top of page

Retningslinjer – GDPRs retningslinjer for databeskyttelse

 

Du må lese denne policyen fordi den gir viktig informasjon om:

 

  • databeskyttelsesprinsippene som firmaet må overholde;

  • hva som menes med personlig informasjon (eller data) og sensitiv personlig informasjon (eller data);

  • hvordan vi samler inn, bruker og (til slutt) sletter personopplysninger og sensitive personopplysninger i samsvar med databeskyttelsesprinsippene;

  • hvor mer detaljert personverninformasjon kan finnes, for eksempel om personopplysningene vi samler inn og bruker om deg, hvordan den brukes, lagres og overføres, til hvilke formål, trinnene som er tatt for å holde denne informasjonen sikker og hvor lenge den oppbevares;

  • dine rettigheter og plikter i forhold til databeskyttelse; og

  • konsekvensene av manglende overholdelse av denne policyen.

 

  1. Introduksjon

 

  1. Firmaet innhenter, oppbevarer og bruker personopplysninger (også referert til som data) om jobbsøkere og om nåværende og tidligere ansatte, vikarer og byråarbeidere, kontraktører, praktikanter, frivillige og lærlinger for en rekke spesifikke lovlige formål, som angitt i Firmaets personvernerklæringer knyttet til rekruttering og ansettelse.

 

  1. Denne policyen angir hvordan vi overholder våre databeskyttelsesforpliktelser og søker å beskytte personopplysninger knyttet til arbeidsstyrken vår. Formålet er også å sikre at ansatte forstår og overholder reglene for innsamling, bruk og sletting av personopplysninger som de kan ha tilgang til i løpet av arbeidet.

 

  1. Vi er forpliktet til å overholde våre databeskyttelsesforpliktelser, og til å være kortfattede, klare og transparente om hvordan vi innhenter og bruker personopplysninger knyttet til arbeidsstyrken vår, og hvordan (og når) vi sletter denne informasjonen når den ikke lenger er nødvendig.

 

  1. Firmaets databeskyttelsesansvarlige er ansvarlig for å informere og gi råd til firmaet og dets ansatte om dets databeskyttelsesforpliktelser, og for å overvåke overholdelse av disse forpliktelsene og med firmaets retningslinjer. Hvis du har spørsmål eller kommentarer om innholdet i denne policyen, eller hvis du trenger mer informasjon, bør du kontakte databeskyttelsesansvarlig e-post:dpo@confirmsend.co.

 

  1. omfang

 

  1. Denne policyen gjelder for personopplysninger til jobbsøkere og nåværende og tidligere ansatte, inkludert ansatte, vikarer og byråarbeidere, praktikanter, frivillige og lærlinger.

 

  1. Personalet bør henvise til firmaets personvernerklæring om databeskyttelse og, der det er hensiktsmessig, til dets andre relevante retningslinjer, inkludert i forhold til internett, e-post og kommunikasjon, overvåking, sosiale medier, informasjonssikkerhet, dataoppbevaring og kriminalregisterinformasjon, som inneholder ytterligere informasjon mht. beskyttelse av personopplysninger i disse sammenhengene.

 

  1. Vi vil gjennomgå og oppdatere denne policyen regelmessig i samsvar med våre databeskyttelsesforpliktelser. Den utgjør ikke en del av noen ansattes ansettelseskontrakt, og vi kan endre, oppdatere eller supplere den fra tid til annen. Vi vil sirkulere enhver ny eller endret policy til ansatte før den vedtas.

 

  1. Definisjoner

 

  1. Informasjon om strafferegistre

betyr personlig informasjon knyttet til straffedommer og lovbrudd, påstander, rettssaker og relaterte sikkerhetstiltak;

 

  1. Databrudd

betyr et sikkerhetsbrudd som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert avsløring av eller tilgang til personlig informasjon;

 

  1. Datasubjekt

betyr individet som personopplysningene gjelder;

 

  1. Personlig informasjon

(noen ganger kjent som personopplysninger) betyr informasjon knyttet til en person som kan identifiseres (direkte eller indirekte) fra denne informasjonen;

 

  1. Behandler informasjon

betyr å skaffe, registrere, organisere, lagre, endre, hente, avsløre og/eller ødelegge informasjon, eller bruke eller gjøre noe med den;

 

  1. Pseudonymisert

betyr prosessen der personopplysninger behandles på en slik måte at de ikke kan brukes til å identifisere en person uten bruk av tilleggsopplysninger, som oppbevares separat og underlagt tekniske og organisatoriske tiltak for å sikre at personopplysningene ikke kan henføres til en identifiserbar person;

 

  1. Sensitive personopplysninger

(noen ganger kjent som "spesielle kategorier av personopplysninger" eller "sensitive personopplysninger") betyr personlig informasjon om en persons rase, etniske opprinnelse, politiske meninger, religiøse eller filosofiske overbevisninger, fagforeningsmedlemskap (eller ikke-medlemskap), genetisk informasjon, biometrisk informasjon (der den brukes for å identifisere en person) og informasjon om en persons helse, sexliv eller seksuelle legning.

 

  1. Databeskyttelsesprinsipper

 

  1. Firmaet vil overholde følgende databeskyttelsesprinsipper ved behandling av personopplysninger:

 

  1. vi vil behandle personopplysninger lovlig, rettferdig og på en transparent måte;

 

  1. vi samler inn personlig informasjon kun for spesifiserte, eksplisitte og legitime formål, og vil ikke behandle den på en måte som er uforenlig med disse legitime formålene;

 

  1. vi vil kun behandle personopplysningene som er tilstrekkelige, relevante og nødvendige for de relevante formålene;

 

  1. vi vil holde nøyaktig og oppdatert personlig informasjon, og ta rimelige skritt for å sikre at unøyaktig personlig informasjon slettes eller korrigeres uten forsinkelse;

 

  1. vi vil oppbevare personopplysninger i en form som tillater identifikasjon av registrerte ikke lenger enn det som er nødvendig for formålene som informasjonen behandles for; og

 

  1. vi vil iverksette passende tekniske og organisatoriske tiltak for å sikre at personopplysninger holdes sikkert og beskyttet mot uautorisert eller ulovlig behandling, og mot utilsiktet tap, ødeleggelse eller skade.

 

  1. Grunnlag for behandling av personopplysninger

 

  1. I forhold til enhver behandlingsaktivitet vil vi, før behandlingen starter for første gang, og deretter regelmessig mens den fortsetter:

 

  1. gjennomgå formålene med den bestemte behandlingsaktiviteten, og velg det mest passende lovlige grunnlaget (eller grunnlaget) for den behandlingen, dvs.:

 

  1. at den registrerte har samtykket til behandlingen;

 

  1. at behandlingen er nødvendig for gjennomføring av en kontrakt som den registrerte er part i eller for å iverksette tiltak på forespørsel fra den registrerte før en kontrakt inngås;

 

  1. at behandlingen er nødvendig for å overholde en juridisk forpliktelse som firmaet er underlagt;

 

  1. at behandlingen er nødvendig for å beskytte de vitale interessene til den registrerte eller en annen fysisk person;

 

  1. at behandlingen er nødvendig for å utføre en oppgave som utføres i allmennhetens interesse

 

  1. at behandlingen er nødvendig for formålet med legitime interesser til firmaet eller en tredjepart, unntatt der disse interessene overstyres av interessene til grunnleggende rettigheter og friheter til den registrerte – se punkt 5.2 nedenfor.

 

  1. unntatt der behandlingen er basert på samtykke, forsikre oss om at behandlingen er nødvendig for formålet med det relevante lovlige grunnlaget (dvs. at det ikke er noen annen rimelig måte å oppnå dette formålet på);

 

  1. dokumentere vår avgjørelse om hvilket lovlig grunnlag som gjelder, for å demonstrere at vi overholder databeskyttelsesprinsippene;

 

 

  1. inkludere informasjon om både formålene med behandlingen og det lovlige grunnlaget for den i vår(e) relevante personvernerklæring(er);

 

  1. der sensitive personopplysninger behandles, også identifisere en lovlig spesiell betingelse for behandling av denne informasjonen (se avsnitt 6.2.2 nedenfor), og dokumentere den; og

 

  1. der det behandles informasjon om straffbare forhold, også identifisere et lovlig vilkår for behandling av opplysningene, og dokumentere det.

