I forbindelse innføringen av nye personvernregler i Norge, Sverige og Danmark ved ny personopplysningslov og implementering av personvernforordningen (General Data Protection Regulation – "GDPR"), oppstår det naturlig en del spørsmål. Under har vi samlet og besvart de mest gjengående spørsmålene fra våre bedriftskunder om GDPR og databehandleravtaler. (Nokas privatkunder er ikke omfattet av endringene i følge med GDPR.)
Kan vi som kunder sende Nokas vår egen "standard" databehandleravtale for signering av Nokas?
Databehandleravtalen fra Nokas tilfredsstiller kravene i ny personopplysningslov og GDPR. Siden det er en nær sammenheng mellom tjenestene fra Nokas, vilkårene som regulerer tjenestene og databehandleravtalen, er det viktig at det er disse vilkårene og databehandleravtalen som gjelder for tjenestene fra Nokas.
Enkelte kunder har sendt oss sin standard databehandleravtaler som skal dekke tjenestene fra Nokas, men siden disse avtalene er standardiserte, er de sjelden dekkende for tjenestene fra Nokas og regulerer ikke behandlingen av personopplysninger som følge av tjenestene på en tilstrekkelig måte.
Nokas ber derfor om at databehandleravtalen som kommer fra oss regulerer tjenestene fra Nokas og behandling av personopplysninger som følge av disse, og at det ikke oversendes en annen databehandleravtale til Nokas. Databehandleravtaler som blir mottatt av Nokas som ikke er dekkende for Nokas' tjenester kan ikke bli inngått, og Nokas' databehandleravtale bør i stedet bli benyttet.
Hvilke endringer er gjort i avtaleforholdene for å justere mot de nye personvernreglene?
Vi har revidert våre prosesser og vår databehandleravtale oppfyller de nødvendige tilpasninger til det nye regelverket.
Har dere god nok tilgangskontroll som sikrer våre personopplysninger?
Nokas har tilgangskontroll som tilfredsstiller de gjeldende sikkerhetskrav. Tilgangskontroll vil i tillegg bli gjennomgått for å sikre at alle krav i det nye regelverket er ivaretatt, dette sammen med evaluering av alle systemer og nødvendige organisatoriske krav.
Vil Nokas gi ut en egen personvernerklæring for kunders ansatte?
Nokas har en egen personvernerklæring for Nokas' håndtering av data i de tilfeller hvor Nokas er behandlingsansvarlig. Nokas kan på forespørsel komme med forslag til personvernerklæring som våre kunder kan ta utgangspunkt i for å utarbeide egen personvernerklæring i relasjon til Nokas’ tjenester (fordi våre kunder er behandlingsansvarlig).
Benytter Nokas underleverandører?
Nokas AS benytter underleverandører på noen drifts- og tjenesterelaterte oppgaver. I den grad disse leverandørene har tilgang til personopplysninger, er det inngått databehandleravtaler mellom disse og Nokas AS i tråd med kravene i GDPR. En liste over våre nasjonale underleverandører er synliggjort i databehandleravtalen. For Nokas AS' datterselskaper (dersom du som kunde har avtale med et av Nokas AS' datterselskaper) vil Nokas AS være kontraktspart for databehandleravtalen. Nokas AS datterselskaper i Norden er:
|
Tjenesteleveranse |
Underleverandør Nokas AS |
Land |
|
Elektronisk overvåkning |
Nokas Teknikk Hed/Opp AS |
Norge |
|
Elektronisk overvåkning |
AS Skan-kontroll |
Norge |
|
Elektronisk overvåkning |
Nokas Brannkonsult AS |
Norge |
|
Elektronisk overvåkning |
Semac AS |
Norge |
|
Vakt og kontrolltjenester |
Nokas Aviation Security AS |
Norge |
|
Vakt og kontrolltjenester |
AS Skan-kontroll |
Norge |
|
Vakt og kontrolltjenester |
Semac AS |
Norge |
|
Vakt og kontrolltjenester |
Nokas Beredskap AS |
Norge |
|
Kurs- og konsulenttjenester |
AS Skan-kontroll |
Norge |
|
Kurs- og konsulenttjenester |
Semac AS |
Norge |
|
Kurs- og konsulenttjenester |
Nokas Brannkonsult AS |
Norge |
|
Kurs- og konsulenttjenester |
Nokas Beredskap AS |
Norge |
|
Kurs- og konsulenttjenester |
Nokas Aviation Security AS |
Norge |
|
Verdihåndtering og logistikk |
Nokas Verdihåndtering AS |
Norge |
|
Verdihåndtering og logistikk |
Nokas CMS (Danmark) A/S |
Danmark |
|
Verdihåndtering og logistikk |
Nokas Kontantservice P/S |
Danmark |
|
Verdihåndtering og logistikk |
Nokas Komplementarselskab ApS |
Danmark |
|
Elektronisk overvåkning |
Nokas Teknik AB |
Sverige |
|
Verdihåndtering og logistikk |
Nokas Värde AB |
Sverige |
|
Vakt og kontrolltjenester |
Nokas Security AB |
Sverige |
Flytter Nokas våre personopplysninger til land utenfor EU/EØS og godkjente tredjeland?
