Datasikkerhetshåndbok for Saferoad Group

Like dokumenter
Konsernprogram for Compliance for Saferoad Group

POWEL DATABEHANDLERAVTALE

Antikorrupsjonshåndbok for Saferoad Group

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Policy for personvern

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

Håndbok for handelssanksjoner for Saferoad Group

Databehandleravtale for Visma Avendo Webtime

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvernerklæring Meldal Regnskapskontor SA

Johnson Controls bindende konsernregler for personvern

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Kunden er behandlingsansvarlig Unifaun er databehandler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

GDPR Hva, hvordan og når

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

GDPR - viktige prinsipper og rettigheter

«Vi vil sikre dine opplysninger og gi deg full åpenhet om og kontroll over opplysningene»

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Når det brukes "vi", "våre" eller "oss" nedenfor, menes det Norsk Byggtjeneste AS.

3 Omfattede typer av personopplysninger og kategorier av registrerte

KGH vil behandle både personopplysninger som du har oppgitt til KGH og personopplysninger som KGH innhenter fra deg.

Skytjenester. Forside og Databehandleravtale. Telenor Norge

GDPR - Personvern

PERSONVERNERKLÆRING FOR KUNDER, LEVERANDØRER OG PARTNERE HOS PROTRUCK AS

Personvernerklæring for Clockwork i henhold til EU s General Data Protection Regulation (GDPR)

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Personvernerklæring for Fibo

Personvernerklæring for jobbsøkere til Gunnar Holth Grusforretning AS

GDPR General Data Protection Regulativ

Personvern i skyen Medlemsmøte i Cloud Security Alliance

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

PERSONVERNERKLÆRING GRUPPE- OG KONFERANSEREISER

PERSONVERNERKLÆRING Behandling av personopplysninger i Øst-Revisjon DA

Personvernerklæring for Webstep AS

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale etter personopplysningsloven

BEHANDLING AV DINE PERSONOPPLYSNINGER

Nytt personvernregelverk på 1-2-3

Personvernpolicy for forbrukerkunder

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Personvernerklæring for EVUweb - søkere

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Bilag 14 Databehandleravtale

Personvernerklæring for Eurofins norske selskaper

3. Databehandleravtale

PERSONVERNERKLÆRING: Lactalis Scandinavia

GDPR - PERSONVERN. Advokat Sunniva Berntsen

4 Innsamling, behandling og bruk av personopplysninger

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Velkommen til BoKloks nettsted. Disse vilkårene gjelder for nettstedet, og vi ber deg om å lese dem grundig.

PERSONVERNERKLÆRING Behandling av personopplysninger i Lundes Revisjonskontor I DA

Databehandleravtale for NLF-medlemmer

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Prosedyre for personvern

PERSONVERNERKLÆRING FORUM SECURITIES AS

Vi tar godt vare på personopplysningene dine knyttet til våre eventer.personvern for Mestring & Event AS

Personvern i Konstali Helsenor AS

GDPR HVA ER VIKTIG FOR HR- DATA

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

EasyParks Personvernerklæring

Transkript:

Datasikkerhetshåndbok for Saferoad Group

Innholdsfortegnelse 1. Introduksjon til datasikkerhet 5 2. Sammendrag 7 3. Datainnsamling 8 4. Sensitive personopplysninger og spesielle kategorier med personopplysninger 12 5. Merk 14 6. Tilgangsforespørsler 14 7. Datakvalitet, konfidensialitet og sikkerhet 16 8. Oppbevaring 16 9. Utlevering 18 10. Dataoverføring 19 11. Markedsføringstiltak og nettsteder 19 12. Varsel om databehandlingsaktiviteter 20 13. Straffer 20 14. Huskeregler 21 15. Rapportering 23 16. Opplæring 23 17. Internkontroll 23 18. Ansvarsfordeling for personopplysninger hos Saferoad 23 19. Kontaktinformasjon for ansvarshavende 24 20. Beslektet informasjon 24

4 Begrepet datasikkerhet viser til lover og forskrifter land fastsetter for å sikre at personopplysninger samles inn, gjøres tilgjengelig og behandles på en rettferdig og lovlig måte.

