Beskyttelsen av dine personlige data er viktig for deg - og for oss også.
På grunn av dette vil vi på denne siden informere deg om hvilke data vi samler inn, hvorfor vi trenger disse dataene og hvordan du kan motsi datainnsamlingen.
1. Om personverndokumentet
Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger er i samsvar med loven.
2. Ansvar for behandling av personopplysninger hos oss
Bedriften er ansvarlig for personopplysninger vi behandler, for eksempel om egne ansatte, kontaktpersoner hos kunder og leverandører, privatkunder og andre forretningsforbindelser. Bedriften har ansvaret for å overholde de pliktene som følger av reglene om personopplysninger.
Det daglige behandlingsansvaret har Thomas Brodin, Økonomi- og Administrasjonssjef.
3. Kunnskap over reglene om personopplysninger
Vi skal sørge for at de relevante ansatte har kjennskap til reglene om personopplysninger, herunder dette dokumentet om personvern. Kunnskapsnivået skal være tilpasset den enkelte ansattes behandling av personopplysninger. Vi skal vurdere om noen grupper av ansatte har behov for særlig kunnskap, for eksempel personalfunksjoner og IT-ansvarlige. Ledelsen hos oss skal alltid ha kjennskap til regelverket.
4. Kartlegging av behandling av personopplysninger
Vi skal kartlegge all behandling av personopplysninger. Dette skal gjøre vi i et eget skjema der vi angir blant annet kategorier av registrerte, formål med behandlingen, hvordan vi behandler opplysningene og hvilke grunnlag den har for behandlingen. Skjemaene skal bidra til at vi etterlever reglene om behandling av personopplysninger.
5. Grunnkrav for behandling av personopplysninger
Loven stiller opp seks grunnlag som gjelder for all behandling av alle personopplysninger. Vi skal sørge for at personopplysninger skal:
5.1 behandles på en lovlig, rettferdig og gjennomsiktig måte med hensyn til den registrerte («lovlighet, rettferdighet og gjennomsiktighet»)
5.2 samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene («formålsbegrensning»)
5.3 være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
5.4 være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller korrigeres («riktighet»)
5.5 lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for («lagringsbegrensning»)
5.6 behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og fortrolighet»)
Hvis personopplysninger brukes til andre formål enn de er samlet inn for, se punkt 2 ovenfor, skal vi alltid vurdere om det nye eller endrede formålet er forenlig med det opprinnelige. Vi skal da ta hensyn til de faktorene som fremgår av personvernforordningen artikkel 6 nr. 4.
6. Grunnlag for å behandle personopplysninger
6.1 Behandlingsgrunnlag
Vi skal ha minst ett av følgende grunnlag for all behandling av personopplysninger:
6.1.1 den registrerte har gitt samtykke til behandling av sine personopplysninger for ett eller flere spesifikke formå
6.1.2 behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse
6.1.3 behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige
6.1.4 behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn (interesseavveining)
Det skal gå frem av kartleggingsskjemaet hvilke(t) grunnlag vi har for å behandle opplysninger.
Hvis grunnlaget for behandling er samtykke fra den registrerte (se nr. 1), skal vi sette oss inn i de særlige reglene som gjelder for slike samtykker, blant annet kravet om dokumentasjon.
Hvis grunnlaget for behandling er vår berettigede interesse (interesseavveining) (se nr. 4), skal vi konkret og skriftlig dokumentere avveiningen, se nærmere nedenfor.
6.2 Ansatte
Behandling av opplysninger er i hovedsak rettslige forpliktelser. Noe av behandlingen er basert også på interesseavveining. Vi har behov for å dokumentere at vi har oppfylt forpliktelser etter lov og avtale etter at de er oppfylt. Vi har også behov for dokumentasjon for personaladministrasjon til bruk for fremtidig personaladministrasjon. Dette er berettigede interesser. Det er ikke mulig å ha tilgang til opplysningene på annen måte enn å lagre opplysningene. Behandling er derfor nødvendig.
