Retningslinjer for personvern

1. Definisjoner

1.1 Samtykke – betyr enhver frivillig, spesifikk, informert og entydig indikasjon på den registrertes ønske ved hvilket han eller hun, ved en uttalelse eller ved en klar bekreftende handling, signaliserer å godta at personopplysningene behandles.

1.2 Behandlingsansvarlig– den fysiske eller juridiske person, offentlig myndighet, byrå eller annen organ som, alene eller sammen med andre, bestemmer formålene og midlene til behandling av personopplysninger; hvor formålene og virkemidlene for slik behandling er bestemt av EU-retten eller medlemsstatenes lover, kan den behandlingsansvarlige eller de spesifikke kriteriene for å utnevne den behandlingsansvarlige bli angitt av EU-retten eller medlemsstatenes lover.

1.3 Registrert – enhver levende person som er gjenstand for personopplysninger holdt av en organisasjon.

1.4 Personopplysninger – enhver opplysning knyttet til en identifisert eller identifiserbar fysisk person; en identifiserbar fysisk person er en som kan identifiseres, direkte eller indirekte, særlig ved henvisning til en identifikator som et navn, et identifikasjonsnummer, lokaliseringdata, en online identifikator eller en eller flere faktorer som er knyttet til den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sosiale identiteten til den fysiske personen.

1.5 Brudd på personopplysningssikkerheten – ethvert sikkerhetsbrudd som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert avsløring av eller tilgang til personlig data som er overført, lagret eller på annen måte behandlet. Behandlingsansvarlig er underlagt en forpliktelse om å varsle brudd på personopplysningssikkerheten til tilsynsmyndigheten, og hvor bruddet sannsynligvis vil negativt påvirke personopplysningene eller personvernet til den registrerte.

1.6 Behandling – enhver operasjon eller sett av operasjoner som utføres på personopplysninger eller på sett med personopplysninger, enten ved hjelp av automatiserte hjelpemidler eller ikke, som f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultasjon, bruk, avsløring ved overføring, formidling eller på annen måte å tilgjengeliggjøre, justering eller kombinasjon, begrensning, sletting eller ødeleggelse.

1.7 Databehandler – en fysisk eller juridisk person, offentlig myndighet, byrå eller annen organ som behandler personopplysninger på vegne av den behandlingsansvarlige.

1.8 Profilering – er en hvilken som helst form for automatisert behandling av personopplysninger som er beregnet på å evaluere visse personlige forhold knyttet til en fysisk person, eller å analysere eller forutsi en enkeltpersons ytelse på jobb, økonomisk situasjon, lokasjon, helse, personlige preferanser, pålitelighet eller oppførsel. Denne definisjonen er knyttet til den registreredes rett til å motsette seg profilering samt rett til å bli informert om eksistensen av profilering, tiltak basert på profilering og de antatte effekter av profilering for den enkelte.

1.9 Særlige personopplysningskategorier – personopplysninger som avslører rasemessig eller etnisk opprinnelse, politiske meninger, religiøs eller filosofisk tro, eller fagforeningsmedlemskap, og behandling av genetiske data, biometriske data med det formål å identifisere en unik fysisk person, data angående helse eller data om en fysisk persons sexliv eller seksuell orientering.

1.10 Tredjepart – en fysisk eller juridisk person, offentlig myndighet, byrå eller organ annen enn den registrerte, den behandlingsansvarlige, databehandleren, og personer som, under den direkte myndigheten av den behandlingsansvarlige eller databehandleren, er autorisert til å behandle personopplysninger.

 

2. Formål

2.1 EasyTranslate er forpliktet til å drive sin virksomhet i overensstemmelse med alle gjeldende lover og forskrifter om personvern og i tråd med de høyeste standardene for etisk oppførsel. EasyTranslate er behandlingsansvarlig i henhold til lover om personvern, noe som betyr at den bestemmer hvilke formål personopplysninger som holdes, skal brukes til.

2.2 Disse retningslinjer beskriver den forventede oppførselen til alle EasyTranslate-ansatte og tredjeparter i forbindelse med innsamling, bruk, lagring, overføring, avsløring og ødeleggelse av personopplysninger som tilhører en registrert.

