Ofte stillede spørgsmål om databehandlers forpligtelser

1

Ofte stillede spørgsmål

  1. Har jeres virksomhed en offentliggjort meddelelse om beskyttelse af personlige oplysninger/fortrolighedserklæring, som er tilgængelig for os til gennemsyn?
    • HP’s officielle fortrolighedserklæring findes på alle hp.com-websider. Erklæringen findes på adskillige sprog HER.

  1. Sørger i for at registrere og opbevare fortegnelser over alle behandlingsaktiviteter, I udfører?
    • HP opbevarer og opdaterer konstant sine fortegnelser over behandlingsaktiviteter. Vi har implementeret værktøjer til administration af personlige oplysninger og registrering for at operationalisere og opretholde fortegnelser over mange overholdelsesaktiviteter, herunder fortegnelser over behandlingsaktiviteter, konsekvensanalyser for databeskyttelse samt målrettet beskyttelse af personlige oplysninger.

  1. Hvilke geografiske placeringer tilbyder I tjenesterne fra? Overfører I personoplysninger til lande uden for EØS?
    • HP er en global virksomhed, og mange af vores forretningsprocesser anvender en global driftsmodel. Personoplysninger, der gives til HP, kan blive overført på tværs af stats- og landegrænser med det formål at konsolidere og lagre data samt for at give forenklet administration af kundeoplysninger. Enhver adgang til eller overførsel af personoplysninger på tværs af stats- eller landegrænser skal overholde gældende lokal lovgivning og kontraktmæssige krav. HP deltager i adskillige programmer, der muliggør international overførsel af personoplysninger til HP-enheder over hele verden. Du kan få mere at vide om vores deltagelse i disse programmer i HP's fortrolighedserklæring.

  1. Benytter I lovlige mekanismer til dataoverførsel?
    • I overensstemmelse med GDPR benytter HP sig af godkendte mekanismer til dataoverførsel.
      • Som dataansvarlig har HP godkendt bindende koncernregler, som har til formål at give passende garantier for, at personoplysninger tilhørende HP’s medarbejdere, leverandører og forbrugerkunder beskyttes, når de overføres til en HP-virksomhed. HP er stadig blandt de mindre end 100 virksomheder på verdensplan, der er anerkendt af EU's databeskyttelsesmyndigheder for vores bindende koncernregler. Du kan få flere oplysninger om og selv se HP’s bindende koncernregler HER.
      • APEC (Asia-Pacific Economic Cooperation), som udgøres af 21 økonomier, implementerer CBPR-systemet (Cross-Border Privacy Rules), der giver beskyttelse af data ved overførsel af personoplysninger på tværs af hele regionen. HP's brug af personlige oplysninger er i overensstemmelse med APEC CBPR-systemet, hvilket inkluderer gennemskuelighed, ansvarlighed og valgfrihed i forbindelse med indsamling og brug af personoplysninger. Du kan få flere oplysninger om CBPR og få bekræftet HP’s deltagelse HER.
      • HP er også selvcertificeret i henhold til EU/US Privacy Shield. Du kan få flere oplysninger om Privacy Shield og få bekræftet HP’s deltagelse HER.
      • Du kan få mere at vide om vores deltagelse i disse programmer i HP's fortrolighedserklæring.

  1. Har I udpeget en DPO (Data Protection Officer) og CPO (Chief Privacy Officer) eller lignende?
    • HP’s CPO og DPO har sammen med afdelingen for beskyttelse af personlige oplysninger til opgave at sikre overholdelsen af GDPR og anden lovgivning vedrørende fortrolighed og beskyttelse af personoplysninger og data i hele verden. Repræsentanter for HP’s afdeling for beskyttelse af personlige oplysninger har hjemsted i EU og fungerer som berøringspunkter for registrerede og EU-baserede databeskyttelsesmyndigheder.

  1. Har I formelt dokumenteret en handlingsplan til administration af sikkerhedshændelser, herunder ved brud på persondatasikkerheden?
    • HP har udarbejdet og opretholder procedurer for sikkerhed og beskyttelse af personlige oplysninger, som fremmer informationssikkerheden, den fysiske sikkerhed og opmærksomheden på beskyttelse af personlige oplysninger.
    • Sikkerhedshændelser – hvad enten de er fysiske, teknologiske eller informationsbaserede – håndteres primært via en global hændelsesrapporteringsproces. Når der modtages en hændelsesrapport, videresender teamet den til den ansvarlige part hos HP, og alle parter følger de faste procedurer for den enkelte type hændelse. Disse procedurer trækker på bedste fremgangsmåder inden for branchen, juridiske krav og kundebaserede specifikationer i den enkelte kontrakt.
    • Alle forekomster af cybersikkerhedshændelser skal rapporteres til HP Cybersecurity gennem en proces, som er understøttet online døgnet rundt, alle ugens dage. HP har en dokumenteret eskaleringsproces til administration af sikkerhedshændelser, men almindeligvis når der rapporteres en hændelse, implementerer HP straks protokoller til afhjælpning og udbedring og gennemfører en omfattende undersøgelse for at fastlægge, hvorvidt der er sket uautoriseret adgang. Hvis der opdages uautoriseret adgang til personoplysninger, eskaleres hændelsen til HP’s afdeling for beskyttelse af personlige oplysninger, globale juridiske afdeling og andre interessenter internt hos HP, som træffer afgørelse vedrørende løsning og underretning.