Ansatte hos oss har et løpende avtaleforhold med oss. Personopplysningene vi behandler er knyttet til dette avtaleforholdet. Det er i stor grad snakk om opplysninger ansatte har gitt oss. Opplysningene gjelder forhold det er nærliggende at en arbeidsgiver behandler.
Vi mener at den berettigede interessen går foran den ansattes interesser.
6.3 Tidligere ansatte
Behandlingen av de fleste av personopplysningene er basert på interesseavveining. Det kan oppstå behov for oss for å dokumentere personalforhold også etter at arbeidsforholdet er avsluttet, for eksempel en tvist med den tidligere ansatte. Dette kan gjelde for eksempel dokumentasjon for at vi som arbeidsgiver har oppfylt våre forpliktelser etter lovgivning eller arbeidsavtalen. Dette er en berettiget interesse. Det er ikke mulig å ha tilgang til opplysningene på annen måte. Behandling er derfor nødvendig.
Behandlingen går ut på å lagre opplysningene i inntil tolv måneder. Opplysninger om at den ansatte har vært ansatt, varighet av arbeidsforholdet og arbeidsoppgaver kan vi lagre lenger. Opplysningene vil ikke bli utlevert til andre uten at den tidligere ansatte ber om det, for eksempel i forbindelse med vurdering av ansettelse hos ny arbeidsgiver.
Vi mener at den berettigede interessen går foran den tidligere ansattes interesser.
6.4. Jobbsøkere
Behandlingen av personopplysninger er basert på interesseavveining. Vi har behov for å bruke opplysninger for å vurdere søknader jobbsøkere sender oss. Dette er en berettiget interesse. Det er ikke mulig å vurdere en søknad uten å behandle personopplysninger. Behandling er derfor nødvendig.
Vi ber de som vil søke jobb hos oss om å sende oss minst opplysninger om navn, utdanning, arbeidserfaring, referansepersoner mv (CV). Jobbsøkere vil ofte gi ytterligere personopplysninger de regner som relevante for vurderingen av søknaden, for eksempel om kontaktinformasjon, familieforhold og interesser, i tillegg. I intervjuer stiller vi spørsmål for å avgjøre om jobbsøkeren passer til stillingen. I noen tilfeller kan vi bruke tester eller spørsmålsskjemaer for dette formålet. Hvis det blir aktuelt å ansette jobbsøkeren vil vi kunne be om ytterligere informasjon samt om dokumentasjon for opplysninger vi allerede har fått. Det er frivillig å gi oss opplysninger.
Vi bruker ikke opplysningene til noe annet enn å vurdere søknaden. Vi gir ikke opplysningene til noen andre. Vi kan beholde opplysninger fra jobbsøkere i seks måneder, i tilfelle jobbsøkere skulle mene at deres rettigheter ikke er oppfylt.
Vi mener at den berettigede interessen går foran jobbsøkerens interesser.
6.5. Kontaktpersoner hos leverandører
Behandlingen av personopplysninger er basert på interesseavveining. Vi har behov for å holde kontakt med våre leverandører for å følge opp blant annet tilbud, bestillinger og leveranser. Dette er en berettiget interesse. Den kontakten blir effektiv bare ved å kontakte enkeltpersoner direkte. Behandling er derfor nødvendig.
Behandlingen skjer overfor kontaktpersonens arbeidsgiver, som ønsker å være leverandør hos oss. I tillegg til navn behandler vi kontaktopplysninger, som telefonnummer, epostadresse og arbeidsgiver, som alle er knyttet først og fremst til kontaktpersonens arbeidsforhold og ikke til kontaktpersonens privatliv. Omfanget av opplysningene er svært begrenset. Behandlingen av opplysningene er knyttet til leverandørens næringsvirksomhet og ikke til kontaktpersonens privatliv. Vår behandling av personopplysningene er klart påregnelig for kontaktpersonen.
Vi mener at den berettigede interessen går foran kontaktpersonens interesser.