1. Introduksjon til datasikkerhet Begrepet datasikkerhet viser til lover og forskrifter land fastsetter for å sikre at personopplysninger (eller informasjon knyttet til en fysisk person) samles inn, gjøres tilgjengelig og behandles på en rettferdig og lovlig måte. Lover om datasikkerhet forbyr behandlingen av enkelte kategorier med personopplysninger annet enn under spesielle omstendigheter, og fastsetter forutsetninger som må oppfylles for at behandlingen av personopplysninger skal være lovlig. Saferoad Group (heretter omtalt som «Saferoad») behandler personopplysninger daglig. Enkeltpersoners personvern og sikkerheten til personopplysninger er viktig for Saferoad. Derfor har Saferoad utarbeidet denne håndboken for å sikre at behandlingen av personopplysninger i Saferoad er i samsvar med gjeldende lovgivning. Hensikten med denne håndboken er å gi Saferoads ansatte en grunnleggende forståelse av situasjoner som vanligvis omfattes av datasikkerhetslover, og dermed gjøre det mulig for Saferoads ansatte å etterleve disse lovene. Denne håndboken gjelder alle i Saferoad alle ansatte, ledere, toppledelsen og medlemmer av styret (de «ansatte»). I tillegg til generelle retningslinjer, må detaljerte krav i lokale datasikkerhetslover følges av ansatte som er ansvarlige for aktiviteter som medfører behandling av personopplysninger. 5

6 Datasikkerhetslover angir begrensninger for kategoriene med personopplysninger som kan samles inn, under hvilke omstendigheter slike data kan samles inn, og hvor lenge data kan oppbevares.

2. Sammendrag Datasikkerhetslover angir begrensninger for kategoriene med personopplysninger som kan samles inn, under hvilke omstendigheter slike data kan samles inn, og hvor lenge data kan oppbevares. Forslag til innsamling (for eksempel innsamling av personopplysningene til ansatte eller kunder, kjøp av kundedata for markedsføringsformål, og innsamling av personopplysninger gjennom nettsteder) må analyseres nøye for å sikre at de ikke fører til brudd på datasikkerhetslovgivning. Behovet for forholdsmessighet og åpenhet er viktig, og enkeltpersoner må informeres om Saferoads behandling av deres personopplysninger. Personopplysninger kan kun utleveres til tredjeparter når et berettiget grunnlag for å gjøre det er etablert, og kun under forutsetning av at passende tiltak er iverksatt, for eksempel en databehandlingsavtale. Overføring av personopplysninger til foretak utenfor EØS-området eller tilgang til personopplysninger fra foretak utenfor EØS-området, skal kun skje når det eksporterende foretaket har fått forsikringer om at personopplysningene vil få tilstrekkelig beskyttelse fra det importerende foretaket. De fleste tilfeller av overføring av personopplysninger til foretak utenfor EØS vil kreve konsesjon. Brudd kan føre til krav om erstatning, bøter eller fengsel, i tillegg til administrative sanksjoner som ilegges av tilsynsmyndigheten 7

3. Datainnsamling «Personopplysninger» er alle opplysninger som, direkte eller indirekte, er knyttet til en identifisert eller identifiserbar fysisk person. Personopplysninger kan kun samles inn for angitte, eksplisitte og lovlige formål, og kan ikke viderebehandles på en måte som er uforenlig med slike formål. Med mindre et lovlig formål kan etableres i henhold til nasjonal lovgivning, kan personopplysninger ikke samles inn. «Behandling av personopplysninger» er enhver handling eller sett med handlinger som utføres på personopplysninger, enten automatisk eller ikke, inkludert, men ikke begrenset til, innsamling, organisering, lagring, tilpassing, utlevering, blokkering eller sletting. Det er kun lovlig å behandle personopplysninger dersom: personen som er knyttet til personopplysningene har gitt sitt samtykke; behandlingen er nødvendig for gjennomføringen av en kontrakt der personen er part, eller for å iverksette tiltak på anmodning fra personen før en kontrakt inngås; behandlingen er nødvendig for å etterkomme en juridisk forpliktelse Saferoad er underlagt; behandlingen er nødvendig for å beskytte personens interesser; behandlingen er nødvendig for gjennomføring av en oppgave i offentlighetens interesse eller i utøvelsen av offentlig myndighet pålagt Saferoad, eller i en tredjepart som opplysningene utleveres til; eller behandlingen er nødvendig for formålene til en berettiget interesse som forfølges av Saferoad eller av tredjeparten eller tredjepartene opplysningene utleveres til, unntatt der slik interesse overstyres av personverninteressene til personen personopplysningene er knyttet til. 8

Der det kreves av gjeldende lovgivning eller på annen måte anses rimelig praktisk mulig og hensiktsmessig, skal innsamling av personopplysninger skje med samtykke fra personen det gjelder. Samtykke fra personer hvis personopplysninger behandles skal være utvetydig, eksplisitt og mulig å trekke tilbake av personen det gjelder. Ved innsamling av personopplysninger må behovet for forholdsmessighet og åpenhet vurderes. Følgelig må personopplysningene som samles inn være tilstrekkelige, relevante og ikke overdrevne i forhold til formålet opplysningene er samlet inn for og/eller viderebehandlet. 9

Sensitive personopplysninger må ikke samles inn med mindre slik innsamling anses som nødvendig og lovlig i henhold til gjeldende regler. 10

4. Sensitive personopplysninger og spesielle kategorier med personopplysninger «Sensitive personopplysninger» er personopplysninger som viser rase eller etnisk opprinnelse, politiske meninger, religiøs eller filosofisk overbevisning, fagforeningsmedlemskap, helse eller seksualliv. Sensitive personopplysninger må ikke samles inn med mindre slik innsamling anses som nødvendig og lovlig i henhold til gjeldende lovgivning. Andre kategorier med personopplysninger som ikke utgjør sensitive personopplysninger, men som likevel gis særlig beskyttelse under gjeldende datasikkerhetslovgivning, bør behandles med hensyn til behovet for spesiell beskyttelse. Eksempler på slike spesielle kategorier med personopplysninger inkluderer, men er ikke begrenset til: data knyttet til lovbrudd, straffedommer eller sikkerhetstiltak som kun kan utføres under kontroll av offentlig myndighet; kredittinformasjon; barns personopplysninger; og personnummer. 11

12 Der det kreves av gjeldende lovgivning eller der det er rimelig praktisk mulig og hensiktsmessig, skal personer varsles om behandling av deres personopplysninger.

5. Merk Der det kreves av gjeldende lovgivning eller der det er rimelig praktisk mulig og hensiktsmessig, skal personer varsles om behandling av deres personopplysninger. Slikt varsel må som et minimum inneholde følgende informasjon: navnet på den juridiske enheten som alene eller sammen med andre avgjør formålet med og midlene for behandlingen av personopplysningene (kalles ofte ansvarlig virksomhet eller databehandlingsansvarlig eller data controller); formålet med den tenkte behandlingen av personopplysningene; enhver ytterligere informasjon som er nødvendig for at personene kan utøve sine rettigheter i forbindelse med behandlingen, for eksempel typene med personopplysninger, mottakerne eller kategorier av mottakere av opplysningene, og arten av eventuelle tilgangsrettigheter under gjeldende lov, som beskrevet i Del 6. 6. Tilgangsforespørsler Hvis en person fremsetter en forespørsel om å motta informasjon vedrørende Saferoads behandling av personopplysninger, motsetter seg behandling av personopplysninger, eller vil ha feil i slike personopplysninger rettet, skal Saferoad svare på den måten som følger av gjeldende lov eller som på annen måte anses som rimelig praktisk mulig og hensiktsmessig, i samråd med konserndirektøren ansvarlig for risikostyring. 13

14 Ansatte som har tilgang til personopplysninger kan kun behandle opplysningene i samsvar med formålet for behandlingen, og kan ikke dele, distribuere eller på annen måte utlevere personopplysningene til en tredjepart med mindre Saferoad pålegger vedkommende å gjøre det.

