Disse retningslinjene fastsetter de interne reglene for den behandlingsansvarliges databehandlingsaktiviteter for å overholde EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger og om opphevelse av forordning (EF) nr. 95/46/EF (personvernforordningen).

 

Utferdiget i Budapest, den 24. mai 2018

 

 

Data om behandlingsansvarlig

 

 

Navn: BGR Central Europe Kft.
Adresse: 1047 Budapest, Perényi Zsigmond utca 10. 2. etasje 2.
Selskapets registreringsnummer: 01-09-404629
Registrert : Fővárosi Törvényszék Cégbírósága
Skattenummer: 32054527-2-41
Bankkontonummer: CIB
Telefonnummer: 06-30-285-1856

E-post: hello (at) baseballsapka.hu

 

 

 

 

 I. KAPITTEL 2

GENERELLE BESTEMMELSER

 

 

Reglenes formål og virkeområde

 

  1. Formålet med denne erklæringen er å fastsette interne regler og tiltak for å sikre at den behandlingsansvarliges databehandling og datahåndtering er i samsvar med EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016.) om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger og om oppheving av forordning (EF) nr. 95/46/EF (personvernforordningen, heretter kalt "forordningen") - og bestemmelsene i lov CXII av 2011 om retten til informasjonsmessig selvbestemmelse og informasjonsfrihet (heretter kalt "infotv.").

 

  1. Denne erklæringen dekker Behandlingsansvarliges behandling av personopplysninger om fysiske personer.

 

  1. Kunder, oppdragsgivere, kunder og leverandører til selvstendig næringsdrivende, enkeltpersonforetak, enkeltmannsforetak og selvstendig næringsdrivende jordbrukere skal anses som fysiske personer i henhold til disse reglene.

 

  1. Retningslinjene omfatter ikke behandling av personopplysninger om juridiske personer, herunder den juridiske personens navn og organisasjonsform og kontaktopplysninger (GDPR (14)).

 

Definisjoner

 

  1. For denne forordningens formål er definisjonene som skal gjelde, angitt i artikkel 4 i forordningen. De viktigste definisjonene er uthevet i samsvar med dette:

"personopplysninger": enhver opplysning om en identifisert eller identifiserbar fysisk person ("den registrerte"); en identifiserbar fysisk person er en person som kan identifiseres, direkte eller indirekte, særlig ved hjelp av en identifikator, f.eks. et navn, et nummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for den fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identiteten til den fysiske personen;

"datahåndtering": enhver operasjon eller rekke av operasjoner som utføres på personopplysninger eller på grupper av personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultasjon, bruk, utlevering, overføring, spredning eller annen form for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring;

"Begrensning av behandling": identifisering av de lagrede personopplysningene for å begrense fremtidig behandling av dem;

"profilering": enhver form for automatisert behandling av personopplysninger der personopplysninger brukes til å evaluere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi egenskaper knyttet til vedkommendes arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser;

"pseudonymisering": behandling av personopplysninger på en slik måte at det ikke lenger er mulig å identifisere den fysiske personen som personopplysningene gjelder uten ytterligere informasjon, forutsatt at slik ytterligere informasjon oppbevares separat og at det treffes tekniske og organisatoriske tiltak for å sikre at det ikke opprettes noen forbindelse mellom personopplysningene og en identifisert eller identifiserbar fysisk person;

"registersystem": et sett med personopplysninger, oppdelt på en hvilken som helst måte, enten det er sentralisert, desentralisert eller etter funksjonelle eller geografiske kriterier, som er tilgjengelig på grunnlag av spesifikke kriterier;

"behandlingsansvarlig": en fysisk eller juridisk person, offentlig myndighet, et organ eller ethvert annet organ som, alene eller sammen med andre, bestemmer formålene med og midlene for behandlingen av personopplysninger; dersom formålene med og midlene for behandlingen er fastsatt i unionsretten eller medlemsstatenes nasjonale rett, kan den behandlingsansvarlige eller de spesifikke kriteriene for utpeking av den behandlingsansvarlige også være fastsatt i unionsretten eller medlemsstatenes nasjonale rett;

"databehandler": en fysisk eller juridisk person, offentlig myndighet, etat eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige;

"mottaker": den fysiske eller juridiske personen, offentlige myndigheten, etaten eller ethvert annet organ som personopplysningene utleveres til, uavhengig av om det er en tredjepart eller ikke. Offentlige myndigheter som kan ha tilgang til personopplysninger i forbindelse med en individuell etterforskning i samsvar med unionsretten eller medlemsstatenes nasjonale rett, er ikke mottakere; disse offentlige myndighetenes behandling av disse opplysningene må være i samsvar med gjeldende personvernregler i henhold til formålet med behandlingen;

"tredjepart": en fysisk eller juridisk person, offentlig myndighet, et organ eller et annet organ enn den registrerte, den behandlingsansvarlige, databehandleren eller de personene som under den behandlingsansvarliges eller databehandlerens direkte myndighet er autorisert til å behandle personopplysninger;

"samtykke fra den registrerte": en frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte, der han eller hun ved en erklæring eller handling som uttrykker sitt utvetydige samtykke, gir sitt samtykke til behandling av personopplysninger som gjelder ham eller henne;

"databeskyttelseshendelser": et brudd på sikkerheten som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller behandlet på annen måte.

 

KAPITTEL II

SIKRE AT BEHANDLINGEN ER LOVLIG

 

Behandling basert på samtykke fra den registrerte

 

  1. Dersom den behandlingsansvarlige har til hensikt å utføre behandling basert på samtykke, skal den registrertes samtykke til behandling av hans eller hennes personopplysninger innhentes ved å Vedlegg nr. i samsvar med innholdet og informasjonen som er gitt i skjemaet for dataanmodning, og ved kjøp i nettbutikken kan den registrerte gi sitt samtykke til behandling av opplysningene sine i samsvar med disse retningslinjene ved å krysse av i den relevante boksen før kjøpet påbegynnes.

 

  1. Samtykke skal også anses å være gitt hvis den registrerte, når han eller hun besøker nettstedet til den behandlingsansvarlige (baseballsapka.hu), krysser av i en boks for dette, foretar de relevante tekniske innstillingene når han eller hun bruker informasjonssamfunnstjenester, eller kommer med en annen uttalelse eller foretar en annen handling som i den relevante sammenhengen utvetydig indikerer den registrertes samtykke til den tiltenkte behandlingen av hans eller hennes personlige data. Taushet, avkryssing i en boks eller passivitet utgjør derfor ikke samtykke.

 

  1. Samtykke dekker alle behandlingsaktiviteter som utføres for samme formål eller formål. Hvis behandlingen utføres for mer enn ett formål, skal samtykket gis for alle formålene som behandlingen utføres for.

 

  1. Dersom den registrerte gir sitt samtykke i en skriftlig erklæring som også gjelder andre forhold, skal anmodningen om samtykke presenteres på en måte som klart kan skilles fra disse andre forholdene, i en klar og lett tilgjengelig form og på et klart og tydelig språk. Enhver del av en slik erklæring som inneholder den registrertes samtykke som er i strid med forordningen, skal ikke være bindende.

 

  1. Den behandlingsansvarlige kan ikke gjøre inngåelsen eller oppfyllelsen av en avtale betinget av at det gis samtykke til behandling av personopplysninger som ikke er nødvendige for å oppfylle avtalen.

 

  1. Det skal være mulig å trekke tilbake samtykket på samme enkle måte som det er gitt.

 

  1. Hvis personopplysningene er samlet inn med samtykke fra den registrerte, kan den behandlingsansvarlige behandle de innsamlede opplysningene for å oppfylle en rettslig forpliktelse som den registrerte er underlagt, med mindre annet er fastsatt i lov, uten ytterligere spesifikt samtykke og selv etter at den registrerte har trukket tilbake samtykket.

 

Behandling basert på oppfyllelse av en rettslig forpliktelse

 

  1. Når det gjelder databehandling basert på en rettslig forpliktelse, reguleres omfanget av opplysningene som skal behandles, formålet med behandlingen, varigheten av datalagringen og mottakerne av bestemmelsene i den underliggende lovgivningen.

 

  1. Behandling basert på oppfyllelse av en rettslig forpliktelse er uavhengig av samtykke fra den registrerte, ettersom behandlingen er lovbestemt. I slike tilfeller må den registrerte informeres om at behandlingen er obligatorisk før behandlingen starter, og den registrerte må få klar og detaljert informasjon om alle fakta knyttet til behandlingen av opplysningene, særlig formålet med og det rettslige grunnlaget for behandlingen, identiteten til den behandlingsansvarlige og databehandleren, varigheten av behandlingen, om den behandlingsansvarlige behandler den registrertes personopplysninger på grunnlag av en rettslig forpliktelse som den registrerte er underlagt, og hvilke personer som kan få tilgang til opplysningene. Informasjonen skal også omfatte den registrertes rettigheter og rettsmidler i forbindelse med behandlingen. Ved obligatorisk behandling kan informasjonen også gis ved å offentliggjøre en henvisning til de rettslige bestemmelsene som inneholder ovennevnte informasjon.