Dataene behandles i EU/EØS-området, med unntak av at Nokas AS benytter Cognisant Worldwide ltd. som leverandør av IT tjenester. Dette innebærer at enkelte ansatte i Cognisant har tilgang til personopplysninger via Nokas systemer. Nokas AS har sørget for at tilgangen til disse opplysningene for de aktuelle ansatte i Cognisant er i tråd med kravene i GDPR.
Behandler Nokas sensitive personopplysninger for sine kunder?
I de tjenester Nokas tilbyr, foretar ikke Nokas på vegne av kunden noen behandling av særlige kategorier personopplysninger.
Hvilke tiltak setter Nokas i gang for å sikre at varslingsplikten overfor oss som kunde ivaretas?
Nokas har allerede etablerte varslingsrutiner ved hendelser rundt informasjonssikkerhet. Disse varslingsrutinene sikrer at alle krav i det nye regelverket er ivaretatt. Databehandleravtalen beskriver varslingsfrister i tråd med forordningen.
Andre forhold som påvirker oss som kunde av Nokas når det gjelder GDPR?
Vår databehandleravtale er tilpasset det nye regelverket og vil være tilgjengelig for våre kunder fortløpende de kommende ukene og frem til det nye regelverket trer i kraft. Den oppdaterte avtalen må godkjennes av kunden innen regelverkets ikrafttredelse. Rent praktisk vil godkjenning av de oppdaterte betingelsene for de fleste kunder skje ved at den som mottar informasjonsbrevet hos kunden, og har de nødvendige fullmakter, godkjenner og krysser av for de tjenester Nokas leverer i databehandleravtalen direkte i vårt system etter innlogging.
Hvilke personopplysninger lagres?
Svaret på dette spørsmålet avhenger for det første av hvilket eller hvilke av Nokas’ produkter/tjenester kunden har avtale om med Nokas. De ulike tjenestevedleggende i Nokas databehandleravtale har listet opp de personopplysninger som behandles innenfor de ulike tjenesteleveransene.
Er de registrerte informert om innsamling/registrering av personopplysningene?
Nokas som databehandler i tilknytning til våre systemer har ingen kontroll over hvorvidt de registrerte faktisk er informert om innsamling/registering av opplysningene i de tjenester vi tilbyr våre kunder. Det er Nokas’ kunde (som behandlingsansvarlig) som skal informere de registrerte om innsamlingen/registreringen av opplysningene som legges inn i systemene eller registreres.
Er de registrerte kjent med hvor personopplysningene lagres?
Informasjon til de registrerte er det kunden (som behandlingsansvarlig) og ikke Nokas (som databehandler) som har kontroll over.
Finnes det rutiner for sletting av personopplysninger? Finnes dokumentasjon? Hvor er dokumentasjon lagret?
Nye rutiner og prosesser i tråd med det nye regelverket er utarbeidet og noe er under utarbeidelse. Vårt interne kvalitetskontroll vil kjøre revisjoner på sletterutiner, samt at alle våre systemer er samlet i en felles oversikt som er gjenstand for årlig evaluering og gjennomgang.
Som databehandler opptrer vi etter instruks fra/avtale med vår kunde (som behandlingsansvarlig), også hva gjelder når data slettes.
Har Nokas eget personvernombud?
Ja, Nokas har eget personvernombud som er godkjent av myndighetene.
Er personvernkonsekvensene vurdert? Er risiko- og sårbarhetsanalyse knyttet til systemet utført? Dokumentasjon? Hvor er dokumentasjonen lagret?
Vurdering av personvernkonsekvenser (DPIA) samt risiko- og sårbarhetsanalyser i tråd med det nye regelverket inngår som en sentral del av arbeidet Nokas har igangsatt for tilpasning til det nye regelverket. Alle nye behandlinger eller nye systemer som igangsettes vil bli underlagt en risiko- og sårbarhetsanalyse, i de tilfeller det er nødvendig gjennomføres en DPIA (Data Protection Impact Assessment) slik det er beskrevet i forordningen og artikkel 29 gruppen.