Vanlige spørsmål om behandlers forpliktelser

1. Har bedriften deres publisert en personvernerklæring/-merknad som er tilgjengelig slik at vi kan gjennomgå den?

• HPs offisielle personvernerklæring er tilgjengelig på alle nettsider på hp.com. En oppføring over personvernerklæringene på flere ulike språk er tilgjengelig HER.

2. Loggfører dere all behandlingen dere utfører?

• HP opprettholder og oppdaterer hele tiden logger over behandlingsaktiviteter. Vi har implementert verktøy for personvernadministrasjon og loggføring for å organisere og opprettholde logger for mange samsvarsaktiviteter, herunder Records of Processing, Data Protection Impact Assessments og Privacy by Design.

3. Fra hvilke geografiske plasseringer leverer dere tjenestene? Overfører dere personopplysninger til land utenfor EØS-området?

• HP er et globalt konsern, og mange av forretningsaktivitetene våre benytter en global driftsmodell. Personopplysninger gitt til HP kan overføres over mange delstatlige og nasjonale grenser, med formål i datakonsolidering og -lagring samt for å forenkle administrering av kundeopplysninger. All tilgang eller overføring av personopplysninger over delstatlige og nasjonale grenser må samsvare med gjeldende lokal lovgivning og kontraktfestede krav. HP tar del i flere programmer som tillater internasjonal overføring av personopplysninger til HP-enheter over hele verden. Du kan lese mer om vår deltakelse i disse programmene ved å gå til HPs personvernerklæring.

4. Benytter dere lovlige mekanismer for dataoverføring?

• HP overholder EUs personvernforordning, og benytter godkjente mekanismer for dataoverføring.
  • HP har som datakontroller godkjent bindende selskapsregler (BCR). Disse er beregnet på å gi tilstrekkelige garantier på at personopplysninger til HPs ansatte, leverandører og forbrukerkunder sikres når disse overføres til ethvert HP-selskap. HP er fremdeles blant de mindre enn 100 bedriftene i hele verden som anerkjennes av EUs datavernmyndigheter for deres bindende selskapsregler. Du kan finne mer informasjon og kontrollere HPs BCR HER.
  • Asia-Pacific Economic Cooperation (APEC) med 21 økonomier, implementerer Cross-Border Privacy Rules (CBPR)-systemet. Dette gir datavern for overføring av personopplysninger i hele regionen. HPs personvernpraksis samsvarer med APEC CBPR-systemet, og inkluderer åpenhet, ansvarlighet, og valg for innsamling og bruk av personopplysninger. Du kan finne mer informasjon om CBPR og bekrefte HPs deltagelse HER.
  • HP er også selv-sertifisert under EU/US Privacy Shield. Du kan finne mer informasjon om Privacy Shield og bekrefte HPs deltagelse HER.
  • Du kan lese mer om vår deltakelse i disse programmene ved å gå til HPs personvernerklæring.

5. Har dere en tilordnet leder for data- og personvern eller tilsvarende?

• HPs leder for data- og personvern har, med støtte fra personvernkontoret, i oppgave å sikre samsvar med personvernforordningen og andre lover for data- og personvern over hele verden. Du finner representanter for HPs personvernkontor i EU, der de tjener som kontaktpunkter for datasubjekter og EU-baserte myndigheter for datavern.

6. Har dere en formelt dokumentert handlingsplan for sikkerhetshendelser, inkludert brudd på personvern?

• HP har etablert og håndhever prosedyrer for sikkerhet og personvern. Disse fremmer informasjonssikkerhet, fysisk sikkerhet og oppmerksomhet på personvern.
• Sikkerhetshendelser, uansett om de er av fysisk, teknologisk eller informasjonsbasert natur, håndteres først og fremst gjennom en global prosess for hendelsesrapportering. Når teamet mottar en hendelsesrapport, vil de rette den til den ansvarlige part innad i HP, og alle parter følger etablerte prosedyrer for hver type hendelse. Disse prosedyrene benytter bransjens beste praksiser, juridiske krav og kundebaserte spesifikasjoner for hver kontrakt.
• Alle forekomster av kybersikkerhetshendelser skal rapporteres til HP Cybersecurity gjennom en døgnåpen nettbasert prosess. HP har en dokumentert eskaleringsprosess for å administrere sikkerhetshendelser, men vil generelt sett umiddelbart implementere korrigerende handlingsprotokoller og utføre en grundig gjennomgang for å fastslå om det har forekommet uautorisert tilgang. Hvis det oppdages uautorisert tilgang til personopplysninger, vil hendelsen eskaleres til HPs personvernkontor, global juridisk avdeling og andre interne interessenter i HP, som vil treffe bestemmelser om vedtak og varsling.

7. Er dere i stand til å hjelpe kundene med forespørsler om datasubjekter, og har dere en formelt dokumentert prosess for å håndtere det når et datasubjekt utøver sine rettigheter?

• Individer kan utøve rettighetene sine, sende inn personvernforespørsler eller levere klager gjennom Kontakt HPs personvernkontor.
• Der hvor HP behandler personopplysninger på kunders vegne, underlagt visse begrensninger, vil HP hjelpe kundene med å møte deres forpliktelse til å svare på forespørsler fra datasubjekter som ønsker å utøve sine rettigheter i sammenheng med kontraktfestede krav.

8. Har bedriften deres en standard eller retningslinjer for datapersonvern i samsvar med gjeldende lover for datavern i jurisdiksjonen der dere for tiden driver virksomhet?

• HP har en lang historie med å være bransjeledende innen person- og datavern; sammen med vår robuste portefølje av produkter, programvare og sikkerhetstjenester, kan vi støtte kundenes innsats i å beskytte personopplysninger og håndtere deres eget samsvar. HP har interne retningslinjer som ser på sikkerheten og tilgangen til og nøyaktigheten av personopplysninger, som forbyr deling av personopplysninger uten riktige tiltak. HP prioriterer å forstå kundenes krav for personvern og sikkerhet samt å etablere prosesser som leverer HPs produkter og tjenester på et vis som tilfredsstiller behovene for samsvar.

9. Tilbyr selskapet deres personvernopplæring til de ansatte?

• HPs ansatte og prosjektarbeidere mottar årlig opplæring innen forretningsetikk, der person- og datavern er et viktig emne. Ytterligere obligatorisk opplæring kan være nødvendig for visse jobbfunksjoner som til vanlig håndterer personopplysninger, eller som gjør dette «ved behov» for å støtte spesifikke forretningsaktiviteter.

10. Er HPs leverandører forpliktet til å beskytte personopplysninger når de handler på vegne av HP?

• HP krever at tredjeparter som behandler personopplysninger på vegne av HP, inkludert leverandører og partnere, er kontraktfestet til å beskytte alle personopplysninger de mottar fra HP. De er også forhindret fra å bruke personopplysningene til annet enn å utføre tjenestene som instruert av HP. HP har også implementert en risikobasert samsvarsvurdering for leverandører som håndterer HPs eller HP-kunders opplysninger.

11. Implementerer dere Privacy by Design og Data Privacy Impact Assessment i utviklingen av systemer og produkter?

• Vi vektlegger Privacy by Design i virksomheten vår, for å sikre at alle HPs produkter, tjenester, nettsteder, systemer og apper kun utformes og implementeres etter nøye gjennomgang av deres implikasjoner vedrørende personvern. En annen særdeles viktig prosess er Data Protection Impact Assessments, som lar oss vurdere risikoen til individers rettigheter og dokumentere beslutninger for visse behandlingsaktiviteter.

12. Hva gjør HP for å støtte kundenes forsøk på å beskytte personopplysninger og ta seg av sitt eget samsvar?

• Vi benytter sikkerhetstiltak for data vi behandler for kundene våre. HP er, i kraft av å være leverandør av administrative og tekniske tjenester for utskriftssystemer og personlige systemer, forpliktet til å tilfredsstille våre forpliktelser og beskytte alle personopplysninger vi behandler for kundene våre. Vi innretter flere av kundeservicetilbudene våre i henhold til sertifiseringsstandarden ISO 27001, og inkluderer utvidelsen av sertifiseringsomfanget vårt til å inkludere tilbudene Managed Print Services og Device-as-a-Service.
• HP har også implementert et rammeverktøy for personvernkontroller som inkluderer over 100 forskjellige aktiviteter relatert til overholdelse av personvernforordningen. Dette kontrollrammeverktøyet er kjernen i programmet vårt for person- og datavern. Kontrollrammeverktøyet har blitt gjennomgått av en uavhengig tredjepart basert på juridiske krav og bransjestandarder.