 

  1. Når vi skal avgjøre om firmaets legitime interesser er det mest hensiktsmessige grunnlaget for lovlig behandling, vil vi:

 

  1. gjennomføre en vurdering av legitime interesser (LIA) og føre en oversikt over den, for å sikre at vi kan rettferdiggjøre avgjørelsen vår;

 

  1. hvis LIA identifiserer en betydelig personvernpåvirkning, vurder om vi også trenger å gjennomføre en databeskyttelseskonsekvensvurdering (DPIA)

 

  1. holde LIA under vurdering, og gjenta den hvis omstendighetene endrer seg; og

 

  1. inkludere informasjon om våre legitime interesser i vår(e) relevante personvernerklæring(er).

 

  1. Sensitive personopplysninger

 

  1. Sensitive personopplysninger blir noen ganger referert til som "spesielle kategorier av personopplysninger" eller "sensitive personopplysninger".

 

  1. Firmaet kan fra tid til annen ha behov for å behandle sensitive personopplysninger. Vi vil kun behandle sensitive personopplysninger hvis:

 

  1. vi har et lovlig grunnlag for å gjøre det som angitt i punkt 5.1.1 ovenfor, f.eks. er det nødvendig for å oppfylle ansettelseskontrakten, for å overholde firmaets juridiske forpliktelser eller for formålet med firmaets legitime interesser; og

 

  1. en av de spesielle betingelsene for behandling av sensitive personopplysninger gjelder, f.eks.

 

  1. den registrerte har gitt uttrykkelig samtykke;

 

  1. behandlingen er nødvendig for å utøve de arbeidsrettslige rettighetene eller forpliktelsene til firmaet eller den registrerte;

 

  1. behandlingen er nødvendig for å beskytte den registrertes vitale interesser, og den registrerte er fysisk ute av stand til å gi samtykke;

 

  1. behandling er knyttet til personopplysninger som åpenbart er offentliggjort av den registrerte;

 

  1. behandlingen er nødvendig for å etablere, utøve eller forsvare rettskrav; eller

 

  1. behandlingen er nødvendig av hensyn til vesentlige allmenne interesser.

 

  1. Før behandling av sensitive personopplysninger, må personalet varsle personvernombudet om den foreslåtte behandlingen, slik at personvernombudet kan vurdere om behandlingen er i samsvar med kriteriene nevnt ovenfor.

 

  1. Sensitive personopplysninger vil ikke bli behandlet før:

 

  1. vurderingen nevnt i punkt 6.3 har funnet sted; og

 

  1. den enkelte har blitt behørig informert (ved hjelp av en personvernerklæring eller på annen måte) om behandlingens art, formålene den utføres for og det juridiske grunnlaget for den.

 

  1. Firmaet vil ikke foreta automatiserte beslutninger (inkludert profilering) basert på noen persons sensitive personopplysninger.

 

  1. Firmaets personvernerklæring angir hvilke typer sensitive personopplysninger som firmaet behandler, hva de brukes til og det lovlige grunnlaget for behandlingen.

 

  1. Når det gjelder sensitive personopplysninger, vil firmaet overholde prosedyrene angitt i punkt 6.8 og 6.9 nedenfor for å sikre at det overholder databeskyttelsesprinsippene som er angitt i punkt 4 ovenfor.

 

  1. Under rekrutteringsprosessen: Befalslederen, med veiledning fra personvernombudet, vil sørge for at (med mindre loven tillater annet):

 

  1. under kortliste-, intervju- og beslutningsfasen stilles det ingen spørsmål knyttet til sensitiv personlig informasjon, for eksempel rase eller etnisk opprinnelse, fagforeningsmedlemskap eller helse;

 

  1. hvis sensitive personopplysninger mottas, f.eks. søkeren oppgir dem uten å bli bedt om det i sin CV eller under intervjuet, føres det ikke noe register over det og enhver henvisning til det slettes eller endres umiddelbart.

 

  1. ethvert utfylt skjema for likestillingsovervåking holdes atskilt fra den enkeltes søknadsskjema, og blir ikke sett av personen som shortlist, intervjuer eller tar rekrutteringsbeslutningen;

 

  1. "rett til arbeid"-kontroller utføres før et tilbud om ansettelse gjøres ubetinget, og ikke under de tidligere shortlistings-, intervju- eller beslutningsfasene;

 

  1. vi vil ikke stille helsespørsmål i forbindelse med rekruttering eller kun stille helsespørsmål når tilbud om ansettelse er gitt.

 

  1. Under ansettelse: Kontorsjefen, med veiledning fra personvernombudet, vil behandle:

 

  1. helseinformasjon med det formål å administrere sykepenger, føre sykefraværsjournaler, overvåke personalets oppmøte og tilrettelegge for sysselsettingsrelaterte helse- og sykepenger;

 

  1. sensitive personopplysninger med henblikk på likestillingsovervåking og likestillingsrapportering. Der det er mulig, vil denne informasjonen bli anonymisert; og

 

  1. informasjon om fagforeningsmedlemskap for personaladministrasjon og administrering av "kryss".

 

 

  1. Informasjon om strafferegister

 

  1. Informasjon om strafferegistre vil bli behandlet i samsvar med firmaets retningslinjer for informasjon om strafferegistre.

 

  1. Databeskyttelseskonsekvensvurderinger (DPIAer)

 

  1. Der behandling sannsynligvis vil resultere i en høy risiko for en persons databeskyttelsesrettigheter (f.eks. der firmaet planlegger å bruke en ny form for teknologi), vil vi, før behandlingen starter, gjennomføre en DPIA for å vurdere:

 

  1. om behandlingen er nødvendig og forholdsmessig i forhold til formålet;

 

  1. risikoen for enkeltpersoner; og

 

  1. hvilke tiltak som kan iverksettes for å håndtere disse risikoene og beskytte personopplysninger.

 

  1. Før noen ny form for teknologi introduseres, bør derfor ansvarlig leder kontakte personvernombudet slik at en DPIA kan gjennomføres.

 

  1. I løpet av enhver DPIA vil partneren søke råd fra databeskyttelsesansvarlig og synspunkter fra og eventuelle andre relevante interessenter.

 

  1. Dokumentasjon og journaler

 

  1. Vi vil føre skriftlige registre over behandlingsaktiviteter som har høy risiko, dvs. som kan resultere i en risiko for enkeltpersoners rettigheter og friheter eller involvere sensitive personopplysninger eller informasjon om kriminalitet, inkludert:

 

  1. navn og detaljer om arbeidsgiverorganisasjonen (og, der det er aktuelt, andre kontrollører, arbeidsgivers representant og DPO)

 

  1. formålene med behandlingen;

 

  1. en beskrivelse av kategoriene av individer og kategorier av personopplysninger;

 

  1. kategorier av mottakere av personopplysninger;

 

  1. der det er relevant, detaljer om overføringer til tredjeland, inkludert dokumentasjon av sikkerhetstiltakene for overføringsmekanismer på plass;

 

  1. der det er mulig, oppbevaringsplaner; og

 

  1. der det er mulig, en beskrivelse av tekniske og organisatoriske sikkerhetstiltak.

 

  1. Som en del av vår registrering av behandlingsaktiviteter dokumenterer vi, eller lenker til dokumentasjon, på:

 

  1. informasjon som kreves for personvernerklæringer;

 

  1. registreringer av samtykke;

 

  1. behandlingsansvarlig-behandler kontrakter;

 

  1. plasseringen av personlig informasjon;

 

  1. DPIAer; og

 

  1. registreringer av datainnbrudd.

 

  1. Hvis vi behandler sensitive personopplysninger eller kriminalregisteropplysninger, vil vi føre skriftlige registre over:

 

  1. det eller de relevante formålene som behandlingen finner sted for, inkludert (hvor det kreves hvorfor det er nødvendig for det formålet;

 

  1. det lovlige grunnlaget for vår behandling; og

 

  1. om vi beholder og sletter personopplysningene i samsvar med vårt policydokument og, hvis ikke, årsakene til at vi ikke følger våre retningslinjer.

 

  1. Vi vil gjennomføre regelmessige gjennomganger av personopplysningene vi behandler og oppdatere dokumentasjonen vår deretter. Dette kan inkludere:

 

  1. utføre informasjonsrevisjon for å finne ut hvilken personlig informasjon firmaet har;

 

  1. distribuere spørreskjemaer og snakke med ansatte i hele firmaet for å få et mer fullstendig bilde av våre behandlingsaktiviteter; og

 

  1. gjennomgå våre retningslinjer, prosedyrer, kontrakter og avtaler for å adressere områder som oppbevaring, sikkerhet og datadeling.

 

  1. Personvernerklæring

 

  1. Firmaet vil utstede personvernerklæringer fra tid til annen, og informere deg om personopplysningene vi samler inn og har knyttet til deg, hvordan du kan forvente at personopplysningene dine blir brukt og til hvilke formål.

 

  1. Vi vil iverksette passende tiltak for å gi informasjon i personvernerklæringer i en kortfattet, gjennomsiktig, forståelig og lett tilgjengelig form, med et klart og tydelig språk.

 

  1. Individuelle rettigheter

 

  1. Du (i likhet med andre registrerte) har følgende rettigheter i forhold til dine personopplysninger:

 

  1. å bli informert om hvordan, hvorfor og på hvilket grunnlag denne informasjonen behandles – se firmaets personvernerklæring om databeskyttelse;

 

  1. for å få bekreftelse på at informasjonen din blir behandlet og for å få tilgang til den og visse andre opplysninger, ved å sende inn en forespørsel om tilgang – se firmaets retningslinjer for forespørsel om emnetilgang;

 

  1. å få korrigert data hvis de er unøyaktige eller ufullstendige;

 

  1. å få data slettet hvis de ikke lenger er nødvendige for formålet de opprinnelig ble samlet inn/behandlet for, eller hvis det ikke er noen overordnede legitime grunner for behandlingen (dette er noen ganger kjent som "retten til å bli glemt");

 

  1. å begrense behandlingen av personopplysninger der nøyaktigheten av informasjonen bestrides, eller behandlingen er ulovlig (men du ikke ønsker at dataene skal slettes), eller der arbeidsgiveren ikke lenger trenger personopplysningene, men du krever at dataene skal etablere, utøve eller forsvare et rettskrav; og

 

  1. å begrense behandlingen av personopplysninger midlertidig der du ikke mener den er korrekt (og arbeidsgiveren kontrollerer om den er korrekt), eller der du har protestert mot behandlingen (og arbeidsgiveren vurderer om organisasjonens legitime grunner overstiger dine interesser ).

 

  1. Hvis du ønsker å utøve noen av rettighetene i paragraf 11.1.3 til 11.1.6, vennligst kontakt personvernombudet.

 

  1. Individuelle forpliktelser

 

  1. Enkeltpersoner er ansvarlige for å hjelpe firmaet med å holde sine personlige opplysninger oppdatert. Du bør gi beskjed til Office Manager hvis informasjonen du har oppgitt til Firmaet endres, for eksempel hvis du flytter eller endrer opplysninger om bank- eller byggeselskapskontoen du får betalt til.

 

  1. Du kan ha tilgang til personopplysningene til andre ansatte, leverandører og kunder til firmaet i løpet av din ansettelse eller engasjement. I så fall forventer firmaet at du bidrar til å oppfylle sine databeskyttelsesforpliktelser overfor disse personene. Du bør for eksempel være klar over at de også kan nyte godt av rettighetene angitt i avsnitt 11.1 ovenfor

 

 

  1. Hvis du har tilgang til personlig informasjon, må du:

 

  1. bare få tilgang til den personlige informasjonen du har myndighet til å få tilgang til, og kun for autoriserte formål;

 

  1. bare la andre firmaansatte få tilgang til personlig informasjon hvis de har passende autorisasjon;

 

  1. bare tillate enkeltpersoner som ikke er fast ansatte å få tilgang til personlig informasjon hvis du har spesifikk fullmakt til å gjøre det fra databeskyttelsesansvarlig;

 

  1. holde personlig informasjon sikker (f.eks. ved å overholde regler om tilgang til lokaler, datamaskintilgang, passordbeskyttelse og sikker fillagring og ødeleggelse og andre forholdsregler angitt i firmaets retningslinjer for informasjonssikkerhet;

 

  1. ikke fjerne personlig informasjon, eller enheter som inneholder personlig informasjon (eller som kan brukes for å få tilgang til den), fra firmaets lokaler med mindre passende sikkerhetstiltak er på plass (som pseudonymisering, kryptering eller passordbeskyttelse) for å sikre informasjonen og enheten; og

 

  1. ikke lagre personlig informasjon på lokale stasjoner eller på personlige enheter som brukes til jobbformål;

 

  1. Du bør kontakte personvernombudet hvis du er bekymret eller mistenker at ett av følgende har funnet sted (eller finner sted eller sannsynligvis vil finne sted):

 

  1. behandling av personopplysninger uten et lovlig grunnlag for behandlingen eller, når det gjelder sensitive personopplysninger, uten at ett av vilkårene i punkt 6.2.2 er oppfylt;

 

  1. ethvert databrudd som beskrevet i avsnitt 15.1 nedenfor;

 

  1. tilgang til personlig informasjon uten riktig autorisasjon;

 

  1. personlig informasjon som ikke oppbevares eller slettes sikkert;

 

  1. fjerning av personlig informasjon, eller enheter som inneholder personlig informasjon (eller som kan brukes for å få tilgang til den), fra firmaets lokaler uten at passende sikkerhetstiltak er på plass;

 

  1. ethvert annet brudd på denne policyen eller noen av databeskyttelsesprinsippene angitt i avsnitt 4.1 ovenfor.

 

  1. Informasjonssikkerhet

 

  1. Firmaet vil bruke passende tekniske og organisatoriske tiltak i samsvar med firmaets informasjonssikkerhetspolicy for å holde personopplysninger sikre, og spesielt for å beskytte mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade. Disse kan omfatte:

 

  1. sørge for at, der det er mulig, personlig informasjon er pseudonymisert eller kryptert;

 

  1. sikre pågående konfidensialitet, integritet, tilgjengelighet og motstandskraft til behandlingssystemer og tjenester;

 

  1. sikre at tilgjengelighet og tilgang til personopplysninger kan gjenopprettes i tide i tilfelle en fysisk eller teknisk hendelse; og

 

  1. en prosess for regelmessig testing, vurdering og evaluering av effektiviteten av tekniske og organisatoriske tiltak for å sikre sikkerheten til behandlingen.

 

  1. Der firmaet bruker eksterne organisasjoner til å behandle personopplysninger på sine vegne, må ytterligere sikkerhetsordninger implementeres i kontrakter med disse organisasjonene for å ivareta sikkerheten til personopplysninger. Spesielt må kontrakter med eksterne organisasjoner angi at:

 

  1. organisasjonen kan kun handle etter skriftlige instruksjoner fra firmaet;

 

  1. de som behandler dataene er underlagt en tillitsplikt;

 

  1. passende tiltak iverksettes for å sikre behandlingssikkerheten;

 

  1. underleverandører er kun engasjert med forhåndssamtykke fra firmaet og under en skriftlig kontrakt;

 

  1. organisasjonen vil bistå firmaet med å gi subjekttilgang og tillate enkeltpersoner å utøve sine rettigheter i forhold til databeskyttelse;

 

  1. organisasjonen vil bistå firmaet med å oppfylle sine forpliktelser i forhold til behandlingssikkerhet, varsling av datainnbrudd og konsekvensvurderinger for databeskyttelse;

 

  1. organisasjonen vil slette eller returnere all personlig informasjon til firmaet som forespurt på slutten av kontrakten; og

 

  1. organisasjonen vil underkaste seg revisjoner og inspeksjoner, gi firmaet all informasjon det trenger for å sikre at de begge oppfyller sine databeskyttelsesforpliktelser, og informere firmaet umiddelbart hvis det blir bedt om å gjøre noe som bryter databeskyttelsesloven.

 

  1. Før en ny avtale som involverer behandling av personopplysninger av en ekstern organisasjon inngås, eller en eksisterende avtale endres, må det relevante personalet søke godkjenning av vilkårene fra databeskyttelsesansvarlig;

 

  1. Lagring og oppbevaring av personopplysninger

 

  1. Personopplysninger (og sensitive personopplysninger) vil oppbevares sikkert i samsvar med firmaets retningslinjer for informasjonssikkerhet.

 

  1. Personopplysninger (og sensitive personopplysninger) bør ikke oppbevares lenger enn nødvendig. Hvor lenge data skal oppbevares vil avhenge av omstendighetene, inkludert årsakene til at personopplysningene ble innhentet. Personalet bør følge firmaets retningslinjer for oppbevaring av journaler som angir den relevante oppbevaringsperioden, eller kriteriene som skal brukes for å bestemme oppbevaringsperioden. Der det er usikkerhet, bør personalet konsultere [databeskyttelsesansvarlig;

 

  1. Personopplysninger (og sensitive personopplysninger) som ikke lenger er nødvendige vil bli slettet permanent fra våre informasjonssystemer og eventuelle papirkopier vil bli destruert på en sikker måte.

 

  1. Datainnbrudd

 

  1. Et databrudd kan ha mange forskjellige former, for eksempel:

 

  1. tap eller tyveri av data eller utstyr som personopplysninger er lagret på;

 

  1. uautorisert tilgang til eller bruk av personlig informasjon enten av et medlem av personalet eller tredjepart;

 

  1. tap av data som følge av feil på utstyr eller systemer (inkludert maskinvare og programvare);

 

  1. menneskelige feil, for eksempel utilsiktet sletting eller endring av data;

 

  1. uforutsette omstendigheter, som brann eller flom;

 

  1. bevisste angrep på IT-systemer, som hacking, virus eller phishing-svindel; og

 

  1. "plagging"-lovbrudd, der informasjon innhentes ved å lure organisasjonen som har den.

 

  1. Firmaet vil:

 

  1. foreta den påkrevde rapporten om et databrudd til informasjonskommissærens kontor uten unødig forsinkelse og, der det er mulig innen 72 timer etter å ha blitt kjent med det, dersom det er sannsynlig at det vil medføre en risiko for enkeltpersoners rettigheter og friheter; og

 

  1. varsle de berørte personene hvis et databrudd sannsynligvis vil resultere i en høy risiko for deres rettigheter og friheter, og varsling er lovpålagt.

 

  1. Internasjonale overføringer

 

  1. Firmaet kan overføre personopplysninger utenfor Det europeiske økonomiske samarbeidsområdet (EØS) (som omfatter landene i EU og Island, Liechtenstein og Norge) på grunnlag av at det landet, territoriet eller organisasjonen er utpekt til å ha et tilstrekkelig beskyttelsesnivå eller at organisasjonen som mottar informasjonen har gitt tilstrekkelige sikkerhetstiltak i form av bindende selskapsregler eller standard databeskyttelsesklausuler eller overholdelse av en godkjent atferdskodeks, eller med uttrykkelig samtykke fra klienten.

 

  1. Opplæring

 

  1. Firmaet vil sørge for at personalet er tilstrekkelig opplært angående deres databeskyttelsesansvar. Personer hvis roller krever regelmessig tilgang til personlig informasjon, eller som er ansvarlige for å implementere denne policyen eller svare på forespørsler om tilgang under denne policyen, vil motta ytterligere opplæring for å hjelpe dem å forstå pliktene deres og hvordan de skal overholde dem.

 

  1. Konsekvenser av å ikke overholde

 

  1. Firmaet tar overholdelse av disse retningslinjene svært alvorlig. Manglende overholdelse av retningslinjene:

 

  1. setter personene hvis personopplysninger behandles i fare; og

 

  1. bærer risikoen for betydelige sivile og strafferettslige sanksjoner for individet og firmaet; og

 

  1. kan under noen omstendigheter utgjøre en straffbar handling av den enkelte.

 

  1. På grunn av viktigheten av denne policyen, kan en ansatts unnlatelse av å overholde ethvert krav i den føre til disiplinære tiltak i henhold til våre prosedyrer, og denne handlingen kan resultere i oppsigelse på grunn av grov forseelse. Hvis en ikke-ansatt bryter denne policyen, kan de få kontrakten sin avsluttet med umiddelbar virkning.

 

  1. Hvis du har spørsmål eller bekymringer om noe i denne policyen, ikke nøl med å kontakte databeskyttelsesansvarlig;

 

 

 

Jeg har lest og forstått denne retningslinjen og godtar å følge dens vilkår.

 

Signert ................................................... ................................................................ .

bottom of page