Meny
Meny

Retningslinjer for personvern

Retningslinjer for personvern

Retningslinjer for personvern

For SamCert AB

Kundenes personopplysninger

Innsamling og bruk
Vi behandler kontaktinformasjon og selskapsinformasjon for å opprettholde kunderelasjoner og kommunikasjon ved utarbeidelse av tilbud, samt for prosjektstyring og økonomisk administrasjon. Vi håndterer også ISO-dokumentasjon og annen strategisk informasjon for å sikre samsvar med standarder og revisjon. Vi håndterer også interne dokumenter for å fullføre og dokumentere bestillinger. Vi behandler også sensitive personopplysninger om våre kunder i forbindelse med deltakelse på våre arrangementer.

Personopplysninger om ansatte

Innsamling og bruk
Vi behandler personopplysninger for lønnsadministrasjon, arbeidsavtaler, medarbeidersamtaler og helseopplysninger for å sikre korrekt lønnsutbetaling og personaladministrasjon. Vi behandler også interne dokumenter i styringssystemet for internkontroll og oppfølging, som organisasjonskart og planleggingsoversikter for å ivareta internkontroll og sikkerhet.

Personopplysninger om avtalte

Innsamling og bruk
Vi behandler kontrakter og taushetserklæringer for å sikre riktig administrasjon av tjenester og for å opprettholde sikkerheten. Vi håndterer også interne dokumenter i forvaltningssystemet for intern kontroll og oppfølging, for eksempel organisasjonskart og planleggingsoversikter for å opprettholde intern kontroll og sikkerhet.

Personopplysninger om andre interessenter

Datainnsamling og -behandling
Vi samler inn og behandler data fra jobbsøknader basert på en interesseavveining for rekrutteringsformål. Vi håndterer kontaktinformasjon fra skjemaer på nettsiden og fra besøkende som ønsker å motta tilbud og nyheter fra oss. Direkte markedsføring til potensielle kunder utføres basert på en interesseavveining. For håndtering av personopplysninger for besøkende på nettstedet, se informasjon om informasjonskapsler.

Generelle kommunikasjonsdata og bruk av AI

Vi gjennomfører AI-genererte søk i e-posthåndtering og dokumentasjon basert på en interesseavveining. Dette gjør vi for å kunne levere rimelige tjenester. Personopplysninger fra våre ansatte, kunder og leverandører behandles også i chatter i Teams. Før vi tar opp og transkriberer møter i Teams, innhenter vi samtykke fra deltakerne. Formålet er å dele informasjon mellom oss og våre kunder og samarbeidspartnere og effektivisere arbeidet gjennom for eksempel AI-notater.

Vi sørger for at kun autorisert tilgang til AI-genererte datakilder og informasjon opprettholdes. Vi følger prinsippet om minste privilegium og opprettholder høye sikkerhetsstandarder for informasjonssikkerhet og ansvarlig bruk av AI.

Overføring til tredjeland

For noen av våre tjenester kan det være nødvendig å overføre personopplysninger til tredjeland, dvs. til land utenfor EU/EØS. Vi forplikter oss til å overføre personopplysninger til tredjeland bare hvis et tilstrekkelig beskyttelsesnivå kan garanteres i henhold til gjeldende personvernlovgivning. Dette kan gjøres ved bruk av standard kontraktsklausuler som er godkjent av EU-kommisjonen, bindende selskapsregler eller andre egnede sikkerhetstiltak.
Du har rett til å bli informert om sikkerhetstiltakene som gjelder for slike overføringer, og til å få en kopi av disse tiltakene på forespørsel.

Sikkerhet og samsvar

Vi iverksetter alle rimelige tekniske og organisatoriske tiltak for å beskytte personopplysningene dine mot utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering eller tilgang. Dette omfatter regelmessig gjennomgang av vår sikkerhetspraksis og våre retningslinjer for å sikre at vi overholder gjeldende lover og forskrifter.

Rettigheter og kontaktinformasjon

Du har rett til å få tilgang til personopplysningene dine, be om retting eller sletting av uriktige eller ulovlig behandlede opplysninger og motsette deg spesifikk behandling. Hvis du har gitt ditt samtykke til behandling av personopplysninger, har du rett til å trekke tilbake dette samtykket når som helst. For å utøve disse rettighetene eller hvis du har spørsmål om denne personvernerklæringen, kan du kontakte oss via følgende kanaler:
E-post: kontakt@samcert.se
Telefon: +46 10-148 55 01

Hvis du mener at vi ikke har behandlet personopplysningene dine i samsvar med gjeldende personvernregler, har du rett til å sende inn en klage til Integritetsskyddsmyndigheten (IMY).

Vi forbeholder oss retten til å oppdatere denne personvernerklæringen når som helst. Eventuelle endringer vil bli lagt ut på nettstedet vårt.

Nedenfor finner du informasjon om personopplysningsbehandlingen som skjer i forbindelse med vår håndtering av varslingssaker og dine rettigheter som registrert.

Behandlingsansvarlig

Behandlingsansvarlig for behandlingen av personopplysninger er:

SamCert AB, org.nr. 556872-5344

Theres Svenssons gata 13, 417 55 Göteborg

kontakt@samcert.se, +46 10-148 55 00

For ytterligere informasjon om vår håndtering av personopplysninger, se vår til enhver tid gjeldende personopplysningspolicy.

Formål med behandlingen og rettslig grunnlag

Formålet med behandlingen er å kunne oppfylle de rettslige krav som stilles til organisasjonen for å kunne varsle og gjennomføre de undersøkelser som sakene krever. Formålet er også å behandle personopplysninger der det er nødvendig i forbindelse med oppfølgingssaker. Dette innebærer at vi kan ha behov for å behandle personopplysninger for å:

– Håndtere innrapporterte varslingssaker,

– Sikre organisasjonens rettigheter og plikter basert på de uregelmessighetene som kommer frem i varslingssaker,

– Oppfylle de juridiske kravene som stilles til organisasjonen.

Det rettslige grunnlaget for behandling av personopplysninger i forbindelse med varslingssaker er som hovedregel en rettslig forpliktelse etter kapittel 5. 2 i lov om vern av personer som varsler om kritikkverdige forhold.

Det rettslige grunnlaget for behandling av personopplysninger i forbindelse med oppfølging av varslingssaker og andre tiltak som iverksettes i forbindelse med en varslet sak, er oppfyllelse av en rettslig forpliktelse eller organisasjonens berettigede interesse i å ivareta sine rettigheter på grunnlag av mistanke om eller konstaterte kritikkverdige forhold.

Kategorier av registrerte

I forbindelse med håndtering av varslingssaker kan personopplysninger bli behandlet i forhold til følgende kategorier av registrerte:

– Personen som melder inn en sak, med mindre vedkommende velger å være anonym,

– Den eller de personene som opptrer i en rapport,

– Den personen som har en administrativ rolle med å behandle og undersøke innrapporterte saker.

Utlevering av data og databehandlere

Opplysningene kan bli utlevert til myndigheter (f.eks. politimyndighet i tilfeller der varslingssaker fører til politianmeldelse). Opplysninger kan også bli utlevert til andre deler av virksomheten eller andre selskaper i konsernet i forbindelse med undersøkelser, oppfølging og avhjelpende tiltak i forbindelse med en varslingssak.

Behandling i forbindelse med varslingssaker skjer også hos personopplysningsbehandlere. Disse kan kun handle etter våre instrukser, noe som er regulert spesielt i bitrusavtalen.

Overføringer til tredjeland

Vi bestreber oss på å ikke overføre data til et land eller selskap utenfor EU/EØS, og all lagring av personopplysninger knyttet til innholdet i varslingssaker skjer innenfor EU/EØS på servere som eies av selskaper i Sverige.

Innloggingsadministrasjon gjøres gjennom Active Directory, Microsoft Azure. Lagringen skjer innenfor EU/EØS, men siden leverandøren er amerikansk, er det en risiko for at innloggingsrelaterte personopplysninger kan bli gjort tilgjengelig for amerikanske myndigheter, noe som kan ha en negativ innvirkning på personvernet siden amerikanske myndigheter ikke er forpliktet til å overholde GDPR. I tilfelle overføring til et tredjeland finnes det standard kontraktsklausuler som en sikkerhetsforanstaltning. Ta kontakt med oss for mer informasjon om hvordan vi beskytter personopplysningene dine.

Lagring og tynning

Personopplysninger som fremkommer i en varslingssak, lagres i to år fra det tidspunktet saken er avsluttet. Personopplysninger som brukes til administrasjon og autorisasjon lagres så lenge autorisasjonen er gyldig. Når lagringsperioden utløper, slettes alle personopplysningene.

Hvis en sak krever ytterligere undersøkelser internt, vil vi fortsette å behandle personopplysningene dine så lenge saken krever det.

Dine rettigheter som registrert

Når vi samler inn og behandler personopplysningene dine, har du visse rettigheter. Du har rett til å:

– Be om et utdrag av personopplysningene selskapet behandler og måten de behandles på;

– Be om korrigering av unøyaktig informasjon;

– Forespørsel om å bli slettet. Dette kan imidlertid bare gjennomføres dersom selskapet ikke har rett til å oppbevare opplysningene på noe annet rettslig grunnlag;

– Be om at behandlingen begrenses under visse omstendigheter, f.eks. mens et spørsmål om hvorvidt opplysningene er under utredning eller ikke;

– Utøve retten til dataportabilitet;

– Protestere mot profilering. Gjelder kun opplysninger du har gitt til selskapet, og at disse behandles automatisk og på grunnlag av avtale eller samtykke; og

– Ta kontakt med den kompetente tilsynsmyndigheten (i Sverige Integritetsskyddsmyndigheten (IMY)) hvis du har kommentarer til hvordan vi behandler personopplysningene dine.

Vær oppmerksom på at dine rettigheter i henhold til ovennevnte kan påvirkes av taushetsplikten som gjelder for varslingsrelatert informasjon og i tilfeller der offentliggjøring vanskeliggjør etterforskningen. Muligheten for å utøve dine rettigheter vil bli vurdert ut fra blant annet det rettslige grunnlaget og formålet med den aktuelle behandlingen.

Hvis du har spørsmål om behandlingen av personopplysningene dine, kan du kontakte oss via kontaktopplysningene som er oppgitt i innledningen til denne informasjonen.

Trygghet og sikkerhet

Selskapet iverksetter egnede tekniske og organisatoriske informasjonssikkerhetstiltak for å forebygge og begrense risikoer forbundet med utlevering av personopplysninger, for eksempel uautorisert tilgang, utlevering, misbruk, endring og ødeleggelse. Kun et fåtall autoriserte personer med taushetsplikt har tilgang til identifiserbare personopplysninger.