Personvernerklæring
Denne personvernerklæringen definerer Sitedrives internt godkjente personvernprinsipper når det gjelder behandling av personopplysninger om kunder, samarbeidspartnere og andre interessenter, samt deres og Sitedrives ansatte og jobbsøkere.
Å sikre databeskyttelse er en del av Sitedrives prinsipper for risikostyring og ansvarlig drift. Disse retningslinjene for databeskyttelse gjelder for Sitedrive Oy og dets datterselskaper hvor som helst i verden. Denne personvernerklæringen definerer hvordan Sitedrive Oy søker å sikre lovlig behandling av personopplysninger samt et høyt nivå av databeskyttelse.
OMFANG OG MÅL FOR RETNINGSLINJENE FOR DATABESKYTTELSE
Personvern omfatter beskyttelse av den enkeltes personvern og andre rettigheter som ivaretar personvernet ved behandling av personopplysninger.
Målet med personvernpolicyen er å ivareta rettighetene til Sitedrives kunder, ansatte og andre interessenter i samsvar med gjeldende lovgivning knyttet til bruk av personopplysninger, og å sikre rettighetene til de som behandler opplysningene og overholdelse av forpliktelsene ved behandling av personopplysninger. Ved implementering av databeskyttelse legges det særlig vekt på konfidensialiteten til personopplysningene og på tiltak som sikrer at uvedkommende ikke får tilgang til opplysningene, at opplysningene ikke brukes på en måte som er til skade for den enkelte, og at den registrertes rettigheter ivaretas.
Personvern er nært knyttet til informasjonssikkerhet. Selskapets personvernpolicy definerer hva informasjonssikkerhet innebærer og hvordan den ivaretas.
PRINSIPPER SOM FØLGES VED BEHANDLING AV PERSONOPPLYSNINGER
Som en del av Sitedrives virksomhet planlegges behandlingen av personopplysninger på forhånd, og behandlingen er i samsvar med denne personvernerklæringen, retningslinjene og personvernlovgivningen, også ved planlegging av datainnsamlingen. Den som er ansvarlig for et prosjekt eller en endring, skal alltid sørge for, med tilhørende dokumentasjon, at den registrertes personvern blir ivaretatt på en hensiktsmessig måte, med tanke på de innsamlede personopplysningene og behovet for beskyttelse. Når det gjelder hensiktsmessig prosjektdokumentasjon og planlegging av livssyklusen til personopplysninger, må man kontakte selskapets personvernombud.
Vi i Sitedrive Oy overholder følgende prinsipper når vi behandler personopplysninger.
LOVLIGHET OG ÅPENHET
Vi sørger for at behandlingen av personopplysninger er lovlig, hensiktsmessig og gjennomsiktig sett fra den registrertes perspektiv. Vi informerer de registrerte, for eksempel om hva slags personopplysninger som samles inn, til hvilke formål, hvor personopplysningene samles inn fra og hvor de overføres til.
Vi utarbeider en personvernerklæring for hvert register som inneholder personopplysninger, og sørger for at de registrerte blir informert om behandlingen av personopplysningene sine i god tid. Informasjon om eksisterende registre og deres personvernerklæringer finnes på www.sitedrive.com/privacy/. I personvernerklæringene er det også angitt hvilken Sitedrive-ansatt som er ansvarlig for hvert register. Du kan kontakte disse personene hvis du har spørsmål om et spesifikt register.
Innsamling og behandling av personopplysninger er alltid basert på lovgivning, en kundeavtale, Sitedrives berettigede interesse eller annen relevant grunn eller den registrertes samtykke.
RESPEKT FOR DEN REGISTRERTES RETTIGHETER
Vi sørger for at vi informerer de registrerte på en hensiktsmessig måte og i god tid om behandlingen av opplysninger og de registrertes rettigheter i den forbindelse. Den registrertes rettigheter omfatter retten til innsyn i egne opplysninger, retten til å be om retting og sletting av opplysninger og retten til å protestere mot og begrense behandlingen av personopplysninger.
Vi driver vår virksomhet på en transparent måte. Den registrerte har rett til å kontrollere hvilke opplysninger om seg selv vi har samlet inn og registrert i registrene våre. Den registrerte kan også be om at uriktige opplysninger blir rettet eller at opplysninger blir slettet hvis det juridiske grunnlaget for å behandle opplysningene (f.eks. kundeforhold) ikke lenger eksisterer. Som en del av vår virksomhet sørger vi for at rettighetene til alle registrerte blir ivaretatt, og at forespørsler blir besvart uten forsinkelse.
FORMÅLSBEGRENSNING
Vi samler kun inn personopplysninger til spesifikke, forhåndsbestemte formål. Opplysninger som samles inn til et bestemt formål, kan ikke brukes til andre formål. Hvis det ikke er klart at opplysningene er nødvendige for et berettiget formål, skal de ikke samles inn eller registreres, men i stedet destrueres.
DATAMINIMERING
Vi samler bare inn og behandler tilstrekkelige og relevante personopplysninger som er nødvendige for det aktuelle formålet. Opplysningene skal ikke være overdrevne i forhold til formålet de samles inn for. Som hovedregel samler vi ikke inn sensitive opplysninger som nevnt i personvernlovgivningen, for eksempel om rasemessig eller etnisk opprinnelse, sosial, politisk eller religiøs overbevisning eller fagforeningsmedlemskap, helse, sykdom eller funksjonshemming, seksuell legning eller atferd i våre personregistre, med mindre vi har en lovbestemt rett eller plikt til å gjøre dette.
OPPDATERING AV OPPLYSNINGER OG RETTING AV FEIL
Vi behandler ikke uriktige eller utdaterte personopplysninger, og vi oppdaterer eller sletter opplysningene hvis det er nødvendig. Vi oppdaterer for eksempel kontaktopplysningene til de registrerte når det er nødvendig, gjennom en pålitelig kilde, for eksempel de registrerte selv.
LAGRINGSPERIODE OG AVHENDING AV PERSONOPPLYSNINGER
Vi forsøker å lagre personopplysninger i en form som gjør det mulig å identifisere den registrerte så lenge som det er nødvendig for de formålene personopplysningene behandles for. Vi fastsetter lagringsperioder for alle personopplysninger som samles inn. Som hovedregel bruker vi bare personopplysningene så lenge det er nødvendig med tanke på det tiltenkte formålet, og deretter kasserer eller arkiverer vi opplysningene (med mindre lovgivningen pålegger oss en spesifikk plikt til å lagre opplysningene).
INFORMASJONSSIKKERHET OG KONFIDENSIALITET
Vårt mål er å sikre et tilstrekkelig nivå av informasjonssikkerhet for personopplysninger, for eksempel ved å iverksette egnede tekniske eller organisatoriske tiltak for å beskytte opplysningene mot uautorisert og ulovlig behandling samt ødeleggelse. Med tekniske og organisatoriske tiltak menes ulike beskyttelsestiltak som sørger for sikkerheten til personopplysninger i både elektronisk og papirformat. Slike tiltak omfatter opplæring og retningslinjer for ansatte, konfidensialitetsavtaler, overvåking av anlegg, overvåking av bruk, sikkerhetsmessige og tekniske restriksjoner på informasjonssystemer, revisjoner, kontroll- og overvåkingssystemer, datakryptering, dataanonymisering (fjerning av personidentifiserbare data der det ikke er behov for dem) og pseudonymisering (erstatning av personidentifiserbart materiale med kunstige identifikatorer).
Tilgang til databaser som inneholder personopplysninger, er begrenset til personer som i kraft av sine arbeidsoppgaver har behov for å behandle de aktuelle personopplysningene.
BEHANDLINGSANSVARLIGES ANSVAR OG ANSVARLIGHET
Vi vurderer jevnlig prosessene knyttet til behandling av personopplysninger og de tilhørende risikoene for å sikre at Sitedrive har iverksatt tilstrekkelige tiltak. Som en del av vår virksomhet sørger vi for at det for eksempel finnes egnede avtaler, oppdaterte retningslinjer og retningslinjer for personvern samt funksjonelle og begrensede tilgangsrettigheter.
ANSVAR OG ORGANISERING
Ansvaret for å sikre personvern ligger hos forretnings- og konsernledelsen i hver enhet. Sitedrive Oy har et personvernombud som veileder og utvikler implementeringen av personvernet i konsernet, og som har som oppgave å bistå forretningsenhetene i personvernspørsmål og sikre et smidig samarbeid med eventuelle myndigheter. Du kan kontakte personvernombudet på dpo (at) sitedrive.com.
Arbeidet til personvernombudet og forretningsenhetene støttes av personverngruppen, som består av registereiere og en juridisk ansvarlig. Registereierne er ansvarlige for at registerbeskrivelsen for deres eget område er oppdatert, og at personopplysningene behandles og profileres på riktig måte. I tillegg er registereierne ansvarlige for å sikre personvernet når forretningsfunksjoner settes ut til en samarbeidspartner. De skal sørge for at den valgte samarbeidspartneren overholder denne personvernpolicyen. Ved utkontraktering av behandling av personopplysninger skal det alltid utarbeides en skriftlig avtale som oppfyller kravene i relevant lovgivning, for å definere partenes ansvar og forpliktelser.
SIKRING AV DATABESKYTTELSE
Personvernspørsmål er en del av introduksjonen av nyansatte som behandler personopplysninger, og alle ansatte får regelmessig opplæring i dette. Personvern er i tråd med Sitedrives verdier, og de generelle retningslinjene for personvern er integrert i selskapets øvrige etiske retningslinjer.
Alle personer som behandler personopplysninger, er bundet av lovbestemt eller på annen måte avtalt og dokumentert taushetsplikt.
Bruken av informasjonssystemer som inneholder personopplysninger, kontrolleres gjennom konsernets brukerstyringsløsning eller andre dokumenterte tiltak. Loggdata samles inn for alle registre i henhold til lovkrav eller med tilstrekkelig presisjon på annen måte. Ved mistanke om eller oppdagelse av brudd på personopplysningssikkerheten undersøkes saken uten forsinkelse. Om nødvendig varsler vi også myndighetene og personen hvis personvern er blitt kompromittert. Den ansvarlige for selskapets personvernspørsmål gir detaljerte instruksjoner og er ansvarlig for varslingen.
Kommunikasjon til ansatte, registrerte og interessenter
Denne personvernerklæringen og eventuelle endringer i den kommuniseres til Sitedrives ansatte. De oppdaterte retningslinjene for personvern er også publisert på nettstedet sitedrive.com. Personvernreglene vil bli oppdatert når det er nødvendig. I tillegg til disse retningslinjene har Sitedrive Oy interne retningslinjer for databeskyttelse.