20 % rabatt på damehansker
Herre Outlet - Opptil 50 % rabatt
Dameutsalg - Opptil 50 % rabatt
NYT 10 % RABATT PÅ DIN FØRSTE BESTILLING NÅR DU MELDER DEG PÅ VÅRT NYHETSBREV
Dents Dents
Search
Sign in
Search
Search
My Bag
My Bag
My Bag
Search
Close

Forord

Vår Corporate Data Protection Policy stiller strenge krav til behandling av personopplysninger knyttet til kunder, potensielle kunder, forretningspartnere og ansatte. Den oppfyller kravene i det europeiske personvernregelverket (GDPR) og sikrer overholdelse av prinsippene i nasjonale og internasjonale personvernlovgivninger.

Policyen fastsetter gjeldende personvern- og sikkerhetsstandarder for vårt selskap og regulerer deling av informasjon mellom våre konsernselskaper. Vi har etablert syv prinsipper for databeskyttelse – blant dem åpenhet, dataøkonomi og datasikkerhet – som vår rettesnor.

Våre ledere og ansatte er forpliktet til å følge policyen og overholde sine lokale personvernlovgivninger.

Som ansvarlig for Corporate Data Protection er det min plikt å sikre at reglene og prinsippene for databeskyttelse hos Dents følges.

Robert Yentob

Styreleder

23/5/18

Innhold

I. Mål for personvernpolicyen

II. Omfang av personvernpolicyen

III. Anvendelse av nasjonale lover

IV. Prinsipper for behandling av personopplysninger

1. Rettferdighet og lovlighet

2. Begrensning til et spesifikt formål

3. Åpenhet

4. Dataminimering og dataøkonomi

5. Sletting

6. Faktuell nøyaktighet; oppdaterte data

7. Taushetsplikt og datasikkerhet

V. Pålitelighet ved databehandling

1. Kunde- og partnerdata

1.1 Databehandling for et kontraktsforhold

1.2 Databehandling for reklameformål

1.3 Samtykke til databehandling

1.4 Databehandling i henhold til lovlig autorisasjon

1.5 Databehandling i henhold til legitim interesse

1.6 Behandling av svært sensitive data

1.7 Automatiserte individuelle beslutninger

1.8 Brukerdata og internett

2. Ansattdata

2.1 Databehandling for arbeidsforholdet

2.2 Behandling av data basert på lovhjemmel

2.3 Samtykke til databehandling

2.4 Behandling av data basert på legitim interesse

2.5 Behandling av høysensitive data

2.6 Automatiserte beslutninger

2.7 Telekommunikasjon og internett

VI. Overføring av personopplysninger

VII. Kontraktsbehandling av data

VIII. Rettigheter til den registrerte

IX. Konfidensialitet ved behandling

X. Behandlingssikkerhet

XI. Personvernkontroll

XII. Personvernhendelser

XIII. Ansvar og sanksjoner

  1. I. Mål for personvernpolicyen

Som en del av sitt samfunnsansvar er Dewhurst Dent Group (konsernet) forpliktet til å overholde personvernlovgivningen. Denne personvernpolicyen gjelder globalt for konsernet og er basert på globalt aksepterte, grunnleggende prinsipper for databeskyttelse. Å sikre databeskyttelse er grunnlaget for tillitsfulle forretningsforbindelser og omdømmet til alle selskapene i konsernet som en attraktiv arbeidsgiver.

Personvernpolicyen gir en av de nødvendige rammebetingelsene for grenseoverskridende

dataoverføring mellom konsernets selskaper. Den sikrer et tilstrekkelig nivå av databeskyttelse

foreskrevet av GDPR og de nasjonale lovene for grenseoverskridende dataoverføring, inkludert i land som ennå ikke har tilstrekkelige personvernlovgivninger.

  1. II. Omfang av personvernpolicyen

Denne personvernpolicyen gjelder for alle selskaper og avdelinger i konsernet, dvs. Dents, Gaby, Dents Australia Pty, Corgi Hosiery Ltd, D.Charles Astle (Auctioneers) og Hersil Fabrics.

