Innledning og formål
Formålet med denne erklæringen er å sikre at Fibersystem håndterer personopplysninger i samsvar med den europeiske personvernforordningen (GDPR). Retningslinjene dekker alle behandlinger hvor personopplysninger håndteres og omfatter både strukturerte og ustrukturerte data. Denne policyen er forankret hos alle ansatte i Fibersystem.
Søknad og revisjon
Fibersystems styre er ansvarlig for behandling av personopplysninger i henhold til denne policyen. Policyen skal fastsettes av styret minst en gang i året og oppdateres ved behov. Fibersystems sikkerhetssjef er ansvarlig for å håndtere prosessen med årlig oppdatering av policyen som følge av nytt og endret regelverk. Denne policyen gjelder for selskapets styremedlemmer, administrerende direktør, ansatte og leverandører som er berørt av Fibersystems virksomhet.
Organisering og ansvar
Administrerende direktør har det overordnede ansvaret for innholdet i denne policyen og for at den implementeres og håndheves av virksomheten. Administrerende direktør har delegert ansvaret for denne policyen til sikkerhetssjefen. Alle ansatte er ansvarlige for å handle i samsvar med denne policyen og det den ønsker å sikre.
Konsepter
Betydninger
Personopplysninger
En personopplysning er enhver opplysning som direkte eller indirekte kan knyttes til en fysisk person som er i live.
Registrert
Den personen som en personopplysning refererer til, det vil si den fysiske personen som kan identifiseres direkte eller indirekte gjennom personopplysningene i et register.
Behandling av personopplysninger
En handling eller en kombinasjon av handlinger knyttet til personopplysninger – uavhengig av om de er automatiserte eller ikke – for eksempel innsamling, registrering, organisering og strukturering.
Retningslinjer for personvern
All behandling av personopplysninger skal skje i henhold til følgende prinsipper:
- Lovlighet
- Formålsbegrensning
- Minimering av data
- Korrekthet
- Minimering av lagring
- Integritet og konfidensialitet
- Våre databehandlinger dokumenteres regelmessig i Behandlingsregisteret
Oppfølging og evaluering av vår håndtering av personopplysninger skal gjøres minst en gang i året - Eventuelle hendelser knyttet til personopplysninger vi behandler, skal rapporteres til sikkerhetssjefen uten forsinkelse. Sikkerhetssjefen skal rapportere hendelsen til Datatilsynet uten ugrunnet opphold og senest innen 72 timer, og iverksette nødvendige tiltak som følge av hendelsen.
Våre krav til håndtering av personopplysninger i henhold til GDPR skal alltid ivaretas ved anskaffelse og utvikling av IT-løsninger og tjenester, og skal være en del av kravspesifikasjonen og eventuelle avtaler.