Personvern i Bjørnson
Personvern og forsvarlig håndtering av personopplysninger har alltid vært viktig i Bjørnson. For å oppfylle gjeldende personvernlovgivning har vi oppdatert våre rutiner for behandling av personopplysninger. Denne personvernerklæringen forteller hvordan Bjørnson samler inn og bruker personopplysninger. Målet er å gi deg informasjon om vår behandling av personopplysninger.
1 Introduksjon
Denne personvernerklæring gir informasjon om hvordan Bjørnson Organisasjonspsykologene (org. nr 983 459 285) (heretter også Bjørnson), behandler personopplysninger. Bjørnson har plikt til å gi enhver som ønsker informasjon om hvordan vi behandler personopplysninger innsyn i vår behandling. Sist oppdatert versjon av personvernerklæringen er alltid tilgjengelig på
bjornson.no/personvern. Bjørnson er forpliktet til å beskytte og respektere ditt personvern jfr. Personopplysningsloven, EØS-avtalen vedlegg XI nr. 5e, og EU-personvernforordning 2016/679 (heretter også GDPR) om vern av fysiske personer i forbindelse med behandling av personopplysninger. Erklæringen inngår i Bjørnsons internkontroll for behandling av personopplysninger.
2 Kort om Bjørnsons tjenester
Bjørnson har spisskompetanse innen ledelse og organisasjonspsykologi. Våre kjerneleveranser er kartlegging og utvikling av organisasjon, ledere, team og arbeidsmiljø samt konflikthåndtering. Vi leverer også psykologsamtaler som er definert som helsetjeneste. Utdypende beskrivelse av vår produkt & tjenesteportefølje vil være tilgjengelig på www.bjornson.no
For å utføre våre oppdrag er det nødvendig å behandle personopplysninger.
3 Bjørnsons ansvar for behandling av personopplysninger
Bjørnson er i utgangspunktet behandlingsansvarlig for personopplysninger vi behandler i forbindelse med drift av Bjørnson, og utførelse av oppdrag for våre kunder. Personopplysningene kan være knyttet til egne ansatte, jobbsøkere, styremedlemmer, aksjonærer, kontaktpersoner hos kunder og leverandører, privatkunder og potensielle kunder m.fl.
Bjørnson, ved daglig leder, er overordnet behandlingsansvarlig for Bjørnsons behandling av personopplysninger. Der det daglige ansvaret er delegert, vil det komme fram under hvert enkelt punkt i personvernerklæringen. Delegeringen omfatter kun oppgavene, ikke ansvaret.
Kunden er å anse som behandlingsansvarlig og Bjørnson som databehandler når oppdraget er svært klart definert, og kunden har fastsatt et klart og avgrenset formål for hvordan Bjørnson skal gå frem etc. Bjørnson er også å anse som databehandler når Bjørnson foretar databehandling av personopplysninger på vegne av kunde. I de tilfeller der Bjørnson anses som databehandler for kunden, inngås en databehandleravtale som fastsetter hvordan Bjørnson skal behandle personopplysninger. Bjørnson inngår databehandleravtaler og underdatabehandleravtaler (3. part) med databehandlere som er engasjert av Bjørnson for å behandle personopplysninger tilhørende Registrerte/personer hos Behandlingsansvarlig. Begge skal etablere en bindende avtale som om behandling av personopplysninger i tråd med personvernlovgivningen.
4 Definisjoner
| Begrep |
Definisjon/beskrivelse |
| Personopplysninger: |
Som definert i GDPR artikkel 4. Enhver opplysning eller vurdering som kan knyttes til en identifisert eller identifiserbar fysisk person (den registrerte). |
| Sensitive personopplysninger: |
Som definert i GDPR artikkel 4 og 9. Personopplysninger som gjelder helseforhold, etnisk opprinnelse, medlemskap i fagforening, seksuell orientering, politisk eller religiøs overbevisning. |
| Behandlingsprotokoll: |
Behandlingsprotokoll beskriver hvordan personopplysninger for ulike kategorier Registrerte behandles. |
| Behandling: |
Som definert i GDPR artikkel 4. Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
|
| Behandlingsansvarlig: |
Som definert i GDPR atikkel 4. Fysisk eller juridisk person, eller ethvert annet organ som alene eller sammen med andre bestemmer formålet for behandlingen av personopplysninger og midlene som skal benyttes. |
| Databehandler: |
Som definert i GDPR artikkel 4. Fysisk eller juridisk person, eller ethvert annet organ som behandler personopplysninger på vegne av behandlingsansvarlig. |
| Mottaker: |
Som definert i GDPR artikkel 4. Fysisk eller juridisk person, eller ethvert annet organ som personopplysninger utleveres til, enten det dreier seg om tredjepart eller ikke. |
| 3. part: |
Som definert i GDPR artikkel 4. Enhver annen fysisk eller juridisk person, offentlig myndighet eller ethvert annet organ enn den registrerte, den behandlingsansvarlige, databehandleren og de personer som under den behandlingsansvarlige eller databehandlerens direkte myndighet har fullmakt til å behandle personopplysninger. |
| Den Registrerte: |
Som definert i GDPR artikkel 4. Den person som personopplysningene kan knyttes til. |
| Samtykke: |
Samtykke fra den registrerte er enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende. |
| Tilsynsmyndighet: |
En uavhengig offentlig myndighet som er opprettet av en medlemsstat i hht generell personvernforordning artikkel 51 og som er ansvarlig for å overvåke overholdelse av personvernlovgivningen; Datatilsynet i Norge. |
| GDPR: |
General Data Protection Regulation (GDPR). EU’s personvernforordning. |
| Register: |
Enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier. |
| Annen relevant lovgivning, med forkortelser: |
I tillegg til personopplysningsloven har blant annet følgende lover betydning for Bjørnsons behandling av personopplysninger, Lov om helsepersonell (helseloven), Lov om arkiv (arkivloven), Lov om kontroll med markedsføring og avtalevilkår mv (markedsføringsloven), Lov om elektronisk kommunikasjon (ekomloven), Lov om arbeidsmiljø (arbeidsmiljøloven). |
5 Kunnskap om reglene om personopplysninger og personvern
Bjørnson skal sørge for at ansatte og innleide har relevant kjennskap til reglene om personvern og personopplysninger, herunder denne personvernerklæring. Kunnskapsnivået skal være tilpasset den enkelte ansattes behandling av personopplysninger. Enkelte grupper ansatte har behov for særlig kjennskap, f.eks. personalfunksjon, salg- og markedsfunksjon. Ledelsen i Bjørnson skal alltid ha god kjennskap til regelverket.
6 Behandlingsprotokoll - Kartlegging av behandling av personopplysninger
Bjørnson kartlegger all behandling av personopplysninger. Dette gjør vi i en behandlingsprotokoll, et eget kartleggingsskjema der vi angir blant annet kategorier av registrerte, formål med behandlingen, hvordan vi behandler opplysningene og hvilke grunnlag behandlingen har. Sammen med herværende personvernerklæring er behandlingsprotokollen en sentral del av dokumentasjonen som beskriver hvordan Bjørnson etterlever bestemmelser i personopplysningsloven. Behandlingsprotokollen inngår i Bjørnsons internkontroll for behandling av personopplysninger.
7 Grunnkrav for behandling av personopplysninger
Loven stiller opp seks grunnkrav som gjelder for all behandling av alle personopplysninger. Bjørnson skal sørge for at personopplysninger:
- Behandles på en lovlig, rettferdig og gjennomsiktig måte med hensyn til den registrerte («lovlighet, rettferdighet og gjennomsiktighet»)
- Samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene («formålsbegrensning»)
- Er adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
- Er korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller korrigeres («riktighet»)
- Lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for («lagringsbegrensning»)
- Behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og fortrolighet»)
Hvis personopplysninger brukes til andre formål enn de er samlet inn for, (se kulepunkt 2), skal Bjørnson alltid vurdere om det nye eller endrede formålet er forenlig med det opprinnelige. Bjørnson skal da ta hensyn til de faktorene som fremgår av personvernforordningen artikkel 6 nr. 4.
8 Grunnlag for å behandle personopplysninger
Bjørnson skal ha minst ett av følgende grunnlag for all behandling av personopplysninger:
- Den registrerte har gitt samtykke til behandling av sine personopplysninger for ett eller flere spesifikke formål
- Behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse
- Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige
- Behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn (interesseavveining)
- Det skal gå frem av kartleggingsskjemaet hvilke(t) grunnlag vi har for å behandle opplysninger.
Hvis grunnlaget for behandling er samtykke fra den registrerte (se første kulepunkt), skal vi sette oss inn i de særlige reglene som gjelder for slike samtykker, blant annet kravet om dokumentasjon. Hvis grunnlaget for behandling er vår berettigede interesse (interesseavveining) (se fjerde kulepunkt overfor), vil vi konkretisere og skriftlig dokumentere avveiningen.
9 Dine rettigheter - innsyn, retting, sletting, klage
Du kan utøve dine rettigheter ved å sende en e-post til
firma@bjornson.no ved behandlingsansvarlig eller personvernombud i Bjørnson. Se også kontaktinformasjon avslutningsvis i personvernerklæringen.
Alle som spør har krav på grunnleggende informasjon om behandling av personopplysninger i en virksomhet. Bjørnson har gitt denne informasjonen i denne erklæringen, og vil henvise til den ved eventuelle forespørsler. Utover dette vil personvernombudet i Bjørnson kunne svare på spørsmål fra personer som får/kan få personopplysninger behandlet av Bjørnson.
De som er registrert i et av Bjørnsons systemer eller hos våre databehandlere har rett på innsyn i egne opplysninger. Vedkommende har også rett til å be om at uriktige, ufullstendige eller opplysninger Bjørnson ikke har adgang til å behandle blir rettet, slettet eller supplert. Krav fra den registrerte skal besvares kostnadsfritt for den registrerte og senest innen 30 dager. Informasjon slettes på oppfordring ved å kontakte firma@bjornson.no. Bjørnson har ansvar for at personopplysninger ikke blir gjort tilgjengelige for uvedkommende og kan ved tvil be vedkommende som ønsker å utøve sine rettigheter om informasjon for å stadfeste identiteten.
En av våre viktigste oppgaver er å forvalte personopplysninger og data på en trygg, brukervennlig og ansvarlig måte. Dersom du er misfornøyd med vår behandling av personopplysninger eller har forslag til hvordan vi kan forbedre oss kan du kontakte Bjørnson som oppgitt overfor.
Du har også rett til å klage på vår behandling av personopplysninger til
datatilsynet.no.
10 Når samler Bjørnson inn personopplysninger?
Bjørnson behandler i hovedsak opplysninger som du har gitt oss for en av disse årsakene:
- Du har søkt jobb i Bjørnson
- Du jobber i Bjørnson som fast ansatt eller har tilknytning som underleverandør
- Du er definert som kontaktperson hos kunde, leverandør, samarbeidspartner etc.
- Du deltar i kartlegging- og/eller utviklingsarbeid som lederutvikling, teamutvikling, arbeidsmiljøkartlegging, m.m.
- Du mottar helsetjenester som privatperson eller som ansatt i en virksomhet som er kunde av Bjørnson
- Du har bedt Bjørnson å kontakte deg gjennom kontaktskjema, e-post eller telefon
- Du har meldt deg på kurs eller seminar
- Du abonnerer på nyheter fra Bjørnson
Bjørnson får også personopplysninger indirekte, av følgende årsaker:
- I forbindelse med en leveranse til din arbeidsgiver
- En ansatt har oppgitt deg som nærmeste pårørende
- En jobbsøker har oppgitt deg som referanse
11 Hva registreres når du bruker nettsiden?
Salgs- og markedsansvarlig i Bjørnson har det daglige ansvaret for Bjørnsons behandlinger av personopplysninger på
bjornson.no. Det er frivillig for de som besøker nettsidene å oppgi personopplysninger i forbindelse med tjenester, for eksempel å motta nyhetsbrev, invitasjon til ulike arrangement, informasjon om tjenester og produkter. Personopplysninger som samles inn via Bjørnsons nettsted vil være navn, epost, selskap. Behandlingsgrunnlaget er personvernforordningen artikkel 6 nr. 1 a), samtykke.
11.1 Webanalyse
Bjørnson samler inn avidentifiserte opplysninger om besøkende på bjornson.no gjennom Google Analytics. Formålet med dette er å utarbeide statistikk som vi bruker til å forbedre og videreutvikle informasjonstilbudet på nettstedet. Eksempler på hva statistikken gir svar på, er hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes.
Opplysningene behandles i avidentifisert og aggregert form. Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn tilbake til den enkelte bruker. Vi samler inn hele IP-adressen, men IP-adressen avidentifiseres slik at bare de tre første gruppene i adressen brukes til å generere statistikk. Det vil si at dersom IP-adressen består av numrene 195.159.103.82, brukes bare 195.159.103.xx. I tillegg behandles IP-adressene på aggregert nivå, det vil si at all data slås sammen til en gruppe og ikke behandles individuelt.
Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å forbedre våre tjenester og få tjenester på bjornson.no til å fungere.
Det benyttes foreløpig ingen informasjonskapsler på bjornson.no.
Informasjonskapsler (cookies) er små tekstfiler som plasseres på din datamaskin når du laster ned en nettside. Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt med mindre bruker både har blitt informert om og har gitt sitt samtykke til behandlingen. Brukeren skal få vite om og godkjenne hvilke opplysninger som behandles, hva formålet med behandlingen er og hvem som behandler opplysningene, jf. ekomloven § 2-7b. Slik administrerer du informasjonskapsler
nettvett.no.
12 Hva registreres når du kontakter Bjørnson?
12.1 E-post og telefon
Bjørnson benytter e-post og telefon som en del av det daglige arbeidet og i alminnelig dialog med interne og eksterne kontakter. Vi skanner all inn og utgående e-post for virus og skadevare.
Bjørnson sender ikke sensitive personopplysninger med e-post. Vi gjør oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer derfor til ikke å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å sikre Bjørnsons IKT-infrastruktur.
12.2 Kontaktskjema
På nettsiden kan du be Bjørnson om å ta kontakt med deg. Den som henvender seg blir bedt om å oppgi navn, epost, telefon, emne og en kort beskrivelse av hva henvendelsen gjelder. Den som henvender seg blir bedt om ikke å oppgi taushetsbelagte, sensitive eller fortrolige opplysninger da skjemaet er ukryptert. Dette er også eksplisitt opplyst i selve kontaktskjemaet.
Når du bruker kontaktskjema vil din henvendelse bli sendt via firma@bjornson.no og vil også bli oppbevart i CMS (Content Management System) tilhørende vårt nettsted. Vi benytter den informasjonen du gir fra deg, til å ta kontakt med deg og gi deg adekvat oppfølging. Henvendelser vedrørende psykologsamtaler/helsehjelp overføres til PsykBase for videre behandlingsoppfølging der det er aktuelt. Henvendelser som gjelder Bjørnsons tjenesteportefølje vil bli registrert i Bjørnsons CRM system. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 b), som tillater oss å behandle opplysninger som er nødvendig for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse. Personopplysningene er nødvendig for å kunne følge opp den registrertes henvendelse. Bjørnson vil på årlig basis slette henvendelser som er mottatt via kontaktskjema på nettsiden.
13 Behandling av personopplysninger i Bjørnson
13.1 Personopplysninger om ansatte
Bjørnson registrerer og behandler personopplysninger om sine ansatte for å administrere lønns- og personalansvar samt ivareta arbeidsgiveransvaret. Behandlingsgrunnlag vil være for å ivareta forpliktelser og rettighet knyttet til arbeidsavtalen jfr. personvernforordningen artikkel 6 nr. 1, b) evt. også arbeidsgivers berettigede interesser jfr. artikkel 6 nr. 1, f). I Bjørnson er det daglig leder, faglig leder og økonomi- og administrasjonsansvarlig som har tilgang til denne informasjonen. Det kan også være 3. part (Pensjon, forsikring, offentlige myndigheter) som får tilgang til ansattes personopplysninger for å kunne ivareta arbeidstakers og arbeidsgivers interesser.
Typer personopplysninger som registreres er:
- Kontaktinformasjon: navn, fødselsnummer, adresse, telefonnummer, pårørende, bilde av ansatt til bruk på web, osv.
- Jobbinformasjon: stillingstittel, vedkommendes arbeidsinstruks, tilrettelegging av vedkommendes arbeid, cv, og utvikling i rollen osv.
- Finansiell informasjon: Lønn, kontonummer, kredittkort osv.
Regnskapsfører har tilgang til det som er nødvendig i fbm lønnskjøring, lønnsrapportering, pensjonsinnberetning, reise- og utleggsoppfølging. Det registreres nødvendige opplysninger for utbetaling av lønn, lønnsnivå, timeregistrering, skatteprosent, skattekommune og fagforeningstilhørighet. Opplysningene utleveres bare i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Opplysninger om navn og yrkeskode i hht SSB’s kodeoversikt er offentlig rapporteringspliktig informasjon. Utgangspunktet for lagring av øvrige personopplysninger for ansatte er at de ikke skal lagres lenger enn det som er nødvendig. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven og evt. andre relevante lover. Bjørnson vil på årlig basis gå gjennom lagrede personopplysninger for ansatte og slette opplysninger som vi ikke har grunnlag for å oppbevare.
13.2 Personopplysninger om jobbsøkere
Dersom du søker jobb i Bjørnson behandler vi personopplysninger som er relevante i rekrutteringsprosessen. Herunder studiested, karakterer, referanser, personlige egenskaper. Vi trenger å behandle opplysningene for å vurdere aktuelle kandidater. Behandlingsgrunnlaget for dette er samtykke personvernforordningen artikkel 6 nr. 1 b) «…for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse eller samtykke». I stillingsutlysningen vil vi oppfordre søker om ikke å oppgi sensitive personopplysninger. Dersom din søknad likevel inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget vårt personvernforordningen artikkel 9 nr. 2 b) og h). Alle stillingssøknader med vedlegg blir registrert i tilgangsbegrenset område på Sharepoint. Utgangspunktet for lagring av personopplysninger er at de ikke skal lagres lenger enn det som er nødvendig. Bjørnson vil gå gjennom lagrede personopplysninger for jobbsøkere, og slette søknader og vedlegg når søknadsprosessen er ferdig. For lagring ut over rekrutteringsprosessen innhentes samtykke. Søkerlister og innstillinger bevares.
13.3 Personopplysninger om styremedlemmer og aksjonærer
Bjørnson behandler personopplysninger om styremedlemmer i selskapet i fbm administrasjon og protokollering av styrearbeid samt rapportering til offentlige myndigheter.
Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 c) – behandlingen er nødvendig for å oppfylle en rettslig forpliktelse, foretaksregisterloven, som pålegger selskaper å registrere personopplysninger om styremedlemmer. Oppbevaring av disse personopplysningene er lovhjemlet og vil ikke bli slettet. Styremedlemmer kan også bli presentert med navn, bilde og kortfattet cv på Bjørnsons web, intranett, eller i andre relevante sammenhenger. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f) - interesseavveining. Behandlingen er nødvendig for å ivareta selskapets berettigede interesse. Informasjonen vil bli slettet/endret i forbindelse med at styremedlem skiftes ut. Bjørnson behandler personopplysninger om aksjonærer (enkeltpersoner) i selskapet for å oppfylle myndighetskrav. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 c) – behandlingen er nødvendig for å oppfylle en rettslig forpliktelse, aksjeloven, som pålegger selskap å oppbevare opplysninger om tidligere aksjeeiere i 10 år. Aksjonærer kan også bli presentert med navn, bilde på Bjørnsons web, intranett, eller i andre relevante sammenhenger. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f) - interesseavveining. Behandlingen er nødvendig for å ivareta selskapets berettigede interesse. Personopplysningene vil bli oppbevart i hht lovhjemmel. Behandling av personopplysninger begrunnet med interesseavveining vil bli slettet/endret i forbindelse med at aksjonærstruktur endres.
13.4 Markedsføring og nyhetsbrev til aktive kunder og forretningsrelasjoner
Hvis du eller din arbeidsgiver har et eksisterende kundeforhold til Bjørnson Organisasjonspsykologene, vil vi kunne sende deg informasjon på e-post eller andre elektroniske kommunikasjonsmetoder innenfor rammene av markedsføringsloven, med mindre du har bedt oss om noe annet. Behandlingsgrunnlaget vil være det eksisterende kundeforhold der felles interesse vil være å ivareta kunderelasjonen. Dette er også tydelig beskrevet hos datatilsynet: «Det vil si at man ikke trenger samtykke etter markedsføringsloven dersom nyhetsbrevet ikke inneholder markedsføring. Man trenger heller ikke samtykke dersom nyhetsbrevet inneholder markedsføring, men det foreligger et eksisterende kundeforhold i forbindelse med salg». (
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2018/samtykke-til-nyhetsbrev-og-epostlister/)
Datatilsynet beskriver videre: «En virksomhet må alltid ha et behandlingsgrunnlag for å behandle personopplysninger slik som navn, telefonnummer og e-postadresse. Det finnes flere mulige behandlingsgrunnlag, blant annet samtykke, at det er nødvendig å behandle opplysningene for å oppfylle en avtale eller at det er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.» (
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2018/samtykke-til-nyhetsbrev-og-epostlister/)
Hvis du ikke har et eksisterende kundeforhold til Bjørnson, vil vi bare sende slik markedsføring dersom du har gitt oss samtykke.
Bjørnson sender ut nyhetsbrev/invitasjoner via e-post. For at vi skal kunne sende e-post må du registrere navn, selskapsnavn og en e-postadresse. Når du bruker kontaktskjema vil de personopplysninger du registrerer bli oppbevart i CMS tilhørende vårt nettsted. MailChimp benyttes for utsendelse av nyhetsbrevet. E-postadressen lagres i en egen database, deles ikke med andre og slettes hvis du melder deg av. E-postadressen slettes også om vi får tilbakemelding om at den ikke er aktiv. Behandlingsgrunnlaget for innsamling og behandling av dine personopplysninger i tilknytning til Bjørnsons nyhetsbrev er et etablert kundeforhold eller personvernforordningen artikkel 6 nr. 1 a), altså samtykke.
13.5 Påmelding til arrangementer
Vi markedsfører arrangementer på vårt nettsted, bjornson.no, på Bjørnsons Facebook side i tillegg til at det er mulig å melde interesse for påmelding til hvert enkelt arrangement. For å melde interesse, må du skrive inn e-post adresse, navn og hvilket firma du representerer. Vi bruker denne informasjonen for å ha oversikt over hvem som har meldt interesse for et arrangement og sikre at vi sender riktig informasjon til riktige mottakere. Hvis vi har behov for å komme i kontakt med interessenter for å gi viktige beskjeder hender det også at vi bruker e-post eller telefon.
Behandlingsgrunnlaget for innsamling og behandling av personopplysninger i tilknytning til arrangementer i regi Bjørnson er et etablert kundeforhold eller personvernforordningen artikkel 6 nr. 1 a), altså samtykke. Bjørnson sletter personopplysninger som er registrert i denne forbindelse, og som vi ikke har grunnlag for å oppbevare, på årlig basis.
13.6 Personopplysninger i kontaktregister - CRM
Bjørnson benytter CRM-verktøyet Microsoft Dynamics 365. Det registreres ulike typer personopplysninger i CRM-verktøyet tilhørende kunder, leverandører, sponsorer og øvrige samarbeidspartnere. Dette er opplysninger som navn, stilling/ansvarsområde, adresse, telefonnummer, epostadresse, bransje og annen relevant informasjon. I CRM er det oppgitt hvorvidt personen representerer kunde, leverandør, sponsor og/eller samarbeidspartner. Behandlingsgrunnlaget for innsamling og behandling av personopplysninger i tilknytning til Bjørnsons CRM system er et etablert kundeforhold eller personvernforordningen artikkel 6 nr. 1 a), altså samtykke.
13.7 Personopplysninger i fbm leveranser - ansatte hos kunder
Bjørnson behandler personopplysninger for ansatte hos våre kunder i fbm leveranse av helsetjenester, utvikling/rådgiving og kartlegging. I tillegg behandler vi personopplysninger i fbm evaluering av oppdrag. Faglig leder i Bjørnson har ansvar for behandling av personopplysninger i fbm leveranser og evaluering.
13.7.1 Helsetjenester
Bjørnson er behandlingsansvarlig for helsetjenester. For den delen av virksomheten som gjelder helsetjenester - psykologsamtaler- benytter Bjørnson «Psykbase» som elektronisk journalsystem. I dette systemet lagres personopplysninger og sensitive personopplysninger som navn, fødselsnummer, telefon, epost, adresse, pårørende, helse og beskrivelse av behandling m.m. Faglig leder i Bjørnson har ansvar for at helsetjenester i Bjørnson ytes i hht gjeldende helselovgivning. Det er etablert rutiner for bruk av elektronisk journalsystem og brannsikkert arkivskap (til bruk for arbeidsnotater frem til journalføring i Psykbase. Den enkelte psykolog er for øvrig underlagt bestemmelser i helselovgivingen og er også selv personlig ansvarlig for at saksbehandlingen er i samsvar med gjeldende lovgivning. Behandlingsgrunnlaget for behandling av personopplysninger i fbm ytelse av helsetjenester er helselovgivning og journallovgivning samt avtale med den enkelte pasient.
13.7.2 Utvikling/rådgivning
Bjørnson vil enkelte ganger registrere og behandle personopplysninger om kundens ansatte i fbm utvikling av kundens organisasjon, team, ledere og medarbeidere. Dette vil typisk være opplysninger som ansattes navn, epost, rolle. Bjørnson er i all hovedsak behandlingsansvarlig for slike oppdrag. Bjørnson vil ta initiativ til å innhente individuelt samtykke som behandlingsgrunnlag når det er påkrevd. I Bjørnson vil både ansvarlig konsulent/-er og administrativt personell ha tilgang til disse personopplysningene som del av leveransen.
Typer personopplysninger som kan bli registrert er:
- Kontaktinformasjon: navn, epost, (telefonnummer)
- Jobbinformasjon: stillingstittel, arbeidsinstruks, tilrettelegging av vedkommendes arbeid og utvikling i rollen osv.
Kontaktinformasjon og jobbinformasjon kan inngå i fbm beskrivelsen av tilbuds- og leveransedokumenter og i fbm evaluering av leveranser. Informasjon om leveranser lagres på Bjørnsons Sharepoint - Microsoft Office 365 - som brukes som elektronisk arkiv- og dokumentbehandlersystem. Bjørnson praktiserer intern tilgangsstyring til Sharepoint, basert på organisatorisk rolle og ansvarsområde. Den enkelte medarbeider i Bjørnson er ansvarlig for at den faktiske behandlingen av personopplysninger er i samsvar med rutinene. Bjørnson kontrollerer på jevnlig basis at rutinene blir fulgt.
13.7.3 Kartlegging
Bjørnson leverer en rekke kartlegginger. Både standard hyllevare levert av 3. part og egenutviklede verktøy; hhv. standard og skreddersøm. Kartleggingene spenner fra miljø- til individundersøkelser, og kan være anonyme eller ikke-anonyme. Leveranser fra Bjørnson kan bestå av enkeltvise kartlegginger eller kombinasjoner av kartlegginger som spenner fra kvantitative til kvalitative, anonyme/identifiserbare, individuelle/miljøundersøkelser etc.
Bjørnson informerer om formålet med kartleggingen, og hvorvidt den er anonym eller ikke. Bjørnson vil ikke dele opplysningene med andre eller bruke opplysningene til andre formål enn det som er angitt. Registrerte som deltar i kartlegginger får mulighet til å gi og trekke sitt informerte samtykke. De har mulighet til å kontakte Bjørnson for å be om innsyn i sine personopplysninger, og få disse slettet.
Vi samler inn personopplysninger i fbm at vi gjennomfører kartlegginger. Både for å kontakte deltakere og rapportere resultater. Ved rapportering av resultat til kunde vil Bjørnson sørge for å ivareta evt. krav til anonymitet basert på forskningsetiske prinsipper. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 a), individuelt samtykke. Materialet slettes så snart grunnlaget for behandling og oppbevaring ikke er tilstede.
Bruk av 3. parts kartleggingsverktøy
Oversikt over 3. parts leverandører er beskrevet i Databehandleravtalen. Grunnlaget for behandling av personopplysninger i fbm disse verktøy er individuelt informert samtykke som gis i forkant av besvarelse. Hvis det er ønskelig at anonymisert data skal kunne benyttes i etterkant av opprinnelig formål for innhentet samtykke, (eks. til forskning) må dette være inkludert i opprinnelig samtykke eller samtykke må innhentes på nytt. Samtykke kan når som helst trekkes tilbake, og deltaker slettes. Det er etablert underdatabehandleravtaler med samtlige 3. parts kartleggingsleverandører hvor databehandler forplikter seg på å behandle personopplysninger på vegne av Bjørnson i hht gjeldende personvernbestemmelser. Det er etablert sletterutiner i de ulike verktøyene som sikrer at personvernbestemmelser er ivaretatt. Slettingsbestemmelser vil fremgå av de enkelte underdatabehandleravtaler og/eller på underleverandørens nettside.
14 Bruk av underleverandører
14.1 Bruk av underleverandører i leveranse
Samtlige underleverandører og innleide konsulenter som jobber på oppdrag for Bjørnsons kunder er forpliktet til å gjøre seg kjent med Bjørnsons personvernerklæring, og må signere på at de forplikter seg til å jobbe i hht denne i oppdrag for Bjørnsons kunder. I tillegg signerer samtlige innleide konsulenter på taushetsplikt- og datadisiplinerklæring.
14.2 Bruk av IT-leverandører og databehandleravtaler
Bjørnson har i dag en IKT-driftsmodell der vi har outsourcet våre IT-systemer og overlatt driften til eksterne parter. Vi bruker enkelte databehandlere til å samle inn, lagre og/eller på annen måte behandle personopplysninger på våre vegne. I slike tilfeller inngår vi avtaler med databehandler for å sikre at behandlingen av opplysningene er i samsvar med personvernregelverket og krav til behandling av personopplysninger. Bruken av databehandlere er ikke å regne som en utlevering av personopplysninger. Leverandørene kan ikke bruke opplysningene til andre formål enn det de er innhentet til. Bjørnson bruker databehandlere på flere forskjellige områder, for eksempel for IKT-tjenester som lagring og drift, helsetjenester, regnskap og lønn, markedsføring mm.
Cloudservice (org. nummer 991 073 930) står for drift av PCer, Active Directory servere, brannmurer, printservere, Exchange (e-post), Microsoft Office m.m. Cloudservice er lokalisert i Norge og konsulentene som jobber opp mot oss jobber fra Norge. Vi benytter Sharepoint som dokumenthåndteringssystem. Upheads AS (org. nummer 980 893 936) leverer tjenester i tilknytning til system og Sharepoint utvikling.
Aspit AS (org. nummer 983 439 977) er Bjørnsons databehandler, og leverandør av drift og vedlikehold av PsykBase som gjelder helsetjenester. Opplysninger som samles inn i forbindelse med drift av Psykbase, lagres på egne servere som driftes av Aspit. Aspit har stor vekt på driftsleveranser for offentlig og privat helsevesen der datasikkerhet er av særskilt betydning. Aspit’s serverfarmer er lokalisert i Green Mountain datasenter i Telemark. Datasenteret er Tier lll sertifisert, samt innehar ISO 9001, ISO 14001 og ISO 27001 sertifiseringer. Alt utstyr driftes av ASPIT med ITIL-sertifisert driftspersonell (se også www.aspit.no).
Som lønn- og regnskapssystem (inkludert inngående faktura og reiseutlegg) bruker vi tjenester fra Azets Insight AS (org. nummer 983 338 917) som kjører på deres servere. ProPlan Time blir brukt som system for å administrere arbeidstid, overtid og fravær. Dette driftes av ProPlan AS (org. nummer 959 472 823).
Destino AS (org. nummer 960 339 355) er vår leverandør for utvikling og vedlikehold av Bjørnsons web. Opplysninger som samles inn i forbindelse med drift av nettstedet, lagres på egne servere som driftes av Destino. Det er kun Bjørnson og Destino som har tilgang til opplysningene som samles inn.
15 Personvernombud
Bjørnson har vurdert om personvernforordningen krever at Bjørnson skal ha personvernombud. Vi har svært få fysiske personer som kunder. Vi driver ikke regelmessig og systematisk monitorering i stor skala av registrerte. For de fleste kategorier av registrerte behandler vi stort sett alminnelige personopplysninger som navn, adresse, arbeidsgiver, epostadresse, telefonnummer o.l. I forbindelse med leveranser av konflikthåndtering, psykologsamtaler, individ- og miljøkartlegginger både kvalitative og kvantitative behandler vi sensitive opplysninger om ansatte hos kunder. I sum har vi konkludert med at Bjørnson ikke er underlagt krav om å ha personvernombud, men vi har likevel valgt å ha personvernombud. Det er faglig leder i Bjørnson som er personvernombud. Hovedoppgavene til personvernombudet er å være en faglig ressurs innenfor personvern, stå til tjeneste med informasjon og rettledning og følge med på at regelverk og interne retningslinjer for behandling av personopplysninger blir etterlevd. Personvernombudet er et bindeledd mellom Bjørnson som behandlingsansvarlig og Datatilsynets tilsynsmyndighet. Personvernombudet svarer også på spørsmål fra personer som får/kan få personopplysningene sine behandlet av Bjørnson. Kontaktinformasjon finner du til slutt i dette dokumentet.
16 Risikovurdering
Bjørnson risikovurderer på jevnlig basis vår behandling av personopplysninger. Vurderingen skal gjøre at vi er i stand til å identifisere og definere hvilke sikkerhetstiltak vi skal gjennomføre.
Vurderingene inkluderer sannsynlighet og alvorlighetsgrad (risiko) for personers "rettigheter og friheter", som fysisk skade, skade på ting eller formue og medisinsk skade. Eksempler på skader er diskriminering, identitetstyveri, omdømmeskade, tap av sosial aktelse, at konfidensielle opplysninger blir kjent for uvedkommende og uakseptable inngrep i privatlivets fred.
Behandlingsprotokollen (kartleggingsskjemaet over personopplysninger) viser at vi:
- I stor grad behandler alminnelige kontaktopplysninger, som navn, adresse, arbeidsgiver, epostadresse, telefonnummer o.l.
- Psykologsamtaler som inneholder sensitive personopplysninger behandles av helsepersonell – psykologer - innenfor et eget journalsystem som har høy IT sikkerhet som prioritet.
- I fbm leveranse av konflikthåndtering, personkartlegginger og kvalitative arbeidsmiljøkartlegginger som inneholder personopplysninger har vi etablert rutiner som skal sikre at personopplysninger ikke blir kjent for uvedkommende.
- Behandler opplysninger om ansatte som er vanlige for å administrere personalforhold, herunder etterlevelse av lovpålagte forpliktelser.
- Har få privatkunder
- Ikke behandler opplysninger om barn
- Behandler opplysninger som er en del av det å drive alminnelig næringsvirksomhet
Basert på denne risikovurderingen mener vi at konsekvensene ved regelbrudd vil være spesielt alvorlig for personopplysninger samlet inn i fbm psykologsamtaler. Bjørnson er behandlingsansvarlig for psykologsamtaler.
Samfunnsutviklingen tatt i betraktning tar vi høyde for at det er sannsynlig at vi vil bli utsatt for flere og hyppigere forsøk på datainnbrudd. Vi skal løpende risikovurdere vår IT driftsmodell, og endringer som kan påvirke informasjonssikkerheten, for eksempel når vi kjøper nye IT-tjenester og evaluerer leverandører. Resultatene av risikovurderinger skal godkjennes av den som har det daglige behandlingsansvaret i Bjørnson, daglig leder.
Vi har etablert databehandleravtaler med alle IT-leverandører som behandler personopplysninger.
Vi har etablert egne rutiner for behandling av sensitive personopplysninger, herunder begrensning av tilgang.
Vi har etablert rutiner for å ivareta IT-sikkerhet på alle nivå og områder i Bjørnson.
17 Informasjonssikkerhet
Vi skal etter loven treffe passende tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som svarer til risikoen knyttet til vår behandling av personopplysninger. Vi skal da ta hensyn til teknikkens stand, gjennomføringskostnadene og behandlingens karakter, omfang og formål, samt sammenhengen den utføres i. Risikoene våre er vurdert overordnet i punktet ovenfor.
I tillegg til allerede implementerte sikkerhetstiltak er følgende tiltak gjennomført:
- Personvernombudet er utpekt med særlig oppgave å påse sikkerheten
- Ansatte skal gis relevant opplæring i behandling av personopplysninger
- Innleide konsulenter skal gis tilpasset opplæring i behandling av personopplysninger
- Årlig risikovurdering er inkludert som aktivitet i internkontrollarbeidet
18 Avvik, analyse av avvik og korrigerende tiltak
I fbm etableringen av personvernerklæringen har Bjørnson implementert og korrigert selskapets rutiner for behandling av personopplysninger slik at vi følger reglene i personopplysningsloven og rutinene i erklæringen. Sentralt i arbeidet har vært «behandlingsprotokollen» hvor vi har kartlagt Bjørnsons behandling av personopplysninger og avvik fra behandlingsrutinene for hver kategori av registrerte. Avvikene er avviksbehandlet eller er i avviksbehandling.
Fremover skal vi sikre etterlevelse av personopplysningsloven ved at vi på årlig basis kartlegger og evaluerer vår behandling av personopplysninger. Vi skal dokumentere både hvilke avvik vi har funnet, og hva vi har gjort for å rette dem opp. Avvik skal registreres i Bjørnsons avvikssystem som del av kvalitetssystemet. Avvikene skal behandles i tråd med avviksbehandling for behandling av personopplysninger.
Et avvik, eller sikkerhetsbrudd, defineres som et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet
Ved avvik skal Datatilsynet varsles innen 72 timer etter at Bjørnson, som behandlingsansvarlig, har fått kunnskap om avviket. De berørte parter (den registrerte, kunden) skal gis et varsel med følgende innhold:
- Beskrivelse av avviket
- Kontaktinformasjon til personvernombudet eller annet kontaktpunkt i Bjørnson
- Beskrivelse av mulige konsekvenser av avviket
- Beskrivelse av tiltak som er (planlagt) iverksatt for å lukke avviket og begrense konsekvensene
I følgende tilfeller kan Bjørnson la være å varsle de berørte:
- Dersom det er iverksatt beskyttelsestiltak for personopplysningene som er omfattet av sikkerhetsbruddet, særlig dersom tiltakene gjør opplysningene uleselige for uvedkommende, for eksempel ved kryptering.
- Dersom det er iverksatt etterfølgende tiltak som gjør at risikoen sannsynligvis ikke lenger er reell.
- Hvis det er uforholdsmessig vanskelig å varsle hver enkelt av de berørte. I slike tilfeller skal informasjonen i stedet offentliggjøres eller deles på annen måte, slik at de berørte likevel underrettes på en effektiv måte.
Om nødvendig skal avvik på behandling av personopplysninger varsles til Datatilsynet.
19 Kontroll og revisjon av personvernerklæring og behandlingsprotokoll
Denne personvernerklæring oppdateres og revideres løpende. Bakgrunnen er blant annet at reglene i lov og forskrift kan bli endret, vår behandling av personopplysninger kan bli endret eller erfaringer kan tilsi at vi bør endre rutinene våre. Av de samme grunnene skal vi også jevnlig gjennomgå og oppdatere behandlingsprotokoll (kartleggingsskjema) for behandling av personopplysninger. Det er daglig leder som har ansvar for at behov for endringer og revisjoner blir identifisert og innarbeidet i dokumentet og i behandlingsprotokollen.
Evalueringen bør omfatte for eksempel følgende spørsmål:
- Har vi siden forrige revisjon endret (nye, endrede eller avsluttede) behandlinger av personopplysninger som ikke er behandlet i dokumentet eller i kartleggingsskjemaet?
- Tilsier de seks grunnkravene til behandling av personopplysninger at vi bør endre rutiner eller praksis?
- Har det siden forrige revisjon trådt i kraft nye regler i lov eller forskrift som tilsier endringer?
- Har virksomheten siden forrige revisjon oppdaget andre områder for forbedring av dokumentet eller kartleggingsskjemaet?
- Har det kommet ny teknologi som gjør at personopplysninger kan sikres på en bedre måte?
20 Kontaktinformasjon
firma@bjornson.no | +47 4000 23 43 | Stokkamyrveien 13, N- 4313 SANDNES
