1. Innledning
1.1 Formål
Arctic Bioscience AS («Arctic», «vi», «oss») er forpliktet til databeskyttelse. Det ligger i kjernen av vår virksomhet å holde data og kommunikasjon konfidensiell og å behandle den med forsiktighet og omhu.
Denne policyen fungerer som en håndbok for vår behandling av personopplysninger i samsvar med norsk personvernlovgivning, inkludert EUs personvernforordning 2016/679 (GDPR). Begrepene som brukes i dette dokumentet skal ha den betydningen som er definert i GDPR.
Denne policyen har tre deler:
- Styrende del : Vår personvernorganisasjon og styrende prinsipper.
- Operativ del : Våre retningslinjer og prosedyrer for personvern for implementering av de styrende prinsippene og gjeldende personvernlover. Enkelte retningslinjer og prosedyrer kan være angitt i separate dokumenter, som det henvises til i denne policyen.
- Kontrollerende del : Våre rutiner for revisjon og overvåking av samsvar med retningslinjene/prosedyrene for personvern og gjeldende personvernlover.
1.2 Omfang
Denne policyen gjelder behandling av personopplysninger helt eller delvis automatisert og ikke-automatisert behandling av personopplysninger som inngår i et arkivsystem .
Personopplysninger betyr all informasjon knyttet til en identifisert eller identifiserbar fysisk person («den registrerte»). En identifiserbar fysisk person er en som kan identifiseres, direkte eller indirekte, særlig ved henvisning til en identifikator som et navn, et identifikasjonsnummer, stedsdata, en online-identifikator eller andre faktorer som er spesifikke for identiteten til den personen. Behandling av personopplysninger er ikke en del av vår kjernevirksomhet; vi behandler imidlertid personopplysninger om våre ansatte, samt begrensede personopplysninger om våre kunder og forretningskontakter.
Behandling betyr enhver operasjon eller serie med operasjoner som utføres på personopplysninger eller sett med personopplysninger, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, henting, konsultasjon, bruk, utlevering ved overføring, formidling eller annen tilgjengeliggjøring, sammenstilling eller kombinasjon, begrensning, sletting eller destruksjon.
Automatisert betyr at behandlingen av personopplysninger skjer helt eller delvis elektronisk. Mesteparten av vår databehandling er automatisert.
Arkiveringssystem betyr ethvert strukturert sett med personopplysninger, for eksempel personfiler lagret i papirformat.
2. Styrende del
2.1 Personvernorganisasjon
Det juridiske ansvaret for vår databeskyttelse ligger hos Arctic som selskap.
Arctic- styret skal sørge for at denne policyen er hensiktsmessig.
Arctic sin [ økonomidirektør ] skal sørge for at denne policyen implementeres i virksomheten og at de ansatte er kjent med innholdet i den.
Arctic har ikke et personvernombud (DPO). Vi er ikke pålagt å utnevne et personvernombud, ettersom vi ikke er et offentlig organ, ikke har som kjernevirksomhet å regelmessig og systematisk overvåke registrerte i stor skala, eller ikke har som kjernevirksomhet å behandle spesielle kategorier av personopplysninger eller opplysninger knyttet til straffedommer eller lovbrudd i stor skala.
2.2 Prinsipper for databeskyttelse
Vi vil sørge for at vi behandler personopplysninger i samsvar med personvernprinsippene som er oppført nedenfor. Vi vil integrere disse prinsippene både når vi bestemmer hvilke midler som skal brukes til å behandle personopplysninger og når selve behandlingen finner sted (databeskyttelse gjennom innebygd databeskyttelse).
| Prinsipp | Definisjon | Hvordan vi overholder |
| Dataminimering | Personopplysninger må være tilstrekkelige, relevante og begrenset til det som er nødvendig i forhold til formålet de behandles for. | 1. Vi vil ikke samle inn personopplysninger vi ikke trenger. 2. Vi vil begrense bruken av personopplysninger i dokumenter vi produserer. |
| Datanøyaktighet | Personopplysninger vil være nøyaktige, fullstendige og oppdaterte. | 1. Vi vil verifisere innsamlede data hvis vi har grunn til å tro at de er unøyaktige. 2. Vi vil korrigere lagrede data hvis vi har grunn til å tro at de er utdaterte. |
| Sletting av data | Personopplysninger kan ikke lagres lenger enn det som er nødvendig for formålene de behandles for. | 1. Vi vil fastsette oppbevaringsperioder for data. 2. Vi vil slette eller anonymisere data når oppbevaringsperioden utløper. |
| Datasikkerhet | Personopplysninger vil bli beskyttet mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade. | 1. Vi vil bruke passende tekniske eller organisatoriske datasikkerhetstiltak. 2. Vi vil bruke toppmoderne systemer og sørge for at våre tjenesteleverandører har et passende nivå av datasikkerhet. |
| Ansvarlighet | Hver kontrollerende enhet er ansvarlig for å overholde personvernlovgivningen. | 1. Vi vil dokumentere våre retningslinjer og prosedyrer for personvern. 2. Vi vil overvåke overholdelse av slike retningslinjer og prosedyrer. |
2.3 Lovlighet
Vi kan kun behandle personopplysninger i den grad vi har et rettslig grunnlag for behandlingen. De rettslige grunnlagene vi støtter oss på er dokumentert i vår oversikt over behandlingsaktiviteter (dataprotokoll) (se avsnitt 3.8). Nedenfor er en generell oversikt over vår tilnærming til de rettslige grunnlagene.
For ikke-sensitive data kan vi vanligvis støtte oss på et av følgende rettslige grunnlag:
- Avtale . Databehandlingen er nødvendig for å oppfylle en avtale med den registrerte. Eksempel : En arbeidsavtale eller en abonnementsavtale med en kunde.
- Lov . Databehandlingen er nødvendig for å overholde en rettslig forpliktelse. Eksempel : Innsamling av data for å bekjempe hvitvasking av penger og lagring av data for bokføringsformål.
- Berettiget interesse . Databehandlingen er nødvendig for å oppnå en berettiget interesse som overstyrer den registrertes personverninteresse. Eksempel : Bruk av data til visse rapporterings- eller analyseformål.
- Samtykke . Den registrerte har gitt sitt frivillige, spesifikke, informerte og dokumenterte samtykke til behandlingen. Eksempel : For markedsføringsformål (se avsnitt 3.2 nedenfor). Vi vil vanligvis ikke innhente samtykker fra våre ansatte, da ubalansen mellom dem og oss som arbeidsgiver generelt utfordrer frivilligheten.
For sensitive data vil vi utvise særlig forsiktighet. Sensitive data er data som avslører rasemessig eller etnisk opprinnelse, politiske meninger, religiøs eller filosofisk overbevisning eller fagforeningsmedlemskap, og behandling av genetiske data, biometriske data med det formål å unikt identifisere en fysisk person, data om helse eller data om en fysisk persons sexliv eller seksuelle legning. Vi kan bare behandle sensitive data dersom det er nødvendig for spesifikke aktiviteter, og kan vanligvis basere oss på følgende rettslige grunnlag:
- Ansettelse . Databehandlingen er nødvendig for å oppfylle forpliktelser og utøve spesifikke rettigheter innen arbeidslivet. Eksempel : Behandling av ansattes helseopplysninger for å overholde våre forpliktelser som arbeidsgiver.
For personnummer vil vi begrense innsamlingen og behandlingen til situasjoner der vi har et objektivt behov for sikker identifikasjon, og metoden er nødvendig for å oppnå slik identifikasjon. Eksempel: Behandling av våre ansattes personnummer for å oppfylle våre forpliktelser til å rapportere inntekt til skattemyndighetene.
2.4 Formålsbegrensning
Vi kan kun behandle personopplysninger for spesifiserte, eksplisitte og legitime formål. Formålene vi behandler personopplysninger for er dokumentert i vår register over behandlingsaktiviteter (se avsnitt 3.8) .
Vi skal sørge for at personopplysninger ikke behandles videre på en måte som er uforenlig med formålet de ble samlet inn for. Etter en vurdering fra sak til sak vil følgende formål vanligvis ikke være uforenlige med det opprinnelige formålet: kommunikasjon, revisjoner og undersøkelser, tvisteløsning, forretningsutvikling.
3. Operativ del
3.1 Oppbevaring og sletting av data (GDPR art. 5)
Vi kan bare oppbevare personopplysninger så lenge det er nødvendig for formålet de ble samlet inn for.
Våre gjeldende dataoppbevaringsperioder vil gjenspeiles i vår oversikt over behandlingsaktiviteter (dataprotokoll).
Vi kan bruke følgende slettingsmetoder: Automatisk sletting, manuell sletting eller anonymisering. Hvis vi velger manuell sletting, vil vi sørge for at det som et minimum gjøres årlig.
Vi vil sørge for at enhver databehandler som lagrer data på våre vegne overholder datalagringsperiodene vi har fastsatt, og at vi kan kreve at hver databehandler returnerer til oss eller sletter personopplysninger etter at kontraktsperioden er utløpt.
3.2 Markedsføring og profilering (GDPR art. 6 og 21)
Markedsføringskommunikasjonen vår, inkludert utsendelse av nyhetsbrev og invitasjoner til arrangementer, må være i samsvar med GDPR og relevant markedsføringslovgivning.
Vi sender ikke markedsføringskommunikasjon via e-post med mindre:
- Vi har mottakerens samtykke, eller
- Vi har et eksisterende kundeforhold (som gir oss muligheten til å basere oss på legitim interesse snarere enn samtykke ) .
Vi utfører for øyeblikket ikke profilering (evaluering av personlige aspekter ved enkeltpersoner for å analysere eller forutsi interesser osv.) for markedsføringsformål. Hvis vi har til hensikt å gjøre det, vil vi først vurdere om gjeldende lov krever at vi innhenter samtykker eller lar den registrerte reservere seg mot dette.
3.3 Informasjonskapsler (ekomloven art. 2-7b)
Vi bruker informasjonskapsler på nettstedet vårt. For å overholde gjeldende lov, vil vi publisere en policy for informasjonskapsler , og vi vil tillate besøkende på nettstedet vårt å reservere seg mot dem (ved å respektere nettleserinnstillingene deres).
Vi bruker for tiden informasjonskapsler til markedsføringsformål. Vi har et informasjonskapselbanner på plass som tillater innsamling av besøkendes samtykke til disse informasjonskapslene. Vi plasserer ikke markedsføringskapsler uten forhåndssamtykke.
3.4 Åpenhet (GDPR art. 12–14)
Vår behandling av personopplysninger må være transparent. Vi vil på et klart og tydelig språk forklare de registrerte hvis personopplysninger vi behandler, hvem vi er, hvorfor vi behandler deres data og hvordan behandlingen utføres.
Vi vil legge ut en personvernerklæring (ekstern) på nettstedet vårt for å være transparent for våre forretningskontakter og brukerne av nettstedet vårt. En annen personvernerklæring (intern) vil bli gjort tilgjengelig for våre ansatte.
3.5 Rettigheter for den registrerte (GDPR artikkel 12 og artikkel 15–23)
Vi skal respektere de registrertes personvernrettigheter. Enhver forespørsel skal behandles uten unødig forsinkelse, og senest innen 1 måned etter at forespørselen ble mottatt (som kan forlenges med 2 måneder til om nødvendig).
Forespørsler vil bli avslått dersom vi har rimelig tvil om den registrertes identitet, og den registrerte ikke (på forespørsel) gir ytterligere informasjon som tilstrekkelig bekrefter sin identitet. Forespørselen kan også bli avslått dersom vi kan vise at den er åpenbart grunnløs eller overdreven.
Nedenfor finner du veiledningen vår for håndtering av ulike rettighetsforespørsler vi kan motta.
| Retten til personvern | Når gjelder det | Hvilke unntak finnes det |
| Rett til tilgang | På forespørsel fra den registrerte om å motta en kopi av sine data. | Når det er nødvendig for å forebygge, etterforske, avsløre eller straffeforfølge kriminelle handlinger. Når opplysningene utelukkende finnes i tekster utarbeidet for interne forberedende formål og som ikke er utlevert til noen tredjepart. Når opplysningene er underlagt lovbestemt taushetsplikt. Når det er i strid med grunnleggende private eller offentlige rettigheter, herunder i strid med den registrertes egne interesser (som kan utelukke utlevering av personopplysninger om andre). |
| Rett til korrigering | På forespørsel fra den registrerte om å få sine data korrigert. | Når dataene ikke er unøyaktige. |
| Rett til sletting | På anmodning fra den registrerte om å bli glemt, når: – dataene ikke lenger er nødvendige for formålene de er samlet inn og brukt for, – samtykket er trukket tilbake (slettingen er begrenset til dataene som ble behandlet basert på samtykket), – grunnlaget for behandlingen er en legitim interesse og den registrerte motsetter seg behandlingen på grunnlag av sine særlige omstendigheter, eller – dataene behandles på en ulovlig måte. | Når ytterligere oppbevaring er nødvendig for formålene som dataene ble samlet inn for. Dette betyr at forespørsler om sletting generelt bør avvises dersom våre relevante oppbevaringsperioder ikke er utløpt. |
| Rett til begrensning | På forespørsel fra den registrerte om å få sine data «fryst», når: – den registrerte stiller spørsmål ved dataenes nøyaktighet, og så lenge vi trenger å verifisere og bekrefte nøyaktigheten, – dataene behandles på en ulovlig måte og den registrerte motsetter seg sletting, eller – dataene ikke lenger er nødvendige for formålene de er samlet inn og brukt til, men den registrerte ønsker å bruke dem til å fastsette, gjøre gjeldende eller forsvare et rettskrav. | I andre situasjoner enn de som er nevnt i venstre kolonne. |
| Rett til dataportabilitet | På forespørsel fra den registrerte om å få sine data overført i et maskinlesbart format, når: – behandlingen er basert på samtykke eller avtale, og behandlingen utføres automatisert, og – kun for data levert av den registrerte eller generert ved den registrertes bruk av en tjeneste | I andre situasjoner enn de som er nevnt i venstre kolonne. Alle data utarbeidet av oss. Alle data samlet inn fra andre kilder enn den registrerte. |
| Rett til å protestere | På anmodning fra den registrerte om å få fortsatt behandling av sine opplysninger opphørt, når: – grunnlaget for behandlingen er en legitim interesse og personen motsetter seg behandlingen på grunnlag av sine særlige omstendigheter, eller – den registrerte protesterer mot direkte markedsføring (i så fall skal innsigelsen kun omfatte behandlingen som utføres for direkte markedsføringsformål). | Når det ikke foreligger omstendigheter som er spesifikke for den registrerte som gir grunnlag for innsigelsen. Når behandlingen er nødvendig for å oppfylle en avtale med den registrerte. Når behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som vi er underlagt. Når behandlingen er basert på den registrertes samtykke (unntatt der samtykket gjelder direkte markedsføring). Når behandlingen er basert på en legitim interesse og vi har tungtveiende legitime grunner til å fortsette behandlingen. |
| Retten til ikke å bli gjenstand for automatiserte avgjørelser | På forespørsel fra den registrerte, når – avgjørelsen treffes uten menneskelig inngripen, og – den automatiserte avgjørelsen skaper en rettsvirkning (for eksempel en avgjørelse om ikke å inngå en kontrakt) eller lignende virkning (for eksempel å avvise en jobbsøker). | Når helautomatiserte avgjørelser er nødvendige for å inngå eller oppfylle en kontrakt med den registrerte. Når den registrerte har samtykket i å være underlagt en helautomatisert avgjørelse. |
3.6 Databeskyttelse gjennom innebygde metoder og standardinnstillinger (GDPR art. 25)
Innebygd databeskyttelse. Når vi fastsetter behandlingsmidlene og når selve behandlingen finner sted, vil vi iverksette passende tekniske og organisatoriske tiltak som er utformet for å implementere prinsippene for databeskyttelse (se avsnitt 2.2). Hvis vi ber tjenesteleverandører om å utføre systemutvikling eller tilpasning av verktøy, vil vi kreve at de tar behørige hensyn til personvernet.
Databeskyttelse som standard. Vi skal kun bruke personopplysninger som er nødvendige for hvert spesifikke formål. Dette betyr at vi ikke skal samle inn for store mengder personopplysninger, at vi ikke skal behandle personopplysninger for uforenlige formål, at vi ikke skal lagre data lenger enn nødvendig, og at vi skal begrense tilgangen til dataene basert på behov for informasjon.
3.7 Databehandleravtale (GDPR art. 28)
Før vi engasjerer en databehandler (en tjenesteleverandør som behandler personopplysninger på våre vegne), vil vi kontrollere at databehandleren gir tilstrekkelige garantier for å oppfylle kravene i gjeldende personvernlovgivning.
Vi skal inngå en databehandleravtale (DPA) med alle våre databehandlere. En DPA kan være et tillegg til en annen avtale. Vi kan bruke vår egen DPA-mal, eller vi kan bruke databehandlerens mal, forutsatt at den er i samsvar med GDPR artikkel 28(3).
Når vi engasjerer viktige tjenesteleverandører, inkludert tjenesteleverandører som er kritiske for virksomheten, som behandler betydelige mengder personopplysninger, som behandler sensitive personopplysninger på våre vegne, eller som bruker skybaserte databehandlingsplattformer, vil vi utføre en risikovurdering av datasikkerheten knyttet til engasjementet til tjenesteleverandøren.
Vi vil ikke overføre personopplysninger til, eller tillate tilgang til personopplysninger fra, et land utenfor EØS, med mindre: det er et land godkjent av EU-kommisjonen (se listen her ), vi har inngått EU-modellklausuler med mottakerenheten, og implementert nødvendige tilleggstiltak for å sikre personopplysningene.
3.8 Oversikt over behandlingsaktiviteter (dataprotokoll) (GDPR art. 30)
Vi vil føre en oversikt over behandlingsaktivitet for hver av våre databehandlingsaktiviteter. Oversiktene skal revideres årlig og oppdateres når det er nødvendig.
Protokollen skal som et minimum inneholde:
- Den kontrollerende enheten
- Formålet med behandlingen
- En beskrivelse av de registrerte og datakategoriene
- Kategoriene av eventuelle mottakere som dataene har blitt eller vil bli utlevert til
- Om data overføres utenfor EU/EØS
- Datalagringsperioden
3.9 Datasikkerhet (GDPR art. 32)
Vi vil sikre datasikkerheten til våre behandlingssystemer ved hjelp av følgende tiltak:
| Sikkerhetskriterier | Definisjon | Hvordan vi overholder |
| Konfidensialitet | Beskyttelse mot uautorisert tilgang eller avsløring av data. | 1. Våre ansatte og forretningspartnere vil være underlagt tilstrekkelige taushetspliktforpliktelser. 2. Våre databaser vil være krypterte og underlagt tilstrekkelig tilgangskontroll. 3. Våre avtaler med IT-leverandører vil inkludere forpliktelser til datasikkerhet. 4. Våre fysiske anlegg vil være tilstrekkelig beskyttet mot uautorisert tilgang. |
| Integritet | Beskyttelse mot uautoriserte endringer eller sletting av data. | 1. Våre databaser vil være krypterte og underlagt tilstrekkelig tilgangskontroll. 2. Viktige dokumenter vil ha versjonskontroll (revisjonshistorikk). |
| Tilgjengelighet | Tilgang til data når det er nødvendig. | 1. Våre avtaler med viktige IT-tjenesteleverandører vil ha tilstrekkelige tjenestenivåavtaler. 2. Våre hoveddatabaser vil være eksternt tilgjengelige (VPN eller lignende). |
| Motstandskraft | Forretningskontinuitet er sikret | 1. Våre avtaler med viktige IT-tjenesteleverandører vil ha tilstrekkelige tjenestenivåavtaler. 2. Vi vil ha sikkerhetskopier av dataene våre. |
Vi vil dokumentere våre datasikkerhetstiltak, for eksempel gjennom risikovurderinger. Dokumentasjonen skal vedlikeholdes, for eksempel for å oppdatere den dersom virksomhetens art endres eller dersom vi foretar vesentlige endringer i våre IT-systemer eller -fasiliteter.
3.10 Brudd på personopplysninger (GDPR art. 33 og 34)
Vi kan potensielt oppleve et personopplysningsbrudd – et sikkerhetsbrudd som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger. Eksempler er hacking, formidling av personopplysninger til feil mottakere eller manglende tilgangskontroll. Dette gjelder også hvis bruddet skjer hos en av våre tjenesteleverandører, så lenge det gjelder våre data.
Vi vil håndtere bruddet som følger:
Dokumentasjon : Alle sikkerhetsbrudd må dokumenteres. Dokumentasjonen skal inneholde en kort beskrivelse av omstendighetene rundt bruddet og, hvis relevant, konsekvensene av bruddet og tiltakene som er iverksatt for å redusere det.
Varsling . Avhengig av personvernrisikoen som bruddet forårsaker, som listet opp nedenfor, kan det være nødvendig å varsle relevant databeskyttelsesmyndighet (DPA) og/eller de berørte personene. Personvernrisiko kan for eksempel være risiko for diskriminering, identitetstyveri, svindel, økonomisk tap, skade på omdømme, tap av konfidensialitet eller sosial ulempe. Eksempler kan være der passord, personnummer, kredittkortdata eller helsedata er kompromittert.
- Lav risiko: Hvis det er usannsynlig at bruddet innebærer en personvernrisiko for de berørte registrerte, er det ikke nødvendig med varsling, men bruddet må dokumenteres internt.
- Middels risiko. Dersom det ikke er usannsynlig at bruddet innebærer en personvernrisiko for de berørte registrerte, må relevant personvernmyndighet varsles innen 72 timer. Varslingen skal skje via et malskjema for Altinn .
- Høy risiko. Dersom det er sannsynlig at bruddet innebærer høy personvernrisiko for de berørte registrerte, enkeltpersoner, skal de berørte registrerte varsles så snart som mulig. Det er imidlertid ikke nødvendig å varsle de registrerte dersom det iverksettes passende sikkerhetstiltak (som kryptering av de kompromitterte dataene), det iverksettes påfølgende tiltak for å sikre at det ikke lenger er sannsynlig at høy personvernrisiko vil oppstå, eller dersom det ville innebære uforholdsmessig stor innsats (i sistnevnte situasjon skal det gjøres en offentlig kommunikasjon, for eksempel på nettstedet).
3.11 Konsekvensutredning for personvern (GDPR art. 35)
Der en behandlingsoperasjon, for eksempel bruk av ny teknologi, sannsynligvis vil resultere i en høy personvernrisiko, tatt i betraktning art, omfang, kontekst og formål, vil vi utføre en konsekvensanalyse for personvern (DPIA) . På grunn av arten av vår virksomhet vil vi vanligvis ikke være pålagt å utføre DPIA-er. Vi vil imidlertid vurdere om det er nødvendig når vi har til hensikt å implementere ny teknologi.
En potensiell DPIA må minst inneholde (i) en systematisk beskrivelse av den planlagte behandlingsoperasjonen, (ii) en vurdering av nødvendighet og proporsjonalitet, (iii) en vurdering av personvernrisikoer, og (iv) tiltak for å håndtere risikoene. Eventuelle utførte DPIAer vil bli dokumentert.
4. Kontrollerende del
4.1 Revisjon
Vi skal gjennomgå vår oversikt over behandlingsaktiviteter minst én gang i året.
[Finansdirektøren] skal utføre ad hoc- eller periodiske revisjoner for å overvåke samsvar med denne policyen. Revisjonene kan for eksempel bestå av diskusjoner/intervjuer med relevante ansatte eller kontroll av data, systemer eller prosesser.
[Finansdirektøren] skal årlig sende inn en rapport om samsvar med GDPR til styret. Han/hun skal også rapportere til styret om saker som vesentlig krenker denne policyen.
Bare den som har signaturmyndighet på vegne av det aktuelle selskapet har rett til å varsle eller kommunisere med Datatilsynet .
4.2 Dokumentasjon
Denne versjonen av retningslinjene, og all personverndokumentasjon som det refereres til heri, skal lagres i minst 5 år.
4.3 Revisjon av retningslinjer
| Dato | Versjon | Ansvarlig |
| 2021-04-09 | Versjon 1 | Danielle Glenn |