Personvernerklæring

1. Om personverndokumentet
   
   1.1 Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 20 juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger er i samsvar med loven. Dokumentet må sees i sammenheng med dokumenterte behandlingsgrunnlag i ICONFIRM systemet.
   
   
2. Ansvar for behandling av personopplysninger hos oss
   
   2.1. Bedriften er ansvarlig for personopplysninger vi behandler, for eksempel om egne ansatte, kontaktpersoner hos kunder og leverandører, privatkunder og andre forretningsforbindelser. Bedriften har ansvaret for å overholde de pliktene som følger av reglene om personopplysninger.
   
   2.2. Det daglige behandlingsansvaret har daglig leder i virksomheten.
   
   
3. Kunnskap over reglene om personopplysninger
   
   3.1. Vi skal sørge for at de relevante ansatte har kjennskap til reglene om personopplysninger, herunder dette dokumentet om personvern. Kunnskapsnivået skal være tilpasset den enkelte ansattes behandling av personopplysninger. Vi skal vurdere om noen grupper av ansatte har behov for særlig kunnskap, for eksempel personalfunksjoner og IT-ansvarlige. Ledelsen hos oss skal alltid ha kjennskap til regelverket. Det er Daglig Leder som er ansvarlig for rutiner og program for opplæring i vår bedrift.
   
   
4. Kartlegging av behandling av personopplysninger
   
   4.1. Vi skal kartlegge all behandling av personopplysninger. Dette dokumenteres i ICONFIRM systemet evt. i et eget skjema der vi angir blant annet kategorier av registrerte, formål med behandlingen, hvordan vi behandler opplysningene og hvilke grunnlag den har for behandlingen. Behandlingsgrunnlagene skal bidra til at vi etterlever reglene om behandling av personopplysninger.
   
   5. Grunnkrav for behandling av personopplysninger
   
   5.1. Loven stiller opp seks grunnkrav som gjelder for all behandling av alle personopplysninger. Vi skal sørge for at personopplysninger skal:
   
   5.1.1. behandles på en lovlig, rettferdig og gjennomsiktig måte med hensyn til den registrerte («lovlighet, rettferdighet og åpenhet»)
   
   5.1.2. samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke videre behandles på en måte som er uforenlig med disse formålene («formålsbegrensning»)
   
   5.1.3. være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
   
   5.1.4. være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller korrigeres («riktighet»)
   
   5.1.5. lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for («lagringsbegrensning»)
   
   5.1.6. behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og fortrolighet»)
   
   5.2. Hvis personopplysninger brukes til andre formål enn de er samlet inn for, se punkt 2 ovenfor, skal vi alltid vurdere om det nye eller endrede formålet er forenlig med det opprinnelige. Vi skal da ta hensyn til de faktorene som fremgår av personvernforordningen artikkel 6 nr. 4.
   
   6. Grunnlag for å behandle personopplysninger
   
   6.1. Vi skal ha minst ett av følgende grunnlag for all behandling av personopplysninger:
   
   6.1.1. den registrerte har gitt samtykke til behandling av sine personopplysninger for ett eller flere spesifikke formål
   
   6.1.2. behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse
   
   6.1.3. behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige
   
   6.1.4. behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn (interesseavveining)
   
   6.2. Det skal gå frem av kartleggingen hvilke(t) grunnlag vi har for å behandle opplysninger.
   
   6.3. Hvis grunnlaget for behandling er samtykke fra den registrerte (se nr. 1), skal vi sette oss inn i de særlige reglene som gjelder for slike samtykker (artikkel 7), blant annet kravet om dokumentasjon.
   
   6.4. Hvis grunnlaget for behandling er vår berettigede interesse (interesseavveining) (se nr. 4), skal vi konkret og skriftlig dokumentere avveiningen i en balansetest, se nærmere nedenfor.
   
   6.5. Dokumentasjon av behandlingsgrunnlag over de forskjellige kategorier vi behandler opplysninger om er registrert i ICONFIRM.
   
   7. Grunnlag for behandling av sensitive personopplysninger
   
   7.1. Behandling av sensitive personopplysninger krever behandlingsgrunnlag i tillegg til de som er nevnt i punkt 6.
   
   7.2. Sensitive personopplysninger er: opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.
   
   7.3. Skal vi behandle slike opplysninger, skal vi sørge for at behandlingsgrunnlaget i ICONFIRM er oppdatert med informasjon om dette. For ansatte hos oss vil opplysninger om helse og fagforeningsmedlemskap være særlig aktuelle. Helse omfatter for eksempel sykdom og skader og fravær begrunnet i dette. Særlig aktuelt behandlingsgrunnlag vil være at behandling er nødvendig i egenskap av arbeidsgiver, for eksempel ved oppfølgning og rapportering til offentlige myndigheter eller ved tilrettelegging av arbeidsforholdet.
   
   7.4. Behandling av opplysninger om straffbare forhold og lovovertredelser o.l. er underlagt særlige regler som vi skal sette oss inn i hvis vi skal behandle slike opplysninger.
   
   8. Informasjon til de registrerte (personvernerklæring)
   
   8.1. Vi skal gi lovbestemt informasjon til de registrerte. Slik informasjon skal være formålsspesifikk og tilpasses de enkelte kategorier av registrerte. Den særskilte personvernerklæringen dokumenteres på de enkelte behandlingsgrunnlag i ICONFIRM.
   
   8.2. Informasjonen skal inneholde blant annet navnet på bedriften og kontaktinformasjon, formålet med behandlingen, kategoriene av personopplysninger, mottakere av personopplysninger (dersom de utleveres), informasjon om eventuell utlevering av personopplysninger til andre land, hvor lenge personopplysningene vil bli lagret, de registrertes rett til å kreve innsyn, rette eller kreve slettet personopplysningene, hvordan virksomheten fikk tilgang til personopplysningene og muligheten til å klage virksomheten inn til Datatilsynet.
   
   9. Registrertes rettigheter
   
   9.1. Vi skal besvare henvendelser fra registrerte uten ugrunnet opphold. Slike henvendelser registres i ICONFIRM. Gjennomgang av utestående saker skal skje minimum hver 30. dag. Notifisering om hendelser kan konfigureres i ICONFIRM.
   
   10. Sletting av personopplysninger
   
   10.1. Vi skal slette personopplysninger uten ugrunnet opphold når de ikke lenger er ”nødvendig” for formålet som de ble samlet inn eller behandlet for. Våre retningslinjer for sletting dokumenteres på behandlingsgrunnlag i ICONFIRM.
   
   11. Personvernombud
   
   11.1. Vi har vurdert om personvernforordningen krever at vår bedrift skal ha personvernombud. Vi har ingen eller svært få fysiske personer som kunder. Vi driver ikke regelmessig og systematisk monitorering i stor skala av registrerte. For de fleste kategorier av registrerte behandler vi stort sett alminnelige personopplysninger som navn, adresse, arbeidsgiver, epostadresse, telefonnummer o.l. Vi behandler enkelte sensitive opplysninger om ansatte.
   
   11.2. Vi har konkludert med at vår bedrift ikke er underlagt krav om å ha personvernombud.
   
   12. Alminnelig risikovurdering
   
   12.1. Vi skal risiko vurdere behandlingen av personopplysninger. Denne vurderingen skal gjøre at vi er i stand til å identifisere og definere hvilke sikkerhetstiltak vi skal gjennomføre.
   
   12.2. Vurderingene skal gjelde sannsynlighet og alvorlighetsgrad (risiko) for personers ”rettigheter og friheter”, som fysisk skade, skade på ting eller formue og medisinsk skade. Eksempler på skader er diskriminering, identitetstyveri, omdømmeskade, tap av sosial aktelse, at konfidensielle opplysninger blir kjent for uvedkommende og uakseptable inngrep i privatlivets fred.
   
   12.3. Kartleggingen viser at vi:
   
   12.3.1. i stor grad behandler bare alminnelige kontaktopplysninger, som navn, adresse, arbeidsgiver, epostadresse, telefonnummer o.l.
   
   12.3.2. behandler opplysninger om ansatte som er vanlige for å administrere personalforhold, herunder etterlevelse av lovpålagte forpliktelser
   
   12.3.3. har få eller ingen privatkunder
   
   12.3.4. ikke behandler opplysninger om barn
   
   12.3.5. behandler opplysninger som er en del av det å drive alminnelig næringsvirksomhet
   
   12.4. Vi har aldri vært utsatt for datainnbrudd. Vi er heller ikke kjent med at utenforstående har vist interesse for de personopplysningene vi behandler. Vi mener derfor at det er liten sannsynlig at opplysningene er utsatt for regelbrudd.
   
   12.5. Basert på arten og omfanget av de opplysningene vi behandler, mener vi at konsekvensene ved regelbrudd ikke vil være alvorlige.
   
   12.6. Når det gjelder en del av opplysningene om ansatte er både sannsynlighet for og alvoret ved regelbrudd en del større. Vi har derfor egne rutiner for behandling av slike opplysninger, herunder begrensning av tilgang til dem.
   
   12.7. Vi skal risiko vurdere endringer som kan påvirke informasjonssikkerheten, for eksempel når vi kjøper nye IT-tjenester.
   
   12.8. Resultatene av risikovurderinger skal godkjennes av den som har det daglige behandlingsansvaret i bedriften.
   
   13. Informasjonssikkerhet
   
   13.1. Vi skal etter loven treffe passende tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som svarer til risikoen knyttet til vår behandling av personopplysninger. Vi skal da ta hensyn til teknikkens stand, gjennomføringskostnadene og behandlingens karakter, omfang og formål, samt sammenhengen den utføres i.
   
   13.2. Risikoene våre er vurdert overordnet i punktet ovenfor.
   
   13.3. På denne bakgrunn har vi gjennomført disse tiltakene:
   
   13.3.1. Det er utpekt en person hos oss med særlig oppgave å påse sikkerheten, p.t. daglig leder.
   
   13.3.2. Uvedkommende skal hindres tilgang til personopplysningene eller utstyr disse er lagret på.
   
   13.3.3. Det skal sikres at virksomhetens nettverk er beskyttet mot inntrengning fra eksterne nettverk med brannmur som kun slipper gjennom nødvendig datatrafikk.
   
   13.3.4. Det skal sikres at virksomhetenes nettverk er beskyttet mot uvedkommendes bruk, eksempelvis ved sikring av trådløst nettverk.
   
   13.3.5. Ekstra tiltak skal iverksettes for spesielt beskyttelsesverdige opplysninger som for eksempel sykemeldinger, opplysninger rundt tilrettelegging av arbeidsplassen, vurderinger av den ansatte, merknader og advarsler.
   
   13.3.6. Ansatte skal gis opplæring i bruk av virksomhetens IT-system.
   
   14. Avvik, analyse av avvik og tiltak for å rette opp i dem
   
   14.1. Det vil fortløpende vurderes om behandling av personopplysninger følger reglene i personopplysningsloven og rutinene i dette dokumentet. Er det ikke tilfellet, må vi finne ut hvordan vi kan øke etterlevelsen. Vi skal dokumentere skriftlig både hvilke avvik vi har funnet og hva vi har gjort for å rette dem opp.
   
   14.2. Den som mottar melding om avvik skal først vurdere om det er nødvendig med umiddelbare tiltak. Deretter skal vedkommende sørge for at det blir gjennomført tiltak som skal gjøre at avvik ikke skjer igjen.
   
   14.3. Virksomheten vil også ha en samlet og overordnet gjennomgang x gang(er) i året for å identifisere avvik. Viser det seg at rutinene ikke er godt nok tilpasset vår bedrift, vil vi vurdere å endre rutinene, se punkt 18.
   
   15. Kjøp av IT-tjenester – databehandleravtaler
   
   15.1. Vanligvis vil vi opptre som behandlingsansvarlig når virksomheten kjøper IT-tjenester fra en tjenesteleverandør. Vi har da fortsatt ansvaret for at personvernlovgivningen blir etterlevd ved kjøp av IT-tjenester, for eksempel HR-løsninger eller kundedatabaser/CRM.
   
   15.2. Før vi kjøper IT-tjenester skal vi derfor blant annet vurdere om leverandøren tilfredsstiller de kravene til sikkerhet som personopplysningsloven krever (artikkel 32). Seriøse leverandører vil ofte kunne dokumentere at de oppfyller kravene. Vi må også sørge for å inngå en databehandleravtale som regulerer hvordan databehandleren skal håndtere personopplysningene den mottar fra og behandler på vegne av oss. Leverandører vil ofte ha egne avtaler som oppfyller kravene i regelverket.
   
   15.2.1. Dersom tjenesteleverandøren skal overføre personopplysninger til land utenfor EU/EØS, må det foreligge et lovlig grunnlag for dette. 15.3 Oversikt over systemer og leverandører vi benytter er dokumentert i ICONFIRM.
   
   16. Brudd på personopplysningssikkerheten
   
   16.1. Ved brudd på personopplysningssikkerheten (for eksempel hackerangrep eller tap av personopplysninger) skal vi straks kontakte Datatilsynet for å informere, men også for å søke veiledning.
   
   16.2. ”Brudd på personopplysningssikkerheten” betyr brudd som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som vi behandler.
   
   16.3. Ved visse brudd på personopplysningssikkerheten skal vi varsle Datatilsynet og av og til også den registrerte. Varsling til Datatilsynet skal skje med én gang, og senest 72 timer etter at vi ble kjent med bruddet. Det er ikke nødvendig å varsle Datatilsynet hvis det er lite trolig at bruddet på personopplysningssikkerheten vil føre med seg risiko for enkeltpersoners rettigheter. Et eksempel er der et sikkerhetsbrudd har ført til at uvedkommende har fått tilgang til personopplysninger som allerede er offentlig tilgjengelige.
   
   16.4. Vi har plikt til å varsle den registrerte dersom det er trolig at bruddet på personopplysningssikkerheten vil medføre høy risiko for enkeltpersonenes rettigheter og friheter. Vi mener at vår behandling av personopplysninger bare helt unntaksvis kan føre til slik risiko.
   
   16.5. Vi skal dokumentere eventuelle brudd på personopplysningssikkerheten. Dette gjør vi ved å beskrive de faktiske forholdene rundt bruddet (”Hva har skjedd?”). I tillegg skal vi beskrive virkningene av bruddet og hvilke tiltak som er truffet for å avhjelpe bruddet. Denne dokumentasjonen skal gjøre det mulig for Datatilsynet å kontrollere at virksomheten har etterlevd kravene i loven.
   
   17. Vurdering av personvernkonsekvenser
   
   17.1. Vi skal utrede personvernkonsekvensene når den planlegger en behandling av personopplysninger som sannsynligvis vil utgjøre høy risiko for personers rettigheter, som retten til personvern. I vurderingen av om det er nødvendig med en slik utredning skal vi ta hensyn til arten, omfanget, sammenhengen og formålet med behandlingen. Den skal også ta hensyn til om den benytter ny teknologi.
   
   17.2. Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: Systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser, behandling av sensitive personopplysninger i stort omfang eller systematisk overvåking av offentlig område i stort omfang.
   
   17.2.1. I tilfellene ovenfor skal vi sette oss inn i de særlige reglene som gjelder (ref. artikkel 35), blant annet om at Datatilsynet av og til skal involveres i forhåndsdrøftelser (ref. artikkel 36).
   
   18. Kontroll, oppdatering og revisjon av dokumentet
   
   18.1. Vi skal oppdatere og revidere dette dokumentet jevnlig og minimum 1 gang per år. Bakgrunnen er blant annet at reglene i lov og forskrift kan bli endret, vår behandling av personopplysninger kan bli endret eller erfaringer kan tilsi at vi bør endre rutinene våre. Av de samme grunnene skal vi også jevnlig gjennomgå vår behandling av personopplysninger.
   
   18.2. Det er daglig leder som har ansvar for at behov for endringer og revisjoner blir identifisert og innarbeidet i dokumentet og i behandlingsgrunnlag. Hvert behandlingsgrunnlag har definert ansvarlig og revisjonsintervaller som er definert i ICONFIRM.
   
   18.3. Evalueringen av behandlingsgrunnlag bør omfatte for eksempel på følgende spørsmål:
   
   18.3.1. Har vi siden forrige revisjon endret (nye, endrede eller avsluttede) behandlinger av personopplysninger som ikke er behandlet i dokumentet eller i skjemaene?
   
   18.3.2. Tilsier de seks grunnkravene til behandling av personopplysninger at vi bør endre rutiner eller praksis?
   
   18.3.3. Har det siden forrige revisjon trådt i kraft nye regler i lov eller forskrift som tilsier endringer?
   
   18.3.4. Har virksomheten siden forrige revisjon oppdaget andre områder for forbedring av dokumentet eller skjemaene? 18.3.5 Har det kommet ny teknologi som gjør at personopplysninger kan sikres på en bedre måte?

Denne personvernerklæringen er gyldig fra og med 01-01-2019.