7. Datakvalitet, konfidensialitet og sikkerhet Behandlede personopplysninger må være nøyaktige, og i den grad det er nødvendig, oppdaterte. Personopplysninger som er unøyaktige eller ufullstendige bør slettes eller korrigeres. Ansatte som har tilgang til personopplysninger kan kun behandle opplysningene i samsvar med formålet for behandlingen, og kan ikke dele, distribuere eller på annen måte utlevere personopplysningene til en tredjepart med mindre Saferoad pålegger vedkommende å gjøre det. Hensiktsmessige tekniske og organisatoriske tiltak må iverksettes for å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse, utilsiktet tap eller endring, uautorisert utlevering eller tilgang, og enhver annen ulovlig form for behandling. Omfanget av slike tiltak bør være hensiktsmessig i forhold til risikoen ved behandlingen og arten av personopplysningene. Sikkerhetsbrudd som truer konfidensialiteten eller sikkerheten til personopplysninger som behandles av Saferoad, må umiddelbart rapporteres til en overordnet og til konserndirektøren ansvarlig for risikostyring. 8. Oppbevaring Personopplysninger skal kun oppbevares så lenge det er nødvendig, med hensyn til formålet de ble samlet inn for og gjeldende lovbestemte oppbevaringsperioder. Når oppbevaringsperioden for personopplysninger utløper, skal de slettes permanent på en sikker måte. 15

16 Personopplysninger kan kun utleveres til tredjeparter, for eksempel Saferoads underleverandører, partnere og filialer, når det finnes et berettiget grunnlag for å gjøre det.

9. Utlevering Personopplysninger kan kun utleveres til tredjeparter, for eksempel Saferoads underleverandører, partnere og filialer, når det finnes et berettiget grunnlag for å gjøre det. Ved utlevering av personopplysninger til en tredjepart, skal en skriftlig redegjørelse utarbeides om hvorvidt tredjeparten vurderes som behandlingsansvarlig eller databehandler av personopplysningene som utleveres. Begrepet «databehandler» viser til en juridisk enhet som behandler personopplysninger på vegne av behandlingsansvarlig. Begrepet «behandlingsansvarlig» viser til en juridisk enhet som alene eller sammen med andre avgjør formålene og midlene for behandling av personopplysninger. Der det kreves av gjeldende lov, må en databehandlingsavtale inngås med hver databehandler, for eksempel i forbindelser med bruken av skytjenester eller utsetting av IT-tjenester. Slike avtaler må kreve at databehandleren beskytter personopplysningene fra videreformidling og kun behandler personopplysninger i tråd med Saferoads instruksjoner. En databehandlingsavtale skal også kreve at databehandleren iverksetter hensiktsmessige sikkerhetstiltak for å beskytte personopplysningene og bevare deres konfidensialitet, og inkludere rutiner for varsling om brudd på datasikkerheten. 17

10. Dataoverføring Overføring av personopplysninger til foretak utenfor EØS-området eller tilgang til personopplysninger fra foretak utenfor EØS-området, er kun tillatt når det eksporterende foretaket har fått forsikringer om at personopplysningene vil få tilstrekkelig beskyttelse fra det importerende foretaket. Dette oppnås ved bruk av en av Saferoads standard dataoverføringsavtaler, som fastsatt i Vedlegg 1 (for overføring til en ikke-eøs-behandlingsansvarlig) eller Vedlegg 2 (for overføring til en ikke-eøs-databehandler) til denne håndboken. Saferoads standard dataoverføringsavtaler er basert på maler vedtatt av EU-kommisjonen, og må kompletteres med detaljer om den gjeldende overføringen. 11. Markedsføringstiltak og nettsteder Bruk av personopplysninger til markedsføringstiltak, for eksempel direkte reklamekampanjer, markedsføring gjennom sosiale medier eller kjøp av personopplysninger for markedsføringsformål, må oppfylle kravene i gjeldende lovgivning. Med mindre et berettiget formål som tillater innsamling og bruk av personopplysninger for markedsføringsformål kan etableres, kan personopplysninger ikke brukes til slike formål. Enkeltpersoner har rett til å varsle at de motsetter seg behandlingen av deres personopplysninger for formål som gjelder direkte reklame. Hvis en person gir slikt varsel, skal det tas til følge. Alle Saferoads eksterne nettsteder må inkludere en personvernerklæring, inkludert rutiner for å godta informasjonskapsler, som oppfyller kravene i gjeldende lovgivning. 18

