GDPR

Spørsmål og svar

Hva er GDPR?

GDPR står for General Data Protection Regulation og er EUs forordning for å styrke personvernet i dagens digitaliserte samfunn. GDPR trer i kraft som norsk lov 1. juli 2018 og alle bedrifter må da forholde seg til nye og strengere personvernkrav, blant annet knyttet til nye rettigheter for alle individer.

Er du ikke kjent med GDPR kan du sette deg inn i de nye reglene her.

 

Hvorfor GDPR?

Den nåværende Personvernloven er basert på regler fra 20 år tilbake, og har ikke hengt med utviklingen av verken teknologi eller samfunnet vårt. Personalisering av reklame var å skrive navnet til adressaten i brev, smarttelefonen var ikke oppfunnet, Facebook fantes ikke – vi brukte knapt internett.

GDPR er utformet for å gjøre opp for disse manglene, samt å styrke enkeltpersoners personvern og kontroll over sin egen data. 

Du kan lese mer om dette på datatilsynet.no.

 

Hva vil de nye GDPR-reglene bety for min bedrift?

De nye GDPR-reglene stiller strengere krav til hvordan bedriften din behandler personopplysninger. Alle norske virksomheter vil også få nye plikter gjennom det nye regulativet.

Du kan lese mer om dette på datatilsynet.no.

 

Hva er en databehandleravtale?

Dersom du bruker en underleverandører til å behandle personopplysninger på dine vegne, krever GDPR at du inngår en skriftlig databehandleravtale som regulerer partenes plikter og ansvar. Avtalen sikrer blant annet at underleverandøren (databehandleren) ikke bruker opplysningene til annet enn det som er avtalt, at det er god nok sikkerhet, at partene hjelper hverandre med oppfyllelse av rettslige plikter m.m.

Vi har inngått egne databehandleravtaler med mange kunder allerede, og for å sikre at det foreligger databehandleravtaler med alle våre kunder, finnes disse nå som eget vedlegg i bedriftsvilkårene og databehandleravtalen.

 

Hva er forskjellen på en behandlingsansvarlig og databehandler?

Behandlingsansvarlig: Den som bestemmer formålet og hensikten med hvilke data som behandles og lagres. Behandlingsansvarlig plikter å påse at alle personvernkravene i GDPR etterleves.

Databehandler: Behandler data på vegne av behandlingsansvarlig. Behandlingen reguleres gjennom en databehandleravtale mellom partene, hvor databehandleren plikter å påse at alle kravene i databehandleravtalen etterleves, både de som er fastsatt av GDPR, og de som er fastsatt av behandlingsansvarlig.

Eksempel: Når du bestiller mobilabonnement hos oss, behandler vi informasjon tilknyttet abonnementet til våre egne formål; fakturering, informasjonsdeling til nummeropplysningstjenester hvor vi er pålagt dette, eller til feilsøking i mobilnettet. Vi vil også kunne opptre som databehandler, eksempelvis når vi tilbyr sentralbordløsninger (Phonero Bedriftsnett), tjenester for kostnadsdeling osv. Du finner nærmere detaljer om dette i bedriftsvilkårene og databehandleravtalen.

 

Hva betyr det at Phonero er behandlingsansvarlig?

Når vi behandler personopplysninger for egne formål, anses vi å være behandlingsansvarlig, og vil ha det fulle ansvaret for at personvernreglene følges.

Det betyr blant annet at vi må ha et gyldig rettslig grunnlag for behandling av opplysningene, at vi må informere brukere om hvordan vi behandler opplysninger samt gi kunder anledning til å utøve sine rettigheter m.m.

 

Hva betyr det at min bedrift er behandlingsansvarlig?

Når bedriften din behandler personopplysninger for egne formål, anses dere som behandlingsansvarlig, og vil ha det fulle ansvaret for at personvernreglene følges. Det betyr blant annet at dere må ha et gyldig rettslig grunnlag for behandling av opplysninger, at dere må informere brukere om hvordan dere behandler opplysninger samt gi brukere anledning til å utøve sine rettigheter.

Dere må også ha databehandleravtale med alle underleverandører som behandler personopplysninger m.m. Du finner mer informasjon om plikter og ansvar som behandlingsansvarlig på datatilsynet.no.

 

Hva betyr det at Phonero er databehandler for min bedrift?

Når Phonero er databehandler plikter vi å behandle dataene på vegne av bedriften som beskrevet i databehandleravtalen, og vi kan ikke bruke opplysningene til egne formål.

Du finner databehandleravtalen her.

 

Trenger vi som en bedrift en databehandleravtale med Phonero?

Det kommer an på hvilke produkter og tjenester dere har hos oss. Dersom dere kun har mobilabonnement, og ikke sentralbordtjenester (Phonero Bedriftsnett), kostnadsdeling eller andre tilleggstjenester er ikke databehandleravtale nødvendig. Det er fordi Phonero anses som behandlingsansvarlig som leverandør av «tradisjonelle» teletjenester.

Når vi leverer tilleggstjenester anses vi som regel å være databehandler, og da krever GDPR at det inngås en databehandleravtale. Ved å bygge databehandleravtalene inn i bedriftsvilkårene våre, sikrer vi at alle kunder har nødvendige databehandleravtaler på plass med oss.

Se fullstendig oversikt i tjenestebeskrivelsen.

 

Hvordan skal bedriften min forholde seg til Phonero sine tredjeparter?

Phonero har inngått egne databehandleravtaler med våre underleverandører. Dette sikrer at våre underleverandører følger GDPR og de forpliktelsene som følger av databehandleravtalene med våre kunder.

Oversikt over våre underleverandører finner du i tjenestebeskrivelsen.

 

Hvor finner jeg tjenestebeskrivelser?

Informasjon om produkter og tjenestebeskrivelsene finner du her.

 

Hvor finner jeg informasjon om mine rettigheter som ansatt?

Du kan lese mer om hvordan vi samler inn og bruker personopplysninger, hvilke rettigheter du har og hvordan vi sikrer opplysningene i vår personvernerklæring. Bedriften din bør også kunne gi deg informasjon om hvordan de behandler opplysninger om deg som ansatt.

 

Hvor lenge lagrer Phonero personopplysninger?

I henhold til personvernreglene skal personopplysninger slettes når de ikke lenger er nødvendig for formålene som de ble samlet inn for. Vi har fastsatt ulike regler for sletting avhengig av type opplysninger, hva opplysningene brukes til og om det gjelder eksisterende eller avsluttede kundeforhold.

Eksempelvis lagres opplysninger om mobilbruk i en spesifisert faktura i maksimalt 5 måneder, mens opplysninger som er nødvendig for å avklare tvister lagres i inntil 3 år.

 

Hvor lagres personopplysninger?

Vi lagrer hovedsakelig personopplysninger i EU – i Norge, Sverige, Finland og Irland. Lagringssted varierer noe ettersom hvilke produkter og tjenester vi tilbyr.

I behandlinger der vi anses å være behandlingsansvarlig, har vi også enkelte underleverandører i USA. Disse underleverandørene er pålagt særskilte plikter gjennom databehandleravtalen (Standard Contractual Clauses), og som er utarbeidet av EU-kommisjonen for å ivareta personvernet.

 

Hvordan vet jeg hvilke opplysninger Phonero behandler og/eller lagrer på vegne av bedriften min?

Alle opplysninger vi samler inn og bruker som databehandler er beskrevet i tjenestebeskrivelsen.

 

Har Phonero opplysninger om meg som ikke er nødvendige for å levere produktet bedriften min har kjøpt til meg?

Personvernreglene stiller krav til såkalt dataminimalisering. Det betyr at vi ikke har lov til å samle inn mer opplysninger enn det som er nødvendig i forhold til formålet med innsamlingen, og de produktene/tjenestene vi tilbyr.

 

Hvilken informasjon lagres i tjenesten Besøksregistrering i Bedriftsnett?

Besøksregistrering er en tjeneste i Phonero Bedriftnett (PBN) som lagrer opplysninger om personer som besøker en bedrift. Opplysningene som lagres er telefonnummer, fullt navn samt hvilken bedrift de kommer fra.

Bedrifter som bruker PBN besøksregistrering anses å være behandlingsansvarlig for tjenesten, og bestemmer dermed også lagringstiden.

 

Hvordan sikrer Phonero at mine personopplysninger / opplysninger om min bedrift og ansatte håndteres på en sikker måte?

Informasjonssikkerhet er en viktig del av personvernet. Vi har iverksatt omfattende tekniske og organisatoriske tiltak for å sikre at personopplysninger ikke kommer på avveie, og at de øvrige kravene til sikkerhet i GDPR tilfredsstilles.

I sikkerhetsrammeverket vårt, som bygger på ISO 27000, stiller vi krav til bl.a. informasjonsklassifisering, risikovurderinger, kryptering og logging, og vi har et eget sikkerhetssenter som overvåker nettverkene våre og undersøker varslinger 24 timer i døgnet.