Breaking news: Direct Travel acquires ATPI. Read more here.

Breaking news: Direct Travel acquires ATPI. Read more here.

Microsoftteams image (39)
Personvern

Personvernpolicy

1. Formål

1. Denne policyen definerer krav for å sikre overholdelse av lover og forskrifter som gjelder ATPIs innsamling, bruk, behandling og overføring av personopplysninger over hele verden.

2. Omfang

2.1 ATPI er forpliktet til å overholde gjeldende personvernlover i landene der det («Selskapet») opererer. På grunn av forskjeller innenfor disse jurisdiksjonene, har Selskapet vedtatt denne personvernpolicyen som skaper et felles sett av verdier, retningslinjer og prosedyrer ment å oppnå generell overholdelse, supplert (der det er aktuelt) med ytterligere instruksjoner og veiledning som gjelder i de jurisdiksjonene med unike

2.2 Denne policyen er basert på EU-forordning 2016/679 og Personvernforordningen (GDPR), som gir en robust generisk modell for personvern. Selskapet har også etablert en Intra Group Data Transfer Agreement (IGDTA) basert på de anerkjente EU-modellklausulene, for å være autorisert for verdensomspennende overføring og påfølgende underbehandling av data gjennom hele sitt globale nettverk av konsernselskaper.

2.3 Denne policyen gjelder for alle Selskapets heltids- og deltidsansatte, innleide ansatte, og alle leverandører og kunder som mottar personopplysninger fra Selskapet, har tilgang til personopplysninger innsamlet eller behandlet av Selskapet, eller som gir informasjon til Selskapet, uavhengig av geografisk plassering.

2.4 Som en policyforpliktelse vil Selskapet ikke behandle personopplysninger uten et anerkjent rettslig grunnlag for slik behandling. For å sikre overholdelse av personvernlover, vil Selskapet korrekt etablere sin status for all databehandling som enten en databehandlingsansvarlig eller databehandler som handler på vegne av en annen databehandlingsansvarlig.

3. Konsernoverholdelse

3.1 Selskapets program for dataoverholdelse vil bli overvåket av selskapets personvernombud, assistert av lokalt utnevnt overholdelsespersonell og interne. Ansvarsområder kan delegeres av personvernombudet.

3.2 Personvernombudet vil implementere Selskapets internasjonale personvernpolicy og prosedyrer og IGDTA, samt eventuelle plikter som kreves av personvernlover, inkludert:

3.2.1 Avgjøre om varsling til en eller flere datatilsyn er nødvendig som følge av Selskapets databehandlingsaktiviteter, deretter foreta nødvendige varsler, og holde slike varsler oppdatert.

3.2.2 Utforme og implementere løpende programmer for opplæring av ansatte for å sikre overholdelse av personvernlover.

3.2.3 Etablere (med involvering av IT- og juridiske avdelinger) prosedyrer og standard kontraktsbestemmelser for å oppnå overholdelse av denne policyen av konsernselskaper, kunder, leverandører og tredjeparter som mottar personopplysninger fra Selskapet, har tilgang til personopplysninger innsamlet eller behandlet av Selskapet, eller som gir informasjon til Selskapet, uavhengig av geografisk plassering.

3.2.4 Etablere mekanismer for periodiske revisjoner av overholdelse av denne policyen, implementere prosedyrer og gjeldende lover.

3.2.5 Etablere, vedlikeholde og drifte et system for raske og passende svar på forespørsler fra registrerte om å utøve sine rettigheter.

3.2.6 Etablere, vedlikeholde og drifte et system for rask og passende rapportering til relevante myndigheter og/eller registrerte om eventuelle tap av personopplysninger.

3.2.7 Informere ledende ledere, funksjonærer og styremedlemmer i Selskapet om potensielle sivile og strafferettslige sanksjoner som kan ilegges Selskapet og/eller dets ansatte for brudd på gjeldende personvernlover.

3.2.8 Sikre at risikostyringsplaner i forhold til personvern implementeres effektivt og oppdateres.

3.2.9 Sikre at tilstrekkelig forsikring om effektiviteten av personvernprosedyrer og revisjoner gis til styret, ledelsen og andre interessenter.

4. Personvernprinsipper

4.1 Selskapet har vedtatt følgende prinsipper for å styre sin bruk, innsamling, behandling og overføring av personopplysninger, med mindre annet er spesifikt angitt i denne policyen eller kreves av gjeldende lover:

4.1.1 Personopplysninger skal kun behandles rettferdig og lovlig.

4.1.2 Personopplysninger skal kun innhentes for spesifiserte, eksplisitte, lovlige og legitime formål, og skal ikke behandles videre på en måte som er uforenlig med disse formålene.

4.1.3 Personopplysninger skal være tilstrekkelige, relevante og ikke overdrevne i forhold til formålene de samles inn for og/eller behandles.

4.1.4 Personopplysninger skal ikke samles inn eller behandles med mindre et rettslig grunnlag for behandling er riktig etablert.

4.2 Passende fysiske, tekniske og prosedyremessige tiltak skal tas for å:

4.2.1 Forhindre og/eller identifisere uautorisert eller ulovlig innsamling, behandling og overføring av personopplysninger; og

4.2.2 Forhindre utilsiktet tap eller ødeleggelse av, eller skade på, personopplysninger.

5. Overføringer til tredjeparter

5.1 Personopplysninger skal ikke overføres til en annen enhet, land eller territorium, med mindre rimelige og hensiktsmessige tiltak er tatt for å etablere og opprettholde det nødvendige nivået av databeskyttelse.

5.2 Personopplysninger kan kun kommuniseres til tredjepersoner av grunner som er i samsvar med formålene dataene opprinnelig ble samlet inn for eller andre formål autorisert ved lov.

5.3 Alle overføringer av personopplysninger til tredjeparter for videre behandling skal være underlagt skriftlige avtaler, et rettslig grunnlag for overføring, eller under Selskapets IGDTA for interne dataoverføringer.

5.4 Personopplysninger fra EU (og Storbritannia) skal ikke overføres til et land eller territorium utenfor Det europeiske økonomiske samarbeidsområde (EØS) med mindre overføringen skjer til et land eller territorium anerkjent av EU som har et tilstrekkelig nivå av datasikkerhet, eller til USA under US Data Privacy Framework.

5.5 Med forbehold for bestemmelsene ovenfor, kan personopplysninger overføres der noen av følgende gjelder:

5.5.1 Den registrerte har gitt samtykke til den foreslåtte overføringen;

5.5.2 Overføringen er nødvendig for utførelsen av en kontrakt mellom den registrerte (enten personlig eller via hans arbeidsgivende selskap som en kunde av Selskapet) og Selskapet;

5.5.3 Overføringen er nødvendig for inngåelsen eller utførelsen av en kontrakt inngått i den registrertes interesse mellom Selskapet og en tredjepart eller den registrertes arbeidsgiver;

5.5.4 Overføringen er nødvendig eller juridisk påkrevd av viktige offentlige interessegrunner, eller for etablering, utøvelse eller forsvar av rettslige krav;

5.5.5 Overføringen er påkrevd ved lov;

5.5.6 Overføringen er nødvendig for å beskytte den registrertes vitale interesser.

6. Forebygging av ikke-overholdende IT-systemer

6.1 Selskapets Chief Information Security Officer (CISO) skal etablere en prosedyre for å vurdere virkningen av ny eller eksisterende teknologi på personvern og sikkerhet for personopplysninger.

6.2 Ingen nye systemer eller nye versjoner av eksisterende systemer skal gjøres tilgjengelige for bruk før personvernombudet har fått skriftlig bekreftelse fra CISO om at det ikke vil være noe brudd på noen personvernlover.

7. Kilder til personopplysninger

7.1 Personopplysninger skal kun samles inn fra den registrerte med mindre forretningsformålets art nødvendiggjør innsamling av dataene fra andre personer eller enheter.

7.2 Hvis personopplysninger samles inn fra noen andre enn den registrerte, må forretningsenheten som samler inn dataene ha bekreftelse, skriftlig, fra leverandøren av dataene om at det er et lovlig grunnlag for behandlingen og overføringen av personopplysningene til Selskapet.

8. Rettigheter for registrerte

8.1 Registrerte skal ha rett til å få informasjon om sine egne personopplysninger som holdes av Selskapet ved å sende en skriftlig forespørsel i formatet
her
, hvoretter forespørselen vil bli registrert.

8.2 Selskapet skal gi sitt svar på en forespørsel ovenfor innen 40 dager fra datoen for den skriftlige forespørselen, eller innen en kortere tidsfrist hvis det kreves av gjeldende personvernlover.

8.3 Registrerte skal ha rett til å kreve at Selskapet korrigerer eller supplerer feilaktige, villedende, utdaterte eller ufullstendige personopplysninger som holdes om dem.

