Personvernerklæring Delecto AS
1 Innledning
Delecto er opptatt av at du skal ha tillit til oss og til hvordan vi behandler dine personopplysninger. I denne personvernerklæringen forklarer vi derfor hvorfor vi samler inn informasjon om deg, hvordan vi bruker denne informasjonen og hvordan vi tar hensyn til ditt personvern.
Personopplysninger: er opplysninger og vurderinger som kan knyttes til en identifiserbar enkeltperson. Det kan f.eks. være navn, identifikasjonsnummer og kontaktinformasjon. Det kan også være ett eller flere elementer som er spesifikke for nevnte persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.
Særlige kategorier av personopplysninger (sensitive personopplysninger): Dette er opplysninger som krever ekstra vern, dvs. opplysninger om rasemessig eller etnisk opprinnelse, religion, helseopplysninger, opplysninger om seksuelle forhold eller seksuell orientering, politisk oppfatning, filosofisk overbevisning, fagforeningsmedlemskap, genetiske opplysninger, biometriske opplysninger og opplysninger om straffedommer og lovovertredelser.
Bruk av personopplysninger må følge personopplysningsloven. Vi, som databehandler for tiltakene vi leverer til NAV, og som behandlingsansvarlig i forhold til våre kunder, ansatte, ansatte i VTA, og andre samarbeidspartnere, vil sørge for at vi bruker personopplysninger om deg i samsvar med lovens regler. En grunnleggende forutsetning for å oppbevare personopplysninger skal være at det har et formål. Har det ikke et formål lenger, skal det slettes.
Ytterligere spørsmål om Delecto sin behandling av personopplysninger kan rettes til:
Personvernombud Christine Larsen, mobil. nr.: 924 83 618, epost: christine@delectokragero.no
2 Behandlingsansvarlig og databehandler
Delecto AS er behandlingsansvarlig når vi bestemmer formålet med behandlingen av personopplysninger, f.eks. i egenskap av å være arbeidsgiver, ved kjøp av regnskapstjenester og IKT tjenester, i forbindelse med markedsarbeid, markedsføring eller salgsvirksomhet av produkter og som selvstendig leverandør av tjenester som for eksempel vaskeri, sykefraværoppfølging eller vaktmestertjenester.
Delecto er databehandler når vi behandler personopplysninger hvor andre bestemmer formålet. Dette gjelder ved gjennomføring av tiltak for NAV, gjennomføring av tiltak for offentlige aktører som kommune og fylkeskommune eller når vi leverer makuleringstjenester.
Forholdet mellom en behandlingsansvarlig og en databehandler skal reguleres gjennom en databehandleravtale. I en databehandleravtale skal det minimum fremkomme formålet med behandlingen, beskrivelse av hvordan personopplysningene behandles, regulere bruk av underleverandører, ivareta den registrerte rettigheter, pålegge databehandlers tilfredsstillende informasjonssikkerhet og den skal fastsette avtalens varighet.
3 Hvilke personopplysninger har vi om deg og hvilken innsynsrett foreligger
Avhengig av hvilket tiltak/ kurs du er søkt inn på, hvordan du bruker våre tjenester og hvilke tillatelser du gir oss, har vi disse opplysningene om deg.
- Informasjonen som står på innsøkingspapirene til tiltak/ kurs på Delecto. Du skriver under på disse papirene i sammen med NAV-veileder, og vet da hva som står der. Det er vanligvis kontaktinformasjon og tidligere arbeid/ utdannings-historikk, samt en bestilling fra deg/ NAV på hva som ønskes utprøvd og ønsket resultat av tiltaksgjennomføringen. Det kan også være opplysninger om helsetilstand eller andre spesifikke ting man skal hensyn ta i tiltaksperioden.
- Underveis i tiltaksgjennomføringen skrives det logg og statusrapporter som inneholder opplysninger om funksjonsnivå, utfordringer grunnet helserelaterte plager, uttalelser fra deg tilbakemeldt i samtaler med din/ dine veiledere. Avhengig av tiltak og tiltaks regelverket sendes noen av disse statusrapportene til NAV eller andre med innsøkende myndighet, og da skal de bestandig være underskrevet av deg. Logger, evaluerings notater og andre interne dokumenter som lagres om deg mens du er i tiltak/ kurs, har du til enhver tid innsynsrett i henhold til gjeldende prosedyre. Anmodning om innsyn fra tiltaksdeltaker skal behandles hos behandlingsansvarlig som i våre tiltak og kurs i all hovedsak er NAV. I praksis betyr det at hvis deltaker ønsker innsyn i egen sak, må vedkommende henvende seg til sin behandlingsansvarlige, som igjen henvender seg til tiltaks arrangør og ber om å få utlevert ønskede opplysninger. Tiltaks-arrangør kan ikke vise, eller utlevere deltakers personopplysninger direkte til deltaker, med mindre det er avtalt med NAV. I de tilfeller der tiltaks-arrangør er behandlingsansvarlig kan den registrerte ta kontakt med tiltaks-arrangør for å få innsyn i sine opplysninger.
- Personopplysninger om kunder og andre samarbeidspartnere består ofte av kontaktinformasjon til samarbeidende bedrifter angående praksisplasser eller annet formidlings-relatert formål eller kjøp og salg av produkter og tjenester.
4 Den registrerte rettigheter
EUs personvernforordning, GDPR (General Data Protection Regulation) gir som hovedregel den registrerte rett til:
- Informasjon ved innsamling av personopplysninger fra den registrerte.
- Informasjon hvis opplysningene innhentes fra andre enn den registrerte
- Å kreve innsyn i egne personopplysninger
- Å kreve korrigering eller sletting av egne personopplysninger
- Å kreve at behandlingen av egne personopplysninger begrenses
- Dataportabilitet
- Innsigelse
- Å motsette seg automatiserte avgjørelser inkludert profilering
Den registrerte skal rette anmodningen om innsyn, retting, sletting osv. til behandlingsansvarlig. Ønsker deltaker å motsette seg behandling av personopplysninger i henhold til kontrakt med NAV, må deltaker rette en anmodning om dette til behandlingsansvarlig, altså NAV.
Innsyn i opplysningene skal gis den registrerte uten ugrunnet opphold og senest innen en måned.
Når det gjelder ansatte skal Delecto informere om hvilke personopplysninger som behandles, og hvor de registreres, samt hvilke rutiner for oppdatering og sletting som gjelder. Denne informasjonen skal ligge tilgjengelig for alle ansatte.
5 Retting og sletting – retten til å bli glemt
Når personopplysningene ikke lenger er nødvendige for det/ de formål de ble samlet inn eller behandlet for, skal de slettes. I henhold til vår kontrakt med NAV, slettes deltakers personopplysninger etter 3 måneder. Det beholdes opplysninger om deltakere som formidles til arbeid eller utdanning i 6 måneder for å ivareta avtale med NAV om å rapportere om formidlede personer fortsatt er i arbeid eller utdanning 6 måneder etter de ble skrevet ut av tiltaket ved Delecto.
5 Krav til dataverktøy
Delecto har dataverktøy som gir tilstrekkelig sikkerhet og er i tråd med akseptabelt risikonivå sett i forhold til personvernprinsippene konfidensialitet, integritet og tilgjengelighet. Vår leverandør av dette verktøyet tilfredsstiller kravene i forordningen og har dokumentert dette i egne avtaler med bedriften.
6 Personvernombud
Delecto har opprettet sitt eget personvernombud. Begrunnelsen for det er at vi behandler sensitive personopplysninger, og ønsker derfor fokus på kunnskap og kompetanse innenfor området. Vi ønsker på en best mulig måte å ivareta de registrerte og styrke deltakernes, ansattes og våre kunders tillit til at Delecto har høyt fokus på integritet, konfidensialitet og tilgjengelighet i behandlingen av personopplysninger.
Personvernombudet skal involveres i alle saker som handler om behandling av personopplysninger. Personvernombudet skal inkluderes i prosessen både tidlig nok og på en god nok måte til at ombudet kan utføre sin rolle.
7 Informasjonssikkerhet og internkontroll
Delecto skal behandle personopplysninger på en slik måte at de er beskyttet mot uberettiget innsyn og endringer, samtidig som opplysningene skal være tilgjengelige for de som trenger opplysningene.
Delecto skal ha oversikt over og identifisere mulige risikoscenarier og uønskede hendelser knyttet til personvern. Eksempler på dette kan være:
Sending av epost Bruk av SMS
Skanning Bruk av apper
Utskrift Bruk av sosiale medier
Bruk av minnepenn Bruk av eksterne enheter
Bruk av skytjenester Bruk og oppbevaring av personopplysninger i papirformat
Oppdages det at risikonivået ikke er innenfor aksepterte verdier, skal Delecto iverksette tekniske og organisatoriske tiltak for å redusere risikoen.
Våre tekniske og organisatoriske rutiner er beskrevet i ulike prosedyrer og er tilgjengelige for de som har krav på eller interesse for innsyn.