I forbindelse innføringen av nye personvernregler i Norge ved ny personopplysningslov og implementering av personvernforordningen (General Data Protection Regulation – "GDPR"), oppstår det naturlig en del spørsmål. Under har vi samlet og besvart de mest gjengående spørsmålene fra våre bedriftskunder om GDPR og databehandleravtaler. (Skan-kontroll privatkunder er ikke omfattet av endringene i følge med GDPR.)
Kan vi som kunder sende Skan-kontroll vår egen "standard" databehandleravtale for signering av Skan-kontroll?
Databehandleravtalen fra Skan-kontroll tilfredsstiller kravene i personopplysningslov og GDPR. Siden det er en nær sammenheng mellom tjenestene fra Skan-kontroll, vilkårene som regulerer tjenestene og databehandleravtalen, er det viktig at det er disse vilkårene og databehandleravtalen som gjelder for tjenestene fra Skan-kontroll.
Enkelte kunder har sendt oss sin standard databehandleravtaler som skal dekke tjenestene fra Skan-kontroll, men siden disse avtalene er standardiserte, er de sjelden dekkende for tjenestene fra Skan-kontroll og regulerer ikke behandlingen av personopplysninger som følge av tjenestene på en tilstrekkelig måte.
Skan-kontroll ber derfor om at databehandleravtalen som kommer fra oss regulerer tjenestene fra Skan-kontroll og behandling av personopplysninger som følge av disse, og at det ikke oversendes en annen databehandleravtale til Skan-kontroll. Databehandleravtaler som blir mottatt av Skan-kontroll som ikke er dekkende for Skan-kontroll' tjenester kan ikke bli inngått, og Skan-kontroll' databehandleravtale bør i stedet bli benyttet.
Hvilke endringer er gjort i avtaleforholdene for å justere mot de nye personvernreglene?
Vi har revidert våre prosesser og vår databehandleravtale oppfyller de nødvendige tilpasninger til det nye regelverket.
Har dere god nok tilgangskontroll som sikrer våre personopplysninger?
Skan-kontroll har tilgangskontroll som tilfredsstiller de gjeldende sikkerhetskrav. Tilgangskontroll vil i tillegg bli gjennomgått for å sikre at alle krav i det nye regelverket er ivaretatt, dette sammen med evaluering av alle systemer og nødvendige organisatoriske krav.
Vil Skan-kontroll gi ut en egen personvernerklæring for kunders ansatte?
Skan-kontroll har en egen personvernerklæring for Skan-kontroll' håndtering av data i de tilfeller hvor Skan-kontroll er behandlingsansvarlig.
Benytter Skan-kontroll underdatabehandlere?
Skan-kontroll benytter underdatabehandlere på noen drifts- og tjenesterelaterte oppgaver. I den grad disse underdatabehandlerne har tilgang til personopplysninger, vil det inngås databehandleravtaler mellom disse og Skan-kontroll i tråd med kravene i GDPR. En liste over våre nasjonale underdatabehandlere er synliggjort i databehandleravtalen.
For Skan-kontroll datterselskaper (dersom du som kunde har avtale med et av Skan-kontroll datterselskaper) vil Skan-kontroll være kontraktspart for databehandleravtalen. Skan-kontroll underleverandører Norge/Sverige er:
|
Tjenesteleveranse |
Underdatabehandlere |
Land |
|
Elektronisk overvåkning |
ABAX AS |
Norge |
|
Elektronisk overvåkning |
IRISITY AB |
Sverige |
|
Elektronisk overvåkning |
TELLU IOT AS |
Norge |
|
Vakt og kontrolltjenester |
Avarn Security |
Norge |
|
Vakt og kontrolltjenester |
Semac AS |
Norge |
|
Kurs- og konsulenttjenester |
Semac AS |
Norge |
|
Kurs- og konsulenttjenester |
Avarn Security |
Norge |
|
IT Infrastruktur og support |
Avarn Security AS |
Norge |
Flytter Skan-kontroll våre personopplysninger til land utenfor EU/EØS og godkjente tredjeland?
Dataene behandles i EU/EØS-området, med unntak av at Skan-kontroll benytter Avarn Security AS som leverandør av IT tjenester. Dette innebærer at enkelte ansatte i Avarn Security AS har tilgang til personopplysninger via Skan-kontroll systemer. Skan-kontroll har selvsagt sørget for at tilgangen til disse opplysningene for de aktuelle ansatte i Avarn Security AS vil være i tråd med kravene i GDPR
Behandler Skan-kontroll sensitive personopplysninger for sine kunder?
I de tjenester Skan-kontroll tilbyr, foretar ikke Skan-kontroll på vegne av kunden noen innsamling av særskilte kategorier personopplysninger.
Hvilke tiltak setter Skan-kontroll i gang for å sikre at varslingsplikten overfor oss som kunde ivaretas?
Skan-kontroll har allerede etablerte varslingsrutiner ved hendelser rundt informasjonssikkerhet. Disse varslingsrutinene blir gjennomgått for å sikre at alle krav i det nye regelverket er ivaretatt.
Databehandleravtalen beskriver varslingsfrister i tråd med forordningen.
Andre forhold som påvirker oss som kunde av Skan-kontroll når det gjelder GDPR?
Vår databehandleravtale tilpasset det nye regelverket vil være tilgjengelig for våre kunder fortløpende de kommende ukene og frem til det nye regelverket trer i kraft.
Den oppdaterte avtalen må godkjennes av kunden innen regelverkets ikrafttredelse.
Rent praktisk vil godkjenning av de oppdaterte betingelsene for de fleste kunder skje ved at den som mottar informasjonsbrevet hos kunden, og har de nødvendige fullmakter, godkjenner og krysser av for de tjenester Skan-kontroll leverer i databehandleravtalen direkte i vårt system etter innlogging.
Hvilke personopplysninger lagres?
Svaret på dette spørsmålet avhenger for det første av hvilket eller hvilke av Skan-kontroll produkter/tjenester kunden har avtale om med Skan-kontroll. De ulike tjenestevedleggende i Skan-kontroll databehandleravtale har listet opp de personopplysninger som behandles innenfor de ulike tjenesteleveransene.
Er de registrerte informert om innsamling/registrering av personopplysningene?
Svaret på dette spørsmålet avhenger for det første av hvilket eller hvilke av Skan-kontroll produkter/tjenester kunden har avtale om med Skan-kontroll. De ulike tjenestevedleggende i Skan-kontroll databehandleravtale har listet opp de personopplysninger som behandles innenfor de ulike tjenesteleveransene.
Er de registrerte kjent med hvor personopplysningene lagres?
Skan-kontroll som databehandler i tilknytning til våre systemer har ingen kontroll over hvorvidt de registrerte faktisk er informert om innsamling/registering av opplysningene i de tjenester vi tilbyr våre kunder. Det er Skan-kontroll’ kunde (som behandlingsansvarlig) som skal informere de registrerte om innsamlingen/registreringen av opplysningene som legges inn i systemene eller registreres.
Finnes det rutiner for sletting av personopplysninger? Finnes dokumentasjon? Hvor er dokumentasjon lagret?
Nye rutiner og prosesser i tråd med det nye regelverket er utarbeidet og noe er under utarbeidelse. Vårt interne kvalitetskontroll vil kjøre revisjoner på sletterutiner, samt at alle våre systemer er samlet i en felles oversikt som er gjenstand for årlig evaluering og gjennomgang.
Som databehandler opptrer vi etter instruks fra/avtale med vår kunde (som behandlingsansvarlig), også hva gjelder når data slettes.
Har Skan-kontroll eget personvernombud?
Ja, Skan-kontroll har eget personvernombud som er godkjent av myndighetene.
Er personvernkonsekvensene vurdert? Er risiko- og sårbarhetsanalyse knyttet til systemet utført? Dokumentasjon? Hvor er dokumentasjonen lagret?
Vurdering av personvernkonsekvenser (DPIA) samt risiko- og sårbarhetsanalyser i tråd med det nye regelverket inngår som en sentral del av arbeidet Nokas har igangsatt for tilpasning til det nye regelverket. Alle nye behandlinger eller nye systemer som igangsettes vil bli underlagt en risiko- og sårbarhetsanalyse, i de tilfeller det er nødvendig gjennomføres en DPIA (Data Protection Impact Assessment) slik det er beskrevet i forordningen og artikkel 29 gruppen.