Policy for personvern

Like dokumenter
Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Databehandleravtale etter personopplysningsloven

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Nytt personvernregelverk på 1-2-3

GDPR Ny personvernforordning

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Personopplysninger og opplæring i kriminalomsorgen

Personvern - sjekkliste for databehandleravtale

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

OM PERSONVERN TRONDHEIM. Mai 2018

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Nye personvernregler

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

GDPR HVA ER VIKTIG FOR HR- DATA

Personvern og informasjonssikkerhet

Prosedyre for personvern

POWEL DATABEHANDLERAVTALE

NINAs personverndokument

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personvern i EPD-Norge

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Rusmiddeltesting i arbeidslivet et personvernperspektiv

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

GDPR - viktige prinsipper og rettigheter

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

GDPR for HR. En praktisk tilnærming til hva Sopra Steria har gjort for å møte de nye kravene

Databehandleravtale for NLF-medlemmer

Personvern i Amento AS

GDPR General Data Protection Regulativ

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Retningslinjer for databehandleravtaler

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Personvern i Otrera AS

Status personvern Hedmark og Oppland fylkeskommuner

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Databehandleravtale. Charlotte Lindberg Difi

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

FRA A TIL Å: HVA DU MÅ VITE OM GDPR

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

GDPR - Personvern

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Bilag 14 Databehandleravtale

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Personopplysningsloven: Formål og grunnleggende begreper. DR1010 Personvern i offentlig forvaltning Vår 2011 Seniorrådgiver Mona Naomi Lintvedt, Difi

Veileder for tillitsvalgt ved behandling av personopplysninger

Databehandleravtaler

VIRKE. 12. mars 2015

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

GDPR Hva, hvordan og når

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

De nasjonale e-helseløsningene i Direktoratet for e-helse og nye personvernregler. Maryke Silalahi Nuth Normkonferansen

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

Personopplysningsvern med ProFundo som databehandler

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

BEHANDLING AV PERSONOPPLYSNINGER

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Personverndokument NLT

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Personvern i Konstali Helsenor AS

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Nytt regelverk, nye muligheter og masse avviksmeldinger!

DATABEHANDLERAVTALE. 1. Bakgrunn

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Transkript:

2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge!

Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger... 4 4.1 Prinsipper... 4 4.2 Informasjonssikkerhet... 5 4.3 Internkontroll... 6 5. Roller og ansvar... 7 6. Rapportering... 8 Eier Complianceavdelingen Skrevet av Gjelder for SpareBank 1 Nord-Norge og datterselskaper i konsernet Filnavn Policy for personvern Tilgjengelighet Korsn Status Til godkjenning Versjon 0.10 Opprettet 05.04.2018 Sist endret Antall sider 6 2

1. Innledning SpareBank 1 Nord-Norge og dets datterselskaper (SNN) skal ha en policy for personvern for å ivareta at det til enhver tid gjeldende personvernregelverk er implementert og at det etterleves og kontrolleres. Med personvernregelverk menes bl.a. den til enhver tid gjeldende personopplysningslov med evt. tilhørende forskrifter, policyer, strategier og standarder fra SpareBank 1-alliansen, samt styringsdokumenter, interne retningslinjer og rutiner for SNN. Formålet med policyen er å sikre at enkeltpersoners personvern ikke blir krenket som følge av SNNs behandling av personopplysninger. 2. Definisjoner Personopplysning Behandling av personopplysninger Den registrerte Sensitive personopplysninger Behandlingsansvarlig Databehandler Personvernombud Opplysninger og vurderinger som kan knyttes til en enkeltperson Enhver operasjon eller rekke av operasjoner som omfatter personopplysninger, både automatisert og ikke automatiserte operasjoner, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning, endring eller utlevering av personopplysninger, eller en kombinasjon av disse En identifisert eller identifiserbar fysisk person som en personopplysning kan knyttes til Opplysninger om rase, etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, opplysninger om en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold, medlemskap i fagforeninger Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Formelt ligger ansvaret hos øverste ledelse i det aktuelle selskapet i konsernet, men i praksis vil det daglige operasjonelle ansvaret ligge hos systemeier i det aktuelle selskap. Den som behandler personopplysninger på vegne av den behandlingsansvarlige, f.eks. underleverandører som behandler personopplysninger. F.eks. vil banken være databehandler for datterselskapene når den håndterer HR-rollen på vegne av døtrene. En person i konsernet som har som oppgave å rapportere til ledelsen og holde kontakten med Datatilsynet vedrørende personvernrelaterte spørsmål, samt rådgi i personvernrettslige spørsmål og kontrollere etterlevelse. 3. Formål og rammeverk for personvernarbeid SNN skal ha effektive retningslinjer og rutiner for å sikre ivaretakelse av personvern og etterlevelse av personvernregelverket. Formålet med retningslinjene er å ivareta 3

privatpersoner og å sikre at SNN ikke bryter lovregler. Brudd på lovregler kan føre til betydelige økonomiske konsekvenser og omdømmerisiko for SNN. Formålet nås ved: aktiv og effektiv opplæring av nye medarbeidere (kompetanse) fokus på personvern i alle ledd i den daglige drift (policy) aktive tiltak for å opprettholde kompetanse på personvern, f.eks. gjennom tiltak som «Passopp» moduler og årlig gjennomgang av reglene på avdelingsmøter (kompetanse) oppdaterte og skriftlige, effektive retningslinjer og rutiner for personvern (retningslinjer/rutiner) å sikre ansatte enkel tilgang til gjeldende retningslinjer og rutiner i Korsn (organisasjonskultur) implementering av de til enhver tid gjeldende Sparebank 1-alliansens styrende dokumenter hva gjelder personvern (policy) årlig utarbeidelse av en risikoanalyse (kontroll og rapportering) gjennomføring av en effektiv internkontroll 4. Behandling av personopplysninger All behandling av personopplysninger i SNN skal skje i samsvar med gjeldende personvernregelverk, herunder SpareBank 1-alliansens regler for personvern slik de fremkommer i policyer, standarder, og rutiner. 4.1 Prinsipper Personvernopplysninger skal behandles i tråd med følgende grunnleggende prinsipper for behandling av personopplysninger: Lovlighet og rettferdighet: SNN skal kun behandle personopplysninger når det er tillatt etter loven, og hvor dette anses rettferdig i det konkrete tilfellet. I tillegg til at 4

behandlingen må forankres i et rettslig grunnlag, skal denne gjøres i respekt for de registrertes rettigheter og i samsvar med deres rimelige forventninger. Gjennomsiktighet: SNNs behandling av personopplysninger skal som utgangspunkt være åpen, hvilket bl.a. vil si at opplysninger skal registreres slik at den opplysningene gjelder skal kunne få innsyn i informasjon om seg selv, og behandlingen av denne. Formålsbegrensning: SNN skal kun samle inn personopplysninger for spesifikke, uttrykkelig angitte og berettigede formål. Ethvert formål skal identifiseres og beskrives presist, og alle formål skal være forklart på en måte som gjør at alle berørte har en entydige forståelse av hva personopplysningene skal brukes til. Personopplysninger skal ikke behandles for andre formål som er uforenlige med de opprinnelige formålene. F.eks. hvis personopplysninger samles inn i forbindelse med en lånesøknad, kan banken i utgangspunktet ikke bruke disse til noe annet enn å vurdere lånesøknaden. Dataminimering: SNNs behandling av personopplysninger skal være adekvat, relevant og begrenset til det som er nødvendig for det konkrete formål de ble samlet inn for. Dette betyr f.eks. at opplysningene skal slettes når vi ikke lenger har et saklig behov for disse. Riktighet: SNN skal ha korrekte og oppdaterte personopplysninger. Kunder, ansatte osv. kan be om at uriktige opplysninger korrigeres. Lagringsbegrensning: SNN skal bare lagre personopplysninger når konsernet har et grunnlag for det. Når de lagrede personopplysningene ikke lenger er nødvendige for formålet de ble innhentet for, skal de lagres anonymisert eller slettes. Integritet og fortrolighet: SNN skal behandle personopplysninger fortrolig og med integritet, slik at kunder, ansatte og andre har tillit til oss. Dette betyr at vi skal behandle disse med tilstrekkelig sikkerhet, herunder vern mot uautorisert eller ulovlig behandling og lignende. Ansvarlighet: SNN skal være en ansvarlig aktør og alle l i konsernet skal opptre i samsvar med reglene for behandling av personopplysninger. 4.2 Informasjonssikkerhet For å ivareta informasjonssikkerheten må SNN behandle alle personopplysninger konfidensielt, og sikre at tilgjengeligheten til opplysningene begrenses til de som har behov for informasjonen. Informasjonssikkerheten er ivaretatt når personopplysninger som behandles av SNN håndteres på en trygg og sikker måte. Dette ivaretas gjennom adgangskontroll i systemene, slik at det kun er de som har berettiget interesse som har innsynsrett. Informasjon blir oppbevart og lagret i henhold til systemrutiner. Fysisk oppbevaring av personopplysninger 5

skal kun skje i avlåste arkivskap. For øvrig skal utlevering, sletting og makulering av opplysninger skje i henhold til beskrevne rutiner. Det skal foreligge overordnede rutiner for oppbevaring, sletting og utlevering av informasjon, utarbeidet av leder for Compliance. Disse skal legge føringer for ivaretakelse av personvern ved utarbeidelse av nye rutiner for det enkelte system og prosess som behandler personopplysninger. 4.3 Internkontroll Sikkerhetstiltak skal dokumenteres. Det er et krav etter personvernlovgivningen at SNN til enhver tid vurderer hvorvidt sikkerhetstiltakene er tilfredsstillende i forhold til risiko. En effektiv internkontroll skal sikres gjennom å etablere og holde ved like egnede tekniske og organisatoriske tiltak. Internkontrollsystemet består av et fundament som omfatter styrings- og kontrollmiljø, og informasjon- og kommunikasjon (triangel). Internkontrollprosessen består av planlegging, risikovurdering, utforming, implementering, oppfølging og rapportering. Eventuelle brudd på gjeldende personvernregelverk skal straks meldes til personvernombudet. 6

5. Roller og ansvar Behandlingsansvarlig (virksomhetens leder) har det overordnede ansvaret for at grunnkravene for behandling av personopplysninger er oppfylt, at informasjonssikkerheten ivaretas tilstrekkelig og at effektive retningslinjer og rutiner hva gjelder personvern utarbeides, implementeres og etterleves. Videre har behandlingsansvarlig i konsernet (Konsernsjef) ansvar for at det utpekes et personvernombud med nødvendig kompetanse. Behandlingsansvarlig har også ansvaret for at styret mottar nødvendig informasjon for å påse at virksomheten etterlever kravene på personvernområdet. I SNN delegeres det daglige operasjonelle ansvaret for etterlevelse av personvernregelverket slik det fremgår av de til enhver tid gjeldende rutiner og stillingsinstrukser. Den operasjonelt ansvarlig vil normalt ha en systemeierrolle i konsernet. Systemeiere har et selvstendig internt ansvar for at behandling av personopplysninger i personopplysningsloven er oppfylt, og at kravene til informasjonssikkerhet etterleves. I tillegg har de andre oppgaver som følger av egen instruks. Selv om det daglige operasjonelle ansvaret delegeres internt i organisasjonen, er det alltid øverste ledelse som har behandlingsansvaret utad. Databehandleravtaler kan inngås i to forskjellige typer konstellasjoner; eksternt eller internt. For eksempel skal det foreligge en databehandleravtale med Visma når Regnskapshuset benytter seg av deres tjenester som behandler personopplysninger på deres vegne. Da er Visma databehandler og Regnskapshuset behandlingsansvarlig. Ved avtaler internt i konsernet får vi interne databehandleravtaler, for eksempel der bankens HR avdeling er databehandler overfor Regnskapshuset og behandler personopplysninger om de ansatte i Regnskapshuset, på vegne av Regnskapshuset som behandlingsansvarlig. Motsatt vil eksempelvis banken kunne være behandlingsansvarlig og Regnskapshuset databehandler dersom Regnskapshuset i fremtiden kjører lønn for bankens ansatte. Databehandlere for SNN behandler personopplysninger på vegne av det enkelte selskaper som er part i avtalen. SNN skal bare bruke databehandlere som har inngått en databehandleravtale. En databehandler kan ikke behandle personopplysninger på annen måte enn det som følger av avtalen (databehandleravtalen). Banken som databehandler behandler personopplysninger på vegne av sine datterselskaper (behandlingsansvarlige). Bankens datterselskaper skal bare bruke banken som databehandler når banken har inngått databehandleravtale. Banken som databehandler kan ikke behandle personopplysninger på annen måte enn det som følger av avtalen med bankens datterselskaper (databehandleravtalen). Personvernombudet skal involveres i alle spørsmål som gjelder vern av personopplysninger. I tillegg har personvernombudet andre oppgaver som følger av egen instruks. Complianceavdelingen skal sikre at endringer i personvernregelverket fanges opp, samt bistå med implementering i instrukser, rutiner og retningslinjer som gjelder personvern. 7

Complianceavdelingen skal involveres ved gjennomføring av risikovurdering og konsekvensanalyse når nye systemer og prosesser vurderes iverksatt, og skal godkjenne nye behandlinger av personopplysninger, samt vesentlige endringer i eksisterende behandling. Complianceavdelingen skal også sørge for at det blir utført jevnlige kontroller for etterlevelse av personvernregelverket. Ledere og medarbeidere har ansvar for å følge, og holde seg oppdatert på, gjeldende personvernregelverk og på SNNs retningslinjer og rutiner. Dette gjøres gjennom deltakelse i intern opplæring og ved selvstudie av retningslinjer, rutiner og annen informasjon som gjøres tilgjengelig i Korsn. 6. Rapportering Rapportering av personvernstatusen i SNN inngår i compliancerapport som årlig oversendes til konsernledelse og styret. I tillegg behandles utvalgte personvernrettslige temaer i kvartalsvise risikorapporter og i lederbekreftelsen. Datterselskaper skal årlig avgi rapport til complianceavdelingen på status i arbeidet med personvern, herunder resultatet av gjennomførte kontroller. 8

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding