PERSONVERNERKLÆRING

Denne erklæringen skal bidra til at vi etterlever lov om personopplysninger fra 2018. Det skal også bidra til å påvise at vår behandling av personopplysninger er i samsvar med loven.

ANSVAR FOR BEHANDLING AV PERSONOPPLYSNINGER HOS OSS

Bedriften er ansvarlig for personopplysninger vi behandler, for eksempel om egne ansatte, kontaktpersoner hos kunder og leverandører, privatkunder og andre forretningsforbindelser. Bedriften har ansvaret for å overholde de pliktene som følger av reglene om personopplysninger. Det daglige behandlingsansvaret har administrerende direktør.

KUNNSKAP OVER REGLENE OM PERSONOPPLYSNINGER

Vi skal sørge for at de relevante ansatte har kjennskap til reglene om personopplysninger, herunder dette dokumentet om personvern. Kunnskapsnivået skal være tilpasset den enkelte ansattes behandling av personopplysninger. Vi skal vurdere om noen grupper av ansatte har behov for særlig kunnskap, for eksempel personalfunksjoner og IT-ansvarlige. Ledelsen hos oss skal alltid ha kjennskap til regelverket.

KARTLEGGING AV BEHANDLING AV PERSONOPPLYSNINGER

Vi kartlegger all behandling av personopplysninger. Dette skal gjøre vi i et skjema der vi angir blant annet kategorier av registrerte, formål med behandlingen, hvordan vi behandler opplysningene og hvilke grunnlag den har for behandlingen. Skjemaene skal bidra til at vi etterlever reglene om behandling av personopplysninger.

SLIK BEHANDLER VI DINE PERSONOPPLYSNINGER

Loven gir klare føringer som gjelder for behandling av alle personopplysninger hvor vi skal sørge for:

• Personopplysninger behandles på en lovlig, rettferdig og gjennomsiktig måte.
• Personopplysninger til den registrerte samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke videre behandles på en måte som er uforenlig med disse formålene.
• Personopplysningene skal være adekvate, relevante og begrenset til det som er nødvendig for formålene.
• Personopplysningen må være korrekte og om nødvendig oppdaterte.
• Det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller korrigeres
• Personopplysninger skal lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene.
• Personopplysningene skal behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak.

GRUNNLAG FOR Å BEHANDLE PERSONOPPLYSNINGER - BEHANDLINGSGRUNNLAG

Vi skal ha minst ett av følgende grunnlag for all behandling av personopplysninger.
Den registrerte har gitt samtykke til behandling av sine personopplysninger for ett eller flere spesifikke formål:

• Behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse.
• Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige.
• Behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den.
• Behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.
• Det skal gå frem av kartleggingskjemaet hvilke(t) grunnlag vi har for å behandle opplysninger. Hvis grunnlaget for behandling er samtykke fra den registrerte, skal vi sette oss inn i de særlige reglene som gjelder for slike samtykker, blant annet kravet om dokumentasjon. Hvis grunnlaget for behandling er vår berettigede interesse, skal vi konkret og skriftlig dokumentere avveiningen, se nærmere nedenfor.

KONTAKTPERSONER HOS BEDRIFTSKUNDER

Behandlingen av personopplysninger er basert på interesseavveining. Vi har behov for å holde kontakt med våre bedriftskunder for å følge opp tilbud, bestillinger og leveranser. Dette er en berettiget interesse. Den kontakten blir effektiv bare ved å kontakte enkeltpersoner direkte. Behandling er derfor nødvendig. Behandlingen skjer overfor kontaktpersonens arbeidsgiver, som er kunde hos oss. I tillegg til navn behandler vi alminnelige opplysninger, som telefonnummer, epostadresse og arbeidsgiver, som alle er knyttet først og fremst til kontaktpersonens arbeidsforhold. Omfanget av opplysningene er derfor begrenset. Behandlingen av opplysningene er knyttet til leverandørens næringsvirksomhet og ikke til kontaktpersonens privatliv. Når det er påkrevet med samtykke etter markedsføringsloven, vil kontaktpersonen dessuten ha gitt samtykke før vi sender eposter med markedsføring.

ANDRE KONTAKTPERSONER

Behandling av personopplysninger er basert på interesseavveining. Vi har behov for å ha kontakt med offentlige myndigheter og tilsynsmyndigheter i forbindelse med offentligrettslige forhold der vi kan ha forpliktelser og rettigheter. Dette er en berettiget interesse. I en del tilfeller vil den kommunikasjonen kunne være effektiv bare hvis vi kan kontakte enkeltpersoner direkte. Behandling er derfor nødvendig. Vi lagrer navn og kontaktdetaljer og vi bruker opplysningene til å kontakte personens arbeidsgiver. Opplysningene er knyttet til kontaktpersonens arbeidsgivers virksomhet og ikke til kontaktpersonens privatliv.

GRUNNLAG FOR BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER

Behandling av sensitive personopplysninger krever behandlingsgrunnlag i tillegg til de som er nevnt i punktet om behandlingsgrunnlag over. Sensitive personopplysninger er: opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Skal vi behandle slike opplysninger, skal vi sørge for å ha behandlingsgrunnlag. Helse omfatter for eksempel sykdom og skader og fravær begrunnet i dette. Behandling av opplysninger om straffbare forhold og lovovertredelser o.l. er underlagt særlige regler som vi skal sette oss inn i hvis vi skal behandle slike opplysninger.

INFORMASJON TIL DE REGISTRERTE

Vi skal gi lovbestemt informasjon til de registrerte. Vi skal gi slik informasjon i en personvernerklæring. Alle registrerte skal ha tilgang til den informasjonen som gjelder dem. Informasjonen skal inneholde blant annet navnet på bedriften og kontaktinformasjon, formålet med behandlingen, kategoriene av personopplysninger, mottakere av personopplysninger (dersom de utleveres), informasjon om eventuell utlevering av personopplysninger til andre land, hvor lenge personopplysningene vil bli lagret, de registrertes rett til å kreve innsyn, rette eller kreve slettet personopplysningene, hvordan virksomheten fikk tilgang til personopplysningene og muligheten til å klage virksomheten inn til Datatilsynet.

REGISTRERTES RETTIGHETER

Vi skal besvare henvendelser fra registrerte uten ugrunnet opphold. Mottar vi slike henvendelser, skal de sendes til relevant kontaktperson på Tranemo. Vi skal sørge for at registrerte får gjennomført rettighetene sine hos oss.

SLETTING AV PERSONOPPLYSNINGER

Vi skal slette personopplysninger uten ugrunnet opphold når de ikke lenger er «nødvendig» for formålet som de ble samlet inn eller behandlet for. Minst én gang i året skal vi gjennomgå dette.

Kontaktpersoner hos leverandører og kunder

Vi skal slette opplysningene når vi blir kjent med at kontaktpersonen har sluttet hos leverandøren eller kunden eller at leverandøren eller kunden har utpekt en ny kontaktperson. Det samme gjelder når leverandør- eller kundeforholdet er opphørt. Vi kan likevel lagre opplysningene for en lengre periode hvis vi mener det kan bli nødvendig med dokumentasjon av den kontakten vi har hatt med leverandøren eller kunden. Det kan gjelde for eksempel spørsmål om rettigheter eller forpliktelser i avtaleforholdet med leverandøren eller kunden. Også lovgivningen kan stille krav til lengre oppbevaringstid.

ANDRE KONTAKTPERSONER

Vi skal slette opplysningene når vi blir kjent med at personen ikke lenger er relevant for våre behov, herunder hvis personen slutter hos den bedriften, offentlig etaten osv. Vi kan likevel lagre opplysningene for en lengre periode hvis vi mener det kan bli nødvendig med dokumentasjon kontakt med personen eller personens arbeidsgiver. Det kan gjelde for eksempel spørsmål om rettigheter eller forpliktelser i avtale-, offentligrettslige eller andre forhold.

PERSONVERNOMBUD

Vi har vurdert om personvernforordningen krever at vår bedrift skal ha personvernombud. Vi har ingen eller svært få fysiske personer som kunder. Vi driver ikke regelmessig og systematisk monitorering i stor skala av registrerte. For de fleste kategorier av registrerte behandler vi stort sett alminnelige personopplysninger som navn, adresse, arbeidsgiver, epostadresse, telefonnummer o.l. Vi har konkludert med at vår bedrift ikke er underlagt krav om å ha personvernombud.

ALMINNELIG RISIKOVURDERING

Vi skal risikovurdere behandlingen av personopplysninger. Denne vurderingen skal gjøre at vi er i stand til å identifisere og definere hvilke sikkerhetstiltak vi skal gjennomføre. Vurderingene skal gjelde sannsynlighet og alvorlighetsgrad for personers, som fysisk skade, skade på ting eller formue og medisinsk skade. Eksempler på skader er diskriminering, identitetstyveri, omdømmeskade, tap av sosial aktelse, at konfidensielle opplysninger blir kjent for uvedkommende og uakseptable inngrep i privatlivets fred. Kartleggingsskjemaet viser at vi:

• Vi behandler alminnelige kontaktopplysninger, som navn, adresse, arbeidsgiver, epostadresse, telefonnummer o.l.
• Vi behandler opplysninger om egne ansatte som er vanlige for å administrere personalforhold, herunder etterlevelse av lovpålagte forpliktelser.
• Vi behandler opplysninger som er en del av det å drive alminnelig næringsvirksomhet.
• Vi behandler ikke opplysninger om barn.
• Vi behandler ikke opplysninger om private forhold/ relasjoner.
• Vi har aldri vært utsatt for datainnbrudd. Vi er heller ikke kjent med at utenforstående har vist interesse for de personopplysningene vi behandler. Vi mener derfor at det er liten sannsynlig at opplysningene er utsatt for regelbrudd. Vi skal til enhver tid risiko vurdere endringer som kan påvirke informasjonssikkerheten, for eksempel når vi kjøper nye IT-tjenester. Resultatene av risikovurderinger skal godkjennes av den som har det daglige behandlingsansvaret i bedriften.

INFORMASJONSSIKKERHET

Vi skal etter loven treffe passende tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som svarer til risikoen knyttet til vår behandling av personopplysninger. Vi skal da ta hensyn til teknikkens stand, gjennomføringskostnadene og behandlingens karakter, omfang og formål, samt sammenhengen den utføres i. Risikoene våre er vurdert overordnet i punktet ovenfor.
På denne bakgrunn har vi gjennomført disse tiltakene:

• Det er utpekt en person hos oss med særlig oppgave å påse sikkerheten.
• Uvedkommende skal hindres tilgang til personopplysningene eller utstyr disse er lagret på.
• Det skal sikres at virksomhetens nettverk er beskyttet mot inntrengning fra eksterne nettverk med brannmur som kun slipper gjennom nødvendig datatrafikk.
• Det skal sikres at virksomhetenes nettverk er beskyttet mot uvedkommendes bruk, eksempelvis ved sikring av trådløst nettverk.
• Ekstra tiltak skal iverksettes for spesielt beskyttelsesverdige opplysninger som for eksempel sykemeldinger, opplysninger rundt tilrettelegging av arbeidsplassen, vurderinger av den ansatte, merknader og advarsler. Ansatte skal gis opplæring i bruk av virksomhetens IT-system.

BRUDD PÅ PERSONOPPLYSNINGSSIKKERHETEN

Ved brudd på personopplysningssikkerheten skal vi straks kontakte Datatilsynet. «Brudd på personopplysningssikkerheten» betyr brudd som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som vi behandler. Ved visse brudd på personopplysningssikkerheten skal vi varsle Datatilsynet og av og til også den registrerte. Varsling til Datatilsynet skal skje med én gang, og senest 72 timer etter at vi ble kjent med bruddet. Det er ikke nødvendig å varsle Datatilsynet hvis det er lite trolig at bruddet på personopplysningssikkerheten vil føre med seg risiko for enkeltpersoners rettigheter. Vi har plikt til å varsle den registrerte dersom det er trolig at bruddet på personopplysningssikkerheten vil medføre høy risiko for enkeltpersonenes rettigheter og friheter. Vi mener at vår behandling av personopplysninger bare helt unntaksvis kan føre til slik risiko. Vi skal dokumentere eventuelle brudd på personopplysningssikkerheten. Dette gjør vi ved å beskrive de faktiske forholdene rundt bruddet. I tillegg skal vi beskrive virkningene av bruddet og hvilke tiltak som er truffet for å avhjelpe bruddet. Denne dokumentasjonen skal gjøre det mulig for Datatilsynet å kontrollere at virksomheten har etterlevd kravene i loven.

VURDERING AV PERSONVERNKONSEKVENSER OG FORHÅNDSKONSULTERING MED DATATILSYNET

Vi skal utrede personvernkonsekvensene når den planlegger en behandling av personopplysninger som sannsynligvis vil utgjøre høy risiko for personers rettigheter, som retten til personvern. I vurderingen av om det er nødvendig med en slik utredning skal vi ta hensyn til arten, omfanget, sammenhengen og formålet med behandlingen. Den skal også ta hensyn til om den benytter ny teknologi. Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: Systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser, behandling av sensitive personopplysninger i stort omfang eller systematisk overvåking av offentlig område i stort omfang. I tilfellene ovenfor skal vi sette oss inn i de særlige reglene som gjelder, blant annet om at Datatilsynet av og til skal involveres i forhåndsdrøftelser. Kontroll, oppdatering og revisjon av hvordan vi håndterer personopplysninger Vi skal oppdatere og revidere dette dokumentet jevnlig. Bakgrunnen er blant annet at reglene i lov og forskrift kan bli endret, vår behandling av personopplysninger kan bli endret eller erfaringer kan tilsi at vi bør endre rutinene våre. Av de samme grunnene skal vi også jevnlig gjennomgå og oppdatere skjemaene med kartlegging av behandling av personopplysninger. Det er administrerende direktør som har ansvar for at behov for endringer og revisjoner blir identifisert og innarbeidet i dokumentet og i skjemaet. Dette skal gjøres årlig.