Behandling av personopplysninger

Hva gjør Coor for å sikre at behandlingen av personopplysninger skjer i tråd med den nye personvernforordningen?

Det pågår et omfattende arbeid i Coor med å sikre at vi oppfyller det grunnleggende formålet med de nye personvernreglene («GDPR»), som er at de registrerte skal få nok informasjon til å kunne forstå hvordan personopplysningene deres blir behandlet, og at de registrerte skal ha rett til både å bestemme omfanget av behandlingen og kontrollere at opplysningene er riktige. Alle som behandler personopplysninger, må aktivt ta ansvar for å sørge for at GDPR-reglene – som til en viss grad er nye eller mer omfattende enn dagens regler – blir overholdt, og de må kunne vise at de blir det.

Coor er godt forberedt på de utvidede kravene. Selskapet har et omfattende GDPR-prosjekt på gang både i de enkelte landene og på konsernnivå, som tar for seg kravene i GDPR med oppdaterte prosesser, rutiner, IT-støtte, informasjon og opplæring. Coors GDPR-prosjekt omfatter ikke bare personopplysninger i Coors egen organisasjon, men også personopplysninger som Coor behandler på oppdrag fra kundene.

Det norske innføringsprosjektet drives med støtte fra det konsernfelles prosjektet, som bidrar med juridiske tolkninger og veiledning. GDPR-relaterte aktiviteter blir fulgt opp av Coors ledelse og regelmessig rapportert på nasjonalt og konsernoverordnet nivå for å sikre progresjonen.

Prosjektet analyserer og evaluerer GDPRs innvirkning på virksomheten, og på grunnlag av vurderingene har Coor truffet – og kommer til å treffe – tiltak som er definert som nødvendige for å oppfylle de nye og utvidede kravene. Coor gjør dette blant annet ved å oppdatere Coors interne rammeverk for hvordan personopplysninger kan og skal behandles, for å kunne styrke hele organisasjonens kompetanse og bevissthet på dette viktige området.

Før man planlegger ny behandling av personopplysninger som innebærer spesifikk risiko for de registrerte, skal man vurdere hvilke konsekvenser behandlingen kan få, og hvilke tiltak som bør treffes for å redusere risikoene (konsekvensvurdering). Coor har innført rutiner og verktøy for dette arbeidet.

GDPR inneholder også krav til innebygd personvern (eng. «privacy by design»). Det går ut på at alle nye tjenester og forretningsprosesser som benytter personopplysninger, må ta hensyn til vern av opplysningene og bygge inn funksjoner som støtter dette. Dette blir også behandlet innenfor rammene for GDPR-prosjektet.

Coor samarbeider dessuten med IT-leverandørene sine om sikkerhet i forbindelse med behandling av personopplysninger og andre data.