9. Sensitive (spesielle kategorier) data

9.1 Sensitive personopplysninger bør ikke behandles med mindre:

9.1.1 Slik behandling er spesifikt autorisert eller påkrevd ved lov.

9.1.2 Den registrerte uttrykkelig og utvetydig samtykker.

9.1.3 Der den registrerte er fysisk eller juridisk ute av stand til å gi samtykke, men behandlingen er nødvendig for å beskytte en vital interesse for den registrerte. Dette unntaket kan gjelde, for eksempel, der akutt medisinsk behandling er nødvendig.

9.1.4 Data relatert til straffbare forhold kan kun behandles av eller under kontroll av juridisk avdeling.

10. Kvalitetssikring av data

10.1 Personopplysninger må kun oppbevares for den perioden som er nødvendig for tillatte bruksområder. Selskapet har etablert en policy for dataoppbevaring som bestemmer gjeldende tidsrammer for sletting av data.

10.2 Personopplysninger skal slettes hvis lagringen bryter med noen personvernlov eller hvis kunnskap om dataene ikke lenger er nødvendig for Selskapet, eller på forespørsel fra den registrerte.

11. Behandling innen konsernet

11.1 Der Selskapet er avhengig av et annet konsernselskap for å bistå i sine behandlingsaktiviteter, vil Selskapet inngå en dataoverføringsavtale basert på EU-modellklausulene med det andre konsernselskapet for å sikre at ansvaret for dataene er tydelig identifisert, da begge parter kan anses som behandlingsansvarlige.

11.2 Der det andre konsernselskapet er lokalisert i utlandet, skal konsernselskaper involvert i behandlingen være kjent som henholdsvis en dataeksportør og en dataimportør, selv om det kan være mer enn én dataimportør involvert i behandlingen.

12. Tredjepartsbehandlere

12.1 Tilsvarende, der Selskapet er avhengig av tredjeparter for å bistå i sine behandlingsaktiviteter, vil Selskapet velge en databehandler som gir tilstrekkelige sikkerhetstiltak og tar rimelige skritt for å sikre overholdelse av disse tiltakene, og i tilfelle av en tredjepart i USA, at de også er registrert for US Data Privacy Framework (tidligere kjent som Privacy Shield).

13. Skriftlige kontrakter for tredjepartsbehandlere

13.1 Selskapet skal inngå en skriftlig kontrakt med hver databehandler som krever at de overholder personvernlover og sikkerhetskrav pålagt Selskapet under lokal lovgivning.

14. Revisjoner av tredjepartsbehandlere

14.1 Som en del av Selskapets interne datarevisjonsprosess, skal Selskapet gjennomføre periodiske kontroller av behandling utført av tredjepartsbehandlere, og spesielt relatert til overleveringsprosedyrene for dataene, særlig med hensyn til sikkerhetstiltak.

15. Varsel til direktører, ledere og funksjonærer om potensielle sanksjoner for manglende overholdelse

15.1 Personvernombudet skal varsle direktører, ledere og andre funksjonærer i Selskapet om at:

15.1.1 Manglende overholdelse av relevante personvernlover kan utløse strafferettslig og sivilrettslig ansvar, inkludert bøter, fengselsstraff og erstatningskrav; og

15.1.2 De kan holdes personlig ansvarlige der en overtredelse begås av Selskapet med deres samtykke eller medvirkning, eller kan tilskrives uaktsomhet fra deres side.

16. Datasikkerhet

16.1 Selskapet har implementert en retningslinje for datasikkerhetsstyring, under hvilken det skal iverksette fysiske, tekniske og organisatoriske tiltak for å sikre sikkerheten til personopplysninger, inkludert forebygging av endring, tap, skade, uautorisert behandling eller tilgang, med hensyn til dataenes art, og risikoene de utsettes for som følge av menneskelig handling eller det fysiske eller naturlige miljøet. Disse tiltakene vil bli dokumentert i retningslinjen for datasikkerhetsstyring, som vil bli gjennomgått minst årlig, eller når det er nødvendig for å gjenspeile betydelige endringer i sikkerhetsordningene.

