Datasikkerhetshåndbok for Saferoad Group

Transkript

1 Datasikkerhetshåndbok for Saferoad Group

2

3 Innholdsfortegnelse 1. Introduksjon til datasikkerhet 5 2. Sammendrag 7 3. Datainnsamling 8 4. Sensitive personopplysninger og spesielle kategorier med personopplysninger Merk Tilgangsforespørsler Datakvalitet, konfidensialitet og sikkerhet Oppbevaring Utlevering Dataoverføring Markedsføringstiltak og nettsteder Varsel om databehandlingsaktiviteter Straffer Huskeregler Rapportering Opplæring Internkontroll Ansvarsfordeling for personopplysninger hos Saferoad Kontaktinformasjon for ansvarshavende Beslektet informasjon 24

4 4 Begrepet datasikkerhet viser til lover og forskrifter land fastsetter for å sikre at personopplysninger samles inn, gjøres tilgjengelig og behandles på en rettferdig og lovlig måte.

5 1. Introduksjon til datasikkerhet Begrepet datasikkerhet viser til lover og forskrifter land fastsetter for å sikre at personopplysninger (eller informasjon knyttet til en fysisk person) samles inn, gjøres tilgjengelig og behandles på en rettferdig og lovlig måte. Lover om datasikkerhet forbyr behandlingen av enkelte kategorier med personopplysninger annet enn under spesielle omstendigheter, og fastsetter forutsetninger som må oppfylles for at behandlingen av personopplysninger skal være lovlig. Saferoad Group (heretter omtalt som «Saferoad») behandler personopplysninger daglig. Enkeltpersoners personvern og sikkerheten til personopplysninger er viktig for Saferoad. Derfor har Saferoad utarbeidet denne håndboken for å sikre at behandlingen av personopplysninger i Saferoad er i samsvar med gjeldende lovgivning. Hensikten med denne håndboken er å gi Saferoads ansatte en grunnleggende forståelse av situasjoner som vanligvis omfattes av datasikkerhetslover, og dermed gjøre det mulig for Saferoads ansatte å etterleve disse lovene. Denne håndboken gjelder alle i Saferoad alle ansatte, ledere, toppledelsen og medlemmer av styret (de «ansatte»). I tillegg til generelle retningslinjer, må detaljerte krav i lokale datasikkerhetslover følges av ansatte som er ansvarlige for aktiviteter som medfører behandling av personopplysninger. 5

6 6 Datasikkerhetslover angir begrensninger for kategoriene med personopplysninger som kan samles inn, under hvilke omstendigheter slike data kan samles inn, og hvor lenge data kan oppbevares.

7 2. Sammendrag Datasikkerhetslover angir begrensninger for kategoriene med personopplysninger som kan samles inn, under hvilke omstendigheter slike data kan samles inn, og hvor lenge data kan oppbevares. Forslag til innsamling (for eksempel innsamling av personopplysningene til ansatte eller kunder, kjøp av kundedata for markedsføringsformål, og innsamling av personopplysninger gjennom nettsteder) må analyseres nøye for å sikre at de ikke fører til brudd på datasikkerhetslovgivning. Behovet for forholdsmessighet og åpenhet er viktig, og enkeltpersoner må informeres om Saferoads behandling av deres personopplysninger. Personopplysninger kan kun utleveres til tredjeparter når et berettiget grunnlag for å gjøre det er etablert, og kun under forutsetning av at passende tiltak er iverksatt, for eksempel en databehandlingsavtale. Overføring av personopplysninger til foretak utenfor EØS-området eller tilgang til personopplysninger fra foretak utenfor EØS-området, skal kun skje når det eksporterende foretaket har fått forsikringer om at personopplysningene vil få tilstrekkelig beskyttelse fra det importerende foretaket. De fleste tilfeller av overføring av personopplysninger til foretak utenfor EØS vil kreve konsesjon. Brudd kan føre til krav om erstatning, bøter eller fengsel, i tillegg til administrative sanksjoner som ilegges av tilsynsmyndigheten 7