Personvernpolicyen gjelder all behandling av personopplysninger

  1. III. Anvendelse av nasjonale lover

Denne personvernpolicyen omfatter de internasjonalt aksepterte prinsippene for personvern

uten å erstatte de eksisterende nasjonale lovene. Den supplerer de nasjonale personvernlovene. The

relevant nasjonal lov vil ha forrang dersom den er i konflikt med denne personvernpolicyen

Policy, eller den har strengere krav enn denne policyen. Innholdet i denne personvernpolicyen

må også overholdes i fravær av tilsvarende nasjonal lovgivning. Rapporteringen

krav til databehandling i henhold til nasjonale lover må overholdes.

Hvert selskap i konsernet er ansvarlig for å overholde denne personvernpolicyen og de juridiske forpliktelsene. Alle ansatte må lese, forstå og følge denne policyen og eventuelle relaterte policyer ved behandling av personopplysninger, og brudd kan føre til disiplinærtiltak.

  1. IV. Prinsipper for behandling av personopplysninger

1. Rettferdighet og lovlighet

Når personopplysninger behandles, må de registrertes individuelle rettigheter beskyttes.

Personopplysninger må samles inn og behandles på en lovlig og rettferdig måte. Databeskyttelseslovgivningen tillater behandling for spesifikke formål, som er angitt i denne policyen. Registrerte vil bli informert om formålene for behandlingen av deres personopplysninger, detaljer som finnes i selskapets Ansattpersonvernerklæring.

2. Begrensning til et spesifikt, eksplisitt og legitimt formål

Personopplysninger kan kun behandles for spesifiserte, eksplisitte og legitime formål og vil ikke bli behandlet på en måte som er uforenlig med disse formålene. Etterfølgende endringer i formålet er kun mulig i begrenset grad og krever begrunnelse.


3. Åpenhet

Den registrerte må informeres om hvordan hans/hennes data behandles. [Ansatte vil få en personvernerklæring som informerer dem om hvordan deres data behandles.] Informasjonen vil være kortfattet, gjennomsiktig, lett tilgjengelig og i klart og enkelt språk.

Generelt vil personopplysninger bli samlet inn direkte fra den registrerte. Når dataene samles inn, må den registrerte enten være klar over eller informert om:

» Identiteten til den behandlingsansvarlige

» Formålet med databehandlingen

» Tredjeparter eller kategorier av tredjeparter som dataene kan bli overført til

Personopplysninger kan også samles inn indirekte (for eksempel fra en tredjepart eller offentlig tilgjengelige kilder). Den registrerte skal informeres om informasjonen ovenfor så snart som mulig etter innsamling/mottak av dataene.

4. Dataminimering og dataøkonomi

Personopplysninger må være tilstrekkelige, relevante og begrenset til det som er nødvendig i forhold til formålene de behandles for. Før behandling av personopplysninger må du avgjøre om og i hvilken grad behandlingen av personopplysninger er nødvendig for å oppnå formålet den utføres for.

Der formålet tillater det og der kostnaden står i forhold til målet som forfølges, må anonymiserte eller statistiske data brukes. Personopplysninger kan ikke samles inn på forhånd og lagres for potensielle fremtidige formål med mindre det kreves eller tillates av nasjonal lovgivning.

5. Sletting

Når personopplysninger ikke lenger er nødvendige, vil de bli slettet i samsvar med selskapets retningslinjer og retningslinjer for datalagring. De registrerte vil bli informert om perioden data lagres og hvordan denne perioden bestemmes i personvernerklæringen.

Tredjeparter må pålegges å slette data som ikke lenger er nødvendig der det er aktuelt.

6. Faktuell nøyaktighet; oppdaterte data

Personopplysninger som er lagret må være nøyaktige, og – om nødvendig – holdes oppdatert. Egnede tiltak må iverksettes for å sikre at unøyaktige eller ufullstendige data slettes, korrigeres, suppleres eller oppdateres.

7. Taushetsplikt og datasikkerhet

Personopplysninger er underlagt taushetsplikt. De må behandles konfidensielt på et personlig nivå og sikres med egnede organisatoriske og tekniske tiltak for å forhindre uautorisert tilgang, ulovlig behandling eller distribusjon, samt utilsiktet tap, skade, endring eller ødeleggelse. Vi har på plass sikkerhetstiltak som er passende for vår størrelse, omfang, ressurser og identifiserte risikoer, som vil bli regelmessig evaluert og testet. Vi har etablert prosedyrer for å håndtere mistenkte brudd på personopplysninger og vil varsle registrerte eller eventuelle relevante tilsynsmyndigheter der vi er lovpålagt å gjøre det.

Personopplysninger vil kun bli overført til tredjeparts tjenesteleverandører som samtykker i å overholde våre påkrevde retningslinjer og prosedyrer og som samtykker i å iverksette tilstrekkelige tiltak for å opprettholde datasikkerhet. Personopplysninger vil ikke bli overført til et annet land uten at passende sikkerhetstiltak er på plass.

  1. V. Pålitelighet av databehandling

Innsamling, behandling og bruk av personopplysninger er kun tillatt på følgende rettslige grunnlag.

En av disse rettslige grunnlagene kreves også hvis formålet med innsamling, behandling og bruk av personopplysninger skal endres fra det opprinnelige formålet.

1. Kunde- og partnerdata

1.1 Databehandling for et kontraktsforhold

Personopplysninger om relevante potensielle kunder, kunder og partnere kan behandles for å etablere, gjennomføre og avslutte en kontrakt. Dette inkluderer også rådgivningstjenester for partneren under kontrakten hvis dette er relatert til kontraktens formål. Før en kontrakt – i kontraktsinitieringsfasen – kan personopplysninger behandles for å forberede tilbud eller innkjøpsordrer eller for å oppfylle andre forespørsler fra den potensielle kunden som gjelder kontraktsinngåelse. Potensielle kunder kan kontaktes under kontraktsforberedelsesprosessen ved bruk av informasjonen de har gitt. Eventuelle begrensninger som er bedt om av de potensielle kundene må overholdes.

1.2 Databehandling for reklameformål

Hvis den registrerte kontakter et Group-selskap for å be om informasjon (f.eks. forespørsel om å motta informasjonsmateriell om et produkt), er databehandling for å imøtekomme denne forespørselen tillatt.

Kundetiltak for lojalitet eller reklame er underlagt ytterligere juridiske krav. Personopplysninger kan behandles for reklameformål eller markeds- og meningsundersøkelser, forutsatt at dette er i samsvar med formålet dataene opprinnelig ble samlet inn for. Den registrerte må informeres om bruken av hans/hennes data til reklameformål. Hvis data kun samles inn for reklameformål, er opplysningene fra den registrerte frivillige. Den registrerte skal informeres om at det er frivillig å gi data for dette formålet. Ved kommunikasjon med den registrerte skal det innhentes samtykke fra ham/henne for å behandle dataene til reklameformål. Ved samtykke skal den registrerte gis valg mellom tilgjengelige kontaktformer som vanlig post, e-post og telefon (Samtykke, se V.1.3). Hvis den registrerte nekter bruk av sine data til reklameformål, kan de ikke lenger brukes til disse formålene og må blokkeres fra bruk til disse formålene. Eventuelle andre restriksjoner fra spesifikke land angående bruk av data til reklameformål må overholdes.

1.3 Samtykke til databehandling

Data kan behandles etter samtykke fra den registrerte. Før samtykke gis, må den registrerte informeres i samsvar med IV.3. i denne personvernpolicyen. Samtykkeerklæringen må innhentes skriftlig eller elektronisk for dokumentasjonsformål. Under visse omstendigheter, som telefonsamtaler, kan samtykke gis muntlig. Innvilgelsen av samtykke må dokumenteres.

1.4 Databehandling i henhold til lovlig autorisasjon

Behandling av personopplysninger er også tillatt hvis nasjonal lovgivning krever, tillater eller pålegger dette. Type og omfang av databehandling må være nødvendig for den lovlig autoriserte databehandlingsaktiviteten, og må overholde relevante lovbestemmelser.

1.5 Databehandling i henhold til legitim interesse

Personopplysninger kan også behandles hvis det er nødvendig for en legitim interesse for konsernet. Legitime interesser er vanligvis av juridisk (f.eks. innkreving av utestående fordringer) eller kommersiell karakter (f.eks. unngåelse av kontraktsbrudd). Personopplysninger kan ikke behandles for formål knyttet til en legitim interesse hvis det i enkelt tilfeller foreligger bevis for at den registrertes interesser fortjener beskyttelse, og at dette går foran. Før data behandles, må det fastslås om det foreligger interesser som fortjener beskyttelse.

1.6 Behandling av svært sensitive data

Svært sensitive personopplysninger kan kun behandles hvis loven krever dette eller den registrerte har gitt uttrykkelig samtykke. Disse opplysningene kan også behandles hvis det er obligatorisk for å fastslå, utøve eller forsvare rettslige krav angående den registrerte. Hvis det planlegges å behandle svært sensitive data, må styreleder eller administrerende direktør i det aktuelle selskapet (som er personvernombudene) informeres på forhånd.

1.7 Automatiserte individuelle beslutninger

Automatisert behandling av personopplysninger som brukes til å evaluere visse aspekter (f.eks. kredittverdighet) kan ikke være det eneste grunnlaget for beslutninger som har negative juridiske konsekvenser eller som kan betydelig svekke den registrerte. Den registrerte må informeres om fakta og resultater av automatiserte individuelle beslutninger og muligheten til å svare. For å unngå feilaktige beslutninger må en ansatt gjennomføre en test og plausibilitetskontroll.

1.8 Brukerdata og internett

Hvis personopplysninger samles inn, behandles og brukes på nettsteder eller i apper, må de registrerte informeres om dette i en personvernerklæring og, om relevant, informasjon om informasjonskapsler. Personvernerklæringen og eventuell informasjonskapselinformasjon må integreres slik at den er lett å identifisere, direkte tilgjengelig og konsekvent tilgjengelig for de registrerte. Hvis bruksprofiler (sporing) opprettes for å evaluere bruken av nettsteder og apper, må de registrerte alltid informeres tilsvarende i personvernerklæringen. Personlig sporing kan kun gjennomføres hvis det er tillatt i henhold til nasjonal lov eller med samtykke fra den registrerte. Hvis sporing bruker et pseudonym, bør den registrerte få mulighet til å reservere seg i personvernerklæringen. Hvis nettsteder eller apper kan få tilgang til personopplysninger i et område begrenset til registrerte brukere, må identifikasjon og autentisering av den registrerte tilby tilstrekkelig beskyttelse ved tilgang.

2. Ansattdata

2.1 Databehandling for arbeidsforholdet

I arbeidsforhold kan personopplysninger behandles hvis det er nødvendig for å oppfylle arbeidskontrakten, inkludert for å starte, gjennomføre og avslutte ansettelsen. Når et arbeidsforhold initieres, kan søkerens personopplysninger behandles. Hvis kandidaten blir avvist, må hans/hennes data slettes innen 6 måneder med mindre søkeren har samtykket til at de skal beholdes for en fremtidig utvelgelsesprosess.

I det eksisterende arbeidsforholdet kan databehandling være nødvendig for å oppfylle arbeidskontrakten, men det kan også finnes andre lovlige grunnlag for behandlingen, som angitt nedenfor. Hvis det under søknadsprosedyren skulle være nødvendig å innhente informasjon om en søker fra en tredjepart, må kravene i de tilsvarende nasjonale lovene overholdes. Ved tvil må samtykke innhentes fra den registrerte. Det kan finnes alternative rettslige grunnlag for å behandle personopplysninger som er knyttet til arbeidsforholdet. Dette kan inkludere lovpålagte krav, samtykke fra den ansatte eller selskapets legitime interesse.

2.2 Databehandling i henhold til lovpålagt plikt

Behandling av personopplysninger om ansatte er også tillatt dersom nasjonal lovgivning krever, forutsetter eller gir tillatelse til dette. Type og omfang av databehandlingen må være nødvendig for den lovlig autoriserte databehandlingsaktiviteten, og må overholde relevante lovbestemmelser.

2.3 Samtykke til databehandling

Ansattdata kan behandles etter samtykke fra den registrerte. Samtykkeerklæringer må gis frivillig. Ufrivillig samtykke er ugyldig. Samtykkeerklæringen må innhentes skriftlig eller elektronisk for dokumentasjonsformål. Under visse omstendigheter kan samtykke gis muntlig, i så fall må det dokumenteres på en forsvarlig måte.

En ansatt samtykker til behandling av sine personopplysninger hvis de tydelig gir uttrykk for enighet enten ved en erklæring eller positiv handling overfor behandlingen. Hvis samtykke gis i et dokument som omhandler andre saker, må samtykket holdes adskilt fra disse andre sakene. Ansatte må enkelt kunne trekke tilbake samtykke når som helst.

Med mindre det foreligger et annet rettslig grunnlag for behandling, kreves eksplisitt samtykke for behandling av spesielle kategorier av data (se pkt. 2.5 nedenfor). Vanligvis vil selskapet basere seg på et annet rettslig grunnlag og vil ikke kreve eksplisitt samtykke for å behandle spesielle kategoridata.

2.4 Databehandling i henhold til legitim interesse

Personopplysninger kan også behandles hvis det er nødvendig for formål knyttet til en legitim interesse for konsernet eller en tredjepart. Legitime interesser er vanligvis av juridisk art (f.eks. arkivering, håndheving eller forsvar mot rettslige krav), økonomisk art (f.eks. verdivurdering av selskaper) eller annen art (f.eks. Det er nødvendig å beskytte livsviktige interesser til den enkelte eller en annen person eller Det er nødvendig for utførelsen av en oppgave i allmennhetens interesse)

Personopplysninger kan ikke behandles basert på en legitim interesse hvis disse interessene i enkelt tilfeller overstyres av den registrertes interesser eller grunnleggende rettigheter og friheter som krever beskyttelse av personopplysninger. De legitime interessene som påberopes vil bli angitt i gjeldende personvernerklæringer. Videre må eventuelle tilleggskrav i henhold til nasjonal lovgivning (f.eks. medbestemmelsesrett for ansatterepresentanter og informasjonsrettigheter for de registrerte) tas i betraktning.

2.5 Behandling av høysensitive data

Svært sensitive personopplysninger kan kun behandles under visse betingelser. Svært sensitive data er data om rase- og etnisk opprinnelse, politiske meninger, religiøse eller filosofiske overbevisninger, fagforeningsmedlemskap, genetiske data, biometriske data, helsedata og data om den registrertes seksualliv og orientering. I henhold til nasjonal lov kan ytterligere datakategorier anses som svært sensitive eller innholdet i datakategoriene kan defineres annerledes. Videre kan data som gjelder straffedommer og lovbrudd ofte kun behandles under spesielle krav i nasjonal lovgivning. Behandlingen må være uttrykkelig tillatt eller foreskrevet i nasjonal lov. I tillegg kan behandling være tillatt hvis det er nødvendig for at den ansvarlige myndighet skal oppfylle sine rettigheter og plikter innen arbeidsrett. Den ansatte kan også gi uttrykkelig samtykke til behandling. Hvis det planlegges å behandle svært sensitive data, må personvernansvarlig informeres på forhånd.

Svært sensitive data kan behandles under følgende omstendigheter:

  • Med uttrykkelig samtykke fra den registrerte
  • Der behandlingen er nødvendig for å utføre eller utøve forpliktelser eller rettigheter som pålegges av lov på den behandlingsansvarlige eller den registrerte i forbindelse med ansettelse, sosial sikkerhet eller sosial beskyttelse, og arbeidsgiver har et passende policy-dokument og ytterligere sikkerhetstiltak på plass
  • Der behandlingen er nødvendig for å beskytte livsviktige interesser til den enkelte eller en annen person, og den enkelte er ute av stand til å gi samtykke
  • Der behandlingen gjelder personopplysninger som den enkelte har gjort offentlig
  • Der behandlingen er nødvendig for å fastsette, utøve eller forsvare rettskrav
  • Der behandlingen er nødvendig av hensyn til vesentlig allmenne interesser, forutsatt at arbeidsgiver har et passende policy-dokument og ytterligere sikkerhetstiltak på plass. Dette kan inkludere behandling av data for å fremme lik behandling
  • Der behandlingen er nødvendig for vurdering av den enkeltes arbeidsevne eller i forbindelse med kontakt med helsepersonell, og underlagt taushetspliktsregler

2.6 Automatiserte beslutninger

Hvis personopplysninger behandles automatisk som en del av arbeidsforholdet, og spesifikke personopplysninger vurderes (f.eks. som en del av personalutvelgelse eller evaluering av ferdighetsprofiler), kan ikke denne automatiske behandlingen være det eneste grunnlaget for beslutninger som vil ha negative konsekvenser eller betydelig innvirkning på den berørte ansatte. For å unngå feilaktige beslutninger må den automatiserte prosessen sikre at en fysisk person vurderer situasjonens innhold, og at denne vurderingen er grunnlaget for beslutningen. Den registrerte må også informeres om fakta og resultater av automatisert behandling og muligheten til å svare. Selskapet har ikke planer om å bruke automatisert beslutningstaking, men vil varsle ansatte skriftlig hvis situasjonen endres.

2.7 Telekommunikasjon og internett

Telefonutstyr, e-postadresser, intranett og internett sammen med interne sosiale nettverk tilbys av selskapet primært for arbeidsrelaterte oppgaver. De er et verktøy og en selskapsressurs. De kan brukes innenfor gjeldende lovbestemmelser og interne selskapsretningslinjer. Ved autorisert bruk til private formål må lovene om hemmelighold av telekommunikasjon og relevante nasjonale telekommunikasjonslover overholdes hvis aktuelt. Det vil ikke være generell overvåking av telefon- og e-postkommunikasjon eller intranett/internettbruk. For å forsvare mot angrep på IT-infrastrukturen eller individuelle brukere, kan beskyttelsestiltak implementeres for tilkoblingene til Group-selskapenes nettverk som blokkerer teknisk skadelig innhold eller som analyserer angrepsmønstre. Av sikkerhetsgrunner kan bruken av telefonutstyr, e-postadresser, intranett/internett og interne sosiale nettverk logges for en midlertidig periode. Evalueringer av disse dataene fra en spesifikk person kan kun gjøres ved mistanke om brudd på lover eller retningslinjer i Gruppen. De relevante nasjonale lovene må overholdes på samme måte som Group-reglene.

  1. VI. Overføring av personopplysninger

Overføring av personopplysninger til mottakere utenfor eller innenfor Gruppen er underlagt autorisasjonskravene for behandling av personopplysninger under Seksjon V. Personopplysninger vil ikke bli delt med tredjeparter med mindre visse sikkerhetstiltak og kontraktsmessige ordninger er på plass. Data-mottakeren må pålegges å bruke dataene kun til de definerte formålene og i samsvar med våre instruksjoner.

I tilfelle data overføres til en mottaker utenfor Gruppen til et tredjeland, inkludert et land utenfor EU, vil vi sikre at det finnes et tilstrekkelig beskyttelsesnivå i det landet for å beskytte personopplysninger tilsvarende beskyttelsesnivåene som er angitt i denne personvernpolicyen. Hvis data overføres av en tredjepart til et Group-selskap, må det sikres at dataene vil bli brukt til det tiltenkte formålet.

  1. VII. Kontraktsdatabehandling

Databehandling på vegne betyr at en leverandør blir ansatt for å behandle personopplysninger, uten

å bli tildelt ansvar for den relaterte forretningsprosessen. I disse tilfellene, en avtale

om databehandling på vegne må inngås med eksterne leverandører og mellom selskaper

innenfor konsernet. Klienten beholder fullt ansvar for korrekt utførelse av databehandlingen. Leverandøren kan kun behandle personopplysninger i henhold til instruksjoner fra klienten. Ved utstedelse av bestillingen må følgende krav overholdes; avdelingen som avgir bestillingen må sikre at de oppfylles.

  1. Leverandøren må velges basert på sin evne til å dekke de nødvendige tekniske og organisatoriske beskyttelsestiltakene.
  2. Bestillingen må gjøres skriftlig. Instruksjonene om databehandling og ansvarsfordelingen mellom klient og leverandør må dokumenteres.
  3. De kontraktsmessige standardene for databeskyttelse gitt av Data Protection Manager må tas i betraktning.
  4. Før databehandling begynner, må klienten være trygg på at leverandøren vil overholde pliktene. En leverandør kan dokumentere sin overholdelse av datasikkerhetskrav i

spesielt ved å fremlegge egnet sertifisering. Avhengig av risikoen ved databehandlingen må gjennomgangene gjentas regelmessig i kontraktens løpetid.

  1. Bruke kun ansatte og andre personer som har taushetsplikt med hensyn til dataene.
  2. Overholde sikkerhetsforpliktelser tilsvarende de som pålegges arbeidsgiveren under GDPR.
  3. Varsle arbeidsgiveren om ethvert brudd i forhold til personopplysningene delt av arbeidsgiveren.
  4. Inngå en underbehandler kun med forhåndstillatelse fra arbeidsgiveren.
    1. Ved grenseoverskridende kontraktsdatabehandling må de relevante nasjonale kravene for utlevering av personopplysninger til utlandet oppfylles. Spesielt kan personopplysninger fra Det europeiske økonomiske samarbeidsområdet kun behandles i et tredjeland hvis leverandøren kan bevise at det har en databeskyttelsesstandard som tilsvarer denne personvernpolicyen. Egnede verktøy kan være:
      1. Avtale om EU-standard kontraktsklausuler for kontraktsdatabehandling i tredjeland med leverandøren og eventuelle underleverandører.
      2. Deltakelse fra leverandøren i et sertifiseringssystem akkreditert av EU for å tilby et tilstrekkelig databeskyttelsesnivå.
      3. Anerkjennelse av bindende konsernregler fra leverandøren for å skape et passende nivå av databeskyttelse av de ansvarlige tilsynsmyndighetene for databeskyttelse.

  1. VIII. Rettigheter for den registrerte

Enhver registrert har følgende rettigheter;

  1. Den registrerte kan be om informasjon om hvilke personopplysninger som er lagret om ham/henne, hvordan dataene ble samlet inn, og til hvilket formål. Hvis det finnes ytterligere rettigheter til

se arbeidsgiverens dokumenter (f.eks. personalmappe) for arbeidsforholdet under

de relevante arbeidslovene, disse vil forbli upåvirket.

  1. Hvis personopplysninger overføres til tredjeparter, må det gis informasjon om identiteten

til mottakeren eller kategoriene av mottakere.

  1. Hvis personopplysninger er uriktige eller ufullstendige, kan den registrerte be om at de korrigeres.

eller supplert.

  1. Den registrerte kan motsette seg behandling av sine data for formål knyttet til reklame eller markeds-/meningsundersøkelser. Dataene må blokkeres fra slik bruk.
  2. Den registrerte kan be om at hans/hennes data slettes dersom behandlingen av slike data ikke har noe rettslig grunnlag, eller hvis det rettslige grunnlaget ikke lenger gjelder. Det samme gjelder dersom formålet med databehandlingen har opphørt eller ikke lenger er aktuelt av andre grunner. Eksisterende lagringsperioder og motstridende interesser som krever beskyttelse må overholdes.
  3. Den registrerte har som regel rett til å motsette seg at hans/hennes data behandles når vi baserer oss på en legitim interesse (eller en tredjeparts) for behandlingen, og det er noe ved den registrertes spesielle situasjon som gjør at han/hun ønsker å motsette seg behandlingen på dette grunnlaget. Dette må tas i betraktning dersom beskyttelsen av hans/hennes interesser går foran behandlingsansvarliges interesse på grunn av en spesiell personlig situasjon. Dette gjelder ikke dersom en lovbestemmelse krever at dataene behandles, eller hvis behandlingen er nødvendig for etablering, utøvelse eller forsvar av rettskrav.
  4. Den registrerte kan be om begrensning av behandlingen av sine personopplysninger. Dette gjør det mulig for den registrerte å be om at behandlingen av personopplysninger suspenderes, for eksempel hvis de ønsker at arbeidsgiveren skal fastslå riktigheten eller årsaken til behandlingen.
  5. Den registrerte kan under visse omstendigheter be om overføring av sine personopplysninger til en annen part.

  1. IX. Konfidensialitet ved behandling

Personopplysninger er underlagt taushetsplikt. Enhver uautorisert innsamling, behandling eller bruk av slike data av ansatte er forbudt. Enhver databehandling utført av en ansatt som han/hun ikke har fått autorisasjon til å utføre som en del av hans/hennes legitime oppgaver, er uautorisert. Prinsippet om «need to know» gjelder. Ansatte kan ha tilgang til personlig informasjon kun i den grad det er hensiktsmessig for typen og omfanget av den aktuelle oppgaven. Dette krever en nøye oppdeling og separasjon, samt implementering, av roller og ansvar. Ansatte har forbud mot å bruke personopplysninger til private eller kommersielle formål, å avsløre dem til uautoriserte personer, eller å gjøre dem tilgjengelige på annen måte. Veiledere må informere sine ansatte ved starten av arbeidsforholdet om plikten til å beskytte datakonfidensialitet. Denne plikten skal forbli i kraft selv etter at arbeidsforholdet er avsluttet.

  1. X. Behandlingssikkerhet

Personopplysninger må beskyttes mot uautorisert tilgang og ulovlig behandling eller utlevering, samt utilsiktet tap, endring eller ødeleggelse. Dette gjelder uavhengig av om data behandles elektronisk eller på papir. Før innføring av nye metoder for databehandling, spesielt nye IT-systemer, må tekniske og organisatoriske tiltak for å beskytte personopplysninger defineres og implementeres. Disse tiltakene må baseres på dagens teknologi, risikoene ved behandlingen og behovet for å beskytte dataene (fastsatt gjennom prosessen for informasjonsklassifisering). Spesielt kan den ansvarlige avdelingen rådføre seg med sin personvernansvarlige.

  1. XI. Personvernkontroll

Overholdelse av Personvernpolicyen og gjeldende personvernlover lover kontrolleres regelmessig. Resultatene av personvernkontrollene må rapporteres til personvernansvarlig.

  1. XII. Personvernhendelser

Alle ansatte må umiddelbart informere sin overordnede eller personvernansvarlig om tilfeller av brudd på denne Personvernpolicyen eller andre regler om beskyttelse av personopplysninger (personvernhendelser). Den ansvarlige lederen for funksjonen eller enheten er pålagt å umiddelbart informere den ansvarlige personvernansvarlige om personvernhendelser.

I tilfeller av

» uautorisert overføring av personopplysninger til tredjepart,

» uautorisert tilgang av tredjepart til personopplysninger, eller

» tap av personopplysninger

de nødvendige selskapsrapportene (Informasjonssikkerhetshendelseshåndtering) må utarbeides

umiddelbart slik at eventuelle rapporteringsplikter etter nasjonal lov kan overholdes.

  1. XIII. Ansvar og sanksjoner

De utøvende organene i konsernselskapene er ansvarlige for databehandling innenfor sitt ansvarsområde. Derfor er de pålagt å sikre at de juridiske kravene, og de som er nedfelt i Personvernpolicyen, for databeskyttelse overholdes (f.eks. nasjonale rapporteringsplikter). Ledelsen er ansvarlig for å sikre at organisatoriske, HR- og tekniske tiltak er på plass slik at all databehandling utføres i samsvar med personvernet. Overholdelse av disse kravene er de relevante ansattes ansvar. Hvis offentlige myndigheter utfører kontroller av personvern, må personvernansvarlig informeres umiddelbart. Feilaktig behandling av personopplysninger, eller andre brudd på personvernlovgivningen, kan straffeforfølges i mange land og føre til erstatningskrav. Brudd som enkeltansatte er ansvarlige for, kan føre til sanksjoner etter arbeidsretten.