2.3 Personopplysninger er enhver informasjon (herunder meninger og intensjoner) som vedrører en identifisert eller identifiserbar fysisk person. Personopplysninger er underlagt visse rettslige garantier og andre forskrifter, som pålegger begrensninger for hvordan organisasjoner kan behandle personopplysninger. En organisasjon som håndterer personopplysninger og tar beslutninger om bruken av personopplysninger, er kjent som behandlingsansvarlig. EasyTranslate, som behandlingsansvarlig, er ansvarlig for å sikre overholdelse av personvernkravene som er beskrevet i disse retningslinjene.

2.4 Lederskapet i EasyTranslates er fullt forpliktet til å sikre fortsatt og effektiv implementering av disse retningslinjene, og forventer at alle ansatte og tredjeparter deler i denne forpliktelsen. Ethvert avvik fra disse retningslinjene vil bli tatt på alvor og kan føre til disiplinære tiltak eller forretningsstraff.

 

3. Omfang

3.1 Disse retningslinjene gjelder for alle EasyTranslate-enheter som behandler personopplysninger.

3.2 Disse retningslinjene gjelder for all behandling av personopplysninger i elektronisk form, eller hvor de beholdes i manuelle filer som er strukturert på en måte som inneholder opplysninger om enkeltpersoner.

 

4. Grunnleggende prinsipper

4.1 EasyTranslate har vedtatt følgende prinsipper for å styre sin innsamling, bruk, lagring, overføring, avsløring og ødeleggelse av personopplysninger:

  • Lovlighet, rettferdighet og åpenhet: Personopplysninger behandles lovlig, rettferdig og på en åpen måte i forhold til den registrerte.
  • Begrensning av formålet: Eventuelle innsamlede personopplysninger skal ha et spesifisert, eksplisitt og legitimt formål.
  • Dataminimalisering: Eventuelle innsamlede personopplysninger skal være tilstrekkelige, relevante og begrenset til det som er nødvendig i forhold til formålene de behandles for.
  • Nøyaktighet: Eventuelle innsamlede personopplysninger skal være nøyaktige og, hvis det er nødvendig, holdes oppdatert.
  • Lagringsbegrensning: Personopplysninger skal ikke lagres lenger enn det som er nødvendig for det formål som personopplysningene behandles for.
  • Integritet og konfidensialitet: Personopplysninger skal behandles på en måte som sikrer passende personvern, herunder beskyttelse mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved hjelp av passende tekniske eller organisatoriske tiltak.
  • Ansvarlighet: EasyTranslate skal være ansvarlig for og kunne demonstrere overholdelse av ovennevnte prinsipper. Disse retningslinjer gir grunnlaget for å overholde dette ansvaret.

5. Lovlig behandling

5.1 EasyTranslate vil behandle personopplysninger i overensstemmelse med alle gjeldende lover og gjeldende kontraktsforpliktelser.

5.2 Nærmere bestemt vil ikke EasyTranslate behandle personopplysninger med mindre en av de andre tilgjengelige grunnlagene for behandling er gjeldende. Som ikke-uttømmende eksempler på disse gyldige grunnlagene kan følgende nevnes:

  • Den registrerte har gitt gyldig samtykke.
  • Behandling som er nødvendig for utførelsen av en kontrakt som den registrerte er part i eller for å ta skritt på anmodning av den registrerte før en kontrakt inngåes.
  • Behandling er nødvendig for å overholde en juridisk forpliktelse som den behandlingsansvarlige er underlagt.

5.3 I den grad EasyTranslate behandler særlige personopplysningskategorier (også kjent som sensitive personopplysninger), skal slike prosesser ha spesiell oppmerksomhet i styringen av personopplysninger. Særlig, skal slik behandling bare skje dersom de strengere krav til behandling av særlige personopplysningskategorier er oppfylt. Som ikke-uttømmende eksempler på disse gyldige grunnlagene kan følgende nevnes:

  • Den registrerte har gitt gyldig samtykke.
  • Behandlingen gjelder personopplysninger som allerede er blitt offentliggjort av den registrerte.
  • Behandlingen er nødvendig for å etablere, utøve eller forsvare rettslige krav.
  • Behandlingen er spesifikt godkjent eller er lovpålagt.

 

6. Informasjon til registrerte

6.1 EasyTranslate vil, når det kreves av gjeldende lov, kontrakt eller hvor den anser det rimelig hensiktsmessig å gjøre det, gi registrerte informasjon om formålet med at deres personopplysninger behandles.

6.2 Når personopplysninger innsamles, vil alle relevante avsløringer bli gjort på en måte som trekker oppmerksomhet til dem, med mindre ett av følgende gjelder:

  • Den registrerte har allerede informasjonen
  • Et lovlig unntak for kravene til offentliggjøring og / eller samtykke er gjeldende.

6.3 Som et ikke-uttømmende eksempel har EasyTranslate implementert følgende standardmetoder for å gi informasjon til registrerte:

  • Alle personopplysninger behandlet på EasyTranslates nettside er beskrevet i en personvernerklæring som er tilgjengelig for alle brukere av EasyTranslates nettside.
  • Alle personopplysninger behandlet på EasyTranslates egne medarbeidere, er beskrevet i ansettelseskontrakten til hver ansatt.

7. Fortsatt overholdelse av grunnleggende prinsipper

7.1 De grunnleggende prinsippene for lovlig behandling som beskrevet i § 4 gjelder også når de samme personopplysningene senere lagres, brukes og / eller deles.

7.2 Det er spesielt viktig å sørge for at eventuelle endringer i formålet med behandling av personopplysninger blir gjennomgått av personvernombudet og implementert først etter fortsatt etterlevelse er sikret.

7.3 Det er også viktig at alle lagrede personopplysninger til enhver tid er nøyaktige og oppdaterte.[1] For å oppnå dette målet har EasyTranslate implementert følgende prosedyrer:

  • Rettelse av personopplysninger som er kjent for å være feil, unøyaktig, ufullstendig, tvetydig, villedende eller utdatert, selv om den registrerte ikke ber om rettelse.
  • Personopplysninger lagres bare i den perioden som er nødvendig for å tilfredsstille de tillatte bruk eller gjeldende lovbestemt lagringsperiode.
  • Begrensning, i stedet for sletting av personopplysninger, såfremt:
    • en lov forbyr sletning.
    • sletning ville svekke den registrertes legitime interesser.
    • Den registrerte bestrider at deres personopplysninger er korrekte, og det kan ikke klart fastslås om deres informasjon er korrekt eller feil.

 

8. Overføringer innenfor gruppen av selskaper

8.1 For at EasyTranslate skal kunne utføre sin virksomhet effektivt på tvers av sine ulike enheter, kan det oppstå tilfeller når det er nødvendig å overføre personopplysninger fra en enhet til en annen, eller å tillate tilgang til personopplysningene fra en utenlands beliggenhet. Skulle dette oppstå, er EasyTranslate-enheten som sender personopplysningene ansvarlig for å sikre beskyttelsen av de personopplysningene. Alle EasyTranslate-enheter er lokalisert i EU.

 

9. Overføringer til tredjeparter

9.1 EasyTranslate overfører kun personopplysninger til, eller tillater tilgang av, tredjeparter når det er forsikret at informasjonen vil bli behandlet legitimt og beskyttet på riktig måte av mottakeren. Når behandling av tredjepart foregår, vil EasyTranslate først identifisere, i henhold til gjeldende lovgivning, om tredjeparten anses som behandlingsansvarlig eller databehandler for personopplysningene som overføres.

9.2 Når tredjeparten anses for å være behandlingsansvarlig, vil EasyTranslate-enheten inngå i en passende avtale med den behandlingsansvarlige for å avklare hver parts ansvar i forbindelse med personopplysningene som er overført.

9.3 Når tredjeparten anses for å være databehandler, vil EasyTranslate inngå i en avtale med databehandleren.

 

10. Bruk av databehandlere

10.1 EasyTranslate inngår i en avtale med alle sine databehandlere.

10.2 Avtalen må kreve at databehandleren beskytter personopplysningene fra videre avsløring og kun behandler personopplysninger i overensstemmelse med EasyTranslates instruksjoner. I tillegg vil avtalen kreve at databehandleren gjennomfører hensiktsmessige tekniske og organisatoriske tiltak for å beskytte personopplysningene samt prosedyrer for å gi varsel om brudd på personopplysningssikkerheten.

10.3 Når EasyTranslate utkontrakterer tjenester til en tredjepart (inkludert skytjenester), identifiserer de om tredjeparten vil behandle personopplysningene på egne vegne, og om utkontraktering vil medføre eventuelle overføringer av personopplysninger til tredjeland. I begge tilfeller vil det sørge for å inkludere tilstrekkelige bestemmelser i utkontrakteringsavtalen for slik behandling og overføringer til tredjeland.

 

11. Overføring av personopplysninger utenfor EU

11.1 EasyTranslate overfører kun personopplysninger til interne eller tredjepartsmottakere som befinner seg i et land utenfor EU der vilkårene for en slik overføring er oppfylt.

 

12. Sikkerhet

12.1 EasyTranslate vil vedta fysiske, tekniske og organisatoriske tiltak for å forsikre seg om sikkerheten til personopplysninger. Dette inkluderer forebygging av tap eller skade, uautorisert endring, tilgang eller behandling, og andre farer som det kan bli utsatt for på grunn av menneskelig handling eller det fysiske eller naturlige miljøet.

12.2 Minstekravet til de sett av sikkerhetstiltak som skal vedtas av EasyTranslate er gitt i informasjonssikkerhetsretningslinjene. Et sammendrag av sikkerhetstiltak knyttet til personopplysninger er gitt nedenfor:

  • Forhindre uautoriserte personer i å få tilgang til databehandlingssystemer der personopplysninger behandles.
  • Forhindre personer som har rett til å bruke et databehandlingssystem fra å få tilgang til personopplysninger utover deres behov og autorisasjoner.
  • Sørge for at personopplysninger i forbindelse med elektronisk overføring under transport ikke kan leses, kopieres, endres eller fjernes uten autorisasjon.
  • Sørge for at tilgangslogger er på plass for å fastslå om, og av hvem, personopplysningene ble inngått, endret på eller fjernet fra et databehandlingssystem.
  • Sørge for at, i tilfeller der behandlingen utføres av en databehandler, dataen bare kan behandles i samsvar med instruksjonene til den behandlingsansvarlige.
  • Sørge for at personopplysninger er beskyttet mot uønsket ødeleggelse eller tap.
  • Sørge for at personopplysninger samlet for ulike formål kan og er behandlet separat.
  • Sørge for at personopplysninger ikke holdes lenger enn nødvendig.

 

13. Bruddrapportering

13.1 Enhver person som mistenker at et brudd på personopplysningssikkerheten har skjedd på grunn av tyveri eller eksponering av personopplysninger, må umiddelbart varsle personvernombud Juli B. Bexkens med en beskrivelse av hva som skjedde. Varsling av hendelsen kan gjøres via e-post gdpr@easytranslate.com eller ved å ringe telefonnumrene for hvert marked:

· Norge +47 21 38 03 03

 

 

13.2 Personvernombudet vil undersøke alle rapporterte hendelser for å bekrefte om et brudd på personopplysningssikkerheten har skjedd eller ikke. Hvis et brudd på personopplysningssikkerheten er bekreftet, vil personvernombudet følge den relevante autoriserte prosedyren basert på hvor kritiske de involverte personopplysningene er, og mengden av involverte personopplysninger, vurdert ved en utredning av personvernkonsekvenser (DPIA).

 

14. Begrensning av lagringssperioden

14.1 For å sikre forsvarlig behandling, vil personopplysninger ikke beholdes av EasyTranslate lenger enn nødvendig i forhold til de formål som den opprinnelig ble samlet inn for, eller som den ble viderebehandlet for.

14.2 Hvor lang tid EasyTranslate må beholde personopplysninger er angitt i en tidsplan for lagring av personopplysninger. Dette tar hensyn til de juridiske og kontraktsmessige kravene, både minimums- og maksimumskrav, som påvirker lagringsperiodene angitt i tidsplanen. Alle personopplysninger bør slettes eller ødelegges så snart som mulig når det er bekreftet at det ikke lenger er behov for å beholde dem.

 

15. Varsling av personvernombud

15.1 Alle forespørsler om tilgang til eller retting av personopplysninger må rettes til det utnevnte personvernombudet, som vil føre en fortegnelse over hver forespørsel etter hvert som den er mottatt.

15.2 Personvernombudet vil forsikre seg om at alle de registrertes forespørsler behandles i overensstemmelse med § 16-18 nedenfor.

 

16. Håndteringsprosedyre for registrertes forespørsler

16.1 Personvernombudet har etablert et system for å muliggjøre og legge til rette for at den registrerte utøver rettigheter knyttet til:

  • Informasjonstilgang.
  • Innvendig mot behandling.
  • Innvending mot automatiserte beslutningstaking og profilering.
  • Behandlingsbegrensning.
  • Dataportabilitet.
  • Dataretting.
  • Datasletting.

16.2 Hvis en person sender en forespørsel knyttet til noen av rettighetene nevnt ovenfor, vil EasyTranslate vurdere hver slik anmodning i samsvar med alle gjeldende lover og forskrifter om personvern. Ingen administrasjonsgebyr belastes for å vurdere og / eller overholde en slik innledende forespørsel, med mindre forespørselen anses å være unødvendig eller overdreven på grunn av gjentatte forespørsler.

 

17. Informasjonstilgang

17.1 Ved å innsende skriftlig forespørsel til kontoret for personvern og etter en vellykket verifisering av deres identitet, har registrerte krav på følgende informasjon om egne personopplysninger:

  • Formålet med innsamlingen, behandlingen, bruket og lagringen av personopplysninger.
  • Kilden til personopplysningene, dersom de ikke ble hentet fra den registrerte;
  • Kategoriene av personopplysninger som er lagret for den registrerte.
  • Mottakerne eller mottakskategoriene som personopplysningene har blitt eller kan overføres til, sammen med lokaliteten til disse mottakerne.
  • Den planlagte lagringsperioden for personopplysningene eller begrunnelsen for å bestemme lagringsperioden.
  • Anvendelse av en automatisert beslutningsprosess, inklusivt profilering.

 

18. Responstid

18.1 Hver forespørsel vil bli besvart innen 30 dager etter mottakelse av den skriftlige forespørselen fra den registrerte Passende verifisering må bekrefte at søkeren er den registrerte eller deres autoriserte juridiske representant. Registrerte skal ha rett til å kreve [Company] rettelse eller supplering av feilaktige, misvisende, utdaterte, eller ufullstendige personopplysninger. Hvis [Company]ikke kan svare fullt på forespørselen innen 30 dager, skal kontoret for personvern likevel gi følgende informasjon til den registrerte, eller deres autoriserte juridiske representant, innen den angitte tiden:

  • En bekreftelse på mottakelsen av forespørselen.
  • Eventuell informasjon som er lokalisert per dags dato.
  • Detaljer om informasjon som eventuelt er forespurt eller endringer som ikke vil bli gitt til den registrerte, årsaken til avslaget og eventuelle prosedyrer som er tilgjengelige for å anke beslutningen.
  • En anslått dato innenfor eventuelle gjenværende svar vil bli gitt.
  • Et estimat av eventuelle kostnader som skal betales av den registrerte (f.eks. hvor forespørselen er av overdreven karakter).
  • Navn og kontaktinformasjon til EasyTranslate-personen som den registrerte skal kontakte for oppfølging.

 

19. Personvernombud

19.1 For å demonstrere vår forpliktelse til personvern, og for å øke effektiviteten av våre etterlevelsestiltak, har EasyTranslate utnevnt en ansatt til å være tilsynsansvarlig for å kontrollere EasyTranslates overholdelse av personvernsregelverket (dvs. personvernombudet).

19.2 Personvernombudet rapporterer direkte til den daglige lederen i EasyTranslate.

19.3 Personvernombudets plikter inkluderer:

  • Å informere og gi råd til EasyTranslate og ansatte i EasyTranslate som utfører behandling i henhold til forskrifter om personvern, nasjonal lovgivning eller EU-rettslige personvernbestemmelser;
  • Å sikre at disse retningslinjer er i overensstemmelse med forskrifter om personvern, nasjonal lovgivning eller EU-rettslige personvernbestemmelser;
  • Å gi veiledning i forbindelse med å gjennomføre en utredning av personvernkonsekvenser (Data Protection Impact Assessments – DPIAs);
  • Å fungere som kontaktpunkt for og å samarbeide med datatilsynsmyndigheter (Data Protection Authorities – DPAs);
  • Å bestemme om behovet for å sende melding til en eller flere datatilsynsmyndigheter (DPAs) som følge av EasyTranslates nåværende eller tiltenkte databehandlingsaktiviteter;
  • Å sende og beholde gjeldende meldinger til en eller flere som følge av EasyTranslates nåværende eller tilsiktede databehandlingsaktiviteter;
  • Å etablere og operere et system som gir raske og passende svar på forespørsler fra registrerte;
  • Å informere seniorledere, ledere og direktører i EasyTranslate om potensielle foretaks-, sivilretts- og strafferettssanksjoner som kan ilegges EasyTranslate og / eller dets ansatte for overtredelser av gjeldende personvernlover.
  • Å etablere prosedyrer og standard kontraktsbestemmelser for å oppnå etterlevelse av disse retningslinjer fra enhver tredjepart som:
    • gir personopplysninger til EasyTranslate
    • mottar personopplysninger fra EasyTranslate
    • har tilgang til personopplysninger innsamlet eller behandlet av EasyTranslate.

 

20. Bevissthet

20.1 Ledelsen av EasyTranslate vil sørge for at alle EasyTranslate-ansatte som er ansvarlige for behandlingen av personopplysninger, er oppmerksomme på og overholder innholdet i disse retningslinjer.

20.2 Alle EasyTranslate-ansatte som har tilgang til personopplysninger vil få en beskrivelse av sitt ansvar i henhold til disse retningslinjer som en del av induksjonstreningen. I tillegg vil hver EasyTranslate-enhet gi regelmessig personvernopplæring og prosedyreveiledning for sine ansatte.

20.3 Opplæringen og prosedyreveiledningen vil bestå av, i minste fall, følgende elementer:

  • Personvernprinsippene angitt i avsnitt 4 ovenfor.
  • Hver ansattes plikt til kun å bruke og tillate bruk av personopplysninger fra autoriserte personer og for autoriserte formål.
  • Behovet for, og riktig bruk av, skjemaene og prosedyrene som er vedtatt for å gjennomføre disse retningslinjer.
  • Korrekt bruk av passord, sikkerhetstoken og andre tilgangsmekanismer.
  • Viktigheten av å begrense tilgangen til personopplysninger, for eksempel ved å bruke passordbeskyttede skjermsparere og logge ut når systemene ikke blir ivaretatt av en autorisert person.
  • Hvordan lagre manuelle filer, utskrifter og elektroniske lagringsmedier på sikker måte.
  • Behovet for å få tilstrekkelig autorisasjon og anvende passende sikkerhetstiltak for alle overføringer av personopplysninger utenfor det interne nettverket og fysiske kontorlokaler.
  • Riktig bortskaffelse av personopplysninger ved hjelp av sikre makuleringsanlegg.
  • Eventuelle spesielle risikoer knyttet til bestemte avdelingsaktiviteter eller plikter.

 

21. Styring av tredjeparter og databehandlere

21.1 I tillegg vil EasyTranslate sørge for at alle tredjeparter som engasjeres for å behandle personopplysninger på vegne av EasyTranslate (dvs. deres databehandlere) er oppmerksomme på og overholder innholdet i disse retningslinjer.

21.2 Forsikring om slik overholdelse må innhentes fra alle tredjeparter, om de er selskaper eller enkeltpersoner, før de gis tilgang til personopplysninger kontrollert av EasyTranslate.

 

22. Utredninger av personvernkonsekvenser

22.1 Personvernombudet skal sørge for at en utredning av personvernkonsekvenser (DPIA) gjennomføres i samarbeid med kontoret for personvern for alle nye og / eller reviderte systemer eller prosesser som det har ansvar for. Når det er aktuelt, vil IT-avdelingen, som en del av prosessen for å gjennomgå IT-systemer og applikasjonsdesign, samarbeide med personvernveilederen (Data Protection Supervisor) for å vurdere virkningen av enhver ny teknologi som brukes på sikkerheten til personopplysninger.

 

23. Monitorering av overholdelse

23.1 For å bekrefte at et tilfredsstillende nivå av overholdelse oppnås av EasyTranslate i forhold til disse retningslinjer, vil personvernombudet utføre en årlig internkontroll for alle relevante deler av organisasjonen. Hver internkontroll skal, som et minimum, vurdere:

  • Overholdelse av retningslinjer i forhold til personvern, herunder tildeling av ansvarsområder, økt bevisstgjøring og opplæring av ansatte.
  • Hvor effektive personvernsrelaterte operasjonsrutiner er,
  • Hvorvidt personvernsretningslinjer og personvernerklæringer er forståtte.
  • Hvor nøyaktige personopplysningene som blir lagret er.
  • Hvorvidt det er overensstemmelse mellom databehandlernes aktiviteter.
  • Hvorvidt prosedyrer for å rette opp dårlig overholdelse og brudd på personopplysningssikkerheten er tilstrekkelige.

23.2 Personvernombudet, i samarbeid med sentrale foretningsinteressenter fra ledelsen, vil utarbeide en plan med en tidsplan for å rette eventuelle mangler som er identifiserte innenfor en definert og rimelig tidsramme.

[/vc_column_text][/vc_column][/vc_row]