8 3. Datainnsamling «Personopplysninger» er alle opplysninger som, direkte eller indirekte, er knyttet til en identifisert eller identifiserbar fysisk person. Personopplysninger kan kun samles inn for angitte, eksplisitte og lovlige formål, og kan ikke viderebehandles på en måte som er uforenlig med slike formål. Med mindre et lovlig formål kan etableres i henhold til nasjonal lovgivning, kan personopplysninger ikke samles inn. «Behandling av personopplysninger» er enhver handling eller sett med handlinger som utføres på personopplysninger, enten automatisk eller ikke, inkludert, men ikke begrenset til, innsamling, organisering, lagring, tilpassing, utlevering, blokkering eller sletting. Det er kun lovlig å behandle personopplysninger dersom: personen som er knyttet til personopplysningene har gitt sitt samtykke; behandlingen er nødvendig for gjennomføringen av en kontrakt der personen er part, eller for å iverksette tiltak på anmodning fra personen før en kontrakt inngås; behandlingen er nødvendig for å etterkomme en juridisk forpliktelse Saferoad er underlagt; behandlingen er nødvendig for å beskytte personens interesser; behandlingen er nødvendig for gjennomføring av en oppgave i offentlighetens interesse eller i utøvelsen av offentlig myndighet pålagt Saferoad, eller i en tredjepart som opplysningene utleveres til; eller behandlingen er nødvendig for formålene til en berettiget interesse som forfølges av Saferoad eller av tredjeparten eller tredjepartene opplysningene utleveres til, unntatt der slik interesse overstyres av personverninteressene til personen personopplysningene er knyttet til. 8

9 Der det kreves av gjeldende lovgivning eller på annen måte anses rimelig praktisk mulig og hensiktsmessig, skal innsamling av personopplysninger skje med samtykke fra personen det gjelder. Samtykke fra personer hvis personopplysninger behandles skal være utvetydig, eksplisitt og mulig å trekke tilbake av personen det gjelder. Ved innsamling av personopplysninger må behovet for forholdsmessighet og åpenhet vurderes. Følgelig må personopplysningene som samles inn være tilstrekkelige, relevante og ikke overdrevne i forhold til formålet opplysningene er samlet inn for og/eller viderebehandlet. 9

10 Sensitive personopplysninger må ikke samles inn med mindre slik innsamling anses som nødvendig og lovlig i henhold til gjeldende regler. 10

11 4. Sensitive personopplysninger og spesielle kategorier med personopplysninger «Sensitive personopplysninger» er personopplysninger som viser rase eller etnisk opprinnelse, politiske meninger, religiøs eller filosofisk overbevisning, fagforeningsmedlemskap, helse eller seksualliv. Sensitive personopplysninger må ikke samles inn med mindre slik innsamling anses som nødvendig og lovlig i henhold til gjeldende lovgivning. Andre kategorier med personopplysninger som ikke utgjør sensitive personopplysninger, men som likevel gis særlig beskyttelse under gjeldende datasikkerhetslovgivning, bør behandles med hensyn til behovet for spesiell beskyttelse. Eksempler på slike spesielle kategorier med personopplysninger inkluderer, men er ikke begrenset til: data knyttet til lovbrudd, straffedommer eller sikkerhetstiltak som kun kan utføres under kontroll av offentlig myndighet; kredittinformasjon; barns personopplysninger; og personnummer. 11

12 12 Der det kreves av gjeldende lovgivning eller der det er rimelig praktisk mulig og hensiktsmessig, skal personer varsles om behandling av deres personopplysninger.

13 5. Merk Der det kreves av gjeldende lovgivning eller der det er rimelig praktisk mulig og hensiktsmessig, skal personer varsles om behandling av deres personopplysninger. Slikt varsel må som et minimum inneholde følgende informasjon: navnet på den juridiske enheten som alene eller sammen med andre avgjør formålet med og midlene for behandlingen av personopplysningene (kalles ofte ansvarlig virksomhet eller databehandlingsansvarlig eller data controller); formålet med den tenkte behandlingen av personopplysningene; enhver ytterligere informasjon som er nødvendig for at personene kan utøve sine rettigheter i forbindelse med behandlingen, for eksempel typene med personopplysninger, mottakerne eller kategorier av mottakere av opplysningene, og arten av eventuelle tilgangsrettigheter under gjeldende lov, som beskrevet i Del Tilgangsforespørsler Hvis en person fremsetter en forespørsel om å motta informasjon vedrørende Saferoads behandling av personopplysninger, motsetter seg behandling av personopplysninger, eller vil ha feil i slike personopplysninger rettet, skal Saferoad svare på den måten som følger av gjeldende lov eller som på annen måte anses som rimelig praktisk mulig og hensiktsmessig, i samråd med konserndirektøren ansvarlig for risikostyring. 13

14 14 Ansatte som har tilgang til personopplysninger kan kun behandle opplysningene i samsvar med formålet for behandlingen, og kan ikke dele, distribuere eller på annen måte utlevere personopplysningene til en tredjepart med mindre Saferoad pålegger vedkommende å gjøre det.

15 7. Datakvalitet, konfidensialitet og sikkerhet Behandlede personopplysninger må være nøyaktige, og i den grad det er nødvendig, oppdaterte. Personopplysninger som er unøyaktige eller ufullstendige bør slettes eller korrigeres. Ansatte som har tilgang til personopplysninger kan kun behandle opplysningene i samsvar med formålet for behandlingen, og kan ikke dele, distribuere eller på annen måte utlevere personopplysningene til en tredjepart med mindre Saferoad pålegger vedkommende å gjøre det. Hensiktsmessige tekniske og organisatoriske tiltak må iverksettes for å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse, utilsiktet tap eller endring, uautorisert utlevering eller tilgang, og enhver annen ulovlig form for behandling. Omfanget av slike tiltak bør være hensiktsmessig i forhold til risikoen ved behandlingen og arten av personopplysningene. Sikkerhetsbrudd som truer konfidensialiteten eller sikkerheten til personopplysninger som behandles av Saferoad, må umiddelbart rapporteres til en overordnet og til konserndirektøren ansvarlig for risikostyring. 8. Oppbevaring Personopplysninger skal kun oppbevares så lenge det er nødvendig, med hensyn til formålet de ble samlet inn for og gjeldende lovbestemte oppbevaringsperioder. Når oppbevaringsperioden for personopplysninger utløper, skal de slettes permanent på en sikker måte. 15

16 16 Personopplysninger kan kun utleveres til tredjeparter, for eksempel Saferoads underleverandører, partnere og filialer, når det finnes et berettiget grunnlag for å gjøre det.

17 9. Utlevering Personopplysninger kan kun utleveres til tredjeparter, for eksempel Saferoads underleverandører, partnere og filialer, når det finnes et berettiget grunnlag for å gjøre det. Ved utlevering av personopplysninger til en tredjepart, skal en skriftlig redegjørelse utarbeides om hvorvidt tredjeparten vurderes som behandlingsansvarlig eller databehandler av personopplysningene som utleveres. Begrepet «databehandler» viser til en juridisk enhet som behandler personopplysninger på vegne av behandlingsansvarlig. Begrepet «behandlingsansvarlig» viser til en juridisk enhet som alene eller sammen med andre avgjør formålene og midlene for behandling av personopplysninger. Der det kreves av gjeldende lov, må en databehandlingsavtale inngås med hver databehandler, for eksempel i forbindelser med bruken av skytjenester eller utsetting av IT-tjenester. Slike avtaler må kreve at databehandleren beskytter personopplysningene fra videreformidling og kun behandler personopplysninger i tråd med Saferoads instruksjoner. En databehandlingsavtale skal også kreve at databehandleren iverksetter hensiktsmessige sikkerhetstiltak for å beskytte personopplysningene og bevare deres konfidensialitet, og inkludere rutiner for varsling om brudd på datasikkerheten. 17

18 10. Dataoverføring Overføring av personopplysninger til foretak utenfor EØS-området eller tilgang til personopplysninger fra foretak utenfor EØS-området, er kun tillatt når det eksporterende foretaket har fått forsikringer om at personopplysningene vil få tilstrekkelig beskyttelse fra det importerende foretaket. Dette oppnås ved bruk av en av Saferoads standard dataoverføringsavtaler, som fastsatt i Vedlegg 1 (for overføring til en ikke-eøs-behandlingsansvarlig) eller Vedlegg 2 (for overføring til en ikke-eøs-databehandler) til denne håndboken. Saferoads standard dataoverføringsavtaler er basert på maler vedtatt av EU-kommisjonen, og må kompletteres med detaljer om den gjeldende overføringen. 11. Markedsføringstiltak og nettsteder Bruk av personopplysninger til markedsføringstiltak, for eksempel direkte reklamekampanjer, markedsføring gjennom sosiale medier eller kjøp av personopplysninger for markedsføringsformål, må oppfylle kravene i gjeldende lovgivning. Med mindre et berettiget formål som tillater innsamling og bruk av personopplysninger for markedsføringsformål kan etableres, kan personopplysninger ikke brukes til slike formål. Enkeltpersoner har rett til å varsle at de motsetter seg behandlingen av deres personopplysninger for formål som gjelder direkte reklame. Hvis en person gir slikt varsel, skal det tas til følge. Alle Saferoads eksterne nettsteder må inkludere en personvernerklæring, inkludert rutiner for å godta informasjonskapsler, som oppfyller kravene i gjeldende lovgivning. 18