  1. Er I i stand til at assistere jeres kunder med eventuelle anmodninger fra registrerede, og opretholder I en formelt dokumenteret proces for håndteringen af en registrerets udøvelse af sine rettigheder?
    • Enkeltpersoner kan udøve deres rettigheder, indsende forespørgsler vedrørende deres personoplysninger eller indgive klager ved at kontakte HP's afdeling for beskyttelse af personlige oplysninger.
    • I de tilfælde, hvor HP behandler personoplysninger på vegne af kunder, vil HP med visse begrænsninger hjælpe sine kunder med at opfylde deres forpligtelser til at reagere på anmodninger fra registrerede, som ønsker at udøve deres rettigheder i overensstemmelse med de kontraktmæssige krav.

  1. Har jeres virksomhed en standard for datasikkerhed/politik for beskyttelse af personlige oplysninger, som er i overensstemmelse med den gældende databeskyttelseslovgivning i det retsområde, hvor jeres virksomhed driver forretninger?
    • HP har en lang historie som førende i branchen inden for beskyttelse af personlige oplysninger og databeskyttelse; Sammen med vores robuste portefølje af produkter, software og sikkerhedstjenester kan vi understøtte vores kunders bestræbelser på at beskytte personoplysninger og tage hånd om deres egen overholdelse af gældende regler og standarder. HP har interne politikker, der tager hånd om sikkerheden for, adgangen til og nøjagtigheden af personoplysninger, og som forbyder deling af personoplysninger uden at træffe de rette foranstaltninger. For HP har det høj prioritet at forstå kundernes krav til sikkerhed og beskyttelse af personlige oplysninger samt at etablere processer, der leverer produkter og tjenester på måder, som hjælper dem med at leve op til deres behov for overholdelse af regler og standarder.

  1. Uddanner din virksomhed sine medarbejdere i beskyttelse af personlige oplysninger?
    • HP’s medarbejdere og løst ansatte deltager årligt i kurser i forretningsetik, som omfatter beskyttelse af personlige oplysninger og databeskyttelse som en af hjørnestenene. Der kan også være krav om yderligere obligatoriske kurser for visse jobfunktioner, som regelmæssigt håndterer personoplysninger, eller "efter behov" for at understøtte specifikke forretningsaktiviteter.

  1. Er HP’s forhandlere forpligtet til at beskytte personoplysninger, når de håndterer dem på vegne af HP?
    • HP kræver, at tredjeparter, herunder forhandlere og partnere, der behandler personoplysninger på vegne af HP, skal være kontraktligt forpligtet til at beskytte de personoplysninger, de måtte modtage fra HP, og de forbydes at bruge disse personoplysninger til noget andet formål end at udføre de tjenester, som de bliver bedt om af HP. HP har også implementeret en risikobaseret overensstemmelsesvurdering for leverandører, der håndterer HP’s eller HP-kunders data.

  1. Implementerer I målrettet beskyttelse af personlige oplysninger og konsekvensanalyser for beskyttelse af oplysninger i udviklingen af systemer og produkter?
    • Vi håndhæver målrettet beskyttelse af personlige oplysninger i vores drift for at sikre, at alle HP’s produkter, tjenester, websteder, systemer og programmer designes og først implementeres efter nøje overvejelse af de konsekvenser, dette har for beskyttelse af personlige oplysninger. En anden process, som er yderst vigtig, er konsekvensanalysen for databeskyttelse, med hvilken vi vurderer risici for den enkeltes rettigheder og dokumenterer beslutningstagningen for visse behandlingsaktiviteter.

  1. Hvad gør HP for at understøtte sine kunders bestræbelser på at beskytte personoplysninger og tage hånd om deres egen overholdelse af gældende regler og standarder?
    • Vi benytter sikkerhedsforanstaltninger for de data, vi behandler for vores kunder. Som leverandør af administrationsløsninger og tekniske tjenester til udskrivning og personlige systemer er det yderst vigtigt for HP at leve op til sine forpligtelser og beskytte de personoplysninger, vi behandler for vores kunder. Vi justerer adskillige af vores kundeservicetilbud, så de overholder ISO 27001-certificeringsstandarden, herunder udvidelsen af omfanget af vores certificering til at omfatte Managed Print Services og Device-as-a-Service-tilbud.
    • HP har også implementeret en ramme for kontrolforanstaltninger til beskyttelse af personlige oplysninger, som omfatter flere end 100 separate aktiviteter, der relaterer sig til overholdelsen af GDPR. Denne ramme for kontrolforanstaltninger er kernen i vores program for beskyttelse af personlige oplysninger og databeskyttelse. Rammen af kontrolforanstaltninger er blevet gennemgået af en uafhængig tredjepart baseret på juridiske krav og branchestandarder.

5

Relaterede links: