Personvern

Datastrøm og anonymisering  

Dataanonymisering er en type "informasjons-opprydding" hvor hensikten er personvern. Det er en prosess hvor vi enten krypterer eller fjerner personlig identifiserbar informasjon fra ett datasett, slik at personene som dataene beskriver forblir anonyme. 

Dataene vi oppbevarer i ABAX er lokasjonsdata. 

Påfyll av datastrømmen utføres fra sikkerhetskopier og anonymiseres ved hjelp av skripts (når det er etablert og bekreftet) 
Datastrømmen er bare tilgjengelig for Data Science-teamet, og dataene brukes til analytiske formål som forbedring av algoritmer på sporingsenhetene. 
Datastrømmen består av følgende informasjon:  

• Avstand 

• Maksimal hastighet 

• Da turen startet og stoppet 

• Når en tur ble mottatt av serverne våre 

• Reisetype (forretning eller privat) 

• En numerisk ID for føreren (ingen kobling til personverndata). Brukes til å påpeke følgende informasjon:

  • AktorID (firmaets id) 

  • Hvis det er en brukerkonto eller en administrasjonskonto 

  • Hvis det er en aktiv konto 

  • Språk satt på kontoen 

  • Dato for siste innlogging 

  • Dato for siste utlogging 

  • Hvilket grensesnitt / produkt er knyttet til kontoen 

  • Hvis Vis velkomstsideflagg er satt til sant eller usant 

  • Hvis tvinge tilbakestille passord flagget er satt til sant eller usant 

  • Bosted 

  • Hvis kundekontoen har noen turer 

  • Hvis kundekontoen har en aktiv fører 

  • Hvis kundekontoen har forlatt selskapet 

  • Hvis kontaktinfo er oppdatert 

• Dato for når kontoen sist ble endret 

• Turinnstillinger 

• En numerisk ID som identifiserer sporingsenheten 

• En numerisk ID som identifiserer hovedkontoret 

• En numerisk ID som identifiserer kjøretøyet 

Ingen personlig informasjon som navn, telefonnummer, e-post osv. blir overført til datastrømmen. 
Posisjoner er anonymisert på en slik måte at det ikke er mulig å identifisere en enkeltpersons adresse bak et datapunkt eller den nøyaktige plasseringen av det opprinnelige datapunktet. Tur start og stopp posisjon vil bli gruppert sammen med andre sporingsenheters start og stopp posisjoner på en slik måte at ingen turer startes eller stoppes av en enkelt sporingsenhet og ingen start eller stopp posisjon kan spores tilbake til noen enkelt person. 

Mer tekniske forklart: 

Turer anonymiseres ved å geohashe start og stopp posisjoner. Geohashing endrer en posisjon (breddegrad, lengdegrad) til en hash som identifiserer et rektangel i et rutenett som legger over verdenskartet. Rutenettstørrelse avhenger av geohash-størrelsen (se https://en.wikipedia.org/wiki/Geohash). 

Anonymiseringsprosessen er iterativ og starter med en høy verdi på geohash (små rektangler). Geohash verdien starter på 12 (område størrelse på 7 cm2) og går ned til 1 (område størrelse på 25 009 930 km2). Hvis bare ett simkort har en plassering inne i rektangelet, reduseres geohash-verdien med en, og prosessen gjentas til andre simkort har en posisjon med samme geohash eller ved at geohash-verdien er 4 noe som tilsier et punkt-område på 762 kvadratkilometer (ref. Figur 1). 

Anonymisering brukes også når vi selger / deler lokasjonsdata med tredjepartskunder. En lignende tilnærming brukes da til å anonymisere dataene i disse tilfellene.

Databehandleravtale 

I tillegg til våre vilkår og vår personvernpolicy må alle ABAX’ kunder undertegne en databehandleravtale.  
Dokumentasjon for alle våre markeder er tilgjengelig her: https://www.abax.com/terms-and-conditions

Underdatabehandlere i ABAX 

GDPR fastsetter to alternative former for godkjenning som må innhentes fra den behandlingsansvarlige før databehandleren kan engasjere en underbehandler:  

1.    Spesifikk forhåndsgodkjenning til å bruke en underbehandler. Dette alternativet er aktuelt når oppgavene/tjenestene databehandleren leverer til den behandlingsansvarlige, er av spesifikk art, altså at underbehandleren engasjeres for å levere spesifikke tjenester til en gitt kunde eller en liten gruppe kunder. Dette gjelder typisk når løsningen databehandleren leverer, må tilpasses den behandlingsansvarliges behov.

2.    Generell godkjenning til å bruke en underbehandler. Dette alternativet er aktuelt når tjenestene som databehandleren leverer til den behandlingsansvarlige, er de samme eller vesentlig de samme for et stort antall kunder. I slike tilfeller må databehandleren holde den behandlingsansvarlige orientert om at det brukes underbehandlere, og om enhver utskifting av underbehandlere før nye underbehandlere engasjeres. Den behandlingsansvarlige har alltid rett til å gjøre innsigelser mot bruk av visse underbehandlere.

ABAX bruker alternativet med generell godkjenning for kunder som bruker våre tjenester. ABAX utvikler og forbedrer sine tjenester kontinuerlig. Ny eller forbedret funksjonalitet kan kreve bruk av nye underbehandlere. Dersom ABAX skulle innhente skriftlig godkjenning fra alle sine kunder, ville dette ha gjort ny utvikling umulig. 
En oppdatert oversikt over hvilke underbehandlere vi bruker, er tilgjengelig på https://www.abax.com/no/legal/terms-and-conditions

Hvordan håndteres personvern i tjenesten deres?

Proaktivitet og forebygging

Personvern ved design håndterer problemene med personvernsrisikoer på en proaktiv måte. Problemene må forebygges før de oppstår, og tiltak bør treffes for å redusere potensielle risikoer før de blir tydelige. Dårlige sikkerhets- og personvernpraksiser må også gjenkjennes og forbedres tidlig, før de gjør noen skade.

Dette krever et engasjement for å konsekvent håndheve personvernstandarder som kreves av GDPR. Dette er dekket av kravet om å gjennomføre vurderinger av databeskyttelsesinnvirkning før behandlingsoperasjoner settes i gang. Ansvarsområdene til databehandlere og -kontrollører er også tydelig oppført og må følges. Dette krever et grundig engasjement for riktig implementering.

Personvern som standard

Prinsippet om personvern som standard krever at brukernes data må beskyttes uten at de må bidra. Personer skal ikke måtte gjøre noe for å sikre at dataene deres er trygge – de bør være trygge som standard.

Dette er dekket i artiklene 25 og 32 i GDPR, mens DPO-er er ansvarlige for å sørge for at disse reglene overholdes. GDPR inkluderer også fremtredende de tre grunnleggende elementene i personvern som standard, inkludert:

Formålsangivelse – individer må varsles om hva dataene deres vil bli brukt til

Begrensning av innsamling – innsamling av personopplysninger må være lovlig og gjennomsiktig

Dataminimering – så lite data som mulig bør samles inn, og kun for umiddelbare behandlingsformål.

Personvern Integrert i Designet

Under opprettelsen av teknologier som vil bli brukt av bedrifter og nettjenester, må det tas nøye hensyn til å designe dem slik at personvernbeskyttelse forblir en integrert del av systemet.

Allerede før systemene når sluttbrukerne, må alle gode personvernbeskyttelsestiltak allerede være på plass. Funksjonalitet for brukere skal ikke påvirkes av disse personvernbeskyttelsestiltakene, og systemer skal utformes på en slik måte at potensielle feilinnstillinger eller feil ikke forverrer personvernet. Igjen er dette prinsippet hovedsakelig dekket i artiklene 25 og 32, sammen med flere fortaler.

Full Funksjonalitet – Positiv-Sum

Målet med personvern ved design er å skape en vinn-vinn-situasjon for alle interessenter. Tanken er at disse personvernbeskyttelsestiltakene vil skape fordeler både for selskapene og for brukerne. I stedet for en nullsum-situasjon, der brukere bare kan dra nytte på bekostning av selskapene og omvendt, sikter disse personvern ved design-tiltakene å skape positive nettovirkninger uten å gjøre disse avveiningene.

Sikkerhet fra Ende til Ende

Sikkerhet og personvern for data må sikres fra innsamlingspunktet til den eventuelle destruksjonen av data. På hvert punkt i datalivssyklusen må det kontinuerlig beskyttes og stå til ansvar for.

GDPR er spesielt veldig foreskrivende i denne forbindelse. Dets mange bestemmelser om datainnsamling, lagring og destruksjon fanger fullt ut ånden i denne regelen. Målet er å sikre at det ikke er noen hull i datasikkerheten, da sikkerhet anses som en vesentlig motpart til personvern.

Således krever GDPR bruk av flere metoder for å sikre ansvarlighet (som dokumentasjon) og sikkerhet (anonymisering, tilgangskontroller osv.).

Synlighet og Gjennomsiktighet

Nøkkelen til ansvarlighet (og GDPR-overholdelse) er gjennomsiktighet. Alle interessenter, partnere og medbehandlere må bli kontrollert, revidert og åpne for ekstern verifisering. Uten gjennomsiktighet og synlighet, er det ingen reell måte å fastslå om personvern ved design-prinsippene har blitt implementert ordentlig.

Respekt for Personvern

Den beste måten å oppnå gode resultater i implementeringen av personvern ved design-funksjoner er å skape produkter med sluttbrukere i tankene. De bør utformes for å møte brukernes behov og inkludere enkle muligheter for dem til å kontrollere og overvåke hvordan dataene deres behandles.

Hvordan sikrer dere personvern ved innføring av nye funksjoner?

Allerede før vi bestemmer oss for å implementere en ny funksjon eller et nytt produkt, vurderer vi personvernaspektet grundig. Vi søker hjelp fra vår DPO og fra juridiske rådgivere (advokatfirmaer) ved tvil. I tillegg er våre programvaretestere ekstra oppmerksomme på personvernaspektet, og alle potensielle risikoer stenges før en funksjon lanseres på markedet.

Personvernsassistent

Overlat GDPR-bekymringene til oss. På grunn av GDPR-reguleringer har nå dine ansatte rett til å be om hvilke personopplysninger du har om dem og 'retten til å bli glemt'. Noen av dine ansatte vil sannsynligvis spørre deg om dette. Har du tid til å håndtere alle dine ansattes forespørsler, eller vil du at vi skal håndtere det for deg? Med Personvernsassistenten vil vi håndtere det meste av personverndialogen med dine ansatte, slik at du kan fokusere på å drive en lønnsom virksomhet.

Personvernsassistenten vil:

Sørge for at selskapet ditt bruker ABAX-produkter og -tjenester på en måte som holder deg GDPR-kompatibel

Håndtere ansattes forespørsler, slik at du kan fokusere på å drive virksomheten din

Informere ansatte på en enkel og lovlig måte med tilpassede dokumenter spesifikt for din virksomhet

Informasjonssikkerhet har høyeste prioritet hos ABAX. Her finner du svar på noen av de vanligste spørsmålene kundene våre stiller om informasjonssikkerheten på nettstedet vårt, abax.com.

Hvor lagrer ABAX kundeopplysninger? 

Kundeopplysninger er vårt mest verdifulle aktivum, så lagrinsløsningene våre må være sikre og pålitelige. Vi bruker flere underleverandører av offentlige skytjenester som behandler kundeopplysninger på være vegne. En oppdatert liste over underleverandører finner du på https://www.abax.com/no/terms-and-conditions

Hvordan krypterer ABAX opplysningene våre når de lagres? 