19 12. Varsel om databehandlingsaktiviteter Alle selskaper i Saferoad plikter å melde sine databehandlingsaktiviteter til gjeldende tilsynsmyndighet, med mindre et unntak fra meldeplikten gjelder. Hvis databehandingsaktivitetene endres, bør en vurdering gjøres med hensyn til om meldinger til gjeldende tilsynsmyndighet skal oppdateres eller endres. 13. Straffer Straffer for brudd på personvernlovgivningen inkluderer krav om erstatning fra personer hvis personopplysninger er behandlet ulovlig, bøter og fengsel. I tillegg kan tilsynsmyndigheten forby enkeltselskaper i Saferoad fra å ta del i visse behandlingsrutiner og pålegge andre administrative sanksjoner. EU vurderer forslag for økte straffer for brudd på datasikkerhetslovgivningen, for eksempel administrative straffer på opptil 5 % av behandlingsansvarliges årlige globale omsetning eller 100 millioner euro. Se gjerne nærmere ny-forordning_web_1.pdf 19

20 8. Huskeregler GJØR: Utvis særlig aktsomhet ved innsamling og behandling av sensitive personopplysninger og andre spesielle kategorier av personopplysninger. Gi informasjon til enkeltpersoner og svar på tilgangsforespørsler i den utstrekning som følger av gjeldende lov, eller som på annen måte anses som rimelig praktisk mulig og hensiktsmessig, i samråd med konserndirektøren ansvarlig for risikostyring. Bevar konfidensialiteten til personopplysninger, og implementer et sikkerhetsnivå som står i forhold til risikoen ved behandlingen og arten av personopplysningene. 20

21 IKKE GJØR: Samle inn personopplysninger uten å ha etablert formålet med behandlingen og tidsperioden der formålet er relevant. Samle inn personopplysninger på «kjekt å ha»- grunnlag. Utlever eller overfør personopplysninger, selv til Saferoads filialer, uten å iverksette passende tiltak, for eksempel en databehandlingsavtale. 21

22 15. Rapportering Ansatte som mistenker at et brudd på disse retningslinjene eller gjeldende datasikkerhetslover har forekommet hos Saferoad, må kontakte konserndirektøren ansvarlig for risikostyring. 16. Opplæring Saferoad gir passende opplæring til alle ansatte som er i samsvar med Saferoads risikoprofil og i tråd med den ansattes ansvarsområde. 17. Internkontroll Konserndirektøren ansvarlig for risikostyring er ansvarlig for å gjennomføre objektive, grundige revisjoner av konsernprogrammet for compliance, inkludert datasikkerhet, med jevne mellomrom i lys av Saferoads spesifikke virksomhetsområder, geografiske plasseringer og juridiske forpliktelser. 18. Ansvarsfordeling for personopplysninger hos Saferoad Hvert konsernselskap i Saferoad er behandlingsansvarlig med hensyn til behandlingen av personopplysninger som skjer i det konsernselskapet. Som sådan er det relevante konsernselskapet ansvarlig for å behandle personopplysningene i samsvar med denne håndboken og gjeldende datasikkerhetslovgivning. Alle konsernselskaper er videre ansvarlige for holde et oppdatert, internt register i forbindelse med behandlingen av personopplysninger som konsernselskapet er ansvarlig for. 22

23 19. Kontaktinformasjon for ansvarshavende Konsernsjefen er ansvarlig for den overordnede oversikten over og implementeringen av konsernprogrammet for compliance. Konserndirektøren ansvarlig for risikostyring er ansvarlig for Saferoads daglige etterlevelse av denne håndboken og datasikkerhetslovgivning. 20. Beslektet informasjon Denne håndboken bør leses i sammenheng med følgende dokumenter: Konsernprogrammet for compliance Etiske retningslinjer 23

24 2016 All rights reserved Saferoad AS Enebakkveien Oslo Norway T mail@saferoad.com saferoad.com