Vanliga frågor om skyldigheter för registerförare

1

Vanliga frågor

  1. Har företaget offentliggjort ett meddelande om behandling av personuppgifter/en integritetspolicy som kan granskas?
    • HP:s officiella integritetspolicy finns tillgänglig på alla hp.com-webbsidor. Det finns en lista över bestämmelser på flera språk HÄR.

  1. Upprätthåller ni ett register över alla bearbetningsaktiviteter som utförs?
    • HP upprätthåller ett register över bearbetningsaktiviteter som uppdateras kontinuerligt. Vi har implementerat verktyg för sekretesshantering och registerhållning för att operationalisera och upprätthålla register för många regelefterlevnadsaktiviteter, inklusive register över bearbetning av personuppgifter (records of processing), konsekvensbedömning avseende dataskydd (DPIA, data protection impact assessments) och inbyggt sekretesskydd (privacy by design).

  1. Från vilka geografiska platser tillhandahålls tjänsterna? Överförs personuppgifter till länder utanför EES?
    • HP är ett globalt företag och i många av våra affärsprocesser används en global operativ modell. Personuppgifter som lämnas till HP kan överföras över landsgränser för datakonsolidering, lagring och enklare hantering av kundinformation. All åtkomst till eller överföring av personuppgifter över landsgränser måste vara förenlig med tillämplig lokal lagstiftning och avtalsmässiga krav. HP deltar i flera program som möjliggör internationell överföring av personuppgifter till HP-enheter runt om i världen. Mer information om vårt deltagande i sådana program finns på HP:s integritetspolicy.

  1. Litar ni till lagmässiga mekanismer vid dataöverföring?
    • HP litar till godkända mekanismer för dataöverföring, i enlighet med GDPR.
      • Som registeransvarig har HP godkända bindande företagsregler (BCR) vilka är avsedda att tillhandahålla adekvata garantier för att personuppgifter för HP:s anställda, leverantörer och konsumentkunder är skyddade vid överföring till andra HP-företag. HP finns med bland färre än 100 företag i världen som har godkänts av EU:s myndigheter för dataskydd för våra bindande företagsregler. Mer information om HP:s bindande företagsregler (BCR) finns HÄR.
      • APEC (ekonomiska samarbetet i Asien och Stillahavsområdet) med 21 ekonomier har implementerat CBPR (systemet för gränsöverskridande sekretessregler), vilket tillhandahåller sekretesskydd vid överföring av personuppgifter i hela regionen. HP:s sekretesspraxis överensstämmer med APEC:s CBPR-system, vilket omfattar transparens, ansvarsskyldighet och val avseende registrering och användning av personuppgifter. Mer information om CBPR och HP:s deltagande finns HÄR.
      • HP är även självcertifierat under Privacy Shield, överenskommelsen om skydd av personuppgifter mellan EU och USA. Mer information om Privacy Shield och HP:s deltagande finns HÄR.
      • Mer information om vårt deltagande i dessa program finns på HP:s integritetspolicy.

  1. Har ni en utsedd tjänsteman eller liknande med ansvar för dataskydd och sekretess?
    • HP:s dataskyddsansvarige har, med stöd av Privacy Office, ansvar för att säkra regelefterlevnaden av GDPR och andra sekretess- och dataskyddslagar över världen. Representanter från HP Privacy Office är placerade i EU och fungerar som kontaktpunkter för individer och EU-baserade dataskyddsmyndigheter.

  1. Har ni en formell dokumenterad hanteringsplan vid säkerhetsincidenter, inklusive personuppgiftsbrott?
    • HP har etablerat och upprätthåller säkerhets- och sekretessprocedurer som främjar informationsskydd, fysisk säkerhet och sekretessmedvetande.
    • Säkerhetsincidenter – oavsett fysiska, teknologiska eller informationsbaserade – hanteras primärt via en global incidentrapporteringsprocess. När en incidentrapport är mottagen skickar teamet rapporten till ansvarig part inom HP och alla parter följer fastställda procedurer för varje typ av incident. Dessa procedurer baseras på bästa praxis inom branschen, lagmässiga krav och kundbaserade specifikationer i enskilda kontrakt.
    • Alla förekomster av cybersäkerhetsincidenter ska rapporteras till HP Cybersecurity via en internethanterad process som är tillgänglig dygnet runt. HP har en dokumenterad eskaleringsprocess för hantering av säkerhetsincidenter. Generellt kan dock sägas att så snart en incident har rapporterats, implementerar HP protokoll för korrigeringsåtgärder och genomför en grundlig undersökning för att fastställa om obehörig åtkomst har inträffat. Om obehörig åtkomst till personuppgifter upptäcks, eskaleras incidenten till HP Privacy Office, Global Legal Affairs och övriga berörda parter inom HP som fattar beslut om hur det ska lösas och meddelas.

  1. Kan ni hjälpa era kunder med förfrågningar från individer och upprätthåller ni en formell dokumenterad process för hantering av individers utövande av sina rättigheter?
    • Individer kan utöva sina rättigheter, skicka frågor om sekretess eller framföra klagomål via Kontakta HP Privacy Office.
    • När HP bearbetar personuppgifter för kunders räkning, med vissa begränsningar, hjälper HP kunderna att uppfylla sina skyldigheter att svara på förfrågningar från individer som vill utöva sina rättigheter enligt avtalsmässiga krav.

  1. Har företaget en datasäkerhetsstandard/policy som uppfyller tillämplig lagstiftning för dataskydd i den jurisdiktion där företaget är verksamt?
    • HP har en lång historia av ledarskap inom sekretess- och dataskydd. Tillsammans med vår robusta portfölj med produkter och tjänster kan vi stödja våra kunder och partner i deras arbete för skydd av personuppgifter. HP har interna bestämmelser som inriktas på säkerhet, åtkomst och korrekthet för personuppgifter och förbjuder delning av personuppgifter utan att utföra nödvändiga åtgärder. HP prioriterar förståelsen av kundernas säkerhets- och sekretesskrav och skapar processer som levererar produkter och tjänster på sätt som hjälper dem att uppfylla regelefterlevnad.

  1. Tillhandahåller företaget utbildning i sekretess till anställda?
    • HP:s anställda och tillfälliga arbetare får årlig utbildning i affärsetik där sekretess- och dataskydd utgör en central del. Ytterligare obligatorisk utbildning kan också krävas för vissa arbetsfunktioner där personuppgifter hanteras regelbundet eller vid behov för att stödja särskilda affärsaktiviteter.

  1. Är HP:s återförsäljare skyldiga att skydda personuppgifter när de hanteras för HP:s räkning?
    • HP kräver att tredje parter, inklusive återförsäljare och partner, som bearbetar personuppgifter för HP:s räkning har ansvarsskyldighet enligt avtal att skydda alla personuppgifter som de erhåller från HP och är förbjudna att använda personuppgifter för några andra syften än utförande av tjänster enligt HP:s instruktioner. HP har också implementerat en riskbaserad efterlevnadsbedömning för leverantörer som hanterar information för HP eller HP:s kunder.

  1. Implementerar ni inbyggt sekretesskydd (privacy by design) och konsekvensbedömning avseende dataskydd (DPIA, data privacy impact assessment) i utvecklingen av system och produkter?
    • Vi stärker inbyggt integritetsskydd (privacy by design) i vår verksamhet för att säkerställa att alla produkter, tjänster, webbplatser, system och applikationer från HP är utformade och implementerade efter noggrant övervägande av inverkan på sekretessen. En annan process av central vikt är konsekvensbedömning avseende dataskydd (DPIA, data protection impact assessments), genom vilken vi bedömer risker för individers rättigheter och dokumenterar beslutsfattande för vissa bearbetningsaktiviteter.

  1. Vad gör HP för att stödja kundernas ansträngningar att skydda personuppgifter och inrikta sig på sin egen regelefterlevnad?
    • Vi tillämpar säkerhetsmetoder runt data som vi bearbetar för våra kunder. Som leverantör av hanteringstjänster och tekniska tjänster för utskrifter och personliga system är HP angelägna om att uppfylla våra skyldigheter och skydda alla personuppgifter som vi bearbetar för våra kunder. Vi håller på att justera flera av våra kundserviceerbjudanden så att de överensstämmer med certifieringsnormen ISO 27001, inklusive expanderad räckvidd för vår certifiering så att tjänsterna Managed Print Services och Device-as-a-Service kan inkluderas.
    • HP har även implementerat ett ramverk för sekretesskontroll som innehåller mer än 100 separata aktiviteter relaterade till GDPR-efterlevnad. Detta kontrollramverk är kärnan i vårt sekretess- och dataskyddsprogram. Kontrollramverket har granskats av en oberoende tredje part baserat på lagmässiga krav och industriella standarder.

5

Relaterade länkar: