PERSONVERNSTRATEGI FOR
PERSONVERNSTRATEGI FOR
XXXXXX XXXX INSTALLASJON AS
BAKGRUNN OG FORMÅL
Behandling av personopplysninger er regulert i lov om behandling av personopplysninger (personopplysningsloven) og tilhørende forskrift (personopplysningsforskriften).
Personopplysningsloven er en generell lov for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, og annen manuell behandling av personopplysninger når disse inngår eller skal inngå i et personregister.
Personopplysningsloven har til formål å beskytte enkeltpersoner mot at deres personvern blir krenket gjennom behandling av personopplysninger, jf. lovens § 1. Personopplysninger skal behandles i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet og privatlivets fred. Personvernbegrepet er ikke klart definert i loven, men er et samlebegrep som beskriver mange ulike interesser og verdier for enkeltindividet.
Xxxxx pålegger enhver virksomhet å sørge for at personopplysninger om egne ansatte og andre behandles på en forsvarlig måte. Etter personopplysningsloven § 14 er alle virksomheter pålagt å etablere og vedlikeholde planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven og personopplysningsforskriften, altså et internkontrollsystem.
Personopplysningslovens bestemmelser gir de overordnede rammene for behandling av personopplysninger. Dette dokumentet utgjør Xxxxxx Xxxx Installasjon AS internkontrollsystem for behandling av personopplysninger, og skal være tilgjengelig for bedriftens ansatte, Datatilsynet og Personvernnemnda.
Ledelsen i Xxxxxx Xxxx Installasjon AS skal normalt gjennomgå overordnede mål og strategier for internkontroll og styringssystemet for sikkerhet en gang pr. år.
En gjennomgang og evt. revisjon av dette dokumentet antas nødvendig ved implementering av den nye personvernforordningen GDPR. Det nye personvernregelverket vil etter planen tre i kraft 25. mai 2018.
PERSONVERN I XXXXXX XXXX INSTALLASJON AS
Xxxxxx Xxxx Installasjon AS
Kontoradresse : Xxxxxxxxxxxx 00, 1341 Slependen
Postadresse : Postboks 893, 1306 Sandvika
Organisasjonsnr. : 917 339 236 Xxxxxx ansatte : 65
Firmaet ble stiftet i 1947 av Xxxxxx Xxxx.
Xxxxxx Xxxx Installasjon AS sine behandlinger av personopplysninger skal ivareta følgende hensyn:
• Beskyttelse av den enkelte mot at personvernet blir krenket ved vår behandling av personopplysninger.
• Sikre at enkeltpersoner ved forespørsel får de opplysninger vedkommende har krav på etter personopplysningsloven.
• Sikre at personopplysningene som behandles er riktige, fullstendige og tilstrekkelig adekvate i forhold til formålet, at opplysningene lagres på en sikker måte, og ikke oppbevares lenger enn nødvendig.
Personopplysningsloven stiller videre et generelt krav om at virksomheter gjennom planlagte og systematiske tiltak skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.
De overordnede målene i Xxxxxx Xxxx Installasjon AS ivaretar samtlige av disse aspektene, med den presisering at ved behandling av sensitive personopplysninger skal sikring av konfidensialitet som hovedregel prioriteres foran prinsippene om integritet og tilgjengelighet.
Xxxxxx Xxxx Installasjon AS behandler kun personopplysninger om egne ansatte og våre private kunder.
For våre egne ansatte behandles i hovedsak personopplysninger vi har en lovfestet plikt til eller som er nødvendige for å kunne utføre bedriftens arbeidsgiveransvar. Vi behandler i begrenset grad sensitive opplysninger i forbindelse med tariffestet plikt til forskuddstrekk av fagforeningskontingent og ved oppfølging av sykemeldte arbeidstakere. Disse behandlingene er nærmere omtalt i rutinebeskrivelser.
Om private kunder oppbevares kun opplysninger som er nødvendige for at vi skal kunne gjennomføre avtalene med de respektive kundene, samt opplysninger vi er pålagt å oppbevare etter bokføringslovgivningen.
