Microsoftteams image (39)
Personvern

Personvernpolicy

1. Denne policyen definerer krav for å sikre overholdelse av lover og forskrifter som gjelder ATPIs innsamling, bruk, behandling og overføring av personopplysninger over hele verden.

2. Omfang

2.1 ATPI er forpliktet til å overholde gjeldende lover om databeskyttelse i landene der selskapet («Selskapet») opererer. På grunn av forskjeller innenfor disse jurisdiksjonene, har Selskapet vedtatt denne databeskyttelsespolicyen som skaper en felles kjerne av verdier, retningslinjer og prosedyrer som er ment å oppnå generell overholdelse, supplert (der det er aktuelt) med ytterligere instruksjoner og veiledning som gjelder i de jurisdiksjonene med unike krav.

2.2 Denne policyen er basert på EU-forordning 2016/679 og den generelle databeskyttelsesforordningen (GDPR), som gir en robust generisk modell for overholdelse av personvern. Selskapet har også etablert en Intra Group Data Transfer Agreement (IGDTA) basert på de anerkjente EU-modellklausulene, som skal godkjennes for verdensomspennende overføring og påfølgende underbehandling av data i hele det globale nettverket av konsernselskaper.

2.3 Denne policyen gjelder for alle Selskapets heltids- og deltidsansatte, innleide ansatte, og alle leverandører og kunder som mottar personopplysninger fra Selskapet, har tilgang til personopplysninger innsamlet eller behandlet av Selskapet, eller som gir informasjon til Selskapet, uavhengig av geografisk plassering.

2.4 Som en policyforpliktelse vil Selskapet ikke behandle personopplysninger uten et anerkjent lovlig grunnlag for slik behandling. For å sikre overholdelse av lover om databeskyttelse, vil Selskapet korrekt fastslå sin status for all databehandling som enten en datakontroller eller databehandler.

3. Konsernoverholdelse

3.1 Selskapets program for overholdelse av data vil bli overvåket av selskapets personvernombud assistert av en databeskyttelsesansvarlig og lokalt utnevnt personell for overholdelse og interne revisorer. Ansvaret kan delegeres av personvernombudet.

3.2 Personvernombudet vil implementere Selskapets internasjonale personvernpolicy og prosedyrer og IGDTA, samt eventuelle plikter som kreves av personvernlover, inkludert:

3.2.1 Avgjøre om varsling til en eller flere datatilsynsmyndigheter er nødvendig som et resultat av Selskapets databehandlingsaktiviteter, deretter foreta eventuelle nødvendige varslinger og holde slike varslinger oppdatert.

3.2.2 Utforme og implementere løpende programmer for opplæring av ansatte for å sikre overholdelse av lover om databeskyttelse.

3.2.3 Etablere (med involvering av IT- og juridiske avdelinger) prosedyrer og standard kontraktsbestemmelser for å oppnå overholdelse av denne policyen av konsernselskaper, kunder, leverandører og tredjeparter som mottar personopplysninger fra Selskapet, har tilgang til personopplysninger innsamlet eller behandlet av Selskapet, eller som gir informasjon til Selskapet, uavhengig av geografisk plassering.

3.2.4 Etablere mekanismer for periodiske revisjoner av overholdelse av denne policyen, implementere prosedyrer og gjeldende lov.

3.2.5 Etablere, vedlikeholde og drive et system for raske og hensiktsmessige svar til den registrerte som utøver sine rettigheter.

3.2.6 Etablere, vedlikeholde og drive et system for rask og hensiktsmessig utlevering til relevante myndigheter og/eller registrerte som kreves i henhold til lover om databeskyttelse.

3.2.7 Informere ledende ledere, funksjonærer og direktører i Selskapet om potensielle sivil- og strafferettslige sanksjoner/bøter som kan ilegges Selskapet og/eller dets ansatte for brudd på gjeldende lover om databeskyttelse.

3.2.8 Sikre at risikostyringsplanene i forhold til databeskyttelse implementeres effektivt og raskt.

3.2.9 Sikre at tilstrekkelig forsikring angående effektiviteten av databeskyttelsesprosedyrer og revisjoner gis til styret, ledelsen og andre interessenter.

4. Personvernprinsipper

4.1 Selskapet har vedtatt følgende prinsipper for å styre sin bruk, innsamling, behandling og overføring av personopplysninger, med mindre annet er spesifikt angitt i denne policyen eller kreves av gjeldende lover:

4.1.1 Personopplysninger skal bare behandles rettferdig og lovlig.

4.1.2 Personopplysninger skal kun innhentes for spesifiserte, eksplisitte, lovlige og legitime formål, og skal ikke behandles videre på en måte som er uforenlig med disse formålene.

4.1.3 Personopplysninger skal være adekvate, relevante og ikke overdrevne i forhold til formålene de samles inn og/eller behandles for.

4.1.4 Personopplysninger skal ikke samles inn eller behandles med mindre et rettslig grunnlag for behandling er korrekt etablert.

4.2 Passende fysiske, tekniske og prosedyremessige tiltak skal tas for å:

4.2.1 Forhindre og/eller identifisere uautorisert eller ulovlig innsamling, behandling og overføring av personopplysninger; og

4.2.2 Forhindre utilsiktet tap eller ødeleggelse av, eller skade på, personopplysninger.

5. Overføringer til tredjeparter

5.1 Personopplysninger skal ikke overføres til en annen enhet, land eller territorium, med mindre rimelige og hensiktsmessige tiltak er truffet for å etablere og opprettholde det nødvendige nivået av datasikkerhet.

5.2 Personopplysninger kan kun kommuniseres til tredjepersoner av grunner som er i samsvar med formålene dataene opprinnelig ble samlet inn for eller andre formål autorisert ved lov.

5.3 Alle overføringer av personopplysninger til tredjeparter for videre behandling skal være underlagt skriftlige avtaler, et rettslig grunnlag for overføring, eller under Selskapets IGDTA for interne dataoverføringer og i full overensstemmelse med gjeldende lover om databeskyttelse.

5.4 Personopplysninger fra EU (og Storbritannia) skal ikke overføres til et land eller territorium utenfor Det europeiske økonomiske samarbeidsområde (EØS) med mindre overføringen skjer til et land eller territorium anerkjent av EU som har et tilstrekkelig nivå av datasikkerhet, eller til USA under US Data Privacy Framework.

6. Forebygging av ikke-overholdende IT-systemer

6.1 Selskapets Chief Information Security Officer (CISO) skal etablere en prosedyre for å vurdere virkningen av ny eller eksisterende teknologi på personopplysningers personvern og sikkerhet.

6.2 Ingen nye systemer eller nye versjoner av et eksisterende system skal gjøres tilgjengelig for bruk før personvernombudet har innhentet skriftlig bekreftelse fra CISO om at det ikke vil være brudd på lover om databeskyttelse.

7. Kilder til personopplysninger

7.1 Personopplysninger skal bare samles inn fra den registrerte, med mindre arten av forretningsformålet nødvendiggjør innsamling av data fra andre personer eller organer.

7.2 Hvis personopplysninger samles inn fra noen andre enn den registrerte, må forretningsenheten som samler inn dataene ha bekreftelse, skriftlig, fra leverandøren av dataene om at det er et lovlig grunnlag for behandlingen og overføringen av personopplysningene til Selskapet.

8. Rettigheter for registrerte

Selskapet vil svare, i samsvar med lover om databeskyttelse, på enhver forespørsel/klage om innsyn fra den registrerte som er rettet til det. For å gjøre det enklere å sende inn en slik forespørsel/klage, har Selskapet opprettet et skjema som finnes her.

9. Kvalitetssikring av data

9.1 Personopplysninger må bare oppbevares i den perioden som er nødvendig for tillatte bruksområder. Selskapet har etablert en policy for dataoppbevaring som bestemmer gjeldende tidsrammer for sletting av data.

9.2 Personopplysninger skal slettes hvis lagringen av dem bryter med lover om databeskyttelse, eller hvis kunnskap om dataene ikke lenger er nødvendig av Selskapet, eller på forespørsel fra den registrerte.

10. Intern behandling

10.1 Der Selskapet er avhengig av et annet konsernselskap for å bistå i sine behandlingsaktiviteter, vil Selskapet inngå en dataoverføringsavtale basert på EUs modellklausuler (eller gjeldende modellklausuler som kreves i henhold til lover om databeskyttelse) med det andre konsernselskapet for å sikre at ansvaret for dataene er tydelig identifisert, ettersom begge parter kan betraktes som datakontrollører.

10.2 Der det andre konsernselskapet er lokalisert i utlandet, skal konsernselskapene som er involvert i behandlingen, være kjent som henholdsvis en dataeksportør og en dataimportør, selv om det kan være mer enn én dataimportør involvert i behandlingen.

11. Tredjepartsbehandlere

På samme måte, der Selskapet er avhengig av tredjeparter for å bistå i sine behandlingsaktiviteter, vil Selskapet velge en databehandler som gir tilstrekkelige sikkerhetstiltak og tar rimelige skritt for å sikre overholdelse av disse tiltakene.

12. Skriftlige kontrakter for tredjepartsbehandlere

12.1 Selskapet skal inngå en skriftlig kontrakt med hver databehandler som krever at den overholder lover om databeskyttelse og sikkerhetskrav som er pålagt Selskapet i henhold til lokal lovgivning.

13. Revisjoner av tredjeparts databehandlere

13.1 Som en del av Selskapets interne datarevisjonsprosess, skal Selskapet gjennomføre periodiske kontroller av behandlingen av tredjeparts databehandlere, og spesielt knyttet til overleveringsprosedyrene for dataene, spesielt med hensyn til sikkerhetstiltak.

14. Datasikkerhet

14.1 Selskapet har implementert en policy for datasikkerhetsstyring, i henhold til hvilken det skal vedta fysiske, tekniske og organisatoriske tiltak for å sikre sikkerheten til personopplysninger, inkludert forebygging av endring, tap, skade, uautorisert behandling eller tilgang, med hensyn til arten av dataene og risikoene de er utsatt for i kraft av menneskelig handling eller det fysiske eller naturlige miljøet. Disse tiltakene vil bli dokumentert i policyen for datasikkerhetsstyring, som vil bli gjennomgått minst årlig, eller når det er nødvendig for å gjenspeile betydelige endringer i sikkerhetsordningene.

14.2 Tilstrekkelige sikkerhetstiltak bør omfatte alle følgende:

14.2.1 Forebygging av uautoriserte personer fra å få tilgang til databehandlingssystemer der personopplysninger behandles.

14.2.2 Hindre personer som har rett til å bruke et databehandlingssystem fra å få tilgang til data utover deres behov og autorisasjoner.

14.2.3 Sikre at personopplysninger under elektronisk overføring under transport eller under lagring på en databærer ikke kan leses, kopieres, modifiseres eller fjernes uten autorisasjon.

14.2.4 Sikre at personopplysninger er beskyttet mot uønsket ødeleggelse eller tap.

14.2.5 Sikre at data som er samlet inn for forskjellige formål, kan og vil bli behandlet separat.

14.2.6 Sikre at data ikke oppbevares lenger enn fastsatt i policyen for dataoppbevaring, inkludert ved å kreve at data som overføres til tredjeparter returneres eller ødelegges.

15. Måling av overholdelse

15.1 Personvernombudet skal etablere en tidsplan for og implementere en revisjon av personvernoverholdelse for alle forretningsenheter. Personvernombudet skal, i samarbeid med forretningsenhetene, utarbeide en plan og tidsplan for å korrigere eventuelle identifiserte mangler innen en fast, rimelig tid.

Hver forretningsenhet i Selskapet skal årlig gjennomgå sine praksiser for datainnsamling, databehandling og datasikkerhet og skal fastslå hvilke personopplysninger forretningsenheten samler inn, inkludert de som holdes i manuelle systemer som utgjør «Relevante arkivsystemer».

