BRUKERVEILEDNING TIL TRINN 1 - Datakartlegging

Like dokumenter
Forte Fondsforvaltning AS personvernerklæring

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Databehandleravtale for NLF-medlemmer

Personvern - sjekkliste for databehandleravtale

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Databehandleravtaler. Tommy Tranvik Unit

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvernerklæring for Eurofins norske selskaper

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Retningslinjer for databehandleravtaler

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Personvernerklæring. Museene i Akershus mia.no. Telefon: (+47) E-post: Postboks Strømmen. Org.nr:

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Kommunens Internkontroll

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

Personvern i EPD-Norge

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Personvern i Amento AS

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Personvern i Konstali Helsenor AS

Hvis vi gjør større endringer i vår personvernerklæring, vil vi gi deg beskjed, og ved behov be om ditt samtykke på nytt.

Personvernerklæring i NOAH AS

GDPR Prosjektgjennomføring Sjekkliste

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Personvernforordningen

Databehandleravtaler

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Selskapet er behandlingsansvarlig for virksomhetens behandling av personopplysninger.

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

PERSONVERNERKLÆRING FOR KUNDERS OG LEVERANDØRERS KONTAKTPERSONER

Personvern i Otrera AS

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Databehandleravtale. Charlotte Lindberg Difi

Personvern i Falck Helse

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Personverndokument NLT

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Personvernerklæring for Clemco Norge AS

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

BEHANDLING AV PERSONOPPLYSNINGER

Personvernerklæring for Skagerak Kraft AS

Endelig kontrollrapport

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Du kan, om nødvendig, få ytterligere opplysninger når du henvender deg vedrørende et spesifikt produkt, eller en spesifikk tjeneste.

Bilag 14 Databehandleravtale

v. Fylkesarkivar i Sogn og Fjordane, Arnt Ola Fidjestøl

PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS

Informasjon om Danica Pensjons behandling av personopplysninger

Personvernforordningen

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Endelig kontrollrapport

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Personvernerklæring for Flyt Høgskolen i Molde

Personvern i Falck Helse

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

PERSONVERNERKLÆRING. 1. Hvilke personopplysninger behandler NFKR?

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

GDPR HVA ER VIKTIG FOR HR- DATA

1. Hvilke personopplysninger behandler YMI Norge?

Prosedyre for personvern

Status personvern Hedmark og Oppland fylkeskommuner

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Har du spørsmål om hvordan Hausta ivaretar ditt personvern, kan du kontakte oss på

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Behandlingsansvarlig for personopplysningene vi behandler er advokat Rune Selbo. Kontaktinformasjonen til oss er:

DATABEHANDLERAVTALE vedrørende nettjenesten

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Endelig kontrollrapport

Retningslinjer for personvern og markedsføring

Personvernerklæring. Hvilke regler gjelder for håndtering av personopplysninger?

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Informasjon interesseorganisasjoner

PERSONVERNERKLÆRING. Innledning

Personvern i Falck Helse

Transkript:

BRUKERVEILEDNING TIL TRINN 1 - Datakartlegging Klarlegging av overordnet ansvar Før kartleggingen av data går i gang, bør det avklares hvem hvilken posisjon - som har det overordnete ansvaret i virksomheten for at personopplysninger blir håndtert i henhold til lovgivningen. Det er et krav at en bestemt posisjon i virksomheten har ansvaret for håndteringen av personopplysninger. Normalt er dette øverste administrative leder, men det kan gjerne være fagpersoner eller mellomledere som i praksis er mer involvert i håndteringen av personopplysninger. Virksomheten står fritt til selv å bestemme hvilken posisjon som skal ha rollen. Tips! Den som har det overordnete ansvaret for personvern i virksomheten bør være aktivt involvert i arbeidet med dette personvernverktøyet. Ofte er det også hensiktsmessig at eventuelle andre personer som jobber med HR, IT og markedsføring i virksomheten er med i prosessen. Kommentarer til utfylling av skjema for datakartlegging Virksomheten må ha oversikt over hvilke personopplysninger virksomheten håndterer, på hvilken måte opplysningene brukes og til hvilke formål. Skjemaet i trinn 1 skal kartlegge dette. Spørsmålene er utarbeidet for at virksomheten skal få nødvendig oversikt. De gir også grunnlag for å avgjøre om virksomheten overholder de lovpålagte kravene for håndtering av personopplysninger. Dette vil bli nærmere vurdert i forbindelse med trinn 2 Det fylles ut ett datakartleggingsskjema for hvert enkelt system der personopplysninger håndteres. For eksempel fylles det ut ett skjema for personalregisteret, ett for lønnssystemet, ett for epostsystemet, ett for filbehandlingssystem, ett for virksomhetens kundedatabase, ett for hvert av virksomhetens ulike manuelle arkiver etc. Har virksomheten tre ulike systemer, er skjemaet lagt opp slik at det totalt skal fylles ut tre skjemaer. Dersom virksomheten ikke har noe svar på ett eller flere av spørsmålene i skjemaet, kan utfyllingsfeltet stå tomt. Da blir dette et oppfølgingspunkt i forbindelse med trinn 2) Nedenfor er det tatt inn kommentarer fortløpende til de ulike spørsmålene i skjema for datakartlegging.

Hvem i organisasjonen eier /har ansvar for systemet? Fylles ut, hvis aktuelt. Hvem gjelder opplysningene som er registrert i systemet? Fyll inn hovedkategorier, som vist i eksempelet. For eksempel: Ansatte, tidligere ansatte, familie/nærstående, kunder, potensielle kunder, forretningskontakter eller andre. Hva slags personopplysninger finnes i systemet? Inneholder systemet sensitive eller konfidensielle opplysninger? De ulike personopplysningene som finnes beskrives overordnet. Spesielt sensitive/konfidensielle opplysninger beskrives mer detaljert. Hvor er opplysningene hentet fra/hvordan er de samlet inn? Angi om ansatte/andre legger inn de ulike opplysningene selv eller om opplysningene hentes fra tredjeparter, og i tilfelle hvem/hvor. Hva er formålet med bruken av personopplysningene? Beskriv overordnet. Formålet med personalregisteret er for eksempel personaladministrasjon. Er personene som opplysningene gjelder informert om bruken av personopplysningene? Fyll ut med ja eller nei. Hvis nei, blir dette et punkt for oppfølging i forbindelse med trinn 2) Finnes rutiner for retting av opplysninger der det er behov for det? Beskriv kort eventuelle eksisterende rutiner. Hvem er ansvarlig for at opplysningene er riktige og oppdaterte? Utleveres personopplysningene til tredjeparter (utenfor virksomheten)? Beskriv kort eventuell utlevering, samt formål. Hvis ja: Hva er formålet med utleveringen?

Gis andre virksomheter tilgang til personopplysninger virksomheten har i forbindelse med oppgaver som skal utføres? Hvis ja: Er det inngått avtale/finnes rutiner for inngåelse av avtale om dette (databehandleravtale)? Beskriv kort tilfeller der andre virksomheter gis tilgang til personopplysninger. Dette kan for eksempel være, hvis virksomheten har satt ut drifting av lønnssystemet til en tredjepart. Tredjeparter som håndterer personopplysninger på vegne av virksomheten, for eksempel leverandør av lønnssystem, er såkalt databehandler. Det er et krav at skriftlig databehandleravtale inngås mellom virksomheten og databehandleren. Fyll ut om slik avtale er inngått. Hvis slik avtale ikke er inngått, blir dette et punkt for oppfølging i forbindelse med trinn 2) Sendes opplysninger ut av EU/EØS? Fyll ut ja eller nei. Hvis ja, blir dette et punkt for oppfølging i forbindelse med trinn 2) Er det gjort vurderinger av risiko knyttet til håndtering og bruk av personopplysningene (risikovurdering)? Fyll ut ja eller nei. Hvis nei, blir dette et punkt for oppfølging i forbindelse med trinn 2) Hvilke tiltak er etablert for å sikre personopplysningene? Er tiltakene dokumentert? Beskriv eventuelle tiltak kort. Hvis ikke noen tiltak er etablert og/eller i forbindelse med trinn 2) Finnes rutiner for håndtering av avvik, dvs. tilfeller der personopplysninger kommer på avveie, misbrukes eller lignende? Hvilke rutiner er etablert? Beskriv eventuelle rutiner kort. Hvis ikke noen rutiner er etablert og/eller i forbindelse med trinn 2)

Hvor lenge lagres opplysningene? Hva er kriteriene for å slette opplysninger? Hvem bestemmer om/når opplysninger skal slettes? Beskriv kort. Hvis ikke sletterutiner finnes, blir dette et punkt for oppfølging i forbindelse med trinn 2) Hvordan foregår sletting? Er det sendt melding til Datatilsynet om bruken av personopplysninger? Alternativt: er det søkt om/gitt konsesjon? - Hvis nei: Er dette vurdert og hvorfor er melding/konsesjon evt ikke nødvendig? - Hvis ja: Er meldingen/konsesjonen oppdatert? Hvem er ansvarlig for at meldinger/konsesjoner holdes oppdatert, og hvordan gjøres dette? Beskriv kort. - Hvis dette ikke er vurdert, blir dette et punkt for oppfølging i forbindelse med trinn 2) - Hvis dette er gjort, men ikke er oppdatert, blir dette et punkt for oppfølging i forbindelse med trinn 2) Er det etablert rutiner for å håndtere henvendelser fra personer som Virksomheten har opplysninger om? Hva er rutinene for håndtering av slike henvendelser, inkludert ved: Beskriv eventuelle rutiner kort. Hvis ingen rutiner er etablert og/eller i forbindelse med trinn 2) - Krav om tilgang til opplysninger - Krav om informasjon om bruk og håndtering av opplysninger - Krav om retting og/eller sletting av opplysninger

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding