PERSONVERNERKLÆRING

I følge norsk lovgivning og våre egne mål er vi forpliktet til å ta godt vare på personopplysninger som vi bruker i vår virksomhet. I dette dokumentet forklarer vi hvorfor og hvordan vi gjør dette, og opplyser deg om hva du har rett til. Vi henviser særlig til Personvernforordningen i fotnoter til teksten nedenfor for mer informasjon.

Hva gjelder denne erklæringen for?

Denne erklæringen gjelder for all behandling av personopplysninger i Serigstad Data. Den omfatter også behandling eller lagring av data hos underleverandører eller andre partnere, noe som vi har sikret gjennom avtaler og kontroller.

Hvilke data har vi?

Data for alle ansatte – navn, kontaktopplysninger, lønns- og skattedata, data om sykefravær og permisjoner, notat fra medarbeidersamtaler, arbeidskontrakter o.l. med rettslig hjemmel i Personvernforordningen artikkel 6.1 b)

Kontaktregister – kontaktinformasjon med navn, adresse, telefonnummer, epost o.l. som tilhører kunder, leverandører og andre partnere med rettslig hjemmel i personvernforordningen artikkel 6.1 b), c) and f)

Vi innhenter ikke data om sensitive forhold (helse, etnisitet, rase, religion, politisk retning, fagforeningsmedlemskap, seksuelle forhold, genetikk, biometrikk, straffbare forhold).

Hva brukes data til?

Data for ansatte brukes i vårt lønnssystem og til personaladministrasjon for alle rutiner som er pålagt oss som arbeidsgiver.

Kontaktregister (felles eller individuelt for hver ansatt) brukes i rutiner med markedsføring, kjøp og salg, vedlikehold, og kontakt med andre partnere og offentlige myndigheter.

Hvem har ansvaret, og hvordan har vi sikret oss?

Eier Jone Serigstad er behandlingsansvarlig for all behandling av personopplysninger, og kan kontaktes dersom du har nærmere spørsmål. Forespørsler om innsyn, korrigering eller sletting av opplysninger kan rettes til gdpr @ serigstad-data.no

 

Datavern er integrert i våre systemer. Vi har som mål å beskytte alle personopplysninger mot uautorisert eller utilsiktet tilgang, endring eller tap, og har arbeidsrutiner som oppfyller målsettingen. Vi har tilgangskontroll til alle våre datasystemer der ansatte får personlig tilgang tildelt etter hva slags arbeidsoppgaver de har. Alle ansatte har gjennomgått opplæring i datasikkerhet og i arbeidsrutinene.

Vi lagrer ikke data som kan føres tilbake til enkeltpersoner lenger enn nødvendig, og har rutiner for at de slettes når de ikke lenger er nødvendig.

Vårt utstyr og lokaler er beskyttet mot adgang fra uvedkommende.

Vi har et eget system for å registrere brudd på sikkerheten og uønskede hendelser, slik at de kan følges opp og eventuelle tiltak settes i verk for å begrense skadevirkningene og unngå gjentakelser. I mange tilfeller skal vi rapportere bruddet til registrerte personer og/eller til Datatilsynet.

Hvor henter vi data fra?

Det avhenger av hva slags data det dreier seg om, men hovedsakelig har vi disse kildene:

·         Deg selv, når du gir oss opplysninger i forbindelse med arbeidsavtalen og i andre sammenhenger

·         Fra offentlige etater, som f.eks. skatteetaten for å beregne skatt

·         Fra internt hold i bedriften, f.eks. timelister

 

Generelt skal du få vite om hvor data kommer fra når du ber om å få innsyn i dine opplysninger.

 

Gir vi data om deg til andre?

 

For ansatte må vi melde data om inntekt og andre ytelser til skatteetaten.

 

Utenom dette formidler vi ikke personopplysninger til andre utenom vår virksomhet. I alle tilfeller skal du kunne få vite om hvem som får opplysninger.

Samtykke

I noen tilfeller blir du spurt om å gi opplysninger som ikke er nødvendig for å oppfylle en avtale og heller ikke har annet rettslig grunnlag. Det kan dreie seg om f.eks. deltaking i frivillige aktiviteter, ekstra opplysninger som kan forenkle kommunikasjonen med deg el.l. I så fall skal du samtidig tydelig bli informert om at du må samtykke i å gi oss opplysningene.

Samtykket skal være frivillig uten tvang eller tilbud om andre fordeler, og klart forklare at det bare gjelder en aktivitet og hva det er. Du skal også bli fortalt hvem du kan henvende deg til for når som helst å kalle samtykket tilbake, og da skal informasjonen du har avgitt bli slettet og eventuell aktivitet opphøre. Du skal måtte avgi samtykket på en tydelig og aktiv måte, ved for eksempel å skrive under på et skjema, krysse av i en boks eller klikke på en knapp på en nettside. Vi vil da etterpå ha et klart bevis på at samtykket ble gitt.[1]

Begrensninger på bruk og tidsrom for lagring

Vi har ikke lov til å bruke personopplysninger for et formål som ikke samsvarer med det de ble samlet inn for uten å be deg om lov, eller der vi har klar hjemmel for det gitt i lov og forskrift.[2]

Opplysninger skal ikke lagres på en slik form at personer kan identifiseres, lenger enn det som er nødvendig for formålet.

For ansatte, vil vi måtte ta vare på alle opplysninger om utbetalt lønn o.l. ifølge reglene i bokføringsforskriften.  Opplysninger om formell kompetanse og sertifikater vil vi ta vare på i <…..> med tanke på eventuelle framtidige rettskrav som følge av sporing av produkter og tjenester.

Uten personidentifikasjon kan det være nødvendig å lagre opplysninger for produksjon av statistikk o.l.[3]

Informasjon om registrering

Dersom vi får og lagrer opplysninger om deg, skal vi informere deg om dette. Ofte skjer dette som en del av større regelmessige overføringer av data for mange personer, og da har vi ikke plikt til å informere hver enkelt. I stedet vil slike overføringer være dokumentert slik at det er allment tilgjengelig. Når vi informerer, skal du få vite hva slags opplysninger det dreier seg om, hvem de kommer fra, hvorfor vi har innhentet dem og eventuelt det juridiske grunnlaget, hvor lenge de skal lagres eller hvordan tidsrommet skal bestemmes, og eventuelt andre som vi vil gi dem til. Du vil også få vite hvor du kan henvende deg for å få nærmere opplysninger eller eventuelt klage.[4]

Rett til innsyn

Du har rett til å få innsyn i hvilke opplysninger som er lagret om deg ved å henvende deg til riktig etat eller avdeling. Merk at du må kunne legitimere deg, eller vi må på andre måter sikre oss at informasjonen ellers bare kan leveres til deg på en betryggende måte og ikke stjeles av andre. Du vil bli informert om hvorfor vi har disse opplysningene og hva de blir brukt til, hvilke andre instanser som eventuelt har fått opplysninger om deg, hvor vi har fått opplysningene fra, og hvor lenge vi vil lagre dem eller hvordan vi skal bestemme når de ikke lenger er nødvendige. Du skal også få beskjed hvordan du kan klage dersom du ikke er enig i det du får vite.

Dersom du selv har gitt opplysningene og de er gitt med en form for samtykke, kan du be om å få data på et vanlig maskinlesbart format (som en datafil) som gjør at du kan overlevere disse til bruk i et annet datasystem, eller du kan be om at Serigstad Data overfører det til andre for deg.

Rett til korreksjon

Du har rett til å be om å få opplysningene korrigert dersom de er feil, eller lagt til dersom de er ufullstendige. Du vil få en bekreftelse på at det er utført. Vi skal formidle korreksjonene til eventuelt andre som har fått opplysningene som var feil.

Rett til sletting

Du har rett til å be om at noen av eller alle opplysningene blir slettet, og en bekreftelse på at det er gjort. Merk at dette ikke gjelder for opplysninger som vi må ha for å kunne oppfylle en avtale (se personvernforordningen for mer informasjon). Vi vil eventuelt informere andre instanser som har fått opplysningene for å be om at gjør det samme dersom det er praktisk mulig.

Generelt om datavern

Alle våre ansatte som behandler personlige opplysninger har skrevet under taushetserklæring har fått opplæring i datavern. Tilgang til datasystemer og informasjonen som er lagret er gitt som personlige tilgangsrettigheter på grunnlag av arbeidsoppgavene, og beskyttet med personlige passord. Lokaler og utstyr er beskyttet mot tilgang av uvedkommende.

Alle som har tilgang til personopplysninger er pliktige til å melde om eventuelle avvik og sikkerhetsbrudd, og meldingene blir grundig vurdert og behandlet med spesielle tiltak dersom det er nødvendig. Rutiner og datavernet blir gjennomgått i alle fall årlig av ansvarlige ledere. Vi har rapporteringsplikt til Datatilsynet for alle sikkerhetsbrudd som kan gå ut over dine rettigheter til beskyttelse og friheter.

Mer opplysninger

Du kan lese hele personvernforordningen på https://lovdata.no/lov/2018-06-15-38

 


[1] Personvernforordningen §7

[2] Personvernforordningen §5.1b)

[3] Personvernforordningen §5.1e)

[4] Personvernforordningen §13

 

 

Tilbake