Informasjon om behandling av personopplysninger
Nedenfor følger informasjon om den personopplysningsbehandlingen som skjer i forbindelse med vår håndtering av varslingssaker og dine rettigheter som registrert.
Behandlingsansvarlig for personopplysninger
Ansvarlig for behandlingen av personopplysninger er:
Cipax AB, org.nr 556065-7875
Stinsvägen 11
763 93 Skebobruk, Sverige
info@cipax.com
+46 (0)175 252 00
For mer informasjon om vår håndtering av personopplysninger, se vår til enhver tid gjeldende Personvernerklæring.
Formål med og juridisk grunnlag for behandling
Formålet med behandlingen er å kunne oppfylle de juridiske kravene som stilles til organisasjonen om å tilby en varslingsfunksjon og gjennomføre den granskingen som innkommende saker krever. Formålet er også å behandle personopplysninger der det er nødvendig i forbindelse med oppfølgingssaker. Dette innebærer at vi kan bli nødt til å behandle personopplysninger for å:
- Håndtere innrapporterte varslingssaker.
- Ivareta organisasjonens rettigheter og oppfylle dens forpliktelser ut fra de uregelmessighetene som fremkommer i varslingssaker.
- Oppfylle de juridiske kravene som stilles til organisasjonen.
Det juridiske grunnlaget for å behandle personopplysninger i forbindelse med varslingssaker er i utgangspunktet en juridisk plikt etter 5 kap. 2 § i “Lag (2021:890) om skydd för personer som rapporterar om missförhållanden”.
Det juridiske grunnlaget for behandling av personopplysninger i forbindelse med oppfølging av varslingssaker og andre tiltak som gjøres i en innrapportert sak, er oppfyllelse av en juridisk forpliktelse eller organisasjonens berettigede interesse i å ivareta sine rettigheter basert på mistanke om uregelmessigheter eller konstaterte uregelmessigheter.
Kategorier av registrerte
I forbindelse med behandling av varslingssaker kan behandling av personopplysninger finne sted for følgende kategorier av registrerte:
- Den som rapporterer en sak, dersom personen ikke velger å være anonym.
- Den eller de som nevnes i en rapport.
- Alle som har en administrativ rolle til å behandle og granske rapporterte saker.
Utlevering av opplysninger og databehandlere
Opplysningene kan utleveres til myndigheter (f.eks. politimyndighet i saker der varslingssaker fører til politianmeldelse). Opplysninger kan også utleveres til andre virksomheter innenfor vår organisasjon eller andre selskaper innenfor konsernet i forbindelse med gransking, oppfølging og utbedring på grunn av en varslingssak.
Behandling i forbindelse med varslingssaker skjer også hos databehandlere. Disse kan kun handle etter instruks fra oss, som er spesifikt regulert i databehandleravtaler.
Overføringer til tredjeland
Vi bestreber oss på ikke å overføre data til et land eller selskap lokalisert utenfor EU/EØS, og all lagring av personopplysninger knyttet til innholdet i varslingssaker skjer innenfor EU/EØS på servere som eies av selskaper i Sverige.
Påloggingsadministrasjon skjer gjennom Microsoft Azure Active Directory. Lagringen skjer innenfor EU/EØS, men siden leverandøren er amerikansk, finnes det en risiko for at påloggingsrelaterte personopplysninger kan gjøres tilgjengelige for amerikanske myndigheter, noe som kan ha en negativ innvirkning på personvernet fordi amerikanske myndigheter ikke er forpliktet til å følge GDPR. I tilfelle en overføring til et tredjeland finner sted, fungerer standard kontraktsbestemmelser som et beskyttelsestiltak. Ta kontakt med oss for mer informasjon om hvordan vi beskytter personopplysningene dine.
Lagring og sletting
Personopplysningene som fremkommer i en varslingssak, vil bli lagret i to år fra saken avsluttes.
Personopplysningene som brukes til å håndtere administrasjon og tillatelser, lagres så lenge tillatelsen er gyldig.
Dersom en sak krever videre gransking internt, fortsetter behandlingen av personopplysninger så lenge saken krever det.
Når lagringsperioden utløper, slettes alle personopplysninger.