Hopp til hovedinnhold

Policy for behandling av personopplysninger i Helgeland Sparebank

Vedtatt av administrerende direktør 4. november 2010.

1. Virkeområde og definisjoner
Denne policy gjelder for behandling av personopplysninger i alle enheter i Helgeland Sparebank (heretter benevnt "banken"), samt behandling som andre foretar på vegne av banken. Den utfylles av dessuten av andre dokumenter som det er henvist til sist i dette policydokument.

Opplysninger om ansatte og andre personopplysninger som behandles i tilknytning til ansettelsesforhold, omfattes av denne policy i den grad ikke annet er bestemt eller fremgår av særskilt policy, instruks og/eller retningslinjer vedrørende personellregistre.

Personopplysninger er enhver opplysning og vurdering som kan knyttes til en enkeltperson (fysisk person) uten hensyn til vedkommendes forhold til banken (kunde, ektefelle, barn, forsikrede, begunstiget, ansatt hos kunde osv).

Behandling av personopplysninger omfatter alt som skjer med opplysningene fra de mottas/samles inn og til de slettes, herunder registrering, oppbevaring og utlevering til andre. All behandling av personopplysninger må kunne forsvares ut fra at den er nødvendig, skjer for å ivareta et saklig behov og på en måte som tar hensyn til behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysningene.

Behandlingsansvarlig er banken representert ved ledelsen, dvs. styret og administrerende banksjef.

Daglig behandlingsansvarlig er en representant som utnevnes av bankens ledelse.

Operativt behandlingsansvarlige er lokalbanksjefer og fagledere i tråd med den organisasjonsplan banken har utarbeidet.

2. Mål for behandling av personopplysninger
All behandling av personopplysninger skal skje i henhold til på forhånd definerte formål som er saklig begrunnet i virksomheten. Behandlingen skal være hjemlet i lovgivningen og skje på en måte som ivaretar grunnleggende personvernhensyn, herunder behovet for personlig integritet og privatlivets fred. Personopplysninger som benyttes som grunnlag for vurderinger og beslutninger skal være tilstrekkelige, oppdaterte og relevante.

Innsamling av personopplysninger skal begrenses til det som er nødvendig for å ivareta formålet med behandlingen. Så lenge opplysningene er registrerte skal tilgjengelighet, integritet og konfidensialitet være betryggende sikret. Sensitive og følsomme personopplysninger skal være undergitt særlig betryggende behandling. Opplysninger som ikke lenger er nødvendige skal slettes.

Ved bruk av eksterne medhjelpere/databehandlere skal krav til betryggende behandling av personopplysninger vektlegges og avtalefestes slik personopplysningsloven krever.

Kunder og ansatte skal oppleve at banken i sin behandling av personopplysninger tillegger personvernet stor vekt.

3. Strategi
Etterlevelse av reglene for behandling av personopplysninger skal være et linjeansvar og integreres i den totale kunde- og personalbehandlingen. Overordnet ansvar for oppfølging og kvalitetssikring av behandlingen ligger hos daglig behandlingsansvarlig.

Daglig behandlingsansvarlig skal ha tilstrekkelig kompetanse på personopplysningsloven og skal påse at etablerte rutiner etterleves som sikrer god etterlevelse av lovgivningen og eventuelle konsesjonsvilkår i alle sammenhenger der personopplysninger behandles. Som grunnlag for avviksbehandling, internkontroll og sikkerhetsrevisjon skal det fastsettes kvalitetsmål som minimum beskriver bankens kriterier for etterlevelse av kravene til tilgjengelighet, integritet og konfidensialitet.

Alle ansatte og eksterne medhjelpere som behandler personopplysninger skal kjenne de reglene som gjelder på området, ha informasjon løpende tilgjengelig og kjenne til at brudd på de regler som skal ivareta personvernet følges opp.

Behandling av personopplysninger skal skje med elektroniske hjelpemidler, slik at hensynet til oversiktelighet, tilgjengelighet, integritet, kvalitetskontroll, sporbarhet og oppdatering/retting/ sletting kan ivaretas på en sikker måte. Bare der hensynet til konfidensialitet eller spesielle praktiske hensyn veier tyngre, kan behandling skje manuelt og da under iakttakelse av retningslinjer gitt for den enkelte type av behandling.

Behandling av henvendelser vedrørende personopplysninger fra kunder og andre skal gjøres fortløpende. Klager og henvendelser fra myndighetene på området skal gis høy prioritet og skal alltid rapporteres til daglig behandlingsansvarlig.

Banken skal ha et forsvarlig system for løpende oppfølging av informasjonssikkerhet med ressurser for internkontroll, sikkerhetsrevisjon og ledelsesmessig rapportering som er organisert uavhengig av de miljøer der behandling foretas.

Fysisk/ teknisk sikring av personopplysningene skal tilfredsstille myndighetenes krav - uansett lagringsmedium og hjelpemidler som benyttes i behandlingen.

4. Grunnkrav til behandling av personopplysninger
Grunnkravene til behandling av personopplysninger beskriver en standard for behandlingen som skal være felles for alle enheter i banken, og som skal oppfylles uten hensyn til virksomhetsområde eller behandlingsformål. Grunnkravene skal være forankret på alle nivåer i organisasjonen og ligge til grunn for bankens interne retningslinjer og instrukser på området. Grunnkravene framgår i bankens interne rutiner for behandling av personopplysninger .

4.1. Oversiktlighet og tilgjengelighet
All behandling av personopplysninger skal skje på en kontrollerbar måte, slik at overordnet på ethvert trinn av behandlingen og i ettertid kan se hva som er behandlet og resultatet av behandlingen. Lagring av personopplysninger på privat datafil/ harddisk eller på annet medium som ikke er tilgjengelig for andre i banken, skal som hovedregel ikke forekomme med mindre spesielle hensyn tilsier slik lagring. Sensitive opplysninger skal lagres på en slik måte at de kun er tilgjengelig for ansatte som er autorisert til å behandle slike opplysninger.

Personopplysninger som behandles/oppbevares i banken, jfr. punkt 2, skal være tilgjengelig for innsyn fra daglig behandlingsansvarlig, myndigheter og den opplysningene gjelder.

Alle ansatte og andre som utfører oppgaver for banken skal ha den tilgang til personopplysninger som de trenger for en forsvarlig utførelse av sine oppgaver. Ved tildeling av autorisasjoner skal det vurderes konkret hvilke tilganger som er nødvendige.

4.2. Konfidensialitet
All behandling av personopplysninger skal være konfidensiell, slik at ingen uvedkommende direkte eller indirekte kan skaffe seg kunnskap om hva som behandles.

All behandling av personopplysninger skal foregå på en slik måte at bare personell med tjenstlig behov for kunnskap får tilgang på informasjonen. Dette skal ivaretas gjennom innretningen av de elektroniske systemer som benyttes i behandlingen og hvordan tilgangen til disse reguleres. Det skal i tillegg gis instrukser og pålegg vedrørende enkeltansattes ansvar for overholdelse av kravene til konfidensialitet.

Alle ansatte skal gjøre seg kjent med bankens etiske prinsipper og retningslinjer. Alle ansatte og andre som behandler personopplysninger for banken skal undertegne taushetserklæring. Brudd på kravet til konfidensialitet skal ha stor ledelsesmessig fokus og følges opp med adekvat sanksjonering.

4.3. Integritet og kvalitet
All behandling av personopplysninger skal skje på en måte som best mulig sikrer opplysningene kvalitet og integritet, slik at de opplysninger banken behandler er riktige, relevante, oppdaterte og beskyttet mot at endring skjer utilsiktet eller av uvedkommende.

Alle personopplysninger som tas under behandling skal verifiseres i den grad det er praktisk mulig, idet hensyn tas til opplysningens karakter, hva behandlingen gjelder, om opplysningen skal lagres/gjenbrukes og hvilken kilde opplysningen kommer fra. Lagring av innsamlede personopplysninger skal som hovedregel skje på sentralt nivå..

4.4. Sporbarhet
All behandling av personopplysninger skal kunne spores, slik at behandlingen kan følges tilbake til enkeltperson(er) med ansvar for gjennomføring og utførelse av behandlingen.

Alle personopplysninger som registres, endres eller slettes i elektronisk medium skal logges med identifikasjon av utførende person. Loggfunksjonene skal ha rapporteringsverktøy som oppfyller krav til enkle og presise uttrekk av relevante loggdata.

Alle ansatte og andre som behandler personopplysninger ved hjelp av elektroniske hjelpemidler skal utstyres med personlig logonidentitet eller annen sikker autentifisering som på betryggende måte sikrer mot uautorisert pålogging og at enhver handling og forsøk på handling, kan spores. Ved utarbeidelse av kriterier for logging og rapportering skal hensyn også tas til de ansattes personvern.

5. Ansvar og roller

5.1 Behandlingsansvarlig
Er banken representert ved bankens styre og daglige leder. Behandlingsansvarlig har det overordnede ansvaret for at behandling av personopplysninger i banken eller på vegne av banken skjer i samsvar med de lov- og konsesjonskrav som gjelder på området, samt denne policy og tilhørende lov- og regelverk. Overordnet ansvar for å ajourføre og følge opp denne instruks påhviler administrerende banksjef.

5.2 Daglig behandlingsansvarlig
Det daglige ansvaret for at personopplysningsloven etterleves er tillagt daglig behandlingsansvarlig. Daglig behandlingsansvarlig skal påse at banken etterlever personopplysningsloven, herunder at rutiner, opplæring og interne ansvarsforhold er ivaretatt.

Vedkommende er ansvarlig for at bankens system for ivaretakelse av informasjonssikkerhet oppfyller lovens krav, herunder;

  • at all behandling som omfattes av lovens virksomhetsområde er inkludert
  • at ansvar for ivaretakelse av plikter etter loven og alle vesentlige kontrollfunksjoner er fordelt
  • at medhjelpere og andre databehandlere er undergitt nødvendig oppfølging/tilsyn
  • at opplæring av ansatte og andre er betryggende ivaretatt
  • at det sentralt i banken og undergitt daglig behandlingsansvarligs instruksjonsmyndighet finnes tilstrekkelige ressurser for bankens sentrale behandling av saker på området og oppfølging generelt


5.3 Ledere og operativt behandlingsansvarlige
Til støtte for den daglige behandlingsansvarlige vil operativt behandlingsansvarlige vil ha løpende ansvar for etterlevelse av policydokumentet på sitt område, herunder at de spesifikke behandlinger skjer på betryggende måte og at avvik følges opp. Operativt behandlingsansvarlig er den enkelte enhet sin kontaktperson mot daglig behandlingsansvarlig og rapporterer til denne om forhold som er av betydning for bankens etterlevelse av regelverket, og de forhold som ikke fungerer tilfredsstillende.

Denne rollen vil normalt ivaretas av lokalbanksjefer og fagledere på ulike områder. Ledere på ethvert nivå har ansvar for å påse at underordnede kjenner til og følger de retningslinjer og instrukser som til enhver tid gjelder på området, samt for å følge opp brudd og avvik slik det er nærmere bestemt. Enhver leder har innenfor sitt område ansvar for at loven etterleves og å rapportere og følge opp forhold som ikke fungerer tilfredsstillende.

5.4 Ansatte
Alle ansatte som behandler personopplysninger plikter å sette seg inn i og følge de retningslinjer og instrukser som gjelder på området. Forsettlig tilsidesettelse av personvernhensyn og/eller taushetsplikt vil kunne bli vurdert som alvorlig tjenesteforsømmelse.