Opplysninger som lagres hos våre leverandører av skytjenester er kryptert til oppdaterte standarder for kryptering, slik at du som kunde kan være trygg på at dine opplysninger er sikre hos oss. For mer informasjon om hvordan skytjenesteleverandørene krypterer data, gå til https://cloud.google.com/docs/security/encryption/default-encryption

Hvordan krypterer ABAX opplysninger som er på vei til kundene? 

Når du bruker produktene våre gjennom nettleseren eller appene våre, krypteres all kommunikasjon med TLS-kryptering, som er bransjestandarden. Nettleseren din vil vise et hengelåssymbol, som viser at forbindelsen er kryptert.

Hvilke typer sikkerhetsstandarder følger ABAX? 

Vi følger ISO 27001, en standard for informasjonssikkerhet. Denne standarden omfatter flere styringssystemer som skal sikre at all behandling av data skjer på en sikker måte og slik at kundenes data ikke utsettes for unødvendig risiko. 

Hvilke leverandører bruker ABAX til å overføre opplysninger? 

Maskinvaren vår kommuniserer over mobilnettet til Telenor og deres globale nettverk av partnere. Flere internettleverandører (ISP-er) besørger kommunikasjonen mellom våre kunder og systemer ved hjelp av løsninger med full redundans. ABAX’ infrastruktur er koblet til høykapasitets internettlinjer på flere viktige internettsentraler. 

Hvordan sikrer ABAX sikkerheten på sine servere? 

For å sikre at serverne våre forbli sikre, bruker vi nettverkssegmentering, som innebærer at vi deler nettverket inn i mindre segmenter. Dette beskytter infrastrukturen vår mot cyberangrep.

Hvilke rutiner har ABAX for sikkerhetskopiering av kundeopplysninger? 

Vi tar regelmessig sikkerhetskopi av alle våre kunders data og lagrer dem på et sikkert sted utenfor våre lokaler. For deg som kunde betyr dette at vi kan gjenopprette opplysningene dine og begrense tap av data hvis en katastrofe skulle inntreffe.  

Hvordan sikrer ABAX kundeopplysningene på sine nettverk? 

For å sikre at serverne våre forbli sikre, bruker vi nettverkssegmentering, som innebærer at vi deler nettverket inn i mindre segmenter. Dette beskytter infrastrukturen vår mot cyberangrep.

Hvordan sikrer ABAX kontroll med tilgangen til sine servere og systemer?  

Vi bruker en utbredt metode for tilgangskontroll som kalles POLP (Principle of Least Privilege – prinsippet om minste tilgangsnivå). Dette innebærer i praksis at vi begrenser tilgangen til kontoene på systemene våre og gir dem det laveste tilgangsnivået som samtidig lar dem utføre visse oppgaver. For å sikre at vi følger POLP-prinsippene, gjennomfører vi regelmessig revisjon av alle kontoer og tilhørende tilgangsrettigheter som en del av prosedyrene våre for overholdelse av ISO 27001.

Innføring av tjenesten: Få det rett helt fra starten - Fastsett et gyldig formål for tjenesten  

Når du begynner å bruke ABAX-tjenesten, må du huske å gjennomføre det på riktig måte slik at du sikrer at personvernbestemmelsene overholdes. Dette betyr at selskapet ditt må ha et gyldig og lovlig formål med behandlingen av opplysningene i tråd med den generelle personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav a)–f), som lyder som følger:  

Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt:
a)     den registrerte har samtykket til behandling av sine personopplysninger for ett eller flere spesifikke formål,

b)     behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse,

c)     behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige,

d)     behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser,

e)     behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,

f)     behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.

ABAX har ulike virksomhetsområder som noen av disse formålene kan være relevante for, og dermed også for våre kunder.

FORESLÅTTE FORMÅL FOR ABAX TJENESTER

Dokumentasjon til skatteetaten 
ABAX Triplog er laget for å dokumentere kjøretøyenes yrkeskjøring i tråd med skatteetatens regler. For yrkesbiler vil det finnes løpende dokumentasjon for alle turer som er gjennomført. Det blir etablert rutiner for å sikre at gjeldende regelverk følges.

Skille skattemessig mellom privatkjøring og yrkeskjøring
ABAX Triplog brukes for å skille skattemessig mellom privatkjøring og yrkeskjøring. Turen blir klassifisert av føreren, administratoren og/eller automatisk av systemet.

Spørsmål fra kunden
Data fra ABAX Triplog kan brukes til å svare på spørsmål og klager fra kunder. Dette bør bare gjøres etter en spesifikk kundehenvendelse, og bare for å besvare det konkrete spørsmålet.

Sikkerhet
ABAX Triplog kan brukes til å lokalisere en ansatt.

Fakturering av kunder
Data fra ABAX Triplog kan brukes som underlag for fakturering av kunden for kjøring (tid og kilometer).

Feilaktige timelister
ABAX Triplog kan brukes hvis det foreligger en konkret mistanke om at en timeliste ikke er riktig. Den ansatte det gjelder, skal gis mulighet til å være til stede under kontrollen, og skal også tilbys bistand av tillitsvalgt eller en annen part.

Serviceoppfølging
Data fra ABAX Triplog kan brukes til å følge opp serviceintervaller for kjøretøyene. Servicevarsler kan sendes av systemet på e-post eller tekstmelding.

Effektivitet
ABAX Fleet Management sporer gjeldende posisjon for kjøretøyene dine. Dette kan brukes til å sende det kjøretøyet som er nærmest til et oppdrag.

Ruteplanlegging
ABAX Fleet Management kan vise alle turer kjørt på en bestemt dag på kartet. Dette kan brukes til å optimalisere kjøreruter.

Miljøvennlig kjøring - redusere miljøavtrykket
ABAX Driving Behaviour kan gi førerne poeng ut fra deres kjøreadferd. Høyere poengsum betyr lavere miljøavtrykk.For å redusere driftskostnader på kjøretøy samt redusere utslipp, benyttes «Driving Behaviour» som viser hvor mye CO2 hvert kjøretøy slipper ut, harde oppbremsinger, akselerasjoner,svinger og tomgangskjøring. Systemet leverer score per ansatt som brukes til å motivere til grønn kjøring.

Samfunnsansvar
ABAX Driving Behaviour kan brukes til å motivere førerne dine til å kjøre sikrere og mer effektivt.

Bedre kjørestandarder
ABAX Driving Behaviour kan brukes til å motivere førerne dine til å kjøre sikrere og mer effektivt og dermed redusere antall hendelser på veien.

Redusere flåtekostnadene 
ABAX Driving Behaviour kan bidra til å gjøre kjøringen mer effektiv og dermed redusere drivstoff- og servicekostnadene.

Sporing
ABAX Equipment Control kan brukes til å lokalisere og få tilbake tapt utstyr.

Effektivitet
ABAX Equipment Control kan brukes til å lokalisere utstyr til et bestemt oppdrag. 

Besparelser
ABAX Equipment Control kan loggføre bruken av selvgående utstyr. Disse dataene kan brukes til å redusere bruk som ikke er berettiget

Fakturering av faktisk bruk
ABAX Equipment Control kan loggføre bruken av selvgående utstyr. Disse dataene kan brukes av eieren til å fakturere kunden på grunnlag av faktisk bruk.

Fakturering etter bruk i et område
ABAX Equipment Control kan loggføre bruken av selvgående utstyr i et bestemt område. Disse dataene kan brukes av eieren til å fakturere kunden på grunnlag av antall timer i et prosjekt.

Serviceoppfølging
Data fra ABAX Equipment Control kan brukes til å følge opp service på utstyret. Servicevarsler kan sendes av systemet på e-post eller tekstmelding.
 

Viktig å huske 

Ved innføring av en ny tjeneste som omfatter kontrolltiltak, anbefaler myndighetene at selskapet involverer de ansatte tidlig i prosessen. (Typisk vil dette gjerne være en tillitsvalgt.) 

Selskapets administrasjon bør organisere et møte med den tillitsvalgte og/eller andre aktuelle ansatte i selskapet for å drøfte de ulike kontrolltiltakene forbundet med en tjeneste som ABAX. 

I tillegg må selskapet oppgi formålet med kontrolltiltaket, mulige konsekvenser av et tiltak (f.eks. hvordan teknologien fungerer og hvilke data som måles og rapporteres til administratoren) og hvor lenge kontrolltiltaket vil vare (vanligvis en avtaleperiode). 

Informasjonen kan gis muntlig eller skriftlig til de ansatte. I enkelte tilfeller kan selskapet holde et informasjonsmøte for å sikre at alle ansatte er informert,  og for at de ansatte skal få anledning til å komme med tilbakemeldinger. 

Det er opp til våre kunder å angi det behandlingsformålet som best passer for deres virksomhet.
 Forslagene til formål er bare forslag – våre kunder kan oppgi andre formål som passer bedre til deres behov. I henhold til arbeidsmiljøloven bør de ansatte involveres ved innføring av ABAX-tjenester slik at innføringen går glatt i hele selskapet. 

Hvert enkelt formål må oppfylle minst ett av vilkårene i GDPR (artikkel 6 nr. 1 bokstav a)–f)). Hva er det viktig å huske? Følgende sentrale momenter bør være relevante for våre kunder ved gjennomføring av formålet/formålene og det rettslige grunnlaget for behandling av opplysninger. 
 

Husk:

• Du må ha et gyldig og lovlig formål for å kunne behandle personopplysninger.

• Det er seks mulige lovlige formål for behandlingen. Ikke noe enkeltgrunnlag er «bedre» eller viktigere enn de andre. Hvilket grunnlag som er mest passende å bruke, avhenger av ditt formål og din relasjon.

• De fleste lovlige grunnlag krever at behandlingen er «nødvendig» for et spesifikt formål. Hvis du med rimelighet kan oppnå det samme formålet uten behandlingen, er ikke grunnlaget lovlig.

• Du må fastslå det lovlige grunnlaget før behandlingen starter, og du bør dokumentere dette. Vi har et interaktivt verktøy som kan være til hjelp.

• Sørg for at du får det rett første gangen – du bør ikke angi et annet lovlig grunnlag senere uten at det er god grunn til det. Særlig kan du vanligvis ikke bytte fra samtykke til et annet grunnlag.

• Personvernerklæringen din bør inneholde det lovlige grunnlaget for behandlingen i tillegg til formålet/formålene med behandlingen av opplysningene.

• Hvis formålet endres, vil du kanskje kunne fortsette behandlingen på det opprinnelige lovlige grunnlaget hvis det nye formålet er forenlig med det opprinnelige formålet (med mindre det opprinnelige lovlige grunnlaget var samtykke).

• Hvis du behandler en spesiell kategori personopplysninger, må du identifisere både et lovlig grunnlag for generell behandling og et ytterligere grunnlag for behandling av denne typen opplysninger.

• Hvis du behandler personopplysninger om straffedommer og lovovertredelser, må du identifisere både et lovlig grunnlag for generell behandling og et ytterligere grunnlag for behandling av denne typen opplysninger.
   

Kan jeg bruke opplysningene i systemet til hva jeg vil? 

Når ABAX-tjenesten innføres, må du oppgi nøyaktig hva du vil bruke opplysningene til. Du kan ikke bruke opplysningene og informasjon du har for hånden på noen annen måte enn det formålet som er oppgitt.

Hvis du endrer formålet eller angir et nytt, må du organisere et nytt møte med den tillitsvalgte/aktuelle ansatte og sørge for at alle ansatte er informert om dette. Det nye formålet må selvsagt være gyldig og ha en klar forbindelse til det rettslige grunnlaget i GDPR. 

Selskapet må informere om formålet og beskrive nøyaktig hva personopplysningene skal brukes til, ikke hva de kan brukes til. Med andre ord må formålet spesifiseres og kommuniseres, og det bør ikke være for omfattende eller for vagt. Det angitte formålet skal fastslå hva personopplysningene vil bli brukt til. Bruk av personopplysninger for andre formål enn det som er angitt, innebærer brudd på Personopplysningloven. 

Mange kunder spør oss om malverk og forslag til avtaler, vi har utarbeidet to dokumenter som dere enkelt kan laste ned her. Husk å tilpasse malen til din bedrift.

Forslag til innhold i internkontrollsystemet

Forslag til bilinstruks og bilpolicy

Samtykkeerklæring privatbiler

Datatilsynet sier: En vurdering av personvernkonsekvenser (Data Protection Impact Assessment - DPIA) skal sikre at personvernet til de som er registrert i løsningen ivaretas. Dette er en plikt etter det nye personvernregelverket. Artikkel 35 definerer når det er påkrevd å gjøre en DPIA, hva den skal inneholde og hvem som skal gjennomføre den.

For våre kunder som innfører ABAX i sin bedrift må det vurderes om det skal gjøres en vurdering av personvernkonsekvenser, dokumentert, for bedriften.  

Datatilsynet definerer på sine hjemmesider hvilke behandlingsaktiviteter som alltid krever at det gjennomføres en DPIA.

For eksempel:

Behandling av lokasjonsdata i følge med minst ett annet kriterium *.
For eksempel systematisk sammenstilling av den registrertes lokasjons- og trafikkdata fra teleoperatører eller behandling av personopplysninger om abonnentens bruk av telenettet eller teleoperatørens tjenester. (Svært personlige opplysninger og systematisk monitorering.)

Behandling av lokasjonsdata i kombinasjon med ansattgruppe er vurdert til at det trigges et krav om å lage en DPIA.

Gå til Datatilsynet og få tips og maler til hvordan dette kan gjøres dokumentert.

GDPR i vår teknologi Terminering og sletting  

Terminering som medfører sletting gjelder data som tilhører kunder som sier opp kontrakten og ikke har kjøpt DLG (Data Lagrings Garanti). DLG er et produkt kundene kan kjøpe som garanterer at vi tar vare på kundens data etter at kontrakt er terminert. Sletting kan utføres for hele kunde kontrakten eller for en enkelt bruker som er en del av kunden. Når en bruker ønsker å slette sine data, vil bare data som er direkte linket til brukeren bli slettet. Sletting for en enkelt bruker trigges gjennom "Privacy Assistant" (ref. Figur 2). Brukeren spesifiserer hva slags data som skal slettes ved å fylle ut et skjema (bedrifter har mulighet til å lage en mal for å lette prosessen for brukerne). 
Når kundens kontrakt termineres, slettes alle data koblet til alle brukere som er en del av kunde kontrakten. 

Som en ekstra kvalitetskontroll lager vi en "vaskeliste" som inneholder alle kunder som skal slettes. Listen blir verifisert der vi fjerner kunder fra listen som av en eller annen grunn ikke bør slettes (fornyelse av kontrakt osv.). 

Når vi mottar en forespørsel om sletting, bør data slettes innen 30 dager. Dette gjelder både for sletting av kunder og sletting av enkeltbrukere. 
Når slettingen starter, bruker vi en spesifikk tjeneste som sender ut kommandoer til alle tjenestene våre i forskjellige domener. Kommandoene som sendes ut vil trigge sletting av personverndata i alle domener for den nåværende kunden eller brukeren. 
Før slettingen trekker vi ut verdifulle datapunkter og kjører disse gjennom datastrømmen vår. 

Gjennom våre rutiner for datastrømmen, anonymiserer vi dataene slik at de ikke kan spores tilbake til kunde / bruker (Personvern). Planen i fremtiden er å automatisere datastrømmen til å anonymisere data i det vi mottar data fra sporingsenhetene. Anonymiserte data beholdes uavhengig til analytiske formål selv om sletting bestilles (ref. Anonymisering).  

https://www.abax.com/no/legal/cookies