PERSONVERNPRAKSIS I PROVISO
Det er derfor lagt til grunn samme personvernpraksis i appen som i Proviso generelt.
Personopplysningene skal behandles i samsvar med EUs personvernforordning (forordning 2016/67) og for øvrig behandles i samsvar med krav i lover og regler, herunder gjeldende personopplysningslov med eventuelle forskrifter og godkjente adferdsnormer, samlet benevnt «Regelverket».
1. Formål
Formålet med behandlingen av personopplysninger er å kunne
levere en tjeneste i henhold til den tjenesteavtale (Tjenesteavtalen) som kunde/bruker(behandlingsansvarlig)
har inngått med Proviso AS, samt å sikre at den aktuelle
behandlingen av personopplysninger skjer i samsvar med Regelverket.
Proviso (heretter kalt databehandler) handler etter instruks fra kunde/bruker (heretter kalt behandlingsansvarlig).
Databehandler skal oppfylle de krav som stilles etter Regelverket, herunder:
· sikre at personer som er autorisert til å behandle personopplysninger, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetserklæring, jf. forordningen art. 28 (3) bokstav b.
· Ikke engasjere en annen databehandler («underdatabehandler») uten særlig eller generell skriftlig tillatelse fra den behandlingsansvarlige, jf. forordningen art 28 (2). Dersom det skal benyttes en annen underleverandør skal det skriftlig gjøres rede for hvilke oppgaver denne utfører og i hvilke land denne befinner seg i. Hvis databehandleren bruker en annen databehandler, og det er gitt tillatelse til dette, må denne pålegges de samme kontraktsvilkårene som kreves etter forordningen art. 28 (3) og den opprinnelige databehandler vil være fullt ut ansvarlig for at andre databehandlere oppfyller sine forpliktelser.
· Personopplysningene skal kun behandles etter instruks fra den behandlingsansvarlige, herunder ikke overføre personopplysninger til land utenfor EU/EØS (tredjeland) uten etter skriftlig og dokumenterbar instruks fra den behandlingsansvarlige, jf. forordningen art 28 (3) bokstav a.
· Databehandler skal treffe alle tiltak som er nødvendige for å oppnå et sikkerhetsnivå som står i forhold til den relevante risiko ved behandlingen, jf. forordningen art. 32.
· Etterkomme pålegg fra den behandlingsansvarlige om å slette eller tilbakelevere alle personopplysninger (inkludert kopier) etter at tjenestene knyttet til behandlingen er avsluttet, men mindre det foreligger lovkrav til at opplysningen skal fortsatt lagres, jf. forordningen art 28 (3) bokstav g.
· Gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene ovenfor er oppfylt for den behandlingsansvarlige, samt muliggjøre og bidra til revisjoner og inspeksjoner som gjennomføres av den behandlingsansvarlige eller annen på dennes vegne, jf. forordningen art 28 (3) bokstav h.
·
Omgående
underrette den behandlingsansvarlige dersom en instruks fra den
behandlingsansvarlige er i strid med Regelverket, se også forordningen
art 28 andre avsnitt.
Databehandler skal sikre at all behandling av personopplysninger som er omfattet av denne avtalen utføres i samsvar med akseptabelt risikonivå og i samsvar med risikovurdering utført av databehandler.
Databehandleren definerer sikkerhetsmål, -strategi, -organisering og ansvar i samsvar med Regelverket og følger opp dette ved bruk av et internkontrollsystem.
Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon og bistå slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter Regelverket.
Databehandler plikter å sørge for at samtlige personer hos seg som gis tilgang til personopplysninger som behandles på vegne av behandlingsansvarlig er kjent med denne avtalen og er underlagt avtalens bestemmelser.
3. Den behandlingsansvarliges plikter
Behandlingsansvarlig skal påse at de aktuelle personopplysningene kan behandles. Nærmere bestemt skal behandlingsansvarlig
· sørge for at det foreligger et tilstrekkelig hjemmelsgrunnlag,
· sørge for at de avtaler som inngås med den registrerte og de samtykker som utformes er i samsvar med og muliggjør den behandling av personopplysninger som fremgår lenger ned.
· ha ansvaret for at overføringer av personopplysninger til databehandler lovlig kan skje
Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlige før behandlingen av personopplysninger starter.
Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.
Samtykker til at aktiviteter eller oppdrag utføres av nye underleverandører, eller endringer i driftssted, finner sted ved å oppdatere vedlegg 2 i den signerte databehandleravtale med kunde/bruker.
Databehandler er ansvarlig for underleverandørens utførelse av oppgaver for behandlingsansvarlig, på samme måte som om databehandler sto for utførelsen selv.
Krav om forhåndssamtykke fra behandlingsansvarlig gjelder også de tilfeller der databehandler og/eller underleverandørers behandling omfatter overføring av personopplysninger til land utenfor EU/EØS (Tredjeland). Slik overføring forutsetter gyldig overføringsgrunnlag i samsvar med Regelverket.
For en oversikt over Underdatabehandleravtaler, se vedlegg 2 i signert databehandleravtale.
Databehandler skal ha en tilfredsstillende teknisk og fysisk sikring på den løsningen som benyttes.
Kun ansatte og andre som opptrer på databehandlers vegne, og som har tjenstlig behov for tilgang til personopplysningene kan gis slik tilgang.
Databehandler skal ha klare rutiner for logging av feil og avvik som er av betydning og som er omfattet av denne avtalen. Dersom det avdekkes slike feil eller avvik, skal databehandler så snart som mulig varsle behandlingsansvarlig om dette.
Behandlingsansvarlig kan revidere databehandlers personopplysningssikkerhet ved bruk av en tredjepart godkjent av databehandler. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøver, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. Slike revisjoner kan kun gjøres etter skriftlig forhåndsvarsel fra behandlingsansvarlig. De som utfører revisjon må forholde seg til databehandlers rimelige instrukser ved adgang til databehandlers lokaler, og for øvrig akseptere databehandlers saklige behov for konfidensialitet. Revisjoner skal skje på en effektiv måte og skal i minst mulig utstrekning forstyrre databehandlers arbeid.
Databehandler skal etablere tiltak og rutiner for å avdekke avvik fra personvernsikkerhet og andre sikkerhetsbrudd, samt ha rutiner og iverksette tiltak for å følge opp og rette avvik. Databehandler plikter å bistå behandlingsansvarlig med oppfølgingen av avvik, samt fremskaffe den nødvendige informasjon om avviket som følger av Regelverket.
Eventuelle avvik skal skriftlig meldes til
behandlingsansvarlig uten ugrunnet opphold og senest innen 24 timer etter at
databehandler fikk mistanke om avviket, selv om Databehandler ikke har all
påkrevet informasjon tilgjengelig. Melding til behandlingsansvarlig om
eventuelle avvik skal ikke utsettes i påvente av undersøkelser
rundt årsak, omfang og konsekvens. Behandlingsansvarlig har ansvaret for
at avviksmelding sendes Datatilsynet uten ugrunnet opphold og når det er
mulig, senest 72 timer etter å ha fått kjennskap til avviket.
Personvernpraktisen skal følge varigheten til den tilknyttede Tjenesteavtalen. Personvernpraksisen gjelder imidlertid uansett så lenge databehandler behandler eller har tilgang til personopplysninger på vegne av behandlingsansvarlig. Herunder skal databehandler behandle og ha tilgang til opplysninger for alle aktive arrangementer hos databehandler inntil disse er endelig avsluttet. Et arrangement er avsluttet når det er gjennomført og alle bestilte og nødvendige etterfølgende aktiviteter er utført. Med mindre annet er avtalt skal arrangementer senest være avsluttet innen ett år etter at arrangementet er gjennomført.
Ved påvist brudd på denne praksisen, relevante forhold i Tjenesteavtalen og/eller Regelverket, kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av personopplysningene med øyeblikkelig virkning.
Dersom brudd på denne praksisen ikke rettes innen rimelig tid, kan Behandlingsansvarlig si opp Tjenesteavtalen helt eller delvis etter forutgående skriftlig varsel.
Ved opphør av Tjenesteavtalen plikter databehandler å slette og/eller forsvarlig destruere alle personopplysninger som er mottatt eller på annen måte lagret i Systemet.
Dette omfatter også sletting av logger, sikkerhetskopier og lignende, som databehandler ikke selv har behandlingsgrunnlag for å oppbevare.
Databehandler skal skriftlig dokumentere at sletting er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør. Etter dette opphører databehandlers ansvar.
8. Henvendelser vedrørende avtalen
Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting.
Dette gjelder også i tilfelle av konflikter etter opphør av avtalen.
Informasjon
om behandling av personopplysninger
(Oppdatert 28. september 2020)
1. Formålet med behandlingen og kategorier av behandlingsaktiviteter
Databehandler skal kun behandle personopplysninger i den utstrekning det er nødvendig for å oppfylle sine oppgaver og forpliktelser etter Tjenesteavtalen.
· Personopplysninger behandles hos databehandleren ved normal bruk av Systemet, herunder når behandlingsansvarlig benytter Systemet til
o å legge inn / redigere kontaktopplysninger
o å sende ut og administrere invitasjoner, påmeldinger og avmeldinger ved bruk av e-post og SMS.
o å innhente samtykke til videre behandling fra den enkelte registrerte
· Personopplysninger behandles også ved support og feilretting, herunder ved bruk av underleverandør i tredjeland. Behandlingsansvarlig gir databehandler en rett til å inngå avtale med underleverandør i tredjeland på vegne av behandlingsansvarlig. Det vises her til Vedlegg 2.
Informasjon om eventuell deltakelse i arrangementer kan spores tilbake til den enkelte registrerte. Utover dette vil det ikke skje sammenkobling med andre personopplysninger/registre eller lignende.
2. Type personopplysninger som behandles
Databehandler behandler følgende personopplysninger på vegne av behandlingsansvarlig:
A. Personopplysninger som behandles ved bruk av Basic/Business/Professional/Project
· Fornavn og etternavn
· E-postadresse
· Telefonnummer
· Land
· Tilhørighet til firma/organisasjon
· Yrke og tittel
· Deltakerkategorier
· Opplysninger om medlemskap (ikke fagforeninger)
· Deltakelse på arrangementer
o Arrangementets navn og dato
o Påmeldinger
o Avmelding
· Opplysninger til bruk for hotell og rombestilling
o Adresse
o Informasjon om medlemskap (ikke fagforeninger)
o Informasjon om medreisende
o Romtype
o Informasjon om inn- og utsjekk
o Datoer
o Betalinger (hotell)
o Matallergier
·
Kunden velger selv
hva slags opplysninger som skal fremgå i e-postene som sendes ut til
deltakere ved påmelding eller avmelding.
Ovennevnte personopplysninger vil kunne behandles i Systemet, uavhengig av den tjenestemodell som er valgt (Basic/Business/Professional/Project).
B. Personopplysninger som kun behandles ved Professional og Project
I tillegg til det som fremgår ovenfor behandles følgende personopplysninger når behandlingsansvarlig benytter tjenestemodellen Professional, eller etter nærmere avtale ved bruk av tjenestemodellen Project:
· Fakturerings- og betalingsstatus ved betalinger for arrangement
· Kryptert kredittkortnummer
· Kontonummer
Behandlingsansvarlig har ansvaret for at det ikke innhentes sensitive
personopplysninger fra de registrerte via Systemet.
3. Kategorier av registrerte
Databehandler vil behandle personopplysninger om følgende kategorier av registrerte:
· Deltakere på kurs/arrangementer
·
Potensielle
deltakere på kurs/arrangementer
4. Om Systemet for behandling av personopplysninger og lokaliseringen av dette
Behandlingen skjer i Systemet, som driftes av
underleverandør i Norge. Alle personopplysninger som håndteres i
kraft av denne databehandleravtalen blir lagret i Systemet. Systemets database
er logisk avgrenset mellom ulike kunder. Den enkelte ansatte hos databehandler
har tilgang til Kundens relevante del av databasen gjennom særskilt
pålogging til denne delen av databasen.
For en nærmere beskrivelse av de ulike tjenestemodellene i Systemet, se proviso.no/priser.
Dersom stedet for behandlingen endres, skal det
håndteres i henhold til skriftlig signerte databehandleravtale med
kunde/bruker.
5. Varighet for behandlingen av personopplysningene
Opplysningene lagres i maksimalt fem år etter gjennomført arrangement med hensyn til tjenestemodellene Basic, Business og Professional dersom ikke annet er avtalt med behandlingsansvarlig, og forutsatt at avtaleforholdet mellom partene består i denne perioden.
Opplysninger knyttet til gjennomføring av enkeltstående arrangementer (Project) slettes innen to år etter at arrangementet er avsluttet.
De opplysninger som må oppbevares av hensyn til regnskapsloven, vil lagres så lenge dette kreves, typisk i fem år.