Omfanget av personopplysninger og kategorien av disse er av en slik karakter at de representerer en lav risiko for krenkelse av personvern.
ANSVAR I XXXXXX XXXX INSTALLASJON AS
Den behandlingsansvarlige er etter personopplysningsloven § 2 nr. 4) og GDPR art. 4 nr. 7) den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Ved avgjørelsen av hvem som er å anse som behandlingsansvarlig i Xxxxxx Xxxx Installasjon AS, er det avgjørende hvem som har instruksjons- og delegasjonsmyndighet, herunder bestemmelsesrett over personopplysningene, den elektroniske behandlingen av disse og den aktuelle tilgangsstyringen i de elektroniske systemene.
Virksomhetens daglige leder/administrerende direktør vil være behandlingsansvarlig i henhold til personopplysningsloven, og derigjennom den som er ansvarlig for at kravene til internkontroll etterleves.
OM SÆRSKILTE KRAV Og BESTEMMELSER I GDPR
GDPR art. 35 oppstiller krav om vurdering av personvernkonsekvenser og art. 37 krav om utpeking av personvernrådgiver (personvernombud).
Xxxxxx Xxxx Installasjon AS har vurdert innholdet i bestemmelsene og er klart av den oppfatning at virksomhetens karakter og drift, omfanget av behandlinger og typen personopplysninger som behandles, er av en slik karakter at bestemmelsene ikke kommer til anvendelse i bedriften.
PROTOKOLL OVER BEHANDLINGER I XXXXXX XXXX INSTALLASJON AS – GDPR ART. 30
I henhold til GDPR art. 30 skal den behandlingsansvarlige føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar. Protokollen skal inneholde:
• Formålene med behandlingen
• Beskrivelse av kategorier av registrerte og kategorier av personopplysninger
• Kategorier av mottakere som personopplysninger er blitt eller vil bli utlevert til.
• Hvis mulig, forespeilte slettefrister for ulike kategorier av opplysninger
• Hvis mulig, generell beskrivelse av tekniske og organisatoriske sikkerhetstiltak
Behandling | Formål | Behandlings -grunnlag | Kategori person- opplysninger | Kategori registrerte | Kategori utlevering | Slette frister | Sikkerhets tiltak |
Kunde- database | Forbruker- entreprise | Bokførings- loven, Forbruker- lover, POL §8 a) | Ikke sensitive | Kunder | N/A | Rutine nr. 4 | Se beskrivelse /rutine nr. X |
Lønn og personal- forvaltning | Personal- forvaltning av ansatte | Arbeids- miljøloven, Pol §8 a) og f), skatteloven | Noen sensitive POL §2 8 c, helseforhold og 8e fagforening | Ansatte | Rutine 4 og 6 | Se beskrivelse nr. X | |
Mobilt ordre- system | Tids- registrering og kunde- oppfølging | Bokførings- loven, POL §8 b) | Ikke sensitive | Ansatte og kunder | Se beskrivelse nr. X | ||
Elektronisk kjørebok (GPS) | Se avtale | Skatteloven m.m. | Ikke sensitive | Ansatte | N/A | Rutine nr. X | Se beskrivelse |
EGENKONTROLL OG AVVIKSHÅNDTERING
For å sikre at internkontrollsystemet utvikler seg i tråd med virksomheten i Xxxxxx Xxxx Installasjon AS, må systemet tilpasses organisasjonens utvikling. Dette skal ivaretas gjennom rutiner for egenkontroll og avviksbehandling.
Bedriftsledelsen er ansvarlig for å utføre årlige ettersyn for å kontrollere at rutinene blir fulgt og at de er funksjonelle for de ansatte, om det har skjedd endringer i regelverket eller andre rammefaktorer, endringer i behandlingen av personopplysninger mv.
Rutinene for rapportering av hendelser og håndtering av avvik skal sikre at Xxxxxx Xxxx Installasjon AS har mulighet til å gjøre forbedringer i internkontrollen, og at mulige brudd på policy, regelverk eller retningslinjer rapporteres til ansvarlig person. På denne måten kan bedriften lære av avvik, og iverksette tiltak for å forbedre systemet.
Avvik i forhold til behandling av personopplysninger registreres som avvik i bedriftens avvikssystem. Bedriften skal iverksette tiltak dersom:
• Personopplysninger behandles i strid med fastlagte rutiner
• Det er mistanke om eller dokumentert brudd på informasjonssikkerhet
• Dersom uautorisert utlevering av personopplysninger har funnet sted.
Dersom det har skjedd en uautorisert utlevering av personopplysninger skal den berørte varsles når det er sannsynlig at avviket vil medføre høy risiko for personvernet til den som er berørt. Det må også vurderes om Datatilsynet skal varsles om avviket.
RUTINER FOR BEHANDLINGER AV PERSONOPPLYSNINGER OG BESKRIVELSER AV SYSTEMER OG INFORMASJONSSIKKERHET I XXXXXX XXXX INSTALLASJON AS
Følgende rutiner er etablert i Xxxxxx Xxxx Installasjon AS :
Rutine 1: Rett til innsyn, GDPR art. 15
Rutine 2: Innsamling og lagring av personopplysninger, GDPR art. 13. Rutine 3: Retting av personopplysninger, GDPR art. 16
Rutine 4: Sletting/anonymisering av personopplysninger, GDPR. Art. 17.
Rutine 5: Rutine for arbeidsgivers innsyn i e-post mv., personopplysningsforskriften § 9-3.
Rutine 6: Særlig om sensitive personopplysninger for ansatte (fagforeningstrekk og sykemeldte arbeidstakere)
Rutine 7: Rett til dataportabilitet, GDPR. Art. 20
Rutine 1: Den registrertes rett til innsyn
GDPR art. 15 sier følgende:
"1. Den registrerte skal ha rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene og følgende informasjon:
a) formålene med behandlingen,
b) de berørte kategoriene av personopplysninger,
c) mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, særlig mottakere i tredjestater eller internasjonale organisasjoner,
d) dersom det er mulig, hvor lenge det forventes at personopplysningene vil bli lagret, eller, dersom dette ikke er mulig, kriteriene som brukes for å fastsette denne perioden,
e) retten til å anmode den behandlingsansvarlige om korrigering eller sletting av personopplysninger eller begrensning av behandlingen av personopplysninger som gjelder den registrerte, eller til å protestere mot nevnte behandling,
f) retten til å klage til en tilsynsmyndighet,
g) dersom personopplysningene ikke er samlet inn fra den registrerte, all tilgjengelig informasjon om hvor personopplysningene stammer fra,
h) forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.
2. Dersom personopplysningene overføres til en tredjestat eller til en internasjonal organisasjon, skal den registrerte ha rett til å bli underrettet om de nødvendige garantiene i henhold til artikkel 46 i forbindelse med overføringen.
3. Den behandlingsansvarlige skal gjøre tilgjengelig en kopi av personopplysningene som behandles. Dersom den registrerte anmoder om flere kopier, kan den behandlingsansvarlige kreve et rimelig gebyr basert på
administrasjonskostnadene. Dersom den registrerte inngir anmodningen elektronisk, og med mindre den registrerte anmoder om noe annet, skal informasjonen gis i en vanlig elektronisk form.
4. Retten til å motta en kopi nevnt i nr. 3 skal ikke krenke andres rettigheter og friheter."
En henvendelse fra en registrert person skal behandles så raskt som mulig og senest innen 10 arbeidsdager, med mindre særlige forhold gjør at lengre tid er påkrevet. Retten til innsyn omfatter ikke opplysninger som:
• Det må anses utilrådelig at den registrerte får kjennskap til, av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær.
• Det utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelse og som heller ikke er utlevert til andre i medhold av lov gjelder taushetsplikt for.
• Det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om, herunder hensynet til den registrerte selv.
Rutine 2: Innsamling og lagring av personopplysninger, GDPR art. 13. Innsamling av personopplysninger
GDPR art. 13 lyder følgende:
"1. Når personopplysninger om en registrert samles inn fra den registrerte, skal den behandlingsansvarlige på tidspunktet for innsamlingen av personopplysningene gi den registrerte følgende informasjon:
a) identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den behandlingsansvarliges representant,
b) kontaktopplysningene til personvernrådgiveren, dersom dette er relevant,
c) formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen,
d) dersom behandlingen er basert på artikkel 6 nr. 1 bokstav f), de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart,
e) eventuelle mottakere eller kategorier av mottakere av personopplysningene,
f) dersom det er relevant, det faktum at den behandlingsansvarlige akter å overføre personopplysninger til en tredjestat eller en internasjonal organisasjon og om hvorvidt Kommisjonen har truffet en beslutning om tilstrekkelig beskyttelsesnivå eller ikke, eller når det gjelder overføringene nevnt i artikkel 46 eller 47 eller artikkel 49 nr. 1 annet ledd, en henvisning til nødvendige eller passende garantier, hvordan man får tak i et eksemplar av dem, eller hvor de er gjort tilgjengelig.
2. I tillegg til informasjonen nevnt i nr. 1 skal den behandlingsansvarlige på tidspunktet for innsamling av personopplysninger gi den registrerte følgende ytterligere informasjon som er nødvendig for å sikre en rettferdig og gjennomsiktig behandling:
a) det tidsrom personopplysningene vil bli lagret, eller dersom dette ikke er mulig, kriteriene som brukes for å fastsette dette tidsrommet,
b) retten til å anmode den behandlingsansvarlige om innsyn i og korrigering eller sletting av personopplysninger eller begrensning av behandlingen som gjelder den registrerte, eller til å protestere mot behandlingen samt retten til dataportabilitet,
c) dersom behandlingen er basert på artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), retten til når som helst å trekke tilbake et samtykke uten at det påvirker lovligheten av en behandling basert på et samtykke før samtykket trekkes tilbake,
d) retten til å klage til en tilsynsmyndighet,
e) om det foreligger et lovfestet eller avtalefestet krav om å gi personopplysninger eller et krav som er nødvendig for å inngå en avtale, samt om den registrerte har plikt til å gi personopplysningene og om mulige konsekvenser dersom vedkommende ikke gjør det,
f) forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.
3. Dersom den behandlingsansvarlige har til hensikt å viderebehandle personopplysningene for et annet formål enn det opplysningene ble samlet inn for, skal den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen nødvendig informasjon som nevnt i nr. 2.
4. Nr. 1, 2 og 3 får ikke anvendelse dersom og i den grad den registrerte allerede har informasjonen."
Xxxxxx Xxxx Installasjon AS kan i utgangspunktet selv velge hvordan informasjonen skal gis med, mindre det stilles krav om en skriftlig redegjørelse.
Daglig leder har ansvaret for at informasjonsplikten blir oppfylt innenfor eget ansvarsområde.
Lagring av personopplysninger
Det er viktig at oppbevaring og lagring av personopplysninger skjer i tråd med personopplysningsloven § 13 som sier at det skal sørges for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet.
Videre sier GDPR art. 5 f) at
"personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og fortrolighet»)."
Dette betyr at ved lagring av personopplysninger i Xxxxxx Xxxx Installasjon AS skal det sikres at:
• Uvedkommende ikke får tilgang til opplysningene.
• Informasjonen skal ikke kunne endres under lagring uten at det er gyldig grunnlag for dette.
• Informasjonen må være tilgjengelig for de som har behov for den i sin jobbutførelse.
Rutine 3: Retting av personopplysninger, GDPR art. 16.
GDPR art. 16 lyder følgende:
"Den registrerte skal ha rett til å få uriktige personopplysninger om seg selv korrigert av den behandlingsansvarlige uten ugrunnet opphold. Idet det tas hensyn til formålene med behandlingen skal den registrerte ha rett til å få ufullstendige personopplysninger komplettert, herunder ved å framlegge en supplerende erklæring."
Rettingen av opplysninger skal omfatte både opplysninger som er uriktige og opplysninger som er ufullstendige. Retting av opplysninger skal skje etter eget tiltak dersom feil oppdages eller i etterkant av en konkret henvendelse med anmodning om slik retting. Det kan bes om at den registrerte bidrar til å informere dersom opplysningene er mangelfulle eller feilaktige.
Rutine 4: Sletting/anonymisering av personopplysninger, GDPR. Art. 17.
GDPR art. 17 lyder følgende:
1. Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold, og den behandlingsansvarlige skal ha plikt til å slette personopplysninger uten ugrunnet opphold dersom et av de følgende forhold gjør seg gjeldende:
a) personopplysningene er ikke lenger nødvendige for formålet som de ble samlet inn eller behandlet for,
b) den registrerte trekker tilbake samtykket som ligger til grunn for behandlingen, i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), og det ikke finnes noe annet rettslig grunnlag for behandlingen,
c) den registrerte gjør innsigelse mot behandlingen i henhold til artikkel 21 nr. 1, og det ikke finnes mer tungtveiende berettigede grunner til behandlingen, eller den registrerte gjør innsigelse mot behandlingen i henhold til artikkel 21 nr. 2,
d) personopplysningene er blitt behandlet ulovlig,
e) personopplysningene må slettes for å oppfylle en rettslig forpliktelse i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt,
f) personopplysningene er blitt samlet inn i forbindelse med tilbud om informasjonssamfunnstjenester som nevnt i artikkel 8 nr. 1.
2. Dersom den behandlingsansvarlige har offentliggjort personopplysningene og i henhold til nr. 1 har plikt til å slette personopplysningene, skal vedkommende, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnadene, treffe rimelige tiltak, herunder tekniske tiltak, for å underrette behandlingsansvarlige som behandler personopplysningene, om at den registrerte har anmodet om at nevnte behandlingsansvarlige skal slette alle lenker til, kopier eller reproduksjoner av nevnte personopplysninger.
3. Nr. 1 og 2 får ikke anvendelse dersom nevnte behandling er nødvendig
a) for å utøve retten til ytrings- og informasjonsfrihet,
b) for å oppfylle en rettslig forpliktelse som krever behandling i henhold til unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, eller for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,
c) av hensyn til allmennhetens interesse på området folkehelse i samsvar med artikkel 9 nr. 2 bokstav h) og i) og artikkel 9 nr. 3,
d) for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 i den grad rettigheten nevnt i nr. 1 trolig vil gjøre det umulig eller i alvorlig grad vil hindre at målene med nevnte behandling nås, eller
e) for å fastsette, gjøre gjeldende eller forsvare rettskrav.
4 a) Sletting av ansattes personopplysninger
Personopplysninger om egne ansatte i Xxxxxx Xxxx Installasjon AS skal som hovedregel lagres frem til arbeidsforholdet er formelt avsluttet og Xxxxxx Xxxx Installasjon AS ikke lenger har behov for opplysningene.
Daglig leder har ansvar for å gjennomføre sletting. Dersom opplysninger er av en slik karakter at de ikke kan slettes, skal de i størst mulig grad anonymiseres.
Bedriften kan for alltid oppbevare informasjon om arbeidstakers navn, ansettelsesperiode og stilling i bedriften.
4 b) Sletting av privatkunderegister
Personopplysninger i kunderegister skal oppbevares i minst 5 år etter reklamasjonsreglene i forbrukerlovgivning og i 10 år etter bokføringslov. Det kan også være behov for lengre oppbevaring for å dokumentere valgte løsninger i systemer mv.
Som hovedregel har Xxxxxx Xxxx Installasjon AS kommet til at opplysningene i kunderegister ikke skal slettes. Personopplysningene i registeret er vurdert å ha tilnærmet ingen risiko for krenkelse av personvern, og opplysningene anses som godt sikret i vår database. Opplysningene vil imidlertid bli slettet ved krav/henvendelse fra registrert person.
Rutine 5: Rutine for arbeidsgivers innsyn i e-post mv., personopplysningsforskriften § 9-3.
I henhold til personopplysningsforskriften § 9-2 har arbeidsgiver bare rett til å gjennomsøke, åpne eller lese e-post i arbeidstakers e-postkasse, elektroniske filer mv. i særskilte tilfeller. I Xxxxxx Xxxx Installasjon AS anses følgende tilfeller for saklig grunnlag for arbeidsgivers adgang til innsyn:
• Nødvendig systemadministrasjon for å sikre etterlevelse av krav i avtaler eller policy for informasjonssikkerhet. Eksempler på dette kan være søk etter ødeleggende data som f.eks. virus og trojanere, eller ved begrunnet mistanke om arbeidstakers sending av ødeleggende data.
• Ved begrunnet mistanke om straffbare forhold.
• Behov for tilgang til den ansattes data ved fravær, for å kunne gjennomføre virksomhetsrelaterte oppgaver eller når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten.
• Ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller som kan gi grunnlag for oppsigelse eller avskjed.
Xxxxxx Xxxx Installasjon AS`s prosedyre ved innsyn er basert på reglene i personopplysningsforskriften § 9-3:
1. Arbeidstaker skal varsles på forhånd i den grad dette er mulig. Etter en vurdering kan dette avvikes for særskilte forhold, f.eks. ved en etterforskning av lovbrudd eller dersom det ikke er tid til dette for å kunne gjennomføre virksomhetskritiske oppgaver.
2. Arbeidstaker skal som hovedregel være til stede ved innsynet, og har rett til å la seg bistå av tillitsvalgt eller annen representant.
3. Innsyn i informasjon merket ”privat” skal unngås dersom dette er mulig.
4. Dersom arbeidstaker ikke var til stede, skal arbeidstaker varsles skriftlig så snart det lar seg gjøre etter at innsynet er gjennomført. Dersom særskilte hensyn, f.eks. pågående etterforskning, gjør at dette ikke er ønskelig, kan kravet om varsling avvikes. Avviket skal dokumenteres.
Rutine 6: Særlig om sensitive personopplysninger for ansatte
Xxxxxx Xxxx Installasjon AS vil i varierende grad være pålagt å behandle to kategorier sensitive personopplysninger om våre ansatte. Dette vil være informasjon om fagforeningsmedlemskap og arbeidstakeres helseforhold.
Bedriften har tariffavtalefestet plikt til å forestå trekk av fagforeningskontingent for arbeidstakere som er medlemmer av fagforbund. Dette er informasjon som den ansatte enten gir selv eller som blir sendt oss direkte fra den respektive arbeidstakerforening.
Videre har vi lovfestet plikt etter arbeidsmiljøloven og folketrygdloven til å behandle opplysninger om arbeidstakeres helseforhold ved sykemeldinger/oppfølgning av sykemeldte arbeidstakere.
Opplysninger om ansattes fagforeningsmedlemskap skal kun behandles av de representanter for bedriften som har behov for denne informasjon – daglig leder og lønningskontor.
Opplysninger om ansattes helseforhold skal begrenses til de administrative funksjoner som ivaretar arbeidsgivers forpliktelser etter loven. Det er kun disse ansatte som skal ha tilgang til opplysningene
– daglig leder og lønningskontor.
Rutine 7: Rett til dataportabilitet, GDPR. Art. 20
GDPR art. 20 lyder følgende:
"1. Den registrerte skal ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig, i et strukturert, alminnelig anvendt og maskinleselig format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig uten at den behandlingsansvarlige som personopplysningene er gitt til, hindrer dette, dersom
a) behandlingen er basert på samtykke i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a) eller en avtale i henhold til artikkel 6 nr. 1 bokstav b), og
b) behandlingen utføres automatisk.
2. Når den registrerte utøver sin rett til dataportabilitet i henhold til nr. 1, skal vedkommende, når det er teknisk mulig, ha rett til å få overført personopplysningene direkte fra en behandlingsansvarlig til en annen.
3. Utøvelse av rettigheten nevnt i nr. 1 i denne artikkel berører ikke artikkel 17. Nevnte rettighet får ikke anvendelse på behandling som er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.
4. Rettigheten nevnt i nr. 1 skal ikke krenke andres rettigheter og friheter."
Bestemmelsen fremstår ikke særlig relevant for Xxxxxx Xxxx Installasjon AS. Dersom vi mottar en henvendelse etter denne bestemmelsen, skal denne etterkommes så snart som mulig og innen 10 virkedager av daglig leder.