Personvernerklæring i Vesle Skaugum Fondet
2.... ANSVAR FOR BEHANDLING AV PERSONOPPLYSNINGER HOS OSS
3.... KUNNSKAP OVER REGLENE OM PERSONOPPLYSNINGER
4.... HVILKE PERSONOPPLYSNINGER BEHANDLES
5.... GRUNNKRAV FOR BEHANDLING AV PERSONOPPLYSNINGER
6.... GRUNNLAG FOR Å BEHANDLE PERSONOPPLYSNINGER
6.3. KONTAKTPERSONER HOS LEVERANDØRER
6.4. KONTAKTPERSONER HOS BEDRIFTSKUNDER
7.... GRUNNLAG FOR BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER
8.... INFORMASJON TIL DE REGISTRERTE (PERSONVERNERKLÆRING)
9.... REGISTRERTES RETTIGHETER
10... SLETTING AV PERSONOPPLYSNINGER
12... AVVIK, ANALYSE AV AVVIK OG TILTAK FOR Å RETTE OPP I DEM
13... KJØP AV IT-TJENESTER – DATABEHANDLERAVTALER
14... BRUDD PÅ PERSONOPPLYSNINGSSIKKERHETEN
15... KONTROLL, OPPDATERING OG REVISJON AV DOKUMENTET
1. Personvernerklæring
Dette dokumentet skal bidra til at Vesle Skaugum Fondet etterlever lov om personopplysninger fra 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger er i samsvar med loven.
2. Ansvar for behandling av personopplysninger hos oss
Vesle Skaugum Fondet er ansvarlig for personopplysninger vi behandler, for eksempel om egne ansatte, kontaktpersoner hos kunder og leverandører, privatkunder og andre forretningsforbindelser. Vesle Skaugum Fondet har ansvaret for å overholde de pliktene som følger av reglene om personopplysninger.
Det daglige behandlingsansvaret har forretningsfører i Vesle Skaugum Fondet, mens styret har det overordnet behandlingsansvar for alle personopplysninger som behandles i Vesle Skaugum Fondet.
Vesle Skaugum Fondet er derfor forpliktet til å informere deg hvordan vi behandler personopplysninger, dine rettigheter og hvordan Vesle Skaugum Fondet beskytter dine personopplysninger.
3. Kunnskap over reglene om personopplysninger
Vi skal sørge for at de ansatte har kjennskap til reglene om personopplysninger, herunder dette dokumentet om personvern. Kunnskapsnivået skal være tilpasset den enkelte ansattes behandling av personopplysninger. Ledelsen ved styret i Vesle Skaugum Fondet skal alltid ha kjennskap til regelverket.
4. Hvilke personopplysninger behandles
Vesle Skaugum Fondet behandler mange typer av personopplysninger i driften av Luftforsvarets feriested på Golsfjellet. Dette gjøres i et eget skjema der vi angir blant annet kategorier av registrerte, formål med behandlingen, hvor vi behandler alminnelige opplysninger som f.eks navn, adresse, telefon nummer, epostadresse og fødselsnummer. Skjemaet skal bidra til at vi etterlever reglene om behandling av personopplysninger.
5. Grunnkrav for behandling av personopplysninger
Loven stiller opp seks grunnlag som gjelder for all behandling av alle personopplysninger. Vesle Skaugum Fondet skal sørge for at personopplysninger skal:
- behandles på en lovlig, rettferdig og gjennomsiktig måte med hensyn til den registrerte («lovlighet, rettferdighet og gjennomsiktighet»)
- samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene («formålsbegrensning»)
- være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
- være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller korrigeres («riktighet»)
- lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for («lagringsbegrensning»)
- behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og fortrolighet»)
Hvis personopplysninger brukes til andre formål enn de er samlet inn for, se punkt 2 ovenfor, skal vi alltid vurdere om det nye eller endrede formålet er forenlig med det opprinnelige. Vi skal da ta hensyn til de faktorene som fremgår av personvernforordningen artikkel 6 nr. 4.
6. Grunnlag for å behandle personopplysninger
6.1. Behandlingsgrunnlag
Et grunnleggende personvernprinsipp er at den enkelte i størst mulig grad bestemmer selv over egne personopplysninger. Vi skal ha minst ett av følgende grunnlag for all behandling av personopplysninger:
- den registrerte har gitt samtykke til behandling av sine personopplysninger for ett eller flere spesifikke formål
- behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse
- behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige
- behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn (interesseavveining)
Det skal gå frem av kartleggingsskjemaet hvilke(t) grunnlag vi har for å behandle opplysninger.
Hvis grunnlaget for behandling er samtykke fra den registrerte (se nr. 1), skal vi sette oss inn i de særlige reglene som gjelder for slike samtykker, blant annet kravet om dokumentasjon.
Hvis grunnlaget for behandling er vår berettigede interesse (interesseavveining) (se nr. 4), skal vi konkret og skriftlig dokumentere avveiningen, se nærmere nedenfor.
6.2. Jobbsøkere
Behandlingen av personopplysninger er basert på interesseavveining. Vesle Skaugum Fondet har behov for å bruke opplysninger for å vurdere søknader jobbsøkere sender oss. Dette er en berettiget interesse. Det er ikke mulig å vurdere en søknad uten å behandle personopplysninger. Behandling er derfor nødvendig.
Vi bruker ikke opplysningene til noe annet enn å vurdere søknaden. Vi gir ikke opplysningene til noen andre. Vi kan beholde opplysninger fra jobbsøkere i seks måneder, i tilfelle jobbsøkere skulle mene at deres rettigheter ikke er oppfylt.
6.3. Kontaktpersoner hos leverandører
Behandlingen av personopplysninger er basert på interesseavveining. Vesle Skaugum Fondet har behov for å holde kontakt med våre leverandører for å følge opp blant annet tilbud, bestillinger og leveranser. Dette er en berettiget interesse. Den kontakten blir effektiv bare ved å kontakte enkeltpersoner direkte. Behandling er derfor nødvendig.
Behandlingen skjer overfor kontaktpersonens arbeidsgiver, som ønsker å være leverandør hos oss. I tillegg til navn behandler vi kontaktopplysninger, som telefonnummer, epostadresse og arbeidsgiver, som alle er knyttet først og fremst til kontaktpersonens arbeidsforhold og ikke til kontaktpersonens privatliv. Omfanget av opplysningene er svært begrenset. Behandlingen av opplysningene er knyttet til leverandørens næringsvirksomhet og ikke til kontaktpersonens privatliv. Vår behandling av personopplysningene er klart påregnelig for kontaktpersonen.
Vi mener at den berettigede interessen går foran kontaktpersonens interesser.
6.4. Kontaktpersoner hos bedriftskunder
Behandlingen av personopplysninger er basert på interesseavveining. Vesle Skaugum Fondet har behov for å holde kontakt med våre bedriftskunder for å følge opp tilbud, bestillinger og leveranser. Dette er en berettiget interesse. Den kontakten blir effektiv bare ved å kontakte enkeltpersoner direkte. Behandling er derfor nødvendig.
Behandlingen skjer overfor kontaktpersonens arbeidsgiver, som er kunde hos oss. I tillegg til navn behandler vi alminnelige opplysninger, som telefonnummer, epostadresse og arbeidsgiver, som alle er knyttet først og fremst til kontaktpersonens arbeidsforhold. Omfanget av opplysningene er derfor begrenset. Behandlingen av opplysningene er knyttet til leverandørens næringsvirksomhet og ikke til kontaktpersonens privatliv. Vår behandling av personopplysningene er klart påregnelig for kontaktpersonen.
Vi mener at den berettigede interessen går foran kontaktpersonens interesser.
6.5. Andre kontaktpersoner
Behandling av personopplysninger er basert på interesseavveining. Vesle Skaugum Fondet har behov for å ha kontakt med offentlige myndigheter, for eksempel NAV og tilsynsmyndigheter i forbindelse med offentligrettslige forhold der vi kan ha forpliktelser og rettigheter. Dette er en berettiget interesse. I en del tilfeller vil den kommunikasjonen kunne være effektiv bare hvis vi kan kontakte enkeltpersoner direkte. Behandling er derfor nødvendig.
Vi lagrer navn og kontaktdetaljer og vi bruker opplysningene til å kontakte personens arbeidsgiver. Opplysningene er knyttet til kontaktpersonens arbeidsgivers virksomhet og ikke til kontaktpersonens privatliv. Vår behandling av personopplysningene er klart påregnelig for kontaktpersonen.
Vi mener at den berettigede interessen går foran kontaktpersonens interesser.
7. Grunnlag for behandling av sensitive personopplysninger
Behandling av sensitive personopplysninger krever behandlingsgrunnlag i tillegg til de som er nevnt i punkt 6.
Sensitive personopplysninger er: opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.
Skal vi behandle slike opplysninger, skal vi sørge for å ha behandlingsgrunnlag. Helse omfatter for eksempel sykdom og skader og fravær begrunnet i dette. Særlig aktuelt behandlingsgrunnlag vil være at behandling er nødvendig i egenskap av arbeidsgiver, for eksempel ved oppfølgning og rapportering til offentlige myndigheter eller ved tilrettelegging av arbeidsforholdet.
Behandling av opplysninger om straffbare forhold og lovovertredelser o.l. er underlagt særlige regler som vi skal sette oss inn i hvis vi skal behandle slike opplysninger.
8. Informasjon til de registrerte (personvernerklæring)
Vesle Skaugum Fondet skal gi lovbestemt informasjon til de registrerte. Vi skal gi slik informasjon i en personvernerklæring, http://vesleskaugum.no/.
Alle registrerte skal ha tilgang til den informasjonen som gjelder dem. Informasjon til ansatte gir vi i personalhåndbok eller lignende.
Informasjonen skal inneholde blant annet navnet på bedriften og kontaktinformasjon, formålet med behandlingen, kategoriene av personopplysninger, mottakere av personopplysninger (dersom de utleveres), informasjon om eventuell utlevering av personopplysninger til andre land, hvor lenge personopplysningene vil bli lagret, de registrertes rett til å kreve innsyn, rette eller kreve slettet personopplysningene, hvordan virksomheten fikk tilgang til personopplysningene og muligheten til å klage virksomheten inn til Datatilsynet.
Hvis den registrerte er barn, skal vi vurdere særlig hvordan god informasjon kan gis.
9. Registrertes rettigheter
Vi skal besvare henvendelser fra registrerte uten ugrunnet opphold. Mottar vi slike henvendelser, skal de sendes til forretningsfører.
Vi skal sørge for at registrerte får gjennomført rettighetene sine hos oss.
10. Sletting av personopplysninger
Vesle Skaugum Fondet skal slette personopplysninger uten ugrunnet opphold når de ikke lenger er "nødvendig" for formålet som de ble samlet inn eller behandlet for. Våre retningslinjer for sletting følger nedenfor eller av kartleggingsskjemaet.
Ansatte
Vesle Skaugum Fondet beholder som hovedregel alle opplysninger i hele ansettelsestiden. Ansatte kan be om at opplysninger blir slettet. Dette vil bli vurdert konkret. Lovgivningen kan stille krav til lengre oppbevaringstid.
Tidligere ansatte og jobbsøkere
Se ovenfor om behandlingsgrunnlaget for disse kategoriene. Lovgivningen kan stille krav til lengre oppbevaringstid enn det som fremgår der.
Kontaktpersoner hos leverandører og kunder
Vesle Skaugum Fondet skal slette opplysningene når vi blir kjent med at kontaktpersonen har sluttet hos leverandøren eller kunden eller at leverandøren eller kunden har utpekt en ny kontaktperson. Det samme gjelder når leverandør- eller kundeforholdet er opphørt.
Vesle Skaugum Fondet kan likevel lagre opplysningene for en lengre periode hvis vi mener det kan bli nødvendig med dokumentasjon av den kontakten vi har hatt med leverandøren eller kunden. Det kan gjelde for eksempel spørsmål om rettigheter eller forpliktelser i avtaleforholdet med leverandøren eller kunden. Også lovgivningen kan stille krav til lengre oppbevaringstid.
Andre kontaktpersoner
Vesle Skaugum Fondet skal slette opplysningene når vi blir kjent med at personen ikke lenger er relevant for våre behov, herunder hvis personen slutter hos den bedriften, offentlig etaten osv.
Vesle Skaugum Fondet kan likevel lagre opplysningene for en lengre periode hvis vi mener det kan bli nødvendig med dokumentasjon kontakt med personen eller personens arbeidsgiver. Det kan gjelde for eksempel spørsmål om rettigheter eller forpliktelser i avtale-, offentligrettslige eller andre forhold.
11. Informasjonssikkerhet
Vesle Skaugum Fondet skal etter loven treffe passende tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som svarer til risikoen knyttet til vår behandling av personopplysninger.
12. Avvik, analyse av avvik og tiltak for å rette opp i dem
Vesle Skaugum Fondet må finne ut om behandlingen av personopplysninger følger reglene i personopplysningsloven og rutinene i dette dokumentet. Er det ikke tilfellet, må vi finne ut hvordan vi kan øke etterlevelsen.
13. Kjøp av IT-tjenester – databehandleravtaler
Vanligvis vil Vesle Skaugum Fondet opptre som behandlingsansvarlig når virksomheten kjøper IT-tjenester fra en tjenesteleverandør. Vesle Skaugum Fondet har da fortsatt ansvaret for at personvernlovgivningen blir etterlevd ved kjøp av disse tjenester og kan ikke bruke opplysninger til andre formål enn avtalt med Vesle Skaugum Fondet.
14. Brudd på personopplysningssikkerheten
Ved brudd på personopplysningssikkerheten (for eksempel hackerangrep eller tap av personopplysninger) skal Vesle Skaugum Fondet straks kontakte Datatilsynet for å finne ut hva vi bør gjøre.
"Brudd på personopplysningssikkerheten" betyr brudd som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som vi behandler.
Ved visse brudd på personopplysningssikkerheten skal vi varsle Datatilsynet og av og til også den registrerte. Varsling til Datatilsynet skal skje med én gang, og senest 72 timer etter at vi ble kjent med bruddet. Det er ikke nødvendig å varsle Datatilsynet hvis det er lite trolig at bruddet på personopplysningssikkerheten vil føre med seg risiko for enkeltpersoners rettigheter
15. Kontroll, oppdatering og revisjon av dokumentet
Vesle Skaugum Fondet skal oppdatere og revidere dette dokumentet jevnlig. Bakgrunnen er blant annet at reglene i lov og forskrift kan bli endret, vår behandling av personopplysninger kan bli endret eller erfaringer kan tilsi at vi bør endre rutinene våre. Av de samme grunnene skal vi også jevnlig gjennomgå og oppdatere skjemaene med kartlegging av behandling av personopplysninger.
Det er forretningsfører som har ansvar for at behov for endringer og revisjoner blir identifisert og innarbeidet i dokumentet og i skjemaet.
Evalueringen bør omfatte for eksempel på følgende spørsmål:
- Har Vesle Skaugum Fondet siden forrige revisjon endret (nye, endrede eller avsluttede) behandlinger av personopplysninger som ikke er behandlet i dokumentet eller i skjemaene?
- Tilsier de seks grunnkravene til behandling av personopplysninger at Vesle Skaugum Fondet bør endre rutiner eller praksis?
- Har det siden forrige revisjon trådt i kraft nye regler i lov eller forskrift som tilsier endringer?
- Har Vesle Skaugum Fondet siden forrige revisjon oppdaget andre områder for forbedring av dokumentet eller skjemaene?
- Har det kommet ny teknologi som gjør at personopplysninger kan sikres på en bedre måte