Privacy policy
SIKKERHETSPOLICY FOR DATABEHANDLING
HENSIKT
Formålet med denne policyen er å etablere nødvendige tiltak og ansvaret til de ansatte i Noumeno å oppfylle forpliktelser angående garanti og beskyttelse av individets grunnleggende rettigheter og friheter, særlig retten til privatliv, familieliv og personlig liv, i forbindelse med behandling av personopplysninger.
OMFANG
Denne policyen gjelder for alle Noumeno ansatte med ansvar for behandling av personopplysninger og/eller, der det er aktuelt, til autoriserte personer.
BEGREPER OG DEFINISJONER
-
ANSPDCP – Nasjonal tilsynsmyndighet for behandling av personopplysninger.
-
Personopplysninger – all informasjon knyttet til en identifisert eller identifiserbar fysisk person; en identifiserbar person er en person som kan identifiseres, direkte eller indirekte, ved henvisning til et identifikasjonsnummer eller til en eller flere faktorer som er spesifikke for deres fysiske, fysiologiske, mentale, økonomiske, kulturelle eller sosiale identitet.
-
Anonyme data – data som på grunn av opprinnelsen eller den spesifikke behandlingsmetoden ikke kan knyttes til en identifisert eller identifiserbar person.
-
Kontroller (operatør) – enhver fysisk eller juridisk person, offentlig eller privat, herunder offentlige myndigheter, institusjoner og deres territoriale strukturer, som bestemmer formålet og midlene for behandling av personopplysninger.
-
Datasikkerhetsansvarlig – personen som er ansvarlig for at informasjonsbeskyttelsessystemet som inneholder personopplysninger fungerer korrekt, samt for å utarbeide, implementere og overvåke samsvar med retningslinjene for personopplysningssikkerhet.
-
Behandling av personopplysninger – enhver operasjon eller serie med operasjoner utført på personopplysninger, enten det er automatisert eller manuelt, for eksempel innsamling, registrering, organisering, lagring, tilpasning, endring, uttrekk, konsultasjon, bruk, utlevering til tredjeparter ved overføring, formidling eller på annen måte, sammenkobling, blokkering, sletting eller destruksjon.
-
Lagring – oppbevaring av personopplysninger på alle typer medium.
-
Bruker – enhver person som handler under den behandlingsansvarliges, autoriserte persons eller representants myndighet, med anerkjente rettigheter til å få tilgang til personopplysningsdatabaser.
REFERANSEDOKUMENTER
-
Lov nr. 677/2001 om beskyttelse av enkeltpersoner i forbindelse med behandling av personopplysninger og fri utveksling av slike opplysninger, med senere endringer.
-
Folkeadvokatens kjennelse nr. 52/18.04.2002 angående minimumssikkerhetskrav for behandling av personopplysninger.
-
ANSPDCP-vedtak nr. 90/18.07.2006 angående tilfeller der det ikke er krav om varsling om behandling av personopplysninger.
-
ANSPDCP-avgjørelse nr. 100/23.11.2007 angående tilfeller der det ikke er krav om varsling om behandling av personopplysninger.
-
ANSPDCP-vedtak nr. 132/20.12.2011 om behandlingsvilkårene for personnummer og andre personopplysninger med generelle formål.
GENERELLE PRINSIPPER
Noumeno har iverksatt passende tekniske og organisatoriske tiltak for å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse, tap, endring, utlevering eller uautorisert tilgang. Personell som er ansvarlig for å overholde lov nr. 677/2001 er utpekt.
Det er iverksatt tiltak for å sikre sikker lagring av personopplysninger, noe som garanterer et tilstrekkelig beskyttelsesnivå i samsvar med gjeldende lov.Organisatoriske og tekniske tiltak fokuserer på:
-
Brukeridentifikasjon og autentisering
-
Tilgangstype og rettigheter
-
Prosedyrer for datainnsamling
-
Datamaskiner og tilgangsterminaler
-
Tilgang til loggfiler
-
Opplæring av ansatte
SPESIFIKKE PROSEDYRER
Brukeridentifikasjon og autentisering
-
Tilgang til personopplysningssystemer krever autentisering ved bruk av unike påloggingsinformasjoner innhentet under onboarding og identitetsadministrasjon.
-
Hver bruker har en unik identifikator (brukernavn) som ikke kan deles eller tilordnes til flere personer.
-
Inaktive kontoer deaktiveres og slettes etter en periode angitt av Noumeno.
-
Hver konto krever autentisering med et passord. Passord lagres sikkert, oppdateres med jevne mellomrom og maskeres under inntasting.
-
Tilgang blokkeres automatisk etter et fast antall feilaktige autentiseringsforsøk.
-
Brukere er forpliktet til å behandle sine påloggingsopplysninger konfidensielt og er ansvarlige overfor den behandlingsansvarlige for bruken av dem.
-
Autorisert personell administrerer kontosuspensjon eller tilbakekalling ved oppsigelse, omplassering, misbruk eller lengre fravær.
Tilgangstype
Brukere har kun tilgang til personopplysninger som er nødvendige for deres arbeidsoppgaver. Tilgangsrettigheter bestemmes av funksjonalitet (administrasjon, inndata, behandling, lagring osv.) og tillatte handlinger (lesing, skriving, sletting), inkludert prosedyrer for å håndheve disse grensene.
Datainnsamling
-
Kun autorisert personell kan samle inn og legge inn personopplysninger i Noumeno systemer.
-
Alle dataendringer logges med dato, klokkeslett og bruker-ID. Slettede eller endrede data lagres for revisjonsformål.
Datamaskiner og tilgangsterminaler
-
Terminalene er plassert i rom med begrenset tilgang eller låsbare områder.
-
Inaktive økter logges automatisk ut etter en forhåndsinnstilt periode.
-
Servere som lagrer personopplysninger er kun tilgjengelige under kontrollerte tillatelser.
-
Mobile lagringsenheter som inneholder personopplysninger kan ikke forlate lokalene uten forhåndsgodkjenning.
Tilgangslogger
-
All tilgang til personopplysninger logges. Uautoriserte forsøk på tilgang registreres også.
-
Logger oppbevares i minst to år og kan brukes som bevis i etterforskninger.
-
Logger tillater identifisering av brukere som har tilgang til data uten gyldig begrunnelse.
Opplæring av ansatte
-
Ansatte er informert om lov nr. 677/2001, minimumskrav til sikkerhet og risikoer forbundet med behandling av personopplysninger.
-
Brukere får opplæring i konfidensialitet og mottar påminnelser via systemvarsler.
-
Brukere må logge ut når de forlater arbeidsstasjoner.
Data- og datasikkerhet
Tiltakene inkluderer:
-
Forbud mot uautorisert programvare.
-
Brukerbevissthet om risikoer for skadelig programvare og virus.
-
Installasjon av antivirus-, anti-malware- og sikkerhetssystemer.
-
Begrensning av kopiering/utskrift av personopplysninger utenfor normale forretningsflyter.
Utskrift og manuell behandling
-
Kun autoriserte brukere kan skrive ut personopplysninger.
-
Dokumenter som inneholder personopplysninger skal oppbevares i låsbare skap eller returneres til autorisert personell umiddelbart etter bruk.
BEHANDLING AV IDENTIFISERBARE PERSONOPPLYSNINGER
-
Behandling er kun tillatt med uttrykkelig samtykke, lovbestemmelse eller med godkjenning fra ANSPDCP og tilstrekkelige garantier.
-
Prinsipper: Data må være relevante, begrensede, nøyaktige og kun behandles for spesifiserte formål. Oppbevaring er begrenset til det som er strengt nødvendig.
RETTIGHETER TIL DATAPERSONER
Rett til informasjon
-
Enkeltpersoner må informeres om formålet med behandlingen, rettigheter som er tilgjengelige i henhold til loven (tilgang, korrigering, innsigelse) og annen informasjon som kreves av tilsynsmyndighetene.
-
Samtykke innhentes før innsamling av personopplysninger.
-
Varslingsregistreringsnummeret må nevnes i alle dokumenter som samler inn, lagrer eller utleverer personopplysninger.
Rett til innsyn
-
Enkeltpersoner kan be om bekreftelse på om dataene deres behandles, kostnadsfritt én gang per år.
Rett til retting eller sletting
-
Enkeltpersoner kan be om retting, oppdatering, blokkering eller sletting av data som er behandlet ulovlig.
-
Omdanning til anonyme data er tillatt dersom behandlingen ikke er i samsvar med regelverket.
Rett til å protestere
-
Enkeltpersoner kan når som helst protestere mot behandling av deres personopplysninger av legitime grunner. Behandlingen må opphøre dersom protesten er berettiget, med mindre lovbestemmelser overstyrer den.
Rett til rettshjelp
-
Registrerte kan klage til tilsynsmyndigheter eller domstoler for å håndheve rettigheter og søke erstatning for skader forårsaket av ulovlig databehandling.
UTLEVERING AV PERSONOPPLYSNINGER
-
Data kan deles med autorisert personell eller offentlige/private enheter med:
-
Eksplisit, informert samtykke fra den registrerte; eller
-
Juridisk autorisasjon.
-
-
Nettbaserte overføringer må sikre systemsikkerhet.
-
Registrerte som har benyttet seg av retten til å protestere, skal ikke få sine data behandlet.
SLUTTBESTEMMELSER
For ytterligere informasjon kan enkeltpersoner kontakte: office@noumeno.com
SELSKAPSINFORMASJON
Noumeno S.R.L.
CUI: 36407456
Handelsregister: J35/2277/2016
Nettsted: www.noumeno.com
E-post: office@noumeno.com