 

Informasjon om datahåndtering av den behandlingsansvarlige

 

  1. Den behandlingsansvarliges generelle erklæring om databehandling er tilgjengelig på Vedlegg nr. inkludert.

 

  1. Den behandlingsansvarlige skal sørge for at den registrerte får utøve sine rettigheter i forbindelse med all behandling.

 

 

KAPITTEL III

ARBEIDSRELATERT DATABEHANDLING

 

Arbeid, personalregister

 

  1. Arbeidstakere kan bare bli bedt om å oppgi og oppbevare opplysninger og medisinske undersøkelser av arbeidsdyktighet som er nødvendige for å etablere, opprettholde og avslutte arbeidsforholdet og for å gi sosiale ytelser, og som ikke krenker deres individuelle rettigheter.

 

  1. Den behandlingsansvarlige behandler følgende opplysninger om den ansatte i forbindelse med etablering, gjennomføring eller avslutning av arbeidsforholdet for å ivareta arbeidsgiverens berettigede interesser (artikkel 6 nr. 1 bokstav f i forordningen):
  1. Navn
  2. navn ved fødselen,
  3. fødselsdato,
  4. mors navn,
  5. adressen din,
  6. din nasjonalitet,
  7. skatteidentifikasjonsnummer,
  8. Personnummer,
  9. pensjonistens faste nummer (i tilfelle en pensjonert arbeidstaker),
  10. telefonnummer,
  11. E-postadresse
  12. identitetskortnummer,
  13. nummeret på det offisielle bostedsbeviset,
  14. bankkontonummeret ditt,
  15. nett-ID (hvis tilgjengelig)
  16. start- og sluttdato for arbeidsforholdet ditt,
  17. stillingstittel,
  18. en kopi av et dokument som bekrefter utdanningen og yrkesopplæringen din,
  19. foto,
  20. CV,
  21. størrelsen på lønn, godtgjørelse og andre ytelser,
  22. beløpet som skal trekkes fra arbeidstakerens lønn, eller retten til å trekke det, på grunnlag av en rettskraftig avgjørelse eller en lovbestemmelse eller et skriftlig samtykke,
  23. en evaluering av den ansattes arbeid,
  24. hvordan og av hvilke grunner arbeidsforholdet avsluttes,
  25. vandelsattest, avhengig av jobben
  26. en oppsummering av de yrkesrettede egnethetstestene,
  27. ved medlemskap i private pensjonskasser og frivillige gjensidige forsikringskasser, navnet på kassen, dens identifikasjonsnummer og den ansattes medlemsnummer,
  28. for utenlandske arbeidstakere, passnummer; navn og nummer på dokumentet som bekrefter retten til å arbeide,
  29. data som er registrert i registrene over ulykker for arbeidstakere;
  30. opplysninger som er nødvendige for bruk av velferdstjenester og kommersielle overnattingssteder;
  31. kamera- og adgangskontrollsystemet som brukes av behandlingsansvarlig for sikkerhets- og eiendomsbeskyttelsesformål,
  32. eller data som registreres av posisjoneringssystemer.

 

  1. Arbeidsgiveren vil kun behandle opplysninger om din sykdom og fagforeningsmedlemskap for å oppfylle en rettighet eller plikt i henhold til arbeidsmiljøloven.

 

  1. Mottakerne av personopplysningene er: arbeidsgivers leder, den som utøver arbeidsgivers myndighet, ansatte hos den behandlingsansvarlige som utfører arbeidsrelaterte oppgaver og databehandlere.

 

  1. Det er kun personopplysninger om ansatte i ledende stillinger som kan overføres til eierne av den behandlingsansvarlige.

 

  1. Varighet for lagring av personopplysninger: 3 år etter avsluttet arbeidsforhold.

 

  1. Den registrerte skal informeres før behandlingen starter om at behandlingen er basert på arbeidsmiljøloven og arbeidsgiverens legitime interesser.

 

  1. Arbeidsgiveren skal ved inngåelse av arbeidsavtalen informere om følgende Vedlegg nr. informerer den ansatte om behandlingen av hans/hennes personopplysninger og personlige rettigheter ved å gi ham/henne informasjonsskrivet.

 

Datahåndtering i forbindelse med evnetester

 

  1. En arbeidstaker kan bare underkastes en egnethetsprøve som er påkrevd i en arbeidsregel, eller som er nødvendig for utøvelsen av en rettighet eller oppfyllelsen av en plikt fastsatt i en arbeidsregel. Før prøven skal arbeidstakerne informeres i detalj om blant annet hvilke ferdigheter og evner som skal vurderes, og hvordan og på hvilken måte de skal vurderes. Hvis undersøkelsen er lovpålagt, må de ansatte informeres om lovens tittel og det nøyaktige stedet der den skal gjennomføres. En modell av denne informasjonsmeldingen er vedlagt disse retningslinjene. Vedlegg nr. inkludert.

 

  1. Arbeidsgivere kan la ansatte fylle ut testskjemaene for arbeidsdyktighet og arbeidsførhet både før arbeidsforholdet etableres og underveis i arbeidsforholdet.

 

  1. For å kunne gjennomføre og organisere arbeidsprosesser mer effektivt, kan et testskjema som egner seg for forskning på psykologiske egenskaper eller personlighetstrekk, bare fylles ut av en stor gruppe ansatte av hensyn til et mer effektivt arbeidsforhold hvis dataene som fremkommer under analysen, ikke kan knyttes til den enkelte ansatte, dvs. at dataene behandles anonymt.
  2. Omfanget av personopplysningene som behandles: egnethet for jobben og vilkårene som kreves for dette.

 

  1. Rettslig grunnlag for behandling: Arbeidsgiverens berettigede interesse.

 

  1. Formålet med behandlingen av personopplysninger: å etablere og opprettholde et ansettelsesforhold, for å besette en stilling.

 

  1. Mottakere og kategorier av mottakere av personopplysninger: Resultatene av undersøkelsen kan utleveres til de ansatte som er undersøkt, eller til fagpersonen som har utført undersøkelsen. Arbeidsgiveren kan bare få informasjon om hvorvidt den undersøkte personen er skikket for jobben eller ikke, og på hvilke vilkår han eller hun er skikket for jobben. Arbeidsgiveren kan imidlertid ikke få vite detaljene i undersøkelsen eller den fullstendige dokumentasjonen.

 

  1. Varighet av behandling av personopplysninger: 3 år etter at ansettelsesforholdet er avsluttet.

 

Håndtering av rekrutteringsdata, søknader og CV-er

 

  1. Personopplysningene som kan bli behandlet, omfatter: navn, fødselsdato og fødested, mors navn, adresse, kvalifikasjoner, fotografi, telefonnummer, e-postadresse og eventuell arbeidsgiveroppføring for den fysiske personen.

 

  1. Formålet med behandlingen av personopplysninger er: søknad, vurdering av søknaden, inngåelse av ansettelseskontrakt med den utvalgte personen. Den registrerte skal informeres dersom arbeidsgiveren ikke har valgt ham/henne til jobben.

 

  1. Rettslig grunnlag for behandling: samtykke fra den registrerte.

 

  1. Mottakere eller kategorier av mottakere av personopplysninger: Ledere og ansatte som utfører arbeidsrelaterte oppgaver, og som har rett til å utøve rettigheter som arbeidsgivere hos den behandlingsansvarlige.

 

  1. Varighet for lagring av personopplysninger: inntil søknaden eller anbudet er vurdert. Personopplysninger om søkere som ikke får tilslag, vil bli slettet. Opplysninger om de som trekker søknaden eller kandidaturet sitt, vil også bli slettet.

 

  1. Arbeidsgiveren kan kun oppbevare søknader på grunnlag av et eksplisitt, utvetydig og frivillig samtykke fra den registrerte, forutsatt at oppbevaringen er nødvendig for formålene med behandlingen i henhold til loven. Et slikt samtykke skal innhentes fra kandidatene etter at rekrutteringsprosedyren er fullført.

 

E-behandling av data for kontroll av bruk av e-postkonto

 

  1. Hvis den behandlingsansvarlige gir den ansatte en e-postkonto - kan den ansatte bruke denne e-postadressen og kontoen utelukkende i forbindelse med sine arbeidsoppgaver, for å holde kontakt med hverandre eller for å korrespondere med kunder, andre personer og organisasjoner på vegne av arbeidsgiveren.

 

  1. Den ansatte kan ikke bruke e-postkontoen til personlige formål og kan ikke lagre personlig post på kontoen.

 

  1. Arbeidsgiveren har rett til å kontrollere hele innholdet i og bruken av e-postkontoen regelmessig - hver tredje måned - og det rettslige grunnlaget for databehandlingen er arbeidsgiverens berettigede interesse. Formålet med kontrollen er å kontrollere at arbeidsgiverens bestemmelser om bruk av e-postkontoen overholdes, og å kontrollere arbeidstakerens forpliktelser (artikkel 8 og 52 i arbeidsloven).

 

  1. Arbeidsgiverens leder eller den som utøver arbeidsgiverens rettigheter, har fullmakt til å kontrollere og administrere opplysningene.

 

  1. Dersom omstendighetene rundt inspeksjonen ikke er til hinder for dette, må det sikres at arbeidstakeren er til stede under inspeksjonen.

 

  1. Før kontrollen skal den ansatte informeres om arbeidsgivers interesse i kontrollen, hvem fra arbeidsgivers side som kan foreta kontrollen, - reglene for hvordan kontrollen kan gjennomføres (overholdelse av prinsippet om gradvis tilnærming) og fremgangsmåten som skal følges, - den ansattes rettigheter og rettsmidler i forhold til behandlingen av opplysninger i forbindelse med kontrollen av e-postkontoen.

 

  1. Graderingsprinsippet skal legges til grunn i kontrollen, slik at e-postens adresse og emne skal være det primære grunnlaget for å fastslå at den er relatert til arbeidstakerens arbeidsoppgaver og ikke er personlig. Innholdet i ikke-personlige e-poster kan undersøkes av arbeidsgiveren uten begrensninger.

 

  1. Hvis det i strid med bestemmelsene i denne erklæringen kan fastslås at den ansatte har brukt e-postkontoen til personlige formål, må den ansatte anmodes om å slette personopplysningene umiddelbart. Ved fravær eller manglende samarbeid fra den ansattes side vil personopplysningene bli slettet av arbeidsgiveren etter verifisering. Bruk av e-postkontoen i strid med disse retningslinjene kan føre til at arbeidsgiveren tar rettslige skritt mot den ansatte i henhold til arbeidsretten.

 

  1. Den ansatte kan utøve de rettighetene som er beskrevet i avsnittet om de registrertes rettigheter i forbindelse med behandling av opplysninger som omfatter kontroll av en e-postkonto.

 

Databehandling relatert til kontroll av datamaskin, bærbar PC, nettbrett

 

  1. Datamaskinen, den bærbare datamaskinen eller nettbrettet som den behandlingsansvarlige har gitt den ansatte til arbeidsformål, kan kun brukes av den ansatte til å utføre arbeidsoppgavene sine, og den behandlingsansvarlige forbyr privat bruk av disse enhetene, og den ansatte kan ikke administrere eller lagre personlige data eller korrespondanse på disse enhetene. Arbeidsgiveren kan overvåke dataene som er lagret på disse enhetene. Arbeidsgiverens kontroll av disse enhetene og de rettslige konsekvensene av dette skal reguleres av bestemmelsene i § 9 ovenfor.

 

Databehandling knyttet til overvåking av internettbruk på jobb

 

  1. De ansatte har kun tilgang til nettsteder som er relatert til arbeidsoppgavene deres, og arbeidsgiver forbyr privat bruk av Internett på jobben.

 

  1. Den behandlingsansvarlige er innehaveren av Internett-registreringer som utføres på vegne av den behandlingsansvarlige som en jobbfunksjon, og registreringen må bruke en identifikator og et passord som refererer til den behandlingsansvarlige. Hvis det også er nødvendig å oppgi personopplysninger i forbindelse med registreringen, skal den behandlingsansvarlige sørge for at disse opplysningene slettes når ansettelsesforholdet opphører.

 

  1. Arbeidsgiveren kan overvåke ansattes bruk av Internett på jobben, og bestemmelsene og de juridiske konsekvensene av dette er beskrevet i artikkel 9.

 

Databehandling knyttet til kontroll av bruken av bedriftens mobiltelefoner

 

  1. Arbeidsgiveren din tillater at du bruker jobbmobilen til private formål.

 

  1. Ansatte må rapportere til arbeidsgiveren sin hvis de bruker firmamobiltelefonen til private formål. I slike tilfeller kan arbeidsgiveren kontrollere dette ved å be om samtaledetaljer fra telefonleverandøren og be den ansatte om å gjøre de oppringte numrene ugjenkjennelige på dokumentet hvis det dreier seg om private samtaler.

 

  1. For øvrig gjelder bestemmelsene i § 9 for kontrollen og dens konsekvenser.

 

Datahåndtering i forbindelse med inn- og utreise fra arbeidsplassen

 

  1. Hvis det brukes et system for tilgangskontroll (ikke elektronisk), må det gis informasjon om identiteten til den behandlingsansvarlige og hvordan opplysningene behandles.

 

  1. Omfanget av personopplysningene som behandles: navn, adresse, bilens registreringsnummer, inn- og utreisetidspunkt for den fysiske personen.

 

  1. Rettslig grunnlag for behandling: Arbeidsgiverens legitime interesser.

 

  1. Formålet med behandlingen av personopplysninger er: beskyttelse av eiendeler, oppfyllelse av kontrakt, overvåking av ansattes forpliktelser.

 

  1. Mottakere av personopplysninger eller kategorier av mottakere: ledere som har rett til å utøve arbeidsgiverrettigheter hos den behandlingsansvarlige, ansatte hos den behandlingsansvarliges sikkerhetsagent som databehandlere.

 

  1. Varighet av behandling av personopplysninger: 6 måneder.

 

Databehandling i forbindelse med overvåkingskameraer på arbeidsplassen

 

  1. For å beskytte menneskeliv, fysisk integritet, personlig frihet, forretningshemmeligheter og eiendom bruker vår behandlingsansvarlige elektroniske overvåkingssystemer ved hovedkontoret, i lokaler og i lokaler som er åpne for kunder, som også tillater direkte observasjon eller opptak og lagring av bilder, lyd eller bilder og lyd, og derfor anses den registrertes oppførsel som registreres av kameraet, også som en personopplysning.

 

  1. Det rettslige grunnlaget for denne behandlingen er arbeidsgivers berettigede interesser og samtykke fra den registrerte.

 

  1. Informasjon om at et elektronisk overvåkingssystem brukes i et gitt område, skal vises på et godt synlig og leselig sted, på en måte som er egnet til å informere tredjeparter som ønsker å komme inn i området. Informasjonen skal gis for hvert kamera. Informasjonen skal også inneholde opplysninger om at det elektroniske systemet for sikring av eiendeler overvåker området, formålet med opptak og lagring av bilder og lydopptak av personopplysninger som tas opp av systemet, det rettslige grunnlaget for behandlingen, stedet der opptaket lagres, varigheten av lagringen, identiteten til den som bruker (operatøren) av systemet, de personene som er autorisert til å få tilgang til opplysningene, datasikkerhetstiltakene knyttet til lagringen av opptaket, samt opplysninger om de registrertes rettigheter og prosedyrene for å utøve dem. En modell for informasjonen er beskrevet i vedlegg 5 til retningslinjene.

 

  1. Bilder og lydopptak av tredjeparter (kunder, besøkende, gjester) som kommer inn på det overvåkede området, kan tas og behandles med deres samtykke. Samtykke kan også gis ved hjelp av impuls. Det skal særlig anses som en innblanding hvis en fysisk person går inn i det overvåkede området til tross for at vedkommende er informert eller har blitt informert om bruken av det elektroniske overvåkingssystemet som er installert der.

 

  1. Opptakene kan oppbevares i maksimalt 3 (tre) virkedager dersom de ikke brukes. Bruk anses å foreligge dersom bilde-, lyd- eller bilde- og lydopptakene og andre personopplysninger er ment å brukes som bevis i en rettssak eller annen offentlig saksbehandling.

 

  1. Tiltak for datasikkerhet:
  1. Monitoren for visning og gjennomgang av bildene skal være plassert på en slik måte at den ikke kan sees av andre enn den som har nådd den seksuelle lavalderen mens bildene sendes.
  2. Overvåking og gjennomgang av lagrede bilder kan kun utføres med det formål å avdekke krenkende handlinger og iverksette nødvendige tiltak for å stoppe dem.
  3. Bildene som kameraene sender ut, kan ikke tas opp av andre enheter enn den sentrale opptaksenheten.
  4. Opptaksmedier må oppbevares på et låst sted.
  5. Tilgang til de lagrede bildene kan bare skje på en sikker måte og på en slik måte at den behandlingsansvarliges identitet kan identifiseres.
  6. Gjennomgang og sikkerhetskopiering av lagrede bilder skal dokumenteres.
  7. Hvis årsaken til oppsigelsen av rettigheten ikke lenger er gyldig, må tilgangen til de lagrede bildeopptakene avsluttes umiddelbart.
  8. En separat harddisk i opptakeren kjører operativsystemet og
  9. innspilte opptak. Opptakene sikkerhetskopieres ikke separat.
  10. Merking av dokumentasjonen av handlingen etter at lovbruddet er oppdaget
  11. og å iverksette nødvendige administrative tiltak uten forsinkelse
  12. og informere myndigheten om at handlingen er registrert.

 

  1. En person hvis rett eller berettigede interesse berøres av bilde-, lyd- eller videoopptaket, kan innen tre virkedager etter at bilde-, lyd- eller videoopptaket er tatt opp, be om at opplysningene ikke tilintetgjøres eller slettes av den behandlingsansvarlige ved å godtgjøre sin rett eller berettigede interesse.

 

  1. Elektronisk overvåking må ikke brukes i lokaler der slik overvåking kan være krenkende for menneskeverdet, særlig i garderober, dusjer, toaletter eller for eksempel på et legerom eller et tilstøtende venterom, eller i lokaler som er beregnet på pauser for arbeidstakere.

 

  1. Hvis ingen har lov til å oppholde seg på arbeidsplassen, spesielt utenfor arbeidstiden eller på helligdager, kan hele arbeidsplassen (f.eks. garderober, toaletter, pauserom) overvåkes.

 

  1. I tillegg til de som er autorisert i henhold til loven, kan dataene som registreres av det elektroniske overvåkingssystemet, ses av driftspersonalet, arbeidsgiverens leder og nestleder, og lederen av arbeidsplassen i det overvåkede området, med det formål å oppdage overtredelser og kontrollere driften av systemet.

 

 

KAPITTEL IV

KONTRAKTSRELATERT DATABEHANDLING

 

Håndtering av leverandørdata - registrering av kunder og leverandører

 

  1. Behandlingsansvarlig skal behandle navn, navn på den fysiske personen som har inngått kontrakt med den som kjøper eller leverandør, navn på den fysiske personen, navn på personens fødselsdato, fødselsdato, mors navn, adresse, skatteidentifikasjonsnummer, skattenummer, entreprenørens eller selvstendig næringsdrivendes identitetskortnummer, personlig identitetskortnummer med det formål å oppfylle kontrakten, inngåelse, oppfyllelse, oppsigelse eller innvilgelse av en kontraktsrabatt, adresse, adresse til det registrerte kontoret, adresse til forretningsstedet, telefonnummer, e-postadresse, nettadresse, bankkontonummer, kundenummer (kundenummer, ordrenummer), online-identifikator (liste over kunder, leverandører, lister over hyppige kjøpere), Denne behandlingen anses også som lovlig hvis behandlingen er nødvendig for å iverksette tiltak på anmodning fra den registrerte før kontraktsinngåelsen. Mottakere av personopplysninger: ansatte hos den behandlingsansvarlige som utfører kundeserviceoppgaver, ansatte som utfører regnskaps- og skatteoppgaver, og databehandlere. Varighet for lagring av personopplysninger: 8 år etter at kontrakten er avsluttet.

 

  1. Før behandlingen starter, skal den berørte fysiske personen informeres om at behandlingen er basert på oppfyllelsen av en avtale, noe som kan fremgå av avtalen. Den registrerte skal informeres om overføringen av hans eller hennes personopplysninger til en databehandler. Teksten til klausulen om databehandling i forbindelse med en kontrakt med en fysisk person er angitt i denne Vedlegg nr. inkludert.

 

Kontaktinformasjon til fysiske personer som representerer juridiske personer som kunder, innkjøpere og leverandører

 

  1. Omfanget av personopplysningene som behandles: navn, adresse, telefonnummer, e-postadresse, online-identifikator for den fysiske personen.

 

  1. Formålet med behandlingen av personopplysninger: utførelse av en kontrakt med en juridisk enhet som er partner til den behandlingsansvarlige, forretningsforbindelser, rettslig grunnlag: den registrertes samtykke.

 

  1. Mottakere eller kategorier av mottakere av personopplysninger: ansatte hos Behandlingsansvarlig som utfører kundeserviceoppgaver.

 

  1. Varighet for lagring av personopplysninger: i 5 år etter at forretningsforholdet eller den registrertes egenskap som representant er avsluttet.

 

  1. Modellen for datainnsamlingsskjemaet i denne forordningen Vedlegg nr. inkludert. Den ansatte som er i kontakt med kunden, innkjøperen eller leverandøren, skal legge frem denne erklæringen for vedkommende og ved å undertegne erklæringen be om hans eller hennes samtykke til behandling av personopplysningene. Erklæringen skal oppbevares så lenge behandlingen pågår.

 

Håndtering av besøksdata på den behandlingsansvarliges nettsted

(Informasjon om bruk av informasjonskapsler)

 

  1. En informasjonskapsel er et stykke data som det besøkte nettstedet sender til den besøkendes nettleser (i form av en variabel navneverdi), slik at den kan lagre den og senere laste inn innholdet på det samme nettstedet.

 

  1. Lagring av data på en brukers elektroniske kommunikasjonsterminalutstyr eller tilgang til data som er lagret der, kan bare skje på grunnlag av brukerens klare og fullstendige samtykke, herunder formålet med behandlingen (lov C av 2003, § 155/4/). På grunnlag av dette må den besøkende ved første besøk på den behandlingsansvarliges nettsted få et kort sammendrag av bruken av informasjonskapsler og en lenke til den fullstendige informasjonen som er tilgjengelig (Merknad om datahåndtering som i vedlegg 2). Med denne informasjonen sikrer den behandlingsansvarlige at besøkende på nettstedet før og når som helst under bruken av nettsidens informasjonssamfunnstjenester kan bli informert om hvilke formål den behandlingsansvarlige behandler hvilke typer data, inkludert behandling av data som ikke kan knyttes direkte til brukeren.

 

  1. I henhold til artikkel 13/A (3) i lov CVIII av 2001 om visse spørsmål om elektroniske handelstjenester og informasjonssamfunnstjenester (Elkertv.), kan tjenesteleverandøren behandle personopplysninger som er teknisk nødvendige for å kunne levere tjenesten. Tilbyderen må, alt annet likt, velge og under alle omstendigheter bruke de midler som brukes ved levering av informasjonssamfunnstjenesten på en slik måte at personopplysninger bare behandles dersom det er absolutt nødvendig for å levere tjenesten og for å oppfylle de andre formålene som er angitt i denne loven, men i dette tilfellet bare i den utstrekning og så lenge som det er nødvendig.

 

Registrering på den behandlingsansvarliges nettsted

 

  1. På nettstedet kan den fysiske personen som registrerer seg, gi sitt samtykke til behandling av personopplysningene sine ved å krysse av i den aktuelle boksen. Det er ikke tillatt å krysse av i boksen på forhånd.

 

  1. Omfanget av personopplysninger som kan behandles: navn (etternavn, fornavn), adresse, telefonnummer, e-postadresse, faktureringsadresse, postnavn og adresse til den fysiske personen, fotografiet som er nødvendig for å fullføre bestillinger i nettbutikken.

 

  1. Formålet med behandlingen av personopplysninger:

 

  1. levering av tjenester på nettstedet
  2. kontakte oss via e-post, telefon, SMS og post.
  3. Salgsfremmende utsendelser kan sendes elektronisk og per post
  4. analyse av bruken av nettstedet.

 

  1. Det rettslige grunnlaget for behandlingen er samtykke fra den registrerte.

 

  1. Mottakere eller kategorier av mottakere av personopplysninger: ansatte hos den behandlingsansvarlige som utfører oppgaver knyttet til kundeservice og markedsføringsaktiviteter, ansatte hos den behandlingsansvarliges IT-tjenesteleverandør som leverer hostingtjenester som databehandlere.

 

  1. Varighet av lagring av personopplysninger: til registreringen/tjenesten er aktiv eller til den registrertes samtykke trekkes tilbake (anmodning om sletting).

 

  1. Hvis den registrerte oppgir alle eller deler av opplysningene som kreves for registrering eller kjøp i nettbutikken, men ikke fullfører registreringen, vil behandlingsansvarlig lagre de oppgitte opplysningene i maksimalt 60 dager, og deretter vil de ugjenkallelig bli slettet.

 

Databehandling knyttet til nyhetsbrevtjenesten 

 

  1. Den fysiske personen som registrerer seg for nyhetsbrevtjenesten på nettstedet, kan gi sitt samtykke til behandling av personopplysningene sine ved å krysse av i den aktuelle boksen. Det er ikke tillatt å krysse av i boksen på forhånd. Ved påmelding skal det gis en lenke til personvernerklæringen (vedlegg 2). Den registrerte kan når som helst melde seg av nyhetsbrevet ved å bruke "Unsubscribe"-applikasjonen eller ved å avgi en skriftlig erklæring eller sende en e-post, noe som vil utgjøre en tilbaketrekking av samtykket. I så fall skal alle opplysninger om den som melder seg av, slettes umiddelbart.

 

  1. Omfanget av personopplysninger som behandles: navnet på den fysiske personen (etternavn, fornavn), e-postadresse.

 

  1. Formålet med behandlingen av personopplysninger:
  1. Sende nyhetsbrev om produkter og tjenester fra den behandlingsansvarlige
  2. Sende reklamemateriell

 

  1. Rettslig grunnlag for behandling: samtykke fra den registrerte.

 

  1. Mottakere og kategorier av mottakere av personopplysninger: ansatte hos den behandlingsansvarlige som utfører oppgaver knyttet til kundeservice og markedsføringsaktiviteter, ansatte hos den behandlingsansvarliges IT-tjenesteleverandør som databehandlere med det formål å levere hostingtjenester.

 

  1. Varighet av lagring av personopplysninger: inntil nyhetsbrevtjenesten opprettholdes eller inntil den registrertes samtykke trekkes tilbake (anmodning om sletting).

 

Databehandling i den behandlingsansvarliges nettbutikk

 

  1. Et kjøp i en nettbutikk som drives av den behandlingsansvarlige anses som en kontrakt, med hensyn til artikkel 13/A i lov CVIII av 2001 om visse aspekter ved elektroniske handelstjenester og informasjonssamfunnstjenester, og regjeringsdekret 45/2014 (26.II.) om detaljerte regler for kontrakter mellom forbrukere og bedrifter.

 

  1. Behandlingsansvarlig, som tjenesteleverandør, kan behandle de naturlige personlige identifikasjonsdataene og adressen til kunden som registrerer seg i nettbutikken med det formål å opprette en kontrakt for levering av informasjonssamfunnstjenester, bestemme innholdet, endre det, overvåke ytelsen, fakturere avgiftene som oppstår fra det, og håndheve krav knyttet til dette, i samsvar med paragraf 13/A (1) i lov CVIII av året, og telefonnummer, e-postadresse, bankkontonummer, online identifikator, i samsvar med samtykke.

 

  1. Behandlingsansvarlig kan behandle personopplysninger knyttet til bruk av informasjonssamfunnstjenester, adresse, leveringsadresse og opplysninger om tidspunkt, varighet og sted for bruk av tjenesten for faktureringsformål, i henhold til artikkel 13/A(2) i lov CVIII av 2007.

 

  1. Mottakere eller kategorier av mottakere av personopplysninger: ansatte hos den behandlingsansvarlige som utfører oppgaver knyttet til kundeservice, betaling, transport, markedsføringsaktiviteter, som databehandlere, ansatte i selskapet som utfører skatte- og regnskapsoppgaver for den behandlingsansvarlige med det formål å oppfylle skatte- og regnskapsforpliktelser, ansatte i IT-tjenesteleverandøren til den behandlingsansvarlige med det formål å utføre hostingtjenester, ansatte i budtjenesten med det formål å levere data (navn, adresse, telefonnummer).

 

  1. Varighet av behandlingen av personopplysninger: inntil registreringen/tjenesten er fullført eller inntil den registrertes samtykke trekkes tilbake (anmodning om sletting), ved kjøp inntil utgangen av 6 år etter kjøpsåret.

 

  1. En lenke til personvernerklæringen (vedlegg 2) må gjøres tilgjengelig når du handler i nettbutikken.

 

Databehandling for direkte markedsføringsformål

 

  1. Med mindre annet er fastsatt i en særskilt lov, kan reklame formidles til en fysisk person som mottaker av reklamen ved direkte henvendelse, særlig ved elektronisk post eller andre tilsvarende midler for individuell kommunikasjon, med unntak av bestemmelsene i lov XLVIII av 2008, bare dersom mottakeren av reklamen har gitt sitt forutgående, klare og uttrykkelige samtykke.

 

  1. Omfanget av personopplysninger som behandlingsansvarlig kan behandle for å sende ut reklamehenvendelser: navn, adresse, telefonnummer, e-postadresse, online-identifikator for den fysiske personen.

 

  1. Formålet med behandlingen av personopplysninger er å utføre direkte markedsføringsaktiviteter knyttet til den behandlingsansvarliges virksomhet, dvs. regelmessig eller periodisk utsendelse av reklamepublikasjoner, nyhetsbrev, aktuelle tilbud i trykt (post) eller elektronisk form (e-post) til kontaktopplysningene som ble oppgitt ved registreringen.

 

  1. Rettslig grunnlag for behandling: samtykke fra den registrerte.

 

  1. Mottakere eller kategorier av mottakere av personopplysninger: ansatte hos den behandlingsansvarlige som utfører kundeserviceoppgaver, ansatte hos den behandlingsansvarliges IT-tjenesteleverandør som utfører servertjenester som databehandlere, ansatte hos post-/budtjenesten i tilfelle levering via post eller budtjeneste.

 

  1. Varighet av lagring av personopplysninger: inntil samtykket trekkes tilbake.

 

  1. Samtykke til behandling av opplysninger for direkte markedsføring er underlagt disse retningslinjene. skjema for dataanmodning som beskrevet i vedlegget anvendelig.

 

 

 V.  KAPITTEL 2

BEHANDLING BASERT PÅ EN RETTSLIG FORPLIKTELSE

 

Databehandling for skatte- og regnskapsmessige forpliktelser

 

  1. §-I henhold til lov av 2000 om regnskap: navn, adresse, betegnelse på personen eller organisasjonen som bestiller transaksjonen, underskrift av personen som bestiller transaksjonen og personen som attesterer utførelsen av bestillingen, og, avhengig av organisasjonen, underskrift av kontrolløren; på lagerbevegelsesbilag og kontanthåndteringsbilag, underskrift av mottakeren, og på kontrabilagene, underskrift av betaleren, og i henhold til lov CXVII av 1995 om personlig inntektsskatt: entreprenørens identitetskortnummer, gårdbrukerens identitetskortnummer, skatteidentifikasjonsnummeret.

 

  1. Lagringsperioden for personopplysninger er 8 år etter at det rettslige forholdet som gir opphav til det rettslige grunnlaget, er avsluttet.

 

  1. Mottakere av personopplysninger: ansatte og databehandlere hos den behandlingsansvarlige som utfører skatte-, regnskaps-, lønns- og trygdeoppgaver.

 

Behandling av betalerdata

 

  1. Behandlingsansvarlig behandler personopplysningene til de registrerte - ansatte, deres familiemedlemmer, ansatte, mottakere av andre ytelser - som den har et forhold til som betalingsagent (lov 2017:CL om skatteordning (art.) 7.§ 31.) for å oppfylle juridiske forpliktelser, skatte- og avgiftsforpliktelser foreskrevet i loven (skatt, forskuddsskatt, bidrag, lønn, trygd, pensjonsadministrasjon). Omfanget av de behandlede dataene er definert i art. 50 i loven definerer hvilke opplysninger som behandles, og fremhever spesielt følgende: den fysiske personens identifikasjonsdata (inkludert tidligere navn og tittel), kjønn, nasjonalitet, skatteidentifikasjonsnummer, personnummer (trygdenummer). Hvis skattelovgivningen pålegger en rettslig konsekvens, kan den behandlingsansvarlige behandle opplysninger om ansattes medlemskap i helseorganisasjoner (folketrygdlovens § 40) og fagforeninger (folketrygdlovens § 47(2) b)) for å oppfylle skatte- og avgiftsforpliktelser (lønn, trygdeadministrasjon).

 

  1. Lagringsperioden for personopplysninger er 8 år etter at det rettslige forholdet som gir opphav til det rettslige grunnlaget, er avsluttet.

 

  1. Mottakere av personopplysninger: ansatte og databehandlere hos den behandlingsansvarlige som utfører skatte-, lønns- og trygdeoppgaver (lønn).

 

 

 VI. KAPITTEL 2

DATASIKKERHETSTILTAK

 

Tiltak for datasikkerhet

 

  1. Den behandlingsansvarlige skal treffe de tekniske og organisatoriske tiltak og etablere de prosedyreregler som er nødvendige for å håndheve forordningen og Infotv. for å sikre personopplysningenes sikkerhet for alle formål og for alle lovlige formål.

 

  1. Behandlingsansvarlig skal treffe egnede tiltak for å beskytte opplysningene mot utilsiktet eller ulovlig ødeleggelse, tap, endring, skade, uautorisert utlevering eller tilgang.

 

  1. Behandlingsansvarlig klassifiserer og behandler personopplysninger som konfidensielle. Den pålegger sine ansatte taushetsplikt med hensyn til behandling av personopplysninger, som den behandlingsansvarlige er forpliktet til å overholde. Vedlegg nr. klausulen skal gjelde. Den behandlingsansvarlige skal begrense tilgangen til personopplysninger ved å fastsette autorisasjonsnivåer.

 

  1. Behandlingsansvarlig beskytter IT-systemene med brannmurer og virusbeskyttelse.

 

  1. Ansatte hos den behandlingsansvarlige kan koble sine egne datamaskiner, datalagrings- og opptaksenheter til arbeidsplassens datamaskiner.

 

  1. Den behandlingsansvarlige skal utføre elektronisk databehandling og journalføring ved hjelp av et dataprogram som oppfyller kravene til datasikkerhet. Programmet skal sikre at tilgangen til opplysningene er begrenset til de personene som trenger dem for å utføre sine oppgaver, og bare til de formålene de er beregnet på, og under kontrollerte forhold.

 

  1. Når personopplysninger behandles automatisk, treffer den behandlingsansvarlige og databehandleren ytterligere tiltak for å sikre:
  1. forhindre uautorisert inntasting av data;
  2. hindre at uautoriserte personer bruker automatiserte databehandlingssystemer ved hjelp av dataoverføringsutstyr;
  3. verifiserbarheten og etterprøvbarheten av organene som personopplysningene har blitt eller kan bli overført til ved hjelp av dataoverføringsutstyr;
  4. verifiserbarheten og etterprøvbarheten av hvilke personopplysninger som er lagt inn i automatiserte databehandlingssystemer, når og av hvem;
  5. muligheten til å gjenopprette de installerte systemene i tilfelle feil, og
  6. at feil i den automatiserte behandlingen rapporteres.

 

  1. Den behandlingsansvarlige skal sørge for overvåking av innkommende og utgående elektronisk kommunikasjon for å beskytte personopplysningene.

 

  1. Det er forbudt å dele personopplysninger som behandles av behandlingsansvarlig på Internett.

 

  1. Det er strengt forbudt å besøke nettsteder for nedlasting av filer, spill, chat og seksuelle tjenester på arbeidsplassen og på den behandlingsansvarliges enheter.

 

  1. Du kan ikke bruke uautoriserte programmer som er hentet fra eksterne kilder eller lastet ned fra eksterne kilder.

 

  1. Det er kun de relevante saksbehandlerne som har tilgang til dokumenter i forbindelse med arbeid eller behandling, og dokumenter som inneholder personal-, lønns-, ansettelses- og andre personopplysninger, skal oppbevares innelåst på en sikker måte.

 

  1. Sørg for tilstrekkelig fysisk beskyttelse av dataene og enhetene og dokumentene som inneholder dem.

 

  1. Det er den behandlingsansvarliges ansvar å sørge for sikker oppbevaring av dokumentasjon som inneholder personopplysninger, og papirdokumenter skal oppbevares i et arkivskap eller låsbart skap.

 

  1. Etter den obligatoriske oppbevaringsperioden, hvis det ikke er grunnlag for ytterligere oppbevaring, og etter tilbaketrekking av den registrertes samtykke, skal dokumentene som inneholder personopplysningene tilintetgjøres. Dokumenter skal tilintetgjøres på en måte som gjør det umulig å rekonstruere dem.

 

 

KAPITTEL VII

HÅNDTERING AV DATAINNBRUDD

 

Begrepet datainnbrudd

 

  1. Brudd på personopplysningssikkerheten: et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet (artikkel 4.12 i forordningen).

 

 

 

 

Håndtering og utbedring av personvernhendelser  

 

  1. Det er den behandlingsansvarliges leder som har ansvaret for å forebygge og håndtere personvernhendelser og overholde de relevante lovkravene.

 

  1. Tilgang og forsøk på tilgang til IT-systemer bør loggføres og analyseres fortløpende.

 

  1. Hvis ansatte hos den behandlingsansvarlige som er autorisert til å utføre kontroller, oppdager en personvernhendelse i forbindelse med sine oppgaver, skal de umiddelbart varsle den behandlingsansvarliges leder.

 

  1. Ansatte hos den behandlingsansvarlige er forpliktet til å rapportere til den behandlingsansvarliges leder eller den som utøver arbeidsgivers rettigheter dersom de blir oppmerksomme på en personvernhendelse eller en hendelse som kan tyde på en slik hendelse.

 

  1. Brudd på datasikkerheten kan rapporteres til den behandlingsansvarliges sentrale e-postadresse og telefonnummer, der ansatte, underleverandører og registrerte kan rapportere de underliggende hendelsene og sikkerhetssvakhetene.

 

  1. Ved melding om brudd på datasikkerheten skal den behandlingsansvarliges leder - i samarbeid med IT-, økonomi- og driftssjefen - umiddelbart undersøke meldingen, identifisere hendelsen og avgjøre om det dreier seg om en reell hendelse eller et falskt varsel. Det skal undersøkes og fastslås:
  2. tid og sted for hendelsen,
  3. en beskrivelse av hendelsen, omstendighetene og virkningene,
  4. omfanget og mengden data som ble kompromittert i hendelsen,
  5. omfanget av personer som er berørt av de kompromitterte dataene,
  6. en beskrivelse av tiltakene som er iverksatt for å håndtere hendelsen,
  7. en beskrivelse av de tiltak som er iverksatt for å forebygge, avhjelpe eller redusere skaden.

 

  1. Ved et datainnbrudd bør de involverte systemene, personene og dataene avgrenses og holdes adskilt, og man bør sørge for å samle inn og bevare bevis for at innbruddet har funnet sted. Deretter kan man begynne å gjenopprette skaden og gå tilbake til lovlig drift.

 

Registreringer av personvernhendelser

 

  1. Det må føres registre over personvernhendelser, inkludert:
  1. omfanget av de aktuelle personopplysningene,
  2. omfanget og antallet registrerte som er berørt av datainnbruddet,
  3. datoen for datainnbruddet,
  4. omstendighetene rundt og konsekvensene av datainnbruddet,
  5. tiltakene som er iverksatt for å avhjelpe bruddet på datasikkerheten,
  6. andre opplysninger som er spesifisert i lovgivningen som regulerer behandlingen.

 

  1. Opplysninger om brudd på datasikkerheten i registeret skal oppbevares i fem år.

 

 

KAPITTEL VIII

KONSEKVENSANALYSE AV PERSONVERN OG FORHÅNDSKONSULTASJON

 

Vurdering av personvernkonsekvenser og forhåndskonsultasjon

  1. Dersom en type behandling, særlig ved bruk av ny teknologi, sannsynligvis vil utgjøre en høy risiko for fysiske personers rettigheter og friheter, tatt i betraktning dens art, omfang, sammenheng og formål, skal den behandlingsansvarlige gjennomføre en konsekvensanalyse før behandlingen, for å vurdere hvordan den planlagte behandlingen vil påvirke vernet av personopplysninger. Lignende typer behandlinger som innebærer lignende høye risikoer, kan vurderes innenfor rammen av én enkelt konsekvensanalyse.
  2. Dersom konsekvensanalysen av personvernkonsekvenser konkluderer med at behandlingen sannsynligvis vil medføre en høy risiko dersom den behandlingsansvarlige ikke treffer tiltak for å redusere risikoen, skal den behandlingsansvarlige rådføre seg med tilsynsmyndigheten før personopplysningene behandles.
  3. De nærmere reglene om konsekvensanalyse av personvern og forhåndskonsultasjon er regulert i artikkel 35-36 i forordningen og Infotv.

 

KAPITTEL IX

RETTIGHETENE TIL DEN BERØRTE PERSONEN

 

Informasjon om den registrertes rettigheter

 

  1. En kort oppsummering av den registrertes rettigheter:
    1. Åpen informasjon, kommunikasjon og tilrettelegging for utøvelse av den registrertes rettigheter
    2. Rett til forhåndsinformasjon - når personopplysninger samles inn fra den registrerte
    3. Informasjon til den registrerte og informasjonen som skal gis til ham eller henne dersom den behandlingsansvarlige ikke har innhentet personopplysningene fra ham eller henne
    4. Den registrertes rett til innsyn
    5. Retten til korrigering
    6. Rett til sletting ("retten til å bli glemt")
    7. Rett til begrensning av behandling
    8. Plikt til å varsle om retting eller sletting av personopplysninger eller begrensning av behandling
    9. Retten til dataportabilitet
    10. Retten til å protestere
    11. Automatiserte avgjørelser i enkeltsaker, inkludert profilering
    12. Begrensninger
    13. Informere den registrerte om bruddet på personopplysningssikkerheten
    14. Rett til å klage til en tilsynsmyndighet (rett til offentlig oppreisning)
    15. Rett til et effektivt rettsmiddel mot tilsynsmyndigheten
    16. Retten til et effektivt rettsmiddel mot den behandlingsansvarlige eller databehandleren

 

  1. Dine rettigheter som registrert i detalj:

 

 

Åpen informasjon, kommunikasjon og tilrettelegging for utøvelse av den registrertes rettigheter 

 

  1. Den behandlingsansvarlige skal gi den registrerte all informasjon og alle opplysninger om behandlingen av personopplysninger i en kortfattet, oversiktlig, forståelig og lett tilgjengelig form, på et klart og tydelig språk, særlig når det gjelder informasjon som er rettet til barn. Informasjonen skal gis skriftlig eller på annen måte, herunder, der det er hensiktsmessig, elektronisk. På anmodning fra den registrerte kan informasjonen gis muntlig, forutsatt at den registrertes identitet er bekreftet på annen måte.

 

  1. Den behandlingsansvarlige skal legge til rette for at den registrerte kan utøve sine rettigheter.

 

  1. Den behandlingsansvarlige skal uten unødig opphold og under alle omstendigheter innen én måned etter mottak av anmodningen underrette den registrerte om hvilke tiltak som er truffet som svar på anmodningen om å utøve sine rettigheter. Denne fristen kan forlenges med ytterligere to måneder på de vilkår som er fastsatt i forordningen, og den registrerte skal informeres om dette.

 

  1. Dersom den behandlingsansvarlige unnlater å etterkomme den registrertes anmodning, skal den behandlingsansvarlige uten opphold og senest innen én måned etter mottak av anmodningen informere den registrerte om årsakene til unnlatelsen og om den registrertes mulighet til å inngi klage til en tilsynsmyndighet og til å utøve sin rett til domstolsprøving.

 

  1. Den behandlingsansvarlige skal gi den registrerte informasjon og tiltak om den registrertes rettigheter kostnadsfritt, men kan kreve et gebyr i de tilfellene som er fastsatt i forordningen.

 

  1. De detaljerte reglene finner du under artikkel 12 i forordningen.

 

Rett til forhåndsinformasjon - når personopplysninger samles inn fra den registrerte

 

  1. Den registrerte skal ha rett til å bli informert om fakta og informasjon knyttet til behandlingen før behandlingen starter. I denne sammenheng skal den registrerte informeres:
  1. den behandlingsansvarliges og dennes representants identitet og kontaktopplysninger,
  2. kontaktopplysningene til personvernombudet (hvis det finnes et slikt ombud),
  3. formålet med behandlingen av personopplysningene og det rettslige grunnlaget for behandlingen,
  4. ved behandling basert på berettigede interesser, den behandlingsansvarliges eller en tredjeparts berettigede interesser,
  5. mottakerne som personopplysningene utleveres til, og eventuelle kategorier av mottakere;
  6. eventuelt det faktum at den behandlingsansvarlige har til hensikt å overføre personopplysningene til et tredjeland eller en internasjonal organisasjon.

 

  1. For å sikre en rettferdig og åpen behandling må den behandlingsansvarlige gi den registrerte følgende tilleggsinformasjon:
  1. varigheten av lagringen av personopplysninger eller, dersom dette ikke er mulig, kriteriene for å fastsette denne varigheten;
  2. den registrertes rett til å be den behandlingsansvarlige om innsyn i, retting, sletting eller begrensning av behandlingen av personopplysninger som gjelder ham eller henne, og til å protestere mot behandlingen av slike personopplysninger, samt retten til dataportabilitet;
  3. ved behandling basert på den registrertes samtykke, retten til når som helst å trekke tilbake samtykket, uten at det berører lovligheten av behandlingen som ble utført på grunnlag av samtykket før det ble trukket tilbake;
  4. rett til å klage til en tilsynsmyndighet;
  5. om utleveringen av personopplysningene er basert på en rettslig eller avtalemessig forpliktelse eller er en forutsetning for inngåelse av en avtale, om den registrerte er forpliktet til å utlevere personopplysningene og de mulige konsekvensene av ikke å utlevere opplysningene;
  6. automatisert beslutningstaking, herunder profilering, og, i det minste i disse tilfellene, logikken som brukes og tydelig informasjon om betydningen av slik behandling og de sannsynlige konsekvensene for den registrerte.

 

  1. Hvis den behandlingsansvarlige har til hensikt å viderebehandle personopplysninger for et annet formål enn det de ble samlet inn for, må den behandlingsansvarlige informere den registrerte om dette andre formålet og om all relevant tilleggsinformasjon før videre behandling.

 

  1. De nærmere reglene om retten til forhåndsinformasjon er fastsatt i artikkel 13 i forordningen.

 

Informasjon til den registrerte og informasjonen som skal gis til ham eller henne dersom den behandlingsansvarlige ikke har innhentet personopplysningene fra ham eller henne

 

  1. Dersom den behandlingsansvarlige ikke har innhentet personopplysningene fra den registrerte, skal den registrerte informeres av den behandlingsansvarlige senest én måned etter at personopplysningene ble innhentet; dersom personopplysningene brukes til å kontakte den registrerte, senest på tidspunktet for den første kontakten med den registrerte; eller, dersom det er sannsynlig at opplysningene vil bli utlevert til en annen mottaker, senest på tidspunktet for den første utleveringen av personopplysningene, de fakta og opplysninger som er beskrevet i forrige punkt, hvilke kategorier av personopplysninger det dreier seg om, kilden til personopplysningene og, dersom det er relevant, om opplysningene er hentet fra offentlig tilgjengelige kilder.

 

  1. For ytterligere regler, se forrige punkt (Rett til forhåndsinformasjon).

 

  1. De nærmere reglene for denne informasjonen er beskrevet i artikkel 14 i forordningen.

 

Den registrertes rett til innsyn

 

  1. Den registrerte har rett til å få tilbakemelding fra den behandlingsansvarlige om hvorvidt personopplysningene hans eller hennes blir behandlet eller ikke, og, dersom slik behandling finner sted, rett til å få tilgang til personopplysningene og tilhørende informasjon som beskrevet i punkt 2-3 ovenfor (artikkel 15 i forordningen).

 

  1. Når personopplysninger overføres til et tredjeland eller en internasjonal organisasjon, har den registrerte rett til å bli informert om de egnede sikkerhetstiltakene for overføringen i samsvar med artikkel 46 i forordningen.

 

  1. Den behandlingsansvarlige skal gi den registrerte en kopi av personopplysningene som er gjenstand for behandlingen. For ytterligere kopier som den registrerte ber om, kan den behandlingsansvarlige kreve et rimelig gebyr basert på administrative kostnader.

 

  1. Nærmere regler om den registrertes rett til innsyn er fastsatt i artikkel 15 i forordningen.

 

Retten til korrigering

 

  1. Den registrerte skal ha rett til å få uriktige personopplysninger om seg selv rettet av den behandlingsansvarlige på forespørsel og uten ugrunnet opphold.

 

  1. Med tanke på formålet med behandlingen har den registrerte rett til å be om at ufullstendige personopplysninger kompletteres, blant annet ved hjelp av en tilleggserklæring.

 

  1. Disse reglene er beskrevet i artikkel 16 i forordningen.

 

Rett til sletting ("retten til å bli glemt")

 

  1. Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold dersom han eller hun ber om det, og den behandlingsansvarlige skal være forpliktet til å slette personopplysninger om ham eller henne uten ugrunnet opphold dersom.
  1. personopplysningene ikke lenger er nødvendige for de formålene de ble innhentet eller på annen måte behandlet for;
  2. den registrerte trekker tilbake samtykket som ligger til grunn for behandlingen, og det ikke finnes noe annet rettslig grunnlag for behandlingen;
  3. den registrerte motsetter seg behandlingen, og det ikke foreligger noen tvingende berettigede grunner for behandlingen,
  4. personopplysningene har blitt behandlet ulovlig;
  5. personopplysningene må slettes for å overholde en rettslig forpliktelse i henhold til unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt;
  6. personopplysninger samles inn i forbindelse med levering av informasjonssamfunnstjenester direkte til barn.

 

  1. Retten til sletting kan ikke utøves dersom behandlingen er nødvendig
  1. å utøve retten til ytrings- og informasjonsfrihet;
  2. for å oppfylle en forpliktelse i henhold til unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, eller for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt;
  3. av hensyn til allmennhetens interesse på folkehelseområdet;
  4. for arkivformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål, der retten til sletting sannsynligvis vil gjøre slik behandling umulig eller bringe den i alvorlig fare; eller
  5. for å fremme, håndheve eller forsvare juridiske krav.

 

  1. Nærmere regler om retten til sletting er fastsatt i artikkel 17 i forordningen.

 

 

 

Rett til begrensning av behandling

 

  1. Når behandlingen er begrenset, kan slike personopplysninger, med unntak av lagring, bare behandles med samtykke fra den registrerte eller for å fastsette, gjøre gjeldende eller forsvare rettskrav eller for å beskytte rettighetene til en annen fysisk eller juridisk person eller av hensyn til viktige samfunnsinteresser i Unionen eller i en medlemsstat.

 

  1. Den registrerte skal ha rett til å kreve at den behandlingsansvarlige begrenser behandlingen av personopplysninger dersom ett av følgende vilkår er oppfylt:
  1. den registrerte bestrider riktigheten av personopplysningene, og i så fall gjelder begrensningen i det tidsrommet som er nødvendig for at den Behandlingsansvarlige skal kunne verifisere riktigheten av personopplysningene;
  2. databehandlingen er ulovlig og den registrerte motsetter seg sletting av opplysningene og i stedet ber om at bruken av dem begrenses;
  3. den behandlingsansvarlige ikke lenger trenger personopplysningene for behandlingsformålene, men den registrerte trenger dem for å fastsette, gjøre gjeldende eller forsvare rettskrav; eller
  4. den registrerte har protestert mot behandlingen; i dette tilfellet gjelder begrensningen i perioden frem til det er fastslått om den behandlingsansvarliges legitime grunner veier tyngre enn den registrertes.

 

  1. Den registrerte skal informeres på forhånd om opphevelsen av begrensningen av behandlingen.

 

  1. De relevante reglene er beskrevet i artikkel 18 i forordningen.

 

Plikt til å varsle om retting eller sletting av personopplysninger eller begrensning av behandling

 

  1. Den behandlingsansvarlige skal informere hver mottaker som personopplysningene er utlevert til eller med, om enhver retting, sletting eller begrensning av behandlingen, med mindre dette viser seg å være umulig eller innebærer en uforholdsmessig stor innsats. Den behandlingsansvarlige skal på den registrertes anmodning informere den registrerte om disse mottakerne.

 

  1. Disse reglene finner du under artikkel 19 i forordningen.

 

Retten til dataportabilitet

 

  1. På de vilkår som er fastsatt i forordningen, har den registrerte rett til å motta personopplysninger om seg selv som han eller hun har gitt til en behandlingsansvarlig i et strukturert, alminnelig anvendt og maskinlesbart format, og rett til å overføre disse opplysningene til en annen behandlingsansvarlig uten hindring fra den behandlingsansvarlige som personopplysningene er gitt til, dersom.
  1. behandlingen er basert på samtykke eller på en kontrakt; og
  2. behandlingen utføres ved hjelp av automatiserte metoder.

 

  1. Den registrerte kan også be om direkte overføring av personopplysninger mellom behandlingsansvarlige.

 

  1. Utøvelsen av retten til dataportabilitet skal ikke berøre artikkel 7 i forordningen (retten til sletting ("retten til å bli glemt"). Retten til dataportabilitet skal ikke gjelde dersom behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller som ledd i utøvelse av offentlig myndighet som den behandlingsansvarlige har fått tildelt. Denne retten skal ikke ha negativ innvirkning på andres rettigheter og friheter.

 

  1. De nærmere reglene er beskrevet i artikkel 20 i forordningen.

 

Retten til å protestere

 

  1. ADen registrerte skal ha rett til når som helst å protestere, av grunner som gjelder hans eller hennes særlige situasjon, mot behandling av hans eller hennes personopplysninger basert på allmennhetens interesse, utførelse av en offentlig oppgave (artikkel 6 nr. 1 bokstav e)) eller en berettiget interesse (artikkel 6 bokstav f)), herunder profilering basert på disse bestemmelsene. I slike tilfeller kan den behandlingsansvarlige ikke lenger behandle personopplysningene, med mindre den behandlingsansvarlige kan påvise tvingende berettigede grunner for behandlingen som veier tyngre enn den registrertes interesser, rettigheter og friheter, eller for å fastsette, gjøre gjeldende eller forsvare et rettskrav.

 

  1. Når personopplysninger behandles for direkte markedsføringsformål, har den registrerte rett til når som helst å motsette seg behandling av personopplysninger om ham eller henne for slike formål, herunder profilering, når det er knyttet til direkte markedsføring. Hvis den registrerte motsetter seg behandling av personopplysninger for direkte markedsføringsformål, kan personopplysningene ikke lenger behandles for disse formålene.

 

  1. Den registrerte skal gjøres uttrykkelig oppmerksom på disse rettighetene senest ved den første kontakten med den registrerte, og informasjonen skal vises tydelig adskilt fra annen informasjon.

 

  1. Den registrerte kan også utøve retten til å protestere ved hjelp av automatiserte metoder basert på tekniske spesifikasjoner.

 

  1. Når personopplysninger behandles for vitenskapelige eller historiske forskningsformål eller statistiske formål, skal den registrerte ha rett til å motsette seg behandling av personopplysninger som gjelder ham eller henne, av grunner som har sammenheng med vedkommendes særlige situasjon, med mindre behandlingen er nødvendig for å utføre en oppgave av allmenn interesse.

 

Automatiserte avgjørelser i enkeltsaker, inkludert profilering

 

  1. Den registrerte skal ha rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, og som har rettsvirkning for ham eller henne eller på tilsvarende måte i betydelig grad påvirker ham eller henne.

 

  1. Denne retten gjelder ikke i tilfelle av en beslutning om å:
  1. nødvendig for inngåelse eller oppfyllelse av en avtale mellom den registrerte og den behandlingsansvarlige;
  2. er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som gjelder for den behandlingsansvarlige, og som også fastsetter egnede tiltak for å beskytte den registrertes rettigheter og friheter og berettigede interesser; eller
  3. er basert på eksplisitt samtykke fra den registrerte.

 

  1. I tilfellene nevnt i bokstav a) og c) skal den behandlingsansvarlige treffe egnede tiltak for å sikre den registrertes rettigheter, friheter og berettigede interesser, herunder minst retten til menneskelig inngripen fra den behandlingsansvarliges side, til å gi uttrykk for sine synspunkter og til å protestere mot beslutningen.

 

  1. Nærmere regler er fastsatt i artikkel 22 i forordningen.

 

Begrensninger

 

  1. EU-retten eller medlemsstatenes nasjonale rett som gjelder for en behandlingsansvarlig eller databehandler, kan begrense omfanget av rettigheter og plikter (artikkel 12-22, 34 og 5 i forordningen) ved hjelp av lovgivningsmessige tiltak, forutsatt at begrensningen respekterer det vesentlige innholdet i de grunnleggende rettighetene og frihetene.

 

  1. Vilkårene for denne begrensningen er fastsatt i artikkel 23 i forordningen.

 

Informere den registrerte om bruddet på personopplysningssikkerheten

 

  1. Hvis bruddet på personopplysningssikkerheten sannsynligvis vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige informere den registrerte om bruddet på personopplysningssikkerheten uten ugrunnet opphold. Denne informasjonen skal klart og tydelig beskrive personopplysningsbruddets art og skal minst inneholde følgende
  1. navn og kontaktopplysninger til personvernombudet eller en annen kontaktperson som kan gi ytterligere informasjon;
  2. forklare de sannsynlige konsekvensene av datainnbruddet;
  3. beskrive hvilke tiltak den behandlingsansvarlige har truffet eller planlegger å treffe for å avhjelpe bruddet på personopplysningssikkerheten, herunder, der det er relevant, tiltak for å redusere eventuelle negative konsekvenser av bruddet på personopplysningssikkerheten.

 

  1. Den registrerte trenger ikke å bli informert dersom noen av følgende vilkår er oppfylt:
    1. den behandlingsansvarlige har iverksatt egnede tekniske og organisatoriske beskyttelsestiltak, og disse tiltakene har blitt anvendt på de opplysningene som er berørt av bruddet på personopplysningssikkerheten, særlig tiltak som bruk av kryptering, som gjør opplysningene uforståelige for personer som ikke er autorisert til å få tilgang til personopplysningene;
    2. den behandlingsansvarlige har truffet ytterligere tiltak etter bruddet på personopplysningssikkerheten for å sikre at det ikke lenger er sannsynlig at den høye risikoen for den registrertes rettigheter og friheter vil materialisere seg;
    3. informasjon vil kreve en uforholdsmessig stor innsats. I slike tilfeller bør de registrerte informeres ved hjelp av offentlig informasjon eller et lignende tiltak som sikrer at de registrerte blir informert på en like effektiv måte.

 

  1. Ytterligere regler er fastsatt i artikkel 34 i forordningen.

 

 Rett til å klage til en tilsynsmyndighet (rett til offentlig oppreisning)

 

  1. Den registrerte har rett til å klage til en tilsynsmyndighet, særlig i den medlemsstat der vedkommende har sitt vanlige bosted, arbeidssted eller der den påståtte overtredelsen har funnet sted, dersom den registrerte mener at behandlingen av personopplysninger om vedkommende er i strid med forordningen. Tilsynsmyndigheten som klagen er inngitt til, skal underrette den registrerte om utviklingen i saksbehandlingen og utfallet av klagen, herunder den registrertes rett til rettsmidler.

 

  1. Disse reglene er beskrevet i artikkel 77 i forordningen.

 

Rett til et effektivt rettsmiddel mot tilsynsmyndigheten

 

  1. Uten at det berører andre administrative eller ikke-rettslige rettsmidler, skal enhver fysisk eller juridisk person ha rett til et effektivt rettsmiddel mot en rettslig bindende avgjørelse truffet av tilsynsmyndigheten som gjelder vedkommende.

 

  1. Uten at det berører andre administrative eller ikke-rettslige rettsmidler, skal enhver registrert ha rett til et effektivt rettsmiddel dersom den kompetente tilsynsmyndigheten ikke behandler klagen eller ikke informerer den registrerte innen tre måneder om utviklingen i saksbehandlingen av klagen eller om utfallet av klagen.

 

  1. Søksmål mot tilsynsmyndigheten skal anlegges ved domstolene i den medlemsstat der tilsynsmyndigheten er etablert.

 

  1. Dersom det reises sak mot en avgjørelse truffet av en tilsynsmyndighet som nemnda tidligere har avgitt uttalelse om eller fattet vedtak om i henhold til konsistensmekanismen, er tilsynsmyndigheten forpliktet til å oversende denne uttalelsen eller avgjørelsen til domstolen.

 

  1. Disse reglene er beskrevet i artikkel 78 i forordningen.

 

Retten til et effektivt rettsmiddel mot den behandlingsansvarlige eller databehandleren

 

  1. Uten at det berører de tilgjengelige administrative eller utenrettslige rettsmidler, herunder retten til å inngi klage til en tilsynsmyndighet, skal enhver registrert ha adgang til effektive rettsmidler dersom vedkommende mener at vedkommendes rettigheter i henhold til denne forordning er krenket som følge av behandling av vedkommendes personopplysninger som ikke er i samsvar med denne forordning.

 

  1. Søksmål mot den behandlingsansvarlige eller databehandleren skal anlegges ved domstolene i den medlemsstat der den behandlingsansvarlige eller databehandleren er etablert. Slike saker kan også bringes inn for domstolene i den medlemsstat der den registrerte har sitt vanlige bosted, med mindre den behandlingsansvarlige eller databehandleren er en offentlig myndighet i en medlemsstat som handler under utøvelse av offentlig myndighet.

 

  1. Disse reglene er beskrevet i artikkel 79 i forordningen.

 

ENDELIGE BESTEMMELSER

 

Tiltak for å gjøre retningslinjene kjent

 

Bestemmelsene i disse retningslinjene skal formidles til alle ansatte hos den behandlingsansvarlige og skal være en vesentlig del av ansettelseskontraktene til alle ansatte. Modellklausulen for ansettelseskontrakter i disse retningslinjene er Vedlegg nr. inkludert.