Datenschutzbestimmungen

  1. Über die Datenschutzrichtlinie
  2. Verantwortung für die Verarbeitung von personenbezogenen Daten durch uns
  3. Kenntnis der Vorschriften über personenbezogene Daten
  4. Kartierung der Verarbeitung personenbezogener Daten
  5. Grundvoraussetzungen für die Verarbeitung personenbezogener Daten
  6. Gründe für die Verarbeitung personenbezogener Daten
    1. Grundlage für die Verarbeitung
    2. Mitarbeiter
    3. Ehemalige Mitarbeiter
    4. Arbeitssuchende
    5. Kontaktpersonen bei den Lieferanten
    6. Kontaktpersonen bei Firmenkunden
    7. Andere Kontaktpersonen
  7. Grundlage für die Verarbeitung von sensiblen personenbezogenen Daten
  8. Informationen für die betroffenen Personen (Datenschutzpolitik)
  9. Rechte der betroffenen Personen
  10. Löschung von personenbezogenen Daten
  11. Datenschutzbeauftragter
  12. Allgemeine Risikobewertung
  13. Informationssicherheit
  14. Nichtkonformitäten, Analyse der Nichtkonformitäten und Abhilfemaßnahmen
  15. Einkauf von IT-Dienstleistungen - Datenverarbeitungsverträge
  16. Verstoß gegen die Sicherheit personenbezogener Daten
  17. Folgenabschätzung und vorherige Konsultation der norwegischen Datenschutzbehörde
  18. Kontrolle, Aktualisierung und Überarbeitung des Dokuments
  1. Über die Datenschutzrichtlinie

Der Zweck dieses Dokuments ist es, uns bei der Einhaltung des Gesetzes über personenbezogene Daten von 2018 zu helfen. Es wird auch dazu beitragen, zu zeigen, dass unsere Verarbeitung personenbezogener Daten mit dem Gesetz übereinstimmt.

2. Verantwortung für die Verarbeitung von personenbezogenen Daten durch uns

Das Unternehmen ist verantwortlich für die von ihm verarbeiteten personenbezogenen Daten, z. B. über seine eigenen Mitarbeiter, Ansprechpartner bei Kunden und Lieferanten, Privatkunden und andere Geschäftspartner. Das Unternehmen ist für die Einhaltung der Verpflichtungen verantwortlich, die sich aus den Vorschriften über personenbezogene Daten ergeben.

Ståle Haugland ist für die laufende Bearbeitung zuständig

3. Kenntnis der Vorschriften über personenbezogene Daten

Wir müssen sicherstellen, dass die betreffenden Mitarbeiter mit den Vorschriften über personenbezogene Daten, einschließlich dieses Dokuments zum Datenschutz, vertraut sind. Der Kenntnisstand muss an die Verarbeitung personenbezogener Daten durch den einzelnen Mitarbeiter angepasst sein. Wir werden prüfen, ob bestimmte Mitarbeitergruppen spezielle Kenntnisse benötigen, wie z. B. Personalfunktionen und IT-Manager. Unsere Führungskräfte müssen stets mit den Vorschriften vertraut sein.

4. Abbildung der Verarbeitung von personenbezogenen Daten

Wir müssen alle Verarbeitungen von personenbezogenen Daten aufzeichnen. Wir müssen dies in einem gesonderten Formular tun, in dem wir unter anderem die Kategorien der betroffenen Personen, den Zweck der Verarbeitung, die Art der Datenverarbeitung und die Grundlage für die Verarbeitung angeben. Die Formulare helfen uns, die Vorschriften über die Verarbeitung personenbezogener Daten einzuhalten.

5. Grundlegende Anforderungen an die Verarbeitung personenbezogener Daten

Das Gesetz sieht sechs Gründe vor, die für die Verarbeitung aller personenbezogenen Daten gelten. Wir müssen sicherstellen, dass personenbezogene Daten:

  1. auf rechtmäßige, faire und transparente Weise gegenüber der betroffenen Person verarbeitet werden ("Rechtmäßigkeit, Fairness und Transparenz")
  2. Der Zweck dieses Dokuments ist es, uns bei der Einhaltung des Gesetzes über personenbezogene Daten von 2018 zu helfen. Es wird auch dazu beitragen, zu zeigen, dass unsere Verarbeitung personenbezogener Daten mit dem Gesetz übereinstimmt.
  3. angemessen und sachdienlich sein und sich auf das beschränken, was für die Zwecke, für die sie verarbeitet werden, erforderlich ist ("Datenminimierung")
  4. sachlich richtig und, soweit erforderlich, auf den neuesten Stand gebracht sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke, für die sie verarbeitet werden, unrichtig sind, unverzüglich gelöscht oder berichtigt werden ("Richtigkeit")
  5. so gespeichert werden, dass die Identifizierung der betroffenen Personen nicht länger möglich ist, als es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist ("Speicherbegrenzung")
  6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung durch geeignete technische oder organisatorische Maßnahmen ("Integrität und Vertraulichkeit")

Wenn personenbezogene Daten für andere Zwecke als die, für die sie erhoben wurden, verwendet werden (siehe Punkt 2 oben), müssen wir immer prüfen, ob der neue oder geänderte Zweck mit dem ursprünglichen Zweck vereinbar ist. Dabei müssen wir die in Artikel 6 Absatz 4 der Allgemeinen Datenschutzverordnung genannten Faktoren berücksichtigen.

6. Grundlage für die Verarbeitung personenbezogener Daten

  1. Grundlage für die Verarbeitung

Für jede Verarbeitung personenbezogener Daten muss mindestens eine der folgenden Grundlagen gegeben sein:

  1. die betroffene Person hat in die Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke eingewilligt
  2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für Maßnahmen erforderlich, die auf Antrag der betroffenen Person vor Abschluss eines Vertrags getroffen werden
  3. die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt
  4. die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt (Interessenabwägung)

Die Grundlage(n), auf der/denen wir Daten verarbeiten, müssen aus dem Kartierungsformular klar hervorgehen. Ist die Grundlage für die Verarbeitung die Einwilligung der betroffenen Person (siehe Nr. 1), müssen wir uns mit den besonderen Regeln vertraut machen, die für solche Einwilligungen gelten, einschließlich der Dokumentationspflicht. Ist die Grundlage für die Verarbeitung unser berechtigtes Interesse (Interessenabwägung) (siehe Nr. 4), müssen wir die Abwägung konkret und schriftlich dokumentieren, siehe unten.

2. Mitarbeiter

Die Verarbeitung der Daten erfolgt hauptsächlich auf der Grundlage rechtlicher Verpflichtungen. Teilweise beruht die Verarbeitung auch auf einer Interessenabwägung. Wir müssen dokumentieren, dass wir gesetzliche und vertragliche Verpflichtungen erfüllt haben, nachdem wir sie erfüllt haben. Außerdem benötigen wir die Dokumentation für die Personalverwaltung, um sie für die zukünftige Personalverwaltung nutzen zu können. Dies sind berechtigte Interessen. Ein anderer Zugriff auf die Daten als die Speicherung der Daten ist nicht möglich. Die Verarbeitung ist daher erforderlich.

Unsere Mitarbeiter stehen in einem laufenden Vertragsverhältnis mit uns. Die personenbezogenen Daten, die wir verarbeiten, sind mit diesem Vertragsverhältnis verbunden. Dabei handelt es sich größtenteils um Informationen, die uns die Mitarbeiter zur Verfügung gestellt haben. Die Informationen beziehen sich auf Angelegenheiten, die von einem Arbeitgeber verarbeitet werden können.

Wir sind der Ansicht, dass das berechtigte Interesse Vorrang vor den Interessen des Arbeitnehmers hat.

3. Ehemalige Mitarbeiter

Die Verarbeitung der meisten personenbezogenen Daten erfolgt auf der Grundlage einer Interessenabwägung. Es kann vorkommen, dass wir Personalangelegenheiten auch nach Beendigung des Arbeitsverhältnisses dokumentieren müssen, z. B. bei einem Streit mit dem ehemaligen Mitarbeiter. Dies kann zum Beispiel der Fall sein, um zu dokumentieren, dass wir als Arbeitgeber unseren gesetzlichen oder arbeitsvertraglichen Verpflichtungen nachgekommen sind. Dies ist ein berechtigtes Interesse. Es ist nicht möglich, auf andere Weise Zugang zu den Informationen zu erhalten. Die Verarbeitung ist daher erforderlich.

Die Verarbeitung umfasst die Speicherung der Daten für bis zu zwölf Monate. Wir können Informationen über die frühere Beschäftigung des Mitarbeiters, die Dauer des Beschäftigungsverhältnisses und die Arbeitsaufgaben länger speichern. Die Daten werden nicht ohne Ersuchen des ehemaligen Mitarbeiters an andere weitergegeben, z. B. im Zusammenhang mit der Beurteilung der Beschäftigung bei einem neuen Arbeitgeber.

Wir sind der Ansicht, dass das berechtigte Interesse Vorrang vor den Interessen des ehemaligen Mitarbeiters hat.

4. Arbeitssuchende

Die Verarbeitung personenbezogener Daten erfolgt auf der Grundlage einer Interessenabwägung. Wir müssen die Informationen verwenden, um die Bewerbungen von Bewerbern zu bewerten, die uns zugesandt werden. Dies ist ein berechtigtes Interesse. Es ist nicht möglich, eine Bewerbung zu bewerten, ohne personenbezogene Daten zu verarbeiten. Die Verarbeitung ist daher erforderlich.

Wir bitten diejenigen, die sich bei uns um eine Stelle bewerben möchten, uns zumindest Informationen über ihren Namen, ihre Ausbildung, ihre Berufserfahrung, ihre Referenzen usw. zu übermitteln. Stellenbewerber stellen oft zusätzliche persönliche Daten zur Verfügung, die sie für die Beurteilung ihrer Bewerbung für relevant halten, z. B. Kontaktinformationen, familiäre Beziehungen und Interessen. In Vorstellungsgesprächen stellen wir Fragen, um festzustellen, ob der Bewerber für die Stelle geeignet ist. In einigen Fällen können wir zu diesem Zweck Tests oder Fragebögen verwenden. Wenn es für die Einstellung des Bewerbers relevant ist, können wir zusätzliche Informationen und Unterlagen zu bereits erhaltenen Informationen anfordern. Die Erteilung von Auskünften an uns ist freiwillig.

Wir verwenden die Informationen nur für die Prüfung der Bewerbung. Wir geben die Informationen nicht an Dritte weiter. Wir können Informationen von Stellenbewerbern sechs Monate lang aufbewahren, falls Stellenbewerber der Meinung sind, dass ihre Rechte nicht erfüllt wurden.

Wir sind der Ansicht, dass das berechtigte Interesse Vorrang vor den Interessen des Arbeitssuchenden hat.

5. Kontaktpersonen bei den Lieferanten

Die Verarbeitung personenbezogener Daten erfolgt auf der Grundlage einer Interessenabwägung. Wir müssen mit unseren Lieferanten in Kontakt bleiben, um u. a. Angebote, Bestellungen und Lieferungen zu verfolgen. Dies ist ein berechtigtes Interesse. Dieser Kontakt wird nur durch die direkte Kontaktaufnahme mit den Personen wirksam. Die Verarbeitung ist daher erforderlich.

Die Verarbeitung erfolgt in Bezug auf den Arbeitgeber des Ansprechpartners, der bei uns Lieferant sein möchte. Neben den Namen verarbeiten wir Kontaktinformationen wie Telefonnummer, E-Mail-Adresse und Arbeitgeber, die alle in erster Linie mit dem Arbeitsverhältnis der Kontaktperson und nicht mit deren Privatleben in Verbindung stehen. Der Umfang der Daten ist sehr begrenzt. Die Verarbeitung der Daten steht im Zusammenhang mit den geschäftlichen Aktivitäten des Anbieters und nicht mit dem Privatleben der Kontaktperson. Unsere Verarbeitung der personenbezogenen Daten ist für die Kontaktperson eindeutig vorhersehbar.

Wir sind der Ansicht, dass das berechtigte Interesse die Interessen der Kontaktperson überwiegt.

6. Kontaktpersonen bei Firmenkunden

Die Verarbeitung personenbezogener Daten erfolgt auf der Grundlage einer Interessenabwägung. Wir müssen mit unseren Geschäftskunden in Kontakt bleiben, um Angebote, Bestellungen und Lieferungen zu verfolgen. Dies ist ein berechtigtes Interesse. Dieser Kontakt wird nur durch die direkte Kontaktaufnahme mit den Personen wirksam. Die Verarbeitung ist daher erforderlich.

Die Verarbeitung erfolgt in Bezug auf den Arbeitgeber der Kontaktperson, der ein Kunde von uns ist. Neben den Namen verarbeiten wir allgemeine Informationen wie Telefonnummer, E-Mail-Adresse und Arbeitgeber, die alle in erster Linie mit der Beschäftigung der Kontaktperson zusammenhängen. Der Umfang der Daten ist daher begrenzt. Die Verarbeitung der Daten steht im Zusammenhang mit den geschäftlichen Aktivitäten des Anbieters und nicht mit dem Privatleben des Ansprechpartners. Wenn nach dem Marketinggesetz eine Einwilligung erforderlich ist, wird die Kontaktperson auch ihre Zustimmung gegeben haben, bevor wir Marketing-E-Mails versenden. Unsere Verarbeitung personenbezogener Daten ist für die Kontaktperson eindeutig vorhersehbar.

Wir sind der Ansicht, dass das berechtigte Interesse die Interessen der Kontaktperson überwiegt.

7. Andere Kontaktpersonen

Die Verarbeitung personenbezogener Daten erfolgt auf der Grundlage einer Interessenabwägung. Wir müssen im Zusammenhang mit öffentlich-rechtlichen Angelegenheiten, bei denen wir möglicherweise Pflichten und Rechte haben, mit Behörden wie dem NAV und Aufsichtsbehörden in Kontakt treten. Dies ist ein berechtigtes Interesse. In einigen Fällen ist diese Kommunikation nur dann effektiv, wenn wir direkt mit Einzelpersonen in Kontakt treten können. Die Verarbeitung ist daher erforderlich.

7. Grundlage für die Verarbeitung von sensiblen personenbezogenen Daten

Die Verarbeitung sensibler personenbezogener Daten erfordert eine zusätzliche Grundlage für die Verarbeitung, die über die in Abschnitt 6 genannten hinausgeht.

Sensible personenbezogene Daten sind: Informationen über die rassische oder ethnische Herkunft, politische Meinungen, Religion, Weltanschauung oder Gewerkschaftszugehörigkeit sowie genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten über das Sexualleben oder die sexuelle Ausrichtung einer natürlichen Person.

Wenn wir solche Daten verarbeiten wollen, müssen wir sicherstellen, dass wir eine Grundlage für die Verarbeitung haben. Für unsere Mitarbeiter sind Informationen über Gesundheit und Gewerkschaftsmitgliedschaft besonders relevant. Zur Gesundheit gehören zum Beispiel Krankheiten und Verletzungen sowie die dadurch bedingte Abwesenheit. Eine besonders relevante Grundlage für die Verarbeitung ist die Tatsache, dass die Verarbeitung in der Eigenschaft als Arbeitgeber erforderlich ist, z. B. im Zusammenhang mit der Weiterverfolgung und Berichterstattung an Behörden oder der Organisation des Arbeitsverhältnisses.

Die Verarbeitung von Informationen über Straftaten, Gesetzesverstöße usw. unterliegt besonderen Vorschriften, mit denen wir uns vertraut machen müssen, wenn wir solche Informationen verarbeiten wollen.

8. Informationen für die betroffenen Personen (Datenschutzpolitik)

Wir werden den betroffenen Personen die gesetzlich vorgeschriebenen Informationen zur Verfügung stellen. Wir stellen diese Informationen in einem Datenschutzhinweis zur Verfügung. Alle betroffenen Personen müssen Zugang zu den für sie geltenden Informationen haben. Wir stellen den Mitarbeitern Informationen in einem Mitarbeiterhandbuch oder ähnlichem zur Verfügung.

Die Informationen müssen unter anderem den Namen des Unternehmens und Kontaktinformationen, den Zweck der Verarbeitung, die Kategorien personenbezogener Daten, die Empfänger personenbezogener Daten (falls bekannt), Informationen über die Weitergabe personenbezogener Daten an andere Länder, die Dauer der Speicherung personenbezogener Daten, das Recht der betroffenen Personen auf Zugang, Berichtigung oder Löschung personenbezogener Daten, die Art und Weise, wie das Unternehmen Zugang zu den personenbezogenen Daten erhalten hat, und die Möglichkeit, sich bei der norwegischen Datenschutzbehörde zu beschweren, enthalten.

Handelt es sich bei der betroffenen Person um ein Kind, werden wir besonders darauf achten, wie eine gute Information gewährleistet werden kann.

9. Rechte der betroffenen Personen

Wir werden Anfragen von betroffenen Personen ohne unangemessene Verzögerung beantworten. Wenn wir solche Anfragen erhalten, sollten sie an Ståle Haugland geschickt werden

Wir werden sicherstellen, dass die betroffenen Personen ihre Rechte bei uns wahrnehmen können.

10. Löschung von personenbezogenen Daten

Wir werden personenbezogene Daten unverzüglich löschen, wenn sie für den Zweck, für den sie erhoben oder verarbeitet wurden, nicht mehr "notwendig" sind. Wir werden dies mindestens einmal jährlich überprüfen. Unsere Löschungspolitik ist unten oder auf dem Kartierungsformular dargelegt.

Mitarbeiter

In der Regel bewahren wir alle Informationen während des gesamten Beschäftigungszeitraums auf. Die Mitarbeiter können beantragen, dass die Daten gelöscht werden. Dies wird von Fall zu Fall geprüft. Die Gesetzgebung kann eine längere Aufbewahrungsfrist vorschreiben.

Ehemalige Mitarbeiter und Arbeitssuchende

Siehe oben zur Verarbeitungsgrundlage für diese Kategorien. Die Gesetzgebung kann eine längere Aufbewahrungsfrist als die hier angegebene vorschreiben.

Kontaktpersonen bei Lieferanten und Kunden

Wir löschen die Daten, wenn wir Kenntnis davon erhalten, dass die Kontaktperson den Lieferanten oder Kunden verlassen hat oder dass der Lieferant oder Kunde eine neue Kontaktperson benannt hat. Das Gleiche gilt, wenn die Lieferanten- oder Kundenbeziehung beendet ist.

Wir können die Daten jedoch länger speichern, wenn wir der Meinung sind, dass dies notwendig ist, um den Kontakt, den wir mit dem Lieferanten oder Kunden hatten, zu dokumentieren. Dies kann z. B. bei Fragen zu Rechten oder Pflichten im Vertragsverhältnis mit dem Lieferanten oder Kunden der Fall sein. Auch der Gesetzgeber kann eine längere Aufbewahrungsfrist vorschreiben.

Andere Kontaktpersonen

Wir löschen die Daten, wenn wir feststellen, dass die Person für unsere Bedürfnisse nicht mehr relevant ist, z. B. wenn die Person das Unternehmen, die Behörde usw. verlässt.

Wir können die Daten jedoch länger speichern, wenn wir der Meinung sind, dass dies notwendig ist, um den Kontakt mit der Person oder ihrem Arbeitgeber zu dokumentieren. Dies kann z. B. bei Fragen zu Rechten oder Pflichten in vertraglichen, öffentlich-rechtlichen oder sonstigen Angelegenheiten der Fall sein.

11. Datenschutzbeauftragter

Wir haben geprüft, ob unser Unternehmen nach der DSGVO einen Datenschutzbeauftragten haben muss.

Wir haben keine oder nur sehr wenige natürliche Personen als Kunden. Wir überwachen die betroffenen Personen nicht regelmäßig und systematisch in großem Umfang. Für die meisten Kategorien betroffener Personen verarbeiten wir im Allgemeinen allgemeine personenbezogene Daten wie Name, Anschrift, Arbeitgeber, E-Mail-Adresse, Telefonnummer usw. Wir verarbeiten einige sensible Informationen über Mitarbeiter.

Wir sind zu dem Schluss gekommen, dass unser Unternehmen nicht verpflichtet ist, einen Datenschutzbeauftragten zu haben.

12. Allgemeine Risikobewertung

Wir nehmen eine Risikobewertung der Verarbeitung von personenbezogenen Daten vor. Anhand dieser Bewertung können wir ermitteln und festlegen, welche Sicherheitsmaßnahmen wir ergreifen sollten.

Die Bewertungen beziehen sich auf die Wahrscheinlichkeit und Schwere (Risiko) einer Beeinträchtigung der "Rechte und Freiheiten" von Personen, wie z. B. körperliche Schäden, Schäden an Eigentum oder Vermögen und medizinische Schäden. Beispiele für Schäden sind Diskriminierung, Identitätsdiebstahl, Rufschädigung, Verlust des sozialen Ansehens, unbefugte Offenlegung vertraulicher Informationen und inakzeptable Verletzung der Privatsphäre.

Das Mapping-Formular zeigt, dass wir:

  • weitgehend nur allgemeine Kontaktinformationen wie Name, Adresse, Arbeitgeber, E-Mail-Adresse, Telefonnummer usw. verarbeiten.
  • Informationen über Mitarbeiter zu verarbeiten, die für die Verwaltung von Personalangelegenheiten, einschließlich der Einhaltung gesetzlicher Verpflichtungen, üblich sind
  • wenige oder keine Privatkunden haben
  • verarbeitet keine Informationen über Kinder
  • Verarbeitet Informationen, die Teil der normalen Geschäftsaktivitäten sind

Wir sind noch nie Opfer einer Datenschutzverletzung geworden. Uns ist auch nicht bekannt, dass Außenstehende ein Interesse an den von uns verarbeiteten personenbezogenen Daten gezeigt hätten. Wir halten es daher für unwahrscheinlich, dass die Daten einer Verletzung ausgesetzt waren.

Aufgrund der Art und des Umfangs der von uns verarbeiteten Daten gehen wir davon aus, dass die Folgen einer Nichteinhaltung nicht schwerwiegend sein werden.

Bei einigen Informationen über Mitarbeiter sind sowohl die Wahrscheinlichkeit als auch die Schwere von Regelverstößen viel größer. Daher haben wir separate Routinen für die Verarbeitung solcher Informationen, einschließlich der Beschränkung des Zugangs zu ihnen.

Wir müssen Änderungen, die sich auf die Informationssicherheit auswirken können, einer Risikobewertung unterziehen, z. B. wenn wir neue IT-Dienste erwerben.

Die Ergebnisse der Risikobewertungen müssen von der Person genehmigt werden, die in der Organisation täglich für die Verarbeitung verantwortlich ist.

13. Informationssicherheit

Wir sind gesetzlich verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein Sicherheitsniveau zu erreichen, das dem mit unserer Verarbeitung personenbezogener Daten verbundenen Risiko angemessen ist. Dabei müssen wir den Stand der Technik, die Implementierungskosten und die Art, den Umfang und den Zweck der Verarbeitung sowie den Kontext, in dem sie erfolgt, berücksichtigen.

Unsere Risiken werden im obigen Abschnitt in allgemeiner Form bewertet.

Vor diesem Hintergrund haben wir diese Maßnahmen umgesetzt:

  • Wir haben eine Person mit besonderer Verantwortung für die Sicherheit ernannt: Ståle Haugland
  • Es muss verhindert werden, dass Unbefugte Zugang zu personenbezogenen Daten oder zu den Geräten, auf denen sie gespeichert sind, erhalten,
  • Es muss sichergestellt werden, dass das Netz der Organisation mit einer Firewall, die nur den notwendigen Datenverkehr durchlässt, gegen das Eindringen von externen Netzen geschützt ist,
  • Es muss sichergestellt werden, dass das Netzwerk der Organisation gegen unbefugte Nutzung geschützt ist, z. B. durch die Sicherung drahtloser Netzwerke.
  • Für besonders schützenswerte Informationen wie Krankmeldungen, Informationen über die Organisation des Arbeitsplatzes, Beurteilungen des Arbeitnehmers, Bemerkungen und Abmahnungen müssen zusätzliche Maßnahmen ergriffen werden.
  • Die Mitarbeiter müssen im Umgang mit dem IT-System der Organisation geschult werden.

14. Nichtkonformitäten, Analyse der Nichtkonformitäten und Maßnahmen zu deren Behebung

Wir müssen feststellen, ob die Verarbeitung personenbezogener Daten mit den Vorschriften des Gesetzes über personenbezogene Daten und den Verfahren in diesem Dokument übereinstimmt. Wenn dies nicht der Fall ist, müssen wir herausfinden, wie wir die Einhaltung verbessern können. Wir müssen schriftlich dokumentieren, welche Abweichungen wir festgestellt haben und was wir getan haben, um diese zu beheben.

Im Kartierungsformular können in den Antworten auf Frage 15 die Abweichungen für jede Kategorie von Registranten zusammengefasst werden. Die Person, die das Formular ausfüllt, muss Ståle Haugland über solche Abweichungen informieren. Die Person, die die Abweichung feststellt, muss sofortige Maßnahmen ergreifen, wenn dies erforderlich ist, um erhebliche Unannehmlichkeiten oder Folgeschäden zu begrenzen oder zu verhindern. Die Person, die die Meldung erhält, muss zunächst beurteilen, ob Sofortmaßnahmen erforderlich sind. Sie muss dann dafür sorgen, dass Maßnahmen ergriffen werden, um zu verhindern, dass sich die Nichtkonformität wiederholt.

Sollte sich herausstellen, dass die Verfahren nicht ausreichend an unser Unternehmen angepasst sind, sollten wir eine Änderung der Verfahren in Erwägung ziehen (siehe Abschnitt 18).

15. Einkauf von IT-Dienstleistungen - Datenverarbeitungsverträge

Normalerweise fungieren wir als für die Datenverarbeitung Verantwortlicher, wenn die Organisation IT-Dienstleistungen von einem Dienstleister bezieht. Wir sind dann immer noch dafür verantwortlich, dass beim Kauf von IT-Dienstleistungen wie HR-Lösungen oder Kundendatenbanken/CRM die Datenschutzvorschriften eingehalten werden.

Bevor wir IT-Dienstleistungen kaufen, müssen wir daher unter anderem prüfen, ob der Anbieter die Sicherheitsanforderungen des Gesetzes über personenbezogene Daten (Artikel 32) erfüllt. Seriöse Anbieter werden oft nachweisen können, dass sie die Anforderungen erfüllen. Wir müssen auch sicherstellen, dass wir eine Datenverarbeitungsvereinbarung abschließen, die regelt, wie der Datenverarbeiter mit den personenbezogenen Daten umgeht, die er von uns erhält und in unserem Auftrag verarbeitet. Lieferanten haben oft ihre eigenen Vereinbarungen, die die Anforderungen der Vorschriften erfüllen.

Wenn der Dienstleister personenbezogene Daten in Länder außerhalb der EU/des EWR übermitteln soll, muss es dafür eine Rechtsgrundlage geben. Es gibt eine Rechtsgrundlage dafür. 

16. Verletzung der Sicherheit personenbezogener Daten

Im Falle einer Verletzung der Sicherheit personenbezogener Daten (z. B. durch einen Hackerangriff oder den Verlust personenbezogener Daten) setzen wir uns unverzüglich mit der norwegischen Datenschutzbehörde in Verbindung, um zu ermitteln, welche Maßnahmen wir ergreifen sollten.

"Verletzung des Schutzes personenbezogener Daten" bedeutet eine Verletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe von oder zum Zugriff auf personenbezogene Daten, die wir verarbeiten, führt.

Im Falle bestimmter Verstöße gegen die Sicherheit personenbezogener Daten müssen wir die norwegische Datenschutzbehörde und manchmal auch die betroffene Person benachrichtigen. Die Benachrichtigung der norwegischen Datenschutzbehörde muss unverzüglich erfolgen, spätestens jedoch 72 Stunden nachdem wir von der Verletzung Kenntnis erlangt haben. Eine Benachrichtigung der norwegischen Datenschutzbehörde ist nicht erforderlich, wenn es unwahrscheinlich ist, dass die Verletzung des Schutzes personenbezogener Daten zu einer Gefährdung der Rechte von Personen führt. Dies ist beispielsweise der Fall, wenn eine Sicherheitsverletzung zu einem unbefugten Zugang zu personenbezogenen Daten geführt hat, die bereits öffentlich zugänglich sind.

Wir sind verpflichtet, die betroffene Person zu benachrichtigen, wenn es wahrscheinlich ist, dass die Verletzung des Schutzes personenbezogener Daten Folgendes zur Folge haben wird Heu Risiko für die Rechte und Freiheiten von Personen. Wir sind der Ansicht, dass unsere Verarbeitung personenbezogener Daten nur in Ausnahmefällen zu solchen Risiken führen kann.

Wir müssen jede Verletzung der Sicherheit personenbezogener Daten dokumentieren. Wir tun dies, indem wir die tatsächlichen Umstände der Verletzung beschreiben ("Was ist passiert?"). Außerdem müssen wir die Auswirkungen des Verstoßes beschreiben und angeben, welche Maßnahmen zur Behebung des Verstoßes getroffen wurden. Anhand dieser Dokumentation kann die norwegische Datenschutzbehörde überprüfen, ob die Organisation die Anforderungen des Gesetzes erfüllt hat.

17. Datenschutz-Folgenabschätzung und vorherige Konsultation der norwegischen Datenschutzbehörde

Wir sind verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wenn wir die Verarbeitung personenbezogener Daten planen, die wahrscheinlich zu einem hohen Risiko für die Rechte natürlicher Personen, wie z. B. das Recht auf Privatsphäre, führen wird. Bei der Beurteilung, ob eine solche Abschätzung notwendig ist, müssen wir die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung berücksichtigen. Dabei sollte auch berücksichtigt werden, ob neue Technologien eingesetzt werden.

Es gibt mehrere Arten von Fällen, in denen eine Bewertung der Auswirkungen auf die Privatsphäre erforderlich ist: Systematische und umfassende Bewertung persönlicher Umstände, wenn die Daten für automatisierte Entscheidungen verwendet werden, Verarbeitung sensibler personenbezogener Daten in großem Umfang oder systematische Überwachung öffentlicher Bereiche in großem Umfang.

In den oben genannten Fällen machen wir uns mit den geltenden Sonderregelungen vertraut, einschließlich der Tatsache, dass die norwegische Datenschutzbehörde manchmal in Vorgespräche einbezogen werden muss.

18. Kontrolle, Aktualisierung und Überarbeitung des Dokuments

Wir werden dieses Dokument regelmäßig aktualisieren und überarbeiten. Der Grund dafür ist unter anderem, dass sich die Vorschriften in Gesetzen und Verordnungen ändern können, unsere Verarbeitung personenbezogener Daten geändert werden kann oder die Erfahrung zeigt, dass wir unsere Routinen ändern sollten. Aus denselben Gründen werden wir auch die Formulare, die die Verarbeitung personenbezogener Daten abbilden, regelmäßig überprüfen und aktualisieren.

Ståle Haugland ist dafür verantwortlich, dass der Bedarf an Änderungen und Überarbeitungen ermittelt und in das Dokument und das Formular aufgenommen wird. Dies muss jährlich geschehen.

Die Bewertung sollte beispielsweise die folgenden Fragen umfassen:

  • Haben wir seit der letzten Prüfung die Verarbeitung personenbezogener Daten geändert (neu, geändert oder beendet), die nicht im Dokument oder in den Formularen angesprochen wird?
  • Bedeuten die sechs Grundanforderungen an die Verarbeitung personenbezogener Daten, dass wir unsere Verfahren oder Praktiken ändern sollten?
  • Sind seit der letzten Prüfung neue Gesetze oder Vorschriften in Kraft getreten, die Änderungen erfordern?
  • Hat die Organisation seit dem letzten Audit weitere Bereiche entdeckt, in denen das Dokument oder die Formulare verbessert werden können?
  • Sind neue Technologien aufgetaucht, mit denen personenbezogene Daten besser geschützt werden können?
Geben Sie Ihr
Text hier
Deutsch
Deutsch Norsk bokmål English Nederlands