke hvis det står på en firmabil som benyttes av flere. Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om: rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning, fagforeningsmedlemskap, genetikk, biometriske forhold med det formål entydig å identifisere noen, seksuelle forhold, seksuell legning, straffedommer eller lovovertredelser. En behandling av personopplysninger er enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. Behandlingsansvarlig En fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. Hos oss er daglig leder behandlingsansvarlig.

2 Databehandler Databehandleravtale Personvernerklæring En fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige. En avtale med databehandler som skal sikre at kravene til vern av personopplysninger blir ivaretatt i henhold til relevante lov- og forskriftskrav. En erklæring med informasjon til de registrerte om behandling av personopplysninger. Ansvar og myndighet: Daglig leder har det øverste ansvaret for behandling av personopplysninger. Han eller hun kan delegere utførelse av oppgaver til andre, men ikke ansvaret for at håndteringen er i tråd med gjeldende regelverk. Hvis ansvar er delegert vekk til andre, vil dette fremkomme i dokumentet «oversiktsprotokoll». Daglig leder er ansvarlig for implementering av denne prosedyren og fremtidige endringer. Beskrivelse: Generelt Et viktig grunnlag for denne prosedyren er dokumentet «oversiktsprotokoll». Dette skal gi en oversikt over personopplysningene vi behandler og de vurderinger som er gjort i denne forbindelse. Basert på informasjonen i «oversiktsprotokoll» skal selskapet sikre at det har databehandleravtaler på plass når det er relevant og at personvernerklæringer er laget og at de er tilgjengelige for de de er ment for. I de tilfeller det er behov for samtykke fra den det behandles personopplysninger for, skal det utarbeides samtykke erklæringer som den aktuelle personen kan velge å signere eller ei. Bruk samtykkeskjemaene som er vedlagt denne prosedyren. Rutiner for iverksettelse eller opphør av behandling. Hvis det er aktuelt med ny behandling av personopplysninger, ta utgangspunkt i «oversiktsprotokoll» og: vurder formålet med, og det juridiske grunnlaget for den nye behandlingen. vurder om den eksisterende risikovurderingen påvirkes? I så fall, foreta endringer i risikovurderingen og gjennomfør aktuelle tiltak. før inn den nye behandlingen inn i «oversiktsprotokoll» og gjennomfør eventuelle tiltak som følge av dette. Hvis behandlingen av personopplysninger opphører:

3 Vurder om det er grunnlag for fremdeles å oppbevare personopplysningene. Slett lagrede personopplysninger som det ikke lenger er grunnlag for å oppbevare. Oppdater «oversiktsprotokoll». Rutine for sletting av personopplysninger I dokumentet «oversiktsprotokoll» finner du en fullstendig oversikt over hvor lenge personopplysninger skal oppbevares og når de skal slettes. Utover dette er følgende gjeldende: Ved vesentlige endringer i selskapets tjenester, organisering og informasjonssystemer, må behandlingsansvarlig gjøre en konkret vurdering i forhold til krav om sletting. Basert på gjeldende «oversiktsprotokoll» skal behandlingsansvarlig 1 gang i året foreta en særskilt vurdering av om kravene til sletting er relevante og korrekte. Hvis det blir bestemt å slette personopplysninger, skal dette gjennomføres uten unødig opphold og i alle kopier. Hvis kunder, leverandører eller samarbeidspartnere ønsker personopplysninger slettet, utføres dette med mindre det helt åpenbart ikke er i vår interesse og det er juridisk grunnlag for å beholde opplysningene. Foreta i så fall en ny vurdering av formål og grunnlag før den som ber om sletting blir underrettet om hvilken beslutning som er tatt. Eventuelle endringer føres inn i «oversiktsprotokoll». Behandlingsansvarlig er ansvarlig for å slette opplysningene, for eksempel når ansatte slutter. Rutine for kvalitetssikring av personopplysninger Behandlingsansvarlig skal 1 gang i året gå igjennom «oversiktsprotokoll» for å sikre at denne gir en korrekt beskrivelse av selskapets behandling av personopplysninger og at denne er i tråd med relevant regelverk. Rutiner for innhenting av kontroll og samtykke «Oversiktsprotokoll» angir hvilke personopplysninger vi trenger samtykke til å behandle. Samtykke skal alltid innhentes før den aktuelle behandlingen av personopplysninger startes. Bruk de aktuelle samtykkeskjema som er vedlagt denne prosedyren. Plikt til informasjon ved innsamling av personopplysninger Behandlingsansvarlig er pålagt å informere den registrerte om behandling av personopplysninger som igangsettes. For vår del gjelder følgende: Ansatte skal være kjent med, og ha lett tilgang til dokumentet «oversiktsprotokoll» og den aktuelle personvernerklæringen for ansatte. Ved endringer i disse dokumentene skal ansatte varsles uten unødig opphold. En egen personvernerklæring for kunder, leverandører og samarbeidspartnere gjør rede for hvilken behandling av

4 personopplysninger som gjelder for disse. Siste gjeldende utgave av denne er til enhver tid tilgjengelig på vår nettside. Hvis denne endres, bør en vurdere å informere særskilt om dette på nettsiden. Rutine for innsyn, retting og supplering Alle personer som vi behandler personopplysninger om, har rett til fullt innsyn i disse. Hos oss gjelder følgende: Forespørsel fra ansatte og tidligere ansatte skal være skriftlig. o Innen 30 dager, gi en skriftlig tilbakemelding om hvorvidt vi har personopplysninger knyttet til vedkommende eller ei. Hvis vi har registrert personopplysninger; skriv ut og eventuelt utarbeid informasjon fra aktuelle systemer og oversikter. Send oversikten til den som forespør. o Som et alternativ kan det inviteres til et møte med den ansatt eller tidligere ansatt, hvor en gjennomgår personopplysningene sammen. Ta i så fall utgangspunkt i dokumentet «oversiktsprotokoll» og gå igjennom registreringene sammen. Hvis den som forespør fremdeles ønsker skriftlig svar, skal dette gis i tråd med forrige punkt. Forespørsel fra kunde, leverandør eller samarbeidspartner o Behandling skjer på samme måte som for ansatte og tidligere ansatte som nevnt over. Hvis den som har bedt om innsyn ønsker retting eller supplering, skal endringen bekreftes skriftlig. Rutine for innsyn i og sletting av ansattes e-post og private filområder Reglene for dette finnes i Forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale. Hos oss gjelder således følgende: Nåværende eller tidligere arbeidstakers e-postkasse eller private filområder kan kun gjennomsøkes, åpnes eller leses o Når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten. o Ved begrunnet mistanke om at arbeidstakers bruk av e-postkasse eller bruk av annet elektronisk utstyr medfører grovt brudd på pliktene som følger av arbeidsforholdet eller kan gi grunnlag for oppsigelse eller avskjed. Det gjelder særlige prosedyrer ved innsyn se 3. Når et arbeidsforhold opphører, skal arbeidstakers e-postkasse avsluttes, med mindre det foreligger særskilte behov for å holde e-postkontoen åpen i en kort periode etter opphøret. Opplysninger lagret på ansatt sitt private område eller annet elektronisk utstyr, skal slettes innen rimelig tid etter arbeidsforholdets opphør. NB! Det er ikke lov å avvike bestemmelsene i denne forskriften.

5 Risikovurdering og utredning av personkonsekvenser Vi er ikke forpliktet til å utrede personkonsekvenser gjennom egen konsekvensanalyse. Risikovurdering av personopplysninger skal imidlertid utføres minimum 1 gang årlig. Bruk skjemaet eget risikovurderingsskjema vedlagt denne prosedyren. Avviksbehandling og varsling av myndigheter og berørte Datatilsynet skal som hovedregel varsles om eventuelle brudd på personopplysningssikkerheten jfr. Art. 33 i Personvernforordningen. Der står det: «1. ved brudd på personopplysningssikkerheten skal den behandlingsansvarlige uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til vedkommende tilsynsmyndighet i samsvar med artikkel 55, med mindre det er lite trolig at bruddet vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom bruddet ikke meldes til tilsynsmyndigheten innen 72 timer, skal årsaken til forsinkelsene oppgis.» I artikkel 34 i Personvernforordningen står det blant annet: «Dersom det er sannsynlig at bruddet på personopplysningssikkerheten vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige uten ugrunnet opphold underrette den registrerte om bruddet». Se artikkel 34 for nærmere beskrivelse. Skriv alltid avvik hvis det har vært brudd som nevnt over. Referanser og vedlegg: Personvernloven Personvernforordningen Forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale. Skjemaet «oversiktsprotokoll». Skjemaet «Risikovurdering av personvernområdet». Samtykkeerklæring for behandling av personopplysninger for ansatte. Samtykkeerklæring for behandling av personopplysninger for kunder, leverandører og samarbeidspartnere. Personvernerklæring for ansatte. Personvernerklæring for kunder, leverandører og samarbeidspartnere. Registreringer: -Den til enhver tid gjeldende «Oversiktsprotokoll» lagres i mappen «Personvern» på fellesområdet.

6 -Den til enhver tid gjeldende risikovurdering lagres i mappen «Personvern» på fellesområdet. -Utfylte samtykkeerklæringer lagres i mappen «Personvern» på fellesområdet. -De til enhver tid gjeldende personvernerklæringer lagres i mappen «Personvern» på fellesområdet. For personvernerklæring for kunder, leverandører og samarbeidspartnere gjelder at denne også er tilgjengelig på selskapets nettside.