16.2 Adekvate sikkerhetstiltak bør omfatte alle følgende:

16.2.1 Forebygging av at uautoriserte personer får tilgang til databehandlingssystemer der personopplysninger er

16.2.2 Hindring av at personer som har rett til å bruke et databehandlingssystem, får tilgang til data utover deres behov og

16.2.3 Sikring av at personopplysninger under elektronisk overføring under transport eller under lagring på en databærer ikke kan leses, kopieres, endres eller fjernes uten

16.2.4 Sikring av at personopplysninger er beskyttet mot uønsket ødeleggelse eller

16.2.5 Sikring av at data samlet inn for ulike formål kan og vil bli behandlet separat.

16.2.6 Sikring av at data ikke oppbevares lenger enn fastsatt i retningslinjen for datalagring, inkludert ved å kreve at data overført til tredjepersoner returneres eller ødelegges.

17. Måling av etterlevelse.

17.1 Personvernombudet (DPO) skal etablere en tidsplan for og implementere en personvernrevisjon for alle forretningsenheter. Personvernombudet (DPO) skal, i samarbeid med forretningsenhetene, utarbeide en plan og tidsplan for å korrigere eventuelle identifiserte mangler innenfor en fastsatt, rimelig

17.2 Hver forretningsenhet i Selskapet skal årlig gjennomgå sine praksiser for datainnsamling, databehandling og datasikkerhet og skal fastslå hvilke personopplysninger forretningsenheten samler inn, inkludert de som holdes i manuelle systemer som utgjør «Relevante arkivsystemer».

17.3 Informasjonen samlet inn i denne årlige gjennomgangen skal leveres til personvernombudet (DPO) for gjennomgang og passende tiltak, inkludert, uten begrensning, følgende:

17.3.1 Gi anbefalinger for forbedring av retningslinjer og prosedyrer for å forbedre etterlevelsen av denne retningslinjen og gjeldende

17.3.2 Oppfylle kravene for selv-sertifisering av etterlevelse innenfor lokale datatilsynsmyndigheter, og etterlevelse av Selskapets egne

18. Implementering.

18.1 Denne retningslinjen skal være tilgjengelig for ansatte og andre via Selskapets nettsted.

18.2 Denne retningslinjen kan revideres når som helst, men minst årlig. Varsel om betydelige revisjoner skal gis til ansatte gjennom selskapets etterlevelsessystem og til andre via Selskapets nettsted.

Nikki Matthews
Juridisk direktør & Personvernombud
Desember 2024

Vedlegg A

Ordliste

Samtykke: Samtykke betyr «enhver fritt gitt, spesifikk og informert indikasjon på hans ønsker, hvorved den registrerte gir sitt samtykke til at personopplysninger knyttet til ham behandles.»

Samtykke kan likevel innhentes på flere måter. Dette kan inkludere klausuler i ansettelseskontrakter, avkrysningsbokser på svar på søknads- eller kjøpsskjemaer, og klikkbokser på nettskjemaer der personopplysninger legges inn.

I de fleste land i Den europeiske union må samtykke til behandling av sensitive personopplysninger være klart og utvetydig. Dette betyr vanligvis at en form for spesifikt, aktivt samtykke) er påkrevd. Dette kravet viser seg noen ganger å være mindre utvetydig utenfor EU.

Data: Data (uavhengig av om det har stor forbokstav) som brukt i denne personvernretningslinjen skal bety informasjon som enten:

  • behandles ved hjelp av utstyr som opererer automatisk som respons på instruksjoner gitt for det formålet;
  • er registrert med den hensikt at det skal behandles ved hjelp av slikt utstyr;
  • er registrert som en del av et Relevant arkivsystem eller med den hensikt at det skal utgjøre en del av et Relevant arkivsystem;
  • ikke faller innenfor noen av de ovennevnte, men utgjør en del av en lett tilgjengelig oversikt som dekker en enkeltperson.

Data inkluderer derfor alle digitale data fra datamaskin eller automatisert utstyr, telefonopptak, og all manuell informasjon som er en del av et Relevant arkivsystem.

Databehandlingsansvarlig: En databehandlingsansvarlig er en person som (alene eller sammen med andre) bestemmer formålene og måten personopplysninger behandles eller skal behandles på. Generelt vil Selskapet selv være databehandlingsansvarlig i de fleste tilfeller.

Dataeksportør;
Dataeksportør betyr den databehandlingsansvarlige eller databehandleren som overfører personopplysninger til utlandet.

Dataimportør;
Dataimportør skal bety den Behandlingsansvarlige eller Databehandler som samtykker til å motta personopplysninger fra Dataeksportøren for videre behandling i samsvar med vilkårene i denne policyen og den relevante dataoverføringsavtalen.

