Personvern

Innledning

ZAPTEC AS (heretter «ZAPTEC») er opptatt av å ivareta kundenes personvern. I disse retningslinjene beskrives det hvordan vi behandler personopplysninger.

Innsamling av personopplysninger

ZAPTECs behandling av personopplysninger er basert på et frivillig og informert samtykke. Den enkelte kunde må samtykke til innsamling og behandling av personopplysninger gjennom en særskilt samtykkeerklæring, jf. personopplysningsloven § 8. Personopplysninger vil ikke bli innsamlet eller behandlet før kundens samtykke er innhentet. I samtykkeerklæringen informeres det om de krav som oppstilles i personopplysningsloven § 19, herunder

a) Navn og adresse på den behandlingsansvarlige

b) Formålet med behandlingen

c) At opplysningene ikke vil bli utlevert til andre

d) At det er frivillig å gi fra seg opplysningene

e) Annen informasjon som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig måte, herunder bl.a. informasjon om retten til å kreve innsyn etter § 18 og retten til å kreve retting etter §§ 27 og 28. I henhold til samtykkeerklæringen kan ZAPTEC innhente, oppbevare og behandle følgende personopplysninger om kunder og produkter som kunden har kjøpt:

  • Navn
  • Fødselsdato
  • Adresse
  • Telefonnummer
  • E-postadresse
  • Produkttype
  • Produktnummer
  • Kundenummer
  • En omtrentlig lokasjon av produktene
  • Diagnostikkdata og sensoravlesninger

Bruk av personopplysninger

Personopplysninger som vi innhenter vil kun brukes til formål som beskrevet i disse retningslinjene og i vår standard samtykkeerklæring.

Personopplysninger behandles som ledd i at ZAPTEC tilbyr en skytjeneste (ZapCloud). Dette er nødvendig for å kunne tilby følgende funksjonalitet;

  • Autentisering for å styre hvem som har tilgang til å starte lading
  • Administrasjon av installasjoner og ladestasjoner
  • Se ladehistorikk for en installasjon
  • Se egen ladehistorikk
  • Innlogging til app. App bruker samme innlogging og database som ZapCloud.

Personopplysninger kan også bli benyttet ved ulike henvendelser og kontakt med kunden, f. eks. bestillinger, kundesupport og ordrehåndtering, sending av faktura, kommersiell kommunikasjon, oppfølgning av reklamasjoner o.l. ZAPTEC vil derimot ikke benytte personopplysninger i markedsføringsøyemed med mindre kunden eksplisitt har akseptert dette.

ZAPTEC og den behandlingsansvarlige (jf. punkt 4) skal i henhold til personopplysningsloven § 11 sørge for at personopplysninger som behandles bare behandles til uttrykkelig angitte formål (dvs. formål som angitt i samtykkeerklæringen) som er saklig begrunnet i ZAPTECs virksomhet. Videre plikter den behandlingsansvarlige å sørge for at personopplysningene som behandles ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at kunden samtykker. Videre skal personopplysningene være tilstrekkelige og relevante for formålet med behandlingen samt være korrekte og oppdaterte, og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen, jf. personopplysningsloven §§ 27 og 28, se nærmere punkt 7 og 8 nedenfor.

Behandlingsansvarlig

I henhold til personopplysningsloven § 2 nr. 4 er det administrerende direktør i ZAPTEC som er behandlingsansvarlig, herunder den som bestemmer formålet med behandling av personopplysninger. Den behandlingsansvarlige kan imidlertid delegere til underordnede og plassere det daglige ansvaret for behandling av personopplysninger på det nivå som er nødvendig for etterlevelse av personopplysningslovens og denne policyens bestemmelser. Den som har daglig ansvar hos ZAPTEC, er blant de opplysninger som alle har innsynsrett i, og som skal meldes til Datatilsynet, jf. personopplysningsloven §§ 18 og 32 og nedenfor i punkt 7 og 9

Informasjonssikkerhet

Krav om sikkerhetstiltak

Den behandlingsansvarlige skal i henhold til personopplysningsloven § 13 gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.

Disse tiltakene skal foreligge senest 30 dager før behandlingen av personopplysninger tar til, jf. personopplysningsloven § 31 annet ledd og § 32 første ledd bokstav i) og nedenfor punkt 9 om meldeplikt. Det ligger i dette at tiltakene må beskytte mot at opplysningene blir tilgjengelige for personer som ikke har lovlig tilgang til opplysningene, dvs. at datamaskinsystemer etc. som benyttes ved behandling av personopplysninger må være så vidt trygge at uvedkommende ikke kan skaffe seg adgang til personopplysningene. Informasjonssikkerhet med hensyn til integritet innebærer at opplysningene ikke skal kunne endres på uautorisert måte.

For å oppnå tilfredsstillende informasjonssikkerhet må den behandlingsansvarlige dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelige for medarbeiderne hos ZAPTEC. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. Alle sider ved det informasjonssystemet som forestår behandlingen og som er relevant for risikovurderingen skal dokumenteres, både elektroniske og manuelle deler av behandlingen.

Forholdsmessig krav om sikring av personopplysninger

Der det er fare for at tap av personlig integritet eller tap av anseelse skal de planlagte og systematiske sikkerhetstiltakene stå i forhold til sannsynligheten for og konsekvensen av sikkerhetsbrudd.

[Dersom behandlingsansvarlig lar andre får tilgang til personopplysninger, f. eks. andre som utfører oppdrag i tilknytning til informasjonssystemet, skal han påse at disse oppfyller kravene nevnt ovenfor.]

 

Sikkerhetsledelse  

I henhold til personopplysningsforskriften § 2-3 er det den daglige ledelsen i virksomheten som den behandlingsansvarlige driver, som har ansvar for at bestemmelsene i personopplysningsforskriften kapittel 2 følges. Ifølge bestemmelsen skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi.

Bruk av informasjonssystemet skal jevnlig gjennomgås for å klarlegge om den er hensiktsmessig i forhold til virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Resultatet fra gjennomgangen skal dokumenteres og benyttes som grunnlag for eventuell endring av sikkerhetsmål og sikkerhetsstrategi.

Risikovurdering

Kravet om at informasjonssikkerheten skal være tilfredsstillende, innebærer krav om en konkret vurdering for hver type behandling av personopplysninger (hvert system som behandler personopplysninger). Den behandlingsansvarlige skal ifølge personopplysningsforskriften anslå hva som er en akseptabel risiko for krenkelse av konfidensialitet, integritet og tilgjengelighet, bedømme sannsynlig risiko og konsekvenser av sikkerhetsbrudd. På dette grunnlaget skal det treffes tiltak for å sikre akseptabel risiko, jf. personopplysningsforskriften § 2-4.

Avvik

Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. Avviksbehandlingen skal dokumenteres og skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse.

Organisering

Det skal etableres klare ansvars – og myndighetsforhold for bruk av informasjonssystemet som behandler personopplysninger. Ansvars – og myndighetsforhold skal dokumenteres og ikke endres uten autorisasjon fra daglig leder. Informasjonssystemet som behandler personopplysninger skal konfigureres slik at tilfredsstillende informasjonssikkerhet oppnås. Konfigurasjonen skal dokumenteres og ikke endres uten autorisasjon fra daglig leder.

Personell

Medarbeidere hos ZAPTEC skal bare bruke informasjonssystemet som behandler personopplysninger for å utføre pålagte oppgaver, og selv være autorisert for slik bruk. Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt. Autorisert bruk av informasjonssystemet skal registreres.

Taushetsplikt

Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. Taushetsplikten skal også omfatte annen informasjon av betydning for informasjonssikkerheten.

Fysisk sikring

Det skal treffes tiltak mot uautorisert adgang til utstyr som brukes for å behandle personopplysninger. Sikkerhetstiltakene skal også hindre uautorisert adgang til annet utstyr av betydning for informasjonssikkerheten. Utstyr skal installeres slik at ikke påvirkning fra driftsmiljøet får betydning for behandlingen av personopplysninger.

Sikring av konfidensialitet

Det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig.

Sikkerhetstiltakene skal også hindre uautorisert innsyn i annen informasjon med betydning for informasjonssikkerheten. Personopplysninger som overføres elektronisk ved hjelp av overføringsmedium utenfor den behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig. For lagringsmedium som inneholder personopplysninger hvor konfidensialitet er nødvendig, skal behovet for sikring av konfidensialitet fremgå ved hjelp av merking eller på annen måte. Dersom lagringsmediet ikke lenger benyttes for behandling av slike opplysninger, skal opplysningene slettes fra lagringsmediet.

Sikkerhetstiltak

Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Forsøk på uautorisert bruk av informasjonssystemet skal registreres. Sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre. Sikkerhetstiltak skal dokumenteres.

5.12 Dokumentasjon

Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten, skal dokumenteres. Dokumentasjon skal lagres i minst 5 år fra det tidspunkt dokumentet ble erstattet med en ny gjeldende utgave. Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres i minst 3 måneder. Det samme gjelder registreringer av alle andre hendelser med betydning for informasjonssikkerheten.

Internkontroll

Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene som følger av personopplysningsloven og personopplysningsforskriften, herunder sikre personopplysningenes kvalitet.

Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne i ZAPTEC. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda.

De systematiske internkontrolltiltakene skal iht. personopplysningsforskriften § 3-1 tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve kravene i personopplysningsloven og forskriften.

Internkontroll innebærer at ZAPTEC bl.a. skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, samt ha dokumentasjonen tilgjengelig for den det måtte angå. Dette er beskrevet i disse retningslinjene.

Videre skal ZAPTEC ha rutiner for oppfyllelse av sine plikter og de registrertes rettigheter etter det til enhver tid gjeldende personvernregelverk, herunder ha rutiner for

a) Innhenting og kontroll av de registrertes samtykke, jf. personopplysningsloven §§ 8 og 11. Dette anses oppfylt ved etterlevelse av denne policyens bestemmelser i punkt 2, 3, 7 og 8.

b) Vurdering av formål med behandling av personopplysninger i samsvar med personopplysningsloven § 11 bokstav a. Dette anses oppfylt ved at ZAPTEC – som beskrevet i disse retningslinjene – kun vil behandle personopplysninger i det omfang det er samtykket til og kun innenfor det formål som er angitt i samtykkeerklæringen.

c) Vurdering av personopplysningenes kvalitet i forhold til det definerte formålet med behandling av opplysningene. Dette anses oppfylt ved etterlevelse av disse retningslinjene.

d) Oppfyllelse av begjæring om innsyn og informasjon. Rutinene for dette er beskrevet i disse retningslinjene.

e) Oppfyllelse av personopplysningslovens regler om meldeplikt. Rutinene for dette er beskrevet i punkt 9 nedenfor.

Innsyn, endring og sletting av personopplysninger

Enhver som ber om det har rett til å få vite hva slags behandling av personopplysninger den behandlingsansvarlige foretar, jf. personopplysningsloven § 18, og kan kreve å få følgende informasjon om en bestemt type behandling:

a) Navn og adresse på den behandlingsansvarlige og eventuelle representanter

b) Hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter

c) Formålet med behandlingen

d) Beskrivelser av hvilke typer personopplysninger som behandles

e) Hvor opplysningene er hentet fra

f) Om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker

Den registrerte (dvs. den som en personopplysning kan knyttes til) har rett til innsyn i de opplysningene som ZAPTEC har lagret og behandler om vedkommende. Hvis opplysningene er uriktige eller ufullstendige kan den registrerte kreve å få de uriktige opplysningene rettet, supplert eller slettet. Videre kan den registrerte be den behandlingsansvarlige om å opplyse om sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten. Den registrerte kan også kreve at den behandlingsansvarlige utdyper informasjon som nevnt i bokstav a-f ovenfor i den grad det er nødvendig for at den registrerte skal kunne vareta egne interesser.

Dersom det er behandlet personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å behandle (f. eks. fordi den registrerte har trukket tilbake sitt samtykke), skal den behandlingsansvarlige av eget tiltak eller på begjæring av den registrerte rette de mangelfulle opplysningene. Den behandlingsansvarlige skal om mulig sørge for at feilen ikke får betydning for den registrerte. Sletting suppleres med registrering av korrekte og fullstendige opplysninger.

Den registrerte kan også når som helst kreve opplysningene som er innsamlet om vedkommende slettet, med mindre de er nødvendige for å levere en tjeneste som vedkommende fremdeles ønsker å ha tilgang til, eller dersom ZAPTEC er pålagt ved lov å oppbevare opplysningene i en viss tid.

Informasjon/innsyn mv. som nevnt ovenfor fås ved henvendelse til ZAPTEC. Kontaktinformasjon er inntatt i punkt 10 nedenfor. Informasjonen kan kreves skriftlig. Før det gis innsyn i opplysninger om en registrert, kan den behandlingsansvarlige kreve at den registrerte leverer en skriftlig og undertegnet begjæring/krav om å få innsyn.

Den behandlingsansvarlige i ZAPTEC plikter å besvare henvendelser om innsyn mv. uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn, med mindre særlige forhold gjør det umulig å besvare henvendelsen innen 30 dager. Den behandlingsansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis. Det kan ikke kreves betaling for å gi slik informasjon.

Lagring av unødvendige opplysninger

ZAPTEC skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, jf. personopplysningsloven § 28.

Meldeplikt  

Den behandlingsansvarlige i ZAPTEC skal gi melding til Datatilsynet senest 30 dager før behandling av personopplysninger med elektroniske hjelpemidler tar til. Melding kan inngis elektronisk via Datatilsynets hjemmesider, https://datatilsynet.no/personvern/Melding-og-konsesjon/Meldeskjema/

Meldingen skal opplyse om flere forhold, herunder

  • Navn og adresse på den behandlingsansvarlige og på dennes eventuelle representanter
  • Når behandlingen starter
  • Hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter
  • Formålet med behandlingen
  • Oversikt over hvilke typer personopplysninger som skal behandles
  • Hvor personopplysningene hentes fra
  • Det rettslige grunnlaget for innsamlingen av opplysningene
  • Hvem personopplysningene vil bli utlevert til
  • Hvilke sikkerhetstiltak som er knyttet til behandlingen
  • [Flere av disse punktene er beskrevet i samtykkeerklæringen og disse retningslinjene]

 

Kontaktinformasjon

ZAPTEC AS
Richard Johnsensgate 4
4021 Stavanger
Norge

Pin It on Pinterest