15.2 Informasjonen som samles inn i denne årlige gjennomgangen skal leveres til personvernombudet for gjennomgang og passende tiltak, inkludert, uten begrensning, følgende:

15.2.1 Gi anbefalinger for forbedring av retningslinjer og prosedyrer for å forbedre overholdelsen av denne policyen og gjeldende lov.

15.2.2 Oppfylle kravene for selvsertifisering av overholdelse innenfor lokale datatilsynsmyndigheter, og overholdelse av Selskapets egen IGDTA.

16. Bruk av kunstig intelligens

16.1 Microsoft Copilot er distribuert for intern bruk av ansatte i organisasjonen. Copilot behandler personopplysninger utelukkende for å gi intelligent assistanse, generere svar og støtte produktivitet innenfor godkjente forretningssystemer. Den kan få tilgang til informasjon som ansatte velger å koble til, for eksempel dokumenter, e-poster, kalendere, kontakter eller nettleserhistorikk, strengt tatt for å oppfylle arbeidsrelaterte forespørsler. Copilot samler ikke inn eller deler personopplysninger uavhengig utenfor disse autoriserte interaksjonene. All behandling er underlagt gjeldende lover om databeskyttelse, inkludert GDPR, og er underlagt Microsofts personvern- og sikkerhetsstandarder. Ansatte beholder kontrollen over sine data og kan administrere tillatelser, tilkoblede tjenester og minnefunksjoner i Copilots innstillinger.

All bruk av kunstig intelligens i Selskapet vil bli utført strengt i samsvar med lover om databeskyttelse og i tråd med policyen for kunstig intelligens.

17. Implementering

17.1 Denne policyen skal være tilgjengelig for ansatte og andre via Selskapets nettsted.

17.2 Denne policyen kan revideres når som helst, men minst årlig av personvernombudet. Varsel om betydelige revisjoner skal gis til ansatte gjennom selskapets system for overholdelse og til andre via Selskapets nettsted.

Nikki Matthews
Juridisk direktør & Personvernombud
Januar 2026

Vedlegg

A Ordliste

Samtykke: Samtykke betyr «enhver fritt gitt, spesifikk og informert indikasjon på hans ønsker, hvorved den registrerte gir sitt samtykke til at personopplysninger knyttet til ham behandles.»

Samtykke kan likevel innhentes på flere måter. Dette kan inkludere klausuler i ansettelseskontrakter, avkrysningsbokser på svar på søknads- eller kjøpsskjemaer, og klikkbokser på nettskjemaer der personopplysninger legges inn.

I de fleste land i Den europeiske union må samtykke til behandling av sensitive personopplysninger være klart og utvetydig. Dette betyr vanligvis at en form for spesifikt, aktivt samtykke) er påkrevd. Dette kravet viser seg noen ganger å være mindre utvetydig utenfor EU.

Data: Data (enten med eller uten innledende stor bokstav) som brukt i denne policyen skal bety informasjon som enten:

  • behandles ved hjelp av utstyr som opererer automatisk som respons på instruksjoner gitt for det formålet;
  • er registrert med den hensikt at det skal behandles ved hjelp av slikt utstyr;
  • er registrert som en del av et Relevant arkivsystem eller med den hensikt at det skal utgjøre en del av et Relevant arkivsystem;
  • ikke faller innenfor noen av de ovennevnte, men utgjør en del av en lett tilgjengelig oversikt som dekker en enkeltperson.

Data inkluderer derfor alle digitale data fra datamaskin eller automatisert utstyr, telefonopptak, og all manuell informasjon som er en del av et Relevant arkivsystem.

Datakontroller: Datakontroller betyr en person som (alene eller sammen med andre) bestemmer formålene for hvilke og måten som personopplysninger behandles eller skal behandles på. Generelt vil Selskapet selv være datakontrolleren i de fleste tilfeller.

Dataeksportør: Dataeksportør betyr datakontrolleren eller databehandleren som overfører personopplysningene til utlandet.

Dataimportør: Dataimportør skal bety datakontrolleren eller databehandleren som samtykker i å motta personopplysninger fra dataeksportøren for videre behandling i samsvar med vilkårene i denne policyen og den relevante dataoverføringsavtalen.

Databehandler: Databehandler betyr enhver person, annet enn en ansatt hos den Behandlingsansvarlige, som behandler Data på vegne av den Behandlingsansvarlige. Et selskap kan være en Databehandler hvis det er definert som sådan i kontraktsmessige vilkår med den Behandlingsansvarlige.

Datatilsynet: Et organ som har ansvar for beskyttelse av data og personvern. Myndighetene er etablert for å ivareta informasjonsrettigheter både i offentlig og privat interesse.

Lover om databeskyttelse: Databeskyttelsesloven av 2018 og den generelle databeskyttelsesforordningen (forordning EU 2016/679); all databeskyttelseslovgivning utenfor EU i land der ATPI opererer; og forskrifter om elektronisk kommunikasjon (EF-direktiv) 2003 og eventuelle revisjoner av disse.

Datasikkerhet: Tiltak som den Behandlingsansvarlige og Databehandleren må implementere for å overholde personvernprinsippene gjennom design og standardinnstillinger, og for å sikre et sikkerhetsnivå som er tilpasset risikoen for enkeltpersoners rettigheter og friheter, med hensyn til teknologisk utvikling, implementeringskostnader og behandlingens art, omfang, kontekst og formål.

Den Registrerte: Den Registrerte betyr personen som Data refererer til. Registrerte omfatter kunder og nettbrukere, personer på kontakt-/e-postlister eller markedsføringsdatabaser, ansatte, kontraktører og leverandører.

Personopplysninger: Personopplysninger betyr data relatert til en levende person som kan identifiseres fra disse dataene eller fra disse dataene og annen informasjon i besittelse av, eller sannsynligvis vil komme i besittelse av, en datakontroller eller databehandler. Personopplysninger inkluderer ikke informasjon som er anonymisert, kodet eller på annen måte strippet for sine identifikatorer, eller informasjon som er offentlig tilgjengelig, med mindre den kombineres med annen ikke-offentlig personlig informasjon.

Behandling: Behandling omfatter et bredt spekter av operasjoner knyttet til Data, inkludert innhenting, registrering eller lagring av Data eller utførelse av enhver operasjon eller sett av operasjoner på Data, inkludert:

  • Organisering, tilpasning eller endring;
  • Utlevering ved overføring, formidling eller på annen måte; og
  • Justering, kombinasjon, blokkering, sletting eller «Behandlet» skal tolkes tilsvarende.

Relevant arkivsystem: Relevant arkivsystem betyr ethvert sett med informasjon knyttet til enkeltpersoner,

enten det oppbevares i manuelle eller elektroniske filer, strukturert, enten ved henvisning til enkeltpersoner eller ved henvisning til kriterier knyttet til enkeltpersoner, på en slik måte at spesifikk informasjon knyttet til en bestemt person er lett tilgjengelig.

Derfor faller enhver digital database og/eller organiserte manuelle filer knyttet til identifiserbare levende personer innenfor omfanget av lover og forskrifter om databeskyttelse, mens en database med ren statistisk eller finansiell informasjon (som verken direkte eller indirekte kan relateres til identifiserbare levende personer) ikke vil gjøre det.

Sensitive data: Sensitive data betyr personopplysninger som inneholder informasjon om den registrertes:

  • Rase eller etnisk opprinnelse;
  • Religiøs overbevisning eller andre lignende overbevisninger;
  • Politiske meninger;
  • Fysiske eller psykiske helse eller tilstand;
  • Seksuelle historie eller orientering;
  • Fagforeningsmedlemskap;
  • Kommisjon eller påstått kommisjon av enhver lovbrudd og enhver relatert domstol

Teknologi: Teknologi skal tolkes bredt, til å omfatte alle midler for innsamling eller Behandling av Data, inkludert, uten begrensninger, datamaskiner og nettverk, telekommunikasjonssystemer, video- og lydopptaksenheter, biometriske enheter, videoovervåking, etc.

Lenke til DSA-forespørselsskjema
Lenke til GDPR-personvernerklæring