12. Varsel om databehandlingsaktiviteter Alle selskaper i Saferoad plikter å melde sine databehandlingsaktiviteter til gjeldende tilsynsmyndighet, med mindre et unntak fra meldeplikten gjelder. Hvis databehandingsaktivitetene endres, bør en vurdering gjøres med hensyn til om meldinger til gjeldende tilsynsmyndighet skal oppdateres eller endres. 13. Straffer Straffer for brudd på personvernlovgivningen inkluderer krav om erstatning fra personer hvis personopplysninger er behandlet ulovlig, bøter og fengsel. I tillegg kan tilsynsmyndigheten forby enkeltselskaper i Saferoad fra å ta del i visse behandlingsrutiner og pålegge andre administrative sanksjoner. EU vurderer forslag for økte straffer for brudd på datasikkerhetslovgivningen, for eksempel administrative straffer på opptil 5 % av behandlingsansvarliges årlige globale omsetning eller 100 millioner euro. Se gjerne nærmere https://datatilsynet.no/globalassets/global/05_regelverk/forordningen/punkter_ ny-forordning_web_1.pdf 19

8. Huskeregler GJØR: Utvis særlig aktsomhet ved innsamling og behandling av sensitive personopplysninger og andre spesielle kategorier av personopplysninger. Gi informasjon til enkeltpersoner og svar på tilgangsforespørsler i den utstrekning som følger av gjeldende lov, eller som på annen måte anses som rimelig praktisk mulig og hensiktsmessig, i samråd med konserndirektøren ansvarlig for risikostyring. Bevar konfidensialiteten til personopplysninger, og implementer et sikkerhetsnivå som står i forhold til risikoen ved behandlingen og arten av personopplysningene. 20

IKKE GJØR: Samle inn personopplysninger uten å ha etablert formålet med behandlingen og tidsperioden der formålet er relevant. Samle inn personopplysninger på «kjekt å ha»- grunnlag. Utlever eller overfør personopplysninger, selv til Saferoads filialer, uten å iverksette passende tiltak, for eksempel en databehandlingsavtale. 21

15. Rapportering Ansatte som mistenker at et brudd på disse retningslinjene eller gjeldende datasikkerhetslover har forekommet hos Saferoad, må kontakte konserndirektøren ansvarlig for risikostyring. 16. Opplæring Saferoad gir passende opplæring til alle ansatte som er i samsvar med Saferoads risikoprofil og i tråd med den ansattes ansvarsområde. 17. Internkontroll Konserndirektøren ansvarlig for risikostyring er ansvarlig for å gjennomføre objektive, grundige revisjoner av konsernprogrammet for compliance, inkludert datasikkerhet, med jevne mellomrom i lys av Saferoads spesifikke virksomhetsområder, geografiske plasseringer og juridiske forpliktelser. 18. Ansvarsfordeling for personopplysninger hos Saferoad Hvert konsernselskap i Saferoad er behandlingsansvarlig med hensyn til behandlingen av personopplysninger som skjer i det konsernselskapet. Som sådan er det relevante konsernselskapet ansvarlig for å behandle personopplysningene i samsvar med denne håndboken og gjeldende datasikkerhetslovgivning. Alle konsernselskaper er videre ansvarlige for holde et oppdatert, internt register i forbindelse med behandlingen av personopplysninger som konsernselskapet er ansvarlig for. 22

19. Kontaktinformasjon for ansvarshavende Konsernsjefen er ansvarlig for den overordnede oversikten over og implementeringen av konsernprogrammet for compliance. Konserndirektøren ansvarlig for risikostyring er ansvarlig for Saferoads daglige etterlevelse av denne håndboken og datasikkerhetslovgivning. 20. Beslektet informasjon Denne håndboken bør leses i sammenheng med følgende dokumenter: Konsernprogrammet for compliance Etiske retningslinjer 23

2016 All rights reserved Saferoad AS Enebakkveien 150 0680 Oslo Norway T + 47 70 06 40 00 mail@saferoad.com saferoad.com

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding