Skip to Content
Go back
BAS-IP / MEMORANDUM OM ETTERLEVELSE AV BEHANDLING AV PERSONOPPLYSNINGER

Vi er forpliktet til sterke og innovative databeskyttelsespraksiser, slik at alle kunder kan stole på at deres personopplysninger behandles trygt og sikkert.

BAS-IP DISTRIBUTION LTD (Selskapet eller BAS-IP) har utarbeidet dette notatet for våre kunder angående vår etterlevelse av gjeldende databeskyttelseslovgivning, inkludert Storbritannias generelle databeskyttelsesforordning (UK GDPR) og EUs generelle databeskyttelsesforordning (GDPR). Nedenfor vil vi gjøre deg kjent med våre aktiviteter angående etterlevelse av krav til personopplysningsvern.

DEFINISJONER

  • «UK GDPR» betyr Storbritannias generelle databeskyttelsesforordning, som er innlemmet i britisk lovgivning i henhold til Data Protection Act 2018, sammen med annen gjeldende britisk lovgivning om databeskyttelse og personvern.
  • «GDPR» betyr den generelle databeskyttelsesforordningen (Forordning (EU) 2016/679) og all relatert databeskyttelses- og personvernlovgivning som gjelder innenfor Den europeiske union og Det europeiske økonomiske samarbeidsområdet (EØS).
  • Personopplysninger (Personal data) betyr enhver informasjon knyttet til en identifisert eller identifiserbar fysisk person.
  • Registrert (Data subject) betyr en identifiserbar fysisk person som kan identifiseres, direkte eller indirekte.
  • Behandlingsansvarlig (Controller) betyr den fysiske eller juridiske personen, offentlige myndigheten, etaten eller annet organ som alene eller i fellesskap med andre, bestemmer formålet med og midlene for behandlingen av personopplysninger.
  • Databehandler (Processor) betyr en fysisk eller juridisk person, offentlig myndighet, etat eller annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.
  • Underdatabehandler (Subprocessor) betyr en fysisk eller juridisk person som er engasjert av en databehandler for å utføre behandling av personopplysninger på vegne av den behandlingsansvarlige.
  • Behandling (Processing) betyr enhver operasjon eller rekke av operasjoner som utføres med personopplysninger eller sett av personopplysninger, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller annen tilgjengeliggjøring, justering eller sammenstilling, begrensning, sletting eller ødeleggelse.

OM BAS-IP

BAS-IP utvikler og produserer IP-calling, adgangskontrollsystemer og kommunikasjonssystemer, og er en ledende aktør på dette feltet. Du finner mer informasjon om våre aktiviteter på nettstedet: https://bas-ip.com/.

I løpet av sin virksomhet kan Selskapet samle inn, få tilgang til eller på annen måte behandle personopplysninger knyttet til ulike kategorier av registrerte: kunder og brukere, ansatte, kontraktører og andre registrerte. Under slik behandling er Selskapet forpliktet til å ta alle nødvendige tiltak og følge relevante retningslinjer, prosedyrer og annen dokumentasjon om personopplysningsvern for å behandle personopplysninger i samsvar med gjeldende lovgivning og beste praksis.

Roller under behandling av personopplysninger

BAS-IP kan ha ulike roller under UK GDPR og GDPR:

  • Som behandlingsansvarlig bestemmer Selskapet formålet med og midlene for behandlingen av personopplysninger, for eksempel ved kommunikasjon med kunder og besøkende på nettstedet, markedsføringsaktiviteter som involverer behandling av personopplysninger, etc.
  • Som databehandler kan Selskapet behandle personopplysninger etter instruksjoner fra vår kunde, som handler som behandlingsansvarlig eller på vegne av den respektive behandlingsansvarlige.
  • Mens vi behandler personopplysninger som databehandler, kan vi engasjere tredjeparts tjenesteleverandører som vil fungere som underdatabehandlere.
Når Selskapet behandler personopplysninger i forbindelse med levering av tjenester til sine kunder, fungerer det som en databehandler og overholder gjeldende krav i UK GDPR og GDPR, samt de relevante kontraktsforpliktelsene mellom Selskapet og kunden.

BAS-IP OG DATABESKYTTELSE

BAS-IP er forpliktet til å overholde de høyeste databeskyttelsesstandardene og gjeldende lovgivning om personopplysningsvern.

Alle aktiviteter som involverer behandling av personopplysninger, utføres i samsvar med intern dokumentasjon angående regulering av personopplysningsbehandling.

Selskapet bruker følgende tiltak for personopplysningsvern:

Regelmessig gjennomgang av dokumentasjon for personopplysningsvern og nødvendige endringer i vår dokumentasjon og våre aktiviteter

Regelmessig gjennomgang og oppdatering av intern dokumentasjon for personopplysningsvern er en integrert del av Selskapets strategi for å sikre etterlevelse av kravene i UK GDPR, GDPR og andre regulerende handlinger innen personopplysningsvern.

Relevant intern dokumentasjon og vedtatte retningslinjer og prosedyrer, spesielt angående forespørsler fra registrerte, varsling om brudd på personopplysninger, samsvarsvurderinger av tredjeparter involvert i behandling av personopplysninger, etc., blir periodisk oppdatert eller endret etter behov, spesielt i tilfelle endringer i lovgivningen eller innføring av nye aktiviteter for behandling av personopplysninger.

I tillegg registreres aktiviteter for behandling av personopplysninger, som inkluderer føring av protokoller over behandlingsaktiviteter (RoPA), og om nødvendig utføres en vurdering av personvernkonsekvenser (DPIA) og en vurdering av berettiget interesse (LIA).

Ved å holde dokumentasjonen for personopplysningsvern oppdatert, sikrer Selskapet dermed et høyt nivå av personopplysningsvern og kontinuerlig etterlevelse av lovgivningen.

Etterlevelse av krav til beskyttelse av de registreredes rettigheter

Selskapets personvernerklæring, som er offentlig tilgjengelig på nettstedet, gir kunder og andre registrerte informasjon om formålene personopplysninger kan behandles for, hvordan og hvilke spesifikke personopplysninger som kan behandles, samt informasjon om deres rettigheter i henhold til gjeldende personopplysningslovgivning, inkludert hvordan man utøver disse rettighetene.

I tillegg har Selskapet vedtatt en Prosedyre for forespørsler og klager, som inneholder fremgangsmåten for å svare på forespørsler fra registrerte og deres rettigheter i samsvar med UK GDPR og GDPR.

Selskapet er forpliktet til å gi all nødvendig støtte til kunden i forbindelse med å svare på forespørsler fra registrerte hvis data behandles av Selskapet som databehandler i samsvar med bestemmelsene i UK GDPR, GDPR og kontraktsforpliktelser mellom Selskapet og kunden.

Etterlevelse av beste standarder og praksiser for teknisk og organisatorisk sikkerhet

Selskapet har implementert tekniske og organisatoriske tiltak for å sikre sikkerheten til personopplysninger. Selskapets interne dokumentasjon definerer tydelig de tekniske og organisatoriske tiltakene som brukes ved behandling av personopplysninger:

  • har utviklet og vedtatt dokumentasjon som regulerer informasjonssikkerhet, og overvåker kontinuerlig informasjonssikkerhetshendelser og sikrer rettidig respons på hendelser;
  • har implementert sikkerhetstiltak for å begrense tilgangen til personopplysninger, for eksempel kontroll av tilgang til personopplysninger, spesielt gjennom bruk av personaliserte kontoer, kontroll av krav til lengde og kompleksitet av kontopassord, og beskyttelse av nettverkstilgang for å redusere risikoen for nettverksangrep; verifisering av samsvar mellom fysiske datasentre der data lagres og sikkerhetskrav; flerfaktorautentisering og brukerautentisering under autorisasjon, samt konfigurasjon og anvendelse av datatilgangstillatelser, regelmessig gjennomgang av eksisterende tilgangsrettigheter, etc.;
  • bruker krypteringsteknologier ved lagring og behandling av personopplysninger ved hjelp av skytjenester og etablerer krav til bruk av kun oppdaterte og robuste kryptografiske protokoller, algoritmer, chifferpakker, krypteringsnøkler og nøkkelstyringsmetoder;
  • gjennomgår regelmessig sikkerhetskopier av personopplysninger for å fastslå om lagringen er i samsvar med driftskrav og juridiske forpliktelser;
  • tar andre organisatoriske sikkerhetstiltak, inkludert implementering av en politikk for separasjon av roller og ansvar, regelmessig oppdatering av relevante retningslinjer og prosedyrer, overvåking av utførelsen av plikter, og demonstrasjon av vilje til å samarbeide med relevante offentlige myndigheter. Personellsikkerhetstiltakene implementert av Selskapet inkluderer bakgrunnssjekker av ansatte i noen tilfeller, økt ansattes bevissthet om informasjonssikkerhetsspørsmål og overvåking av slik bevissthet, samt gjennomføring av opplærings- og profesjonelle utviklingsprogrammer;
  • overvåker kontinuerlig endringer i lovgivningen og implementerer beste praksiser innen personopplysningsvern i samsvar med cybersikkerhetsstandarder, retningslinjer, anbefalinger fra tilsynsmyndigheter for personopplysningsvern, og Information Commissioner’s Office (ICO).

Selskapet overholder alle retningslinjer og prosedyrer for å sikre sikkerheten til personopplysningsvern, sjekker regelmessig deres relevans, og sikrer rettidig gjennomgang.

Regelmessig tredjepartsverifisering

Alle tredjeparter involvert i behandlingen av personopplysninger verifiseres ved hjelp av en intern regulert prosedyre for vurdering av tredjepartssamsvar. Spesielt vurderer slike sjekker tilgjengeligheten av relevant dokumentasjon knyttet til behandlingen av personopplysninger, samt tilgjengeligheten og effektiviteten av tekniske og organisatoriske sikkerhetstiltak implementert for å beskytte personopplysninger mot uautorisert tilgang, tap eller integritetsbrudd.

Sikker overføring av personopplysninger

Når Selskapet leverer tjenester, kan det overføre personopplysninger utenfor Storbritannia, for eksempel til USA og Ukraina.

For å sikre sikkerhet og samsvar med juridiske krav for overføring av personopplysninger, utføres en vurdering på forhånd. I tillegg utføres regelmessig intern overvåking for å sikre at juridiske krav og praksiser i USA, Ukraina, og om nødvendig andre land som personopplysninger overføres til, er i samsvar med britiske og EU-standarder og praksiser for personopplysningsvern. I tillegg blir sikkerhetstiltakene tatt av datamottakere grundig kontrollert, spesielt ved signering av relevant dokumentasjon som styrer beskyttelsen av personopplysninger.

Når Selskapet overfører personopplysninger som er underlagt UK GDPR og/eller GDPR, inngår det en Databehandleravtale (DPA) med sine kontraktører. Slike avtaler inkorporerer de passende overføringsmekanismene, inkludert EUs standardkontraktsbestemmelser (SCCs) sammen med UK-tillegget (UK Addendum), eller International Data Transfer Agreement (IDTA).

Regelmessig opplæring

Selskapet organiserer regelmessig opplæring for sine ansatte og kontraktører om etterlevelse av kravene i UK GDPR og GDPR, samt personopplysningsvern. Temaene som dekkes i opplæringen inkluderer, blant annet, de generelle kravene i UK GDPR, GDPR og annen gjeldende personopplysningslovgivning, roller i behandling, prinsipper for behandling av personopplysninger, grunnlag for behandling, sikring av de registreredes rettigheter, og spørsmål om personopplysningsvern.

I tillegg har Selskapet også vedtatt den nødvendige dokumentasjonen og implementert passende tiltak for å sikre opplæring og bevissthet hos ansatte innen databeskyttelse.

VÅRE KONTAKTER

Hvis du har ytterligere spørsmål angående personopplysningsvern hos BAS-IP, vennligst kontakt oss via e-post: [email protected].

Med vennlig hilsen,

BAS-IP DISTRIBUTION LTD