Databehandler: Databehandler betyr enhver person, annet enn en ansatt hos den Behandlingsansvarlige, som behandler Data på vegne av den Behandlingsansvarlige. Et selskap kan være en Databehandler hvis det er definert som sådan i kontraktsmessige vilkår med den Behandlingsansvarlige.

Datatilsynet: Et organ som har ansvar for beskyttelse av data og personvern. Myndighetene er etablert for å ivareta informasjonsrettigheter både i offentlig og privat interesse.

Personvernlovgivning: Personopplysningsloven av 2018 og EUs personvernforordning (forordning EU 2016/679); enhver personvernlovgivning utenfor EU i land der ATPI opererer; og forskrifter om elektronisk kommunikasjon (EF-direktiv) fra 2003 og eventuelle revisjoner av disse.

Datasikkerhet: Tiltak som den Behandlingsansvarlige og Databehandleren må implementere for å overholde personvernprinsippene gjennom design og standardinnstillinger, og for å sikre et sikkerhetsnivå som er tilpasset risikoen for enkeltpersoners rettigheter og friheter, med hensyn til teknologisk utvikling, implementeringskostnader og behandlingens art, omfang, kontekst og formål.

Den Registrerte: Den Registrerte betyr personen som Data refererer til. Registrerte omfatter kunder og nettbrukere, personer på kontakt-/e-postlister eller markedsføringsdatabaser, ansatte, kontraktører og leverandører.

EU-US Privacy Shield: Et rammeverk utviklet av det amerikanske handelsdepartementet og EU-kommisjonen for å muliggjøre transatlantisk databeskyttelse for kommersielle formål. EU-US Privacy Shield gjør det mulig for selskaper fra EU og USA å overholde personvernkrav ved overføring av personopplysninger fra EU til USA.

Personopplysninger: Personopplysninger betyr Data knyttet til en levende person som kan identifiseres fra disse Dataene eller fra disse Dataene og annen informasjon som er i besittelse av, eller som sannsynligvis vil komme i besittelse av, en Behandlingsansvarlig eller Databehandler. Personopplysninger inkluderer ikke informasjon som har blitt anonymisert, kodet eller på annen måte fjernet identifikatorer fra, eller informasjon som er offentlig tilgjengelig med mindre den kombineres med andre ikke-offentlige personopplysninger.

Behandling: Behandling omfatter et bredt spekter av operasjoner knyttet til Data, inkludert innhenting, registrering eller lagring av Data eller utførelse av enhver operasjon eller sett av operasjoner på Data, inkludert:

  • Organisering, tilpasning eller endring;
  • Utlevering ved overføring, formidling eller på annen måte; og
  • Sammenstilling, kombinering, blokkering, sletting eller destruksjon.

‘Behandlet’ skal tolkes i samsvar med dette.

Relevant Filing System: Relevant Filing System betyr ethvert sett med informasjon relatert til enkeltpersoner, enten det oppbevares i manuelle eller elektroniske filer, strukturert enten med henvisning til enkeltpersoner eller med henvisning til kriterier relatert til enkeltpersoner, på en slik måte at spesifikk informasjon om en bestemt person er lett tilgjengelig.

Derfor faller enhver digital Database og/eller organiserte manuelle filer relatert til identifiserbare levende personer inn under omfanget av personvernlover og forskrifter, mens en Database med ren statistisk eller finansiell informasjon (som verken direkte eller indirekte kan knyttes til identifiserbare levende personer) ikke vil gjøre det.

Sensitive Opplysninger: Sensitive Opplysninger betyr Personopplysninger som inneholder informasjon om den Registrertes:

  • Rase eller etnisk opprinnelse;
  • Religiøs overbevisning eller andre lignende overbevisninger;
  • Politiske meninger;
  • Fysiske eller psykiske helse eller tilstand;
  • Seksuelle historie eller orientering;
  • Fagforeningsmedlemskap;
  • Begåelse eller påstått begåelse av straffbare handlinger og tilhørende rettssaker.

Teknologi: Teknologi skal tolkes bredt, til å omfatte alle midler for innsamling eller Behandling av Data, inkludert, uten begrensninger, datamaskiner og nettverk, telekommunikasjonssystemer, video- og lydopptaksenheter, biometriske enheter, videoovervåking, etc.

Lenke til DSA-forespørselsskjema
Lenke til GDPR-personvernerklæring