Behandlingen av personopplysninger er basert på interesseavveining. Vi har behov for å holde kontakt med våre bedriftskunder for å følge opp tilbud, bestillinger og leveranser. Dette er en berettiget interesse. Den kontakten blir effektiv bare ved å kontakte enkeltpersoner direkte. Behandling er derfor nødvendig.
Behandlingen skjer overfor kontaktpersonens arbeidsgiver, som er kunde hos oss. I tillegg til navn behandler vi alminnelige opplysninger, som telefonnummer, epostadresse og arbeidsgiver, som alle er knyttet først og fremst til kontaktpersonens arbeidsforhold. Omfanget av opplysningene er derfor begrenset. Behandlingen av opplysningene er knyttet til leverandørens næringsvirksomhet og ikke til kontaktpersonens privatliv. Når det er påkrevet med samtykke etter markedsføringsloven, vil kontaktpersonen dessuten ha gitt samtykke før vi sender eposter med markedsføring. Vår behandling av personopplysningene er klart påregnelig for kontaktpersonen.
Vi mener at den berettigede interessen går foran kontaktpersonens interesser.
6.7. Andre kontaktpersoner
Behandling av personopplysninger er basert på interesseavveining. Vi har behov for å ha kontakt med offentlige myndigheter, for eksempel NAV og tilsynsmyndigheter i forbindelse med offentligrettslige forhold der vi kan ha forpliktelser og rettigheter. Dette er en berettiget interesse. I en del tilfeller vil den kommunikasjonen kunne være effektiv bare hvis vi kan kontakte enkeltpersoner direkte. Behandling er derfor nødvendig.
Vi lagrer navn og kontaktdetaljer og vi bruker opplysningene til å kontakte personens arbeidsgiver. Opplysningene er knyttet til kontaktpersonens arbeidsgivers virksomhet og ikke til kontaktpersonens privatliv. Vår behandling av personopplysningene er klart påregnelig for kontaktpersonen.
Vi mener at den berettigede interessen går foran kontaktpersonens interesser.
7. Grunnlag for behandling av sensitive personopplysninger
Behandling av sensitive personopplysninger krever behandlingsgrunnlag i tillegg til de som er nevnt i punkt 6.
Sensitive personopplysninger er: opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.
Skal vi behandle slike opplysninger, skal vi sørge for å ha behandlingsgrunnlag. For ansatte hos oss vil opplysninger om helse og fagforeningsmedlemskap være særlig aktuelle. Helse omfatter for eksempel sykdom og skader og fravær begrunnet i dette. Særlig aktuelt behandlingsgrunnlag vil være at behandling er nødvendig i egenskap av arbeidsgiver, for eksempel ved oppfølgning og rapportering til offentlige myndigheter eller ved tilrettelegging av arbeidsforholdet.
Behandling av opplysninger om straffbare forhold og lovovertredelser o.l. er underlagt særlige regler som vi skal sette oss inn i hvis vi skal behandle slike opplysninger.
8. Informasjon til de registrerte (personvernerklæring)
Vi skal gi lovbestemt informasjon til de registrerte. Vi skal gi slik informasjon i en personvernerklæring. Alle registrerte skal ha tilgang til den informasjonen som gjelder dem. Informasjon til ansatte vil stå i personalhåndboken..
Informasjonen skal inneholde blant annet navnet på bedriften og kontaktinformasjon, formålet med behandlingen, kategoriene av personopplysninger, mottakere av personopplysninger (dersom de utleveres), informasjon om eventuell utlevering av personopplysninger til andre land, hvor lenge personopplysningene vil bli lagret, de registrertes rett til å kreve innsyn, rette eller kreve slettet personopplysningene, hvordan virksomheten fikk tilgang til personopplysningene og muligheten til å klage virksomheten inn til Datatilsynet.
9. Registrertes rettigheter
Vi skal besvare henvendelser fra registrerte uten ugrunnet opphold. Mottar vi slike henvendelser, skal de sendes til Økonomi- og administrasjonssjef (se pkt 2.)
Vi skal sørge for at registrerte får gjennomført rettighetene sine hos oss.
10. Sletting av personopplysninger
Vi skal slette personopplysninger uten ugrunnet opphold når de ikke lenger er "nødvendig" for formålet som de ble samlet inn eller behandlet for. Minst én gang i året skal vi gjennomgå dette. Våre retningslinjer for sletting følger nedenfor:
Ansatte
Vi beholder som hovedregel alle opplysninger i hele ansettelsestiden. Ansatte kan be om at opplysninger blir slettet. Dette vil bli vurdert konkret. Lovgivningen kan stille krav til lengre oppbevaringstid.
Tidligere ansatte og jobbsøkere
Se ovenfor om behandlingsgrunnlaget for disse kategoriene. Lovgivningen kan stille krav til lengre oppbevaringstid enn det som fremgår der.
Kontaktpersoner hos leverandører og kunder
Vi skal slette opplysningene når vi blir kjent med at kontaktpersonen har sluttet hos leverandøren eller kunden eller at leverandøren eller kunden har utpekt en ny kontaktperson. Det samme gjelder når leverandør- eller kundeforholdet er opphørt.
Vi kan likevel lagre opplysningene for en lengre periode hvis vi mener det kan bli nødvendig med dokumentasjon av den kontakten vi har hatt med leverandøren eller kunden. Det kan gjelde for eksempel spørsmål om rettigheter eller forpliktelser i avtaleforholdet med leverandøren eller kunden. Også lovgivningen kan stille krav til lengre oppbevaringstid.
Andre kontaktpersoner
Vi skal slette opplysningene når vi blir kjent med at personen ikke lenger er relevant for våre behov, herunder hvis personen slutter hos den bedriften, offentlig etaten osv.
Vi kan likevel lagre opplysningene for en lengre periode hvis vi mener det kan bli nødvendig med dokumentasjon kontakt med personen eller personens arbeidsgiver. Det kan gjelde for eksempel spørsmål om rettigheter eller forpliktelser i avtale-, offentligrettslige eller andre forhold.
11. Personvernombud
Vi har vurdert om personvernforordningen krever at vår bedrift skal ha personvernombud.
Vi har ingen eller svært få fysiske personer som kunder. Vi driver ikke regelmessig og systematisk monitorering i stor skala av registrerte. For de fleste kategorier av registrerte behandler vi stort sett alminnelige personopplysninger som navn, adresse, arbeidsgiver, epostadresse, telefonnummer o.l. Vi behandler enkelte sensitive opplysninger om ansatte.
Vi har konkludert med at vår bedrift ikke er underlagt krav om å ha personvernombud.
12. Alminnelig risikovurdering
Vi skal risikovurdere behandlingen av personopplysninger. Denne vurderingen skal gjøre at vi er i stand til å identifisere og definere hvilke sikkerhetstiltak vi skal gjennomføre.
Vurderingene skal gjelde sannsynlighet og alvorlighetsgrad (risiko) for personers "rettigheter og friheter", som fysisk skade, skade på ting eller formue og medisinsk skade. Eksempler på skader er diskriminering, identitetstyveri, omdømmeskade, tap av sosial aktelse, at konfidensielle opplysninger blir kjent for uvedkommende og uakseptable inngrep i privatlivets fred.
Kartleggingsskjemaet viser at vi:
- i stor grad behandler bare alminnelige kontaktopplysninger, som navn, adresse, arbeidsgiver, epostadresse, telefonnummer o.l.
- behandler opplysninger om ansatte som er vanlige for å administrere personalforhold, herunder etterlevelse av lovpålagte forpliktelser
- har få eller ingen privatkunder
- ikke behandler opplysninger om barn
- behandler opplysninger som er en del av det å drive alminnelig næringsvirksomhet
Vi har aldri vært utsatt for datainnbrudd. Vi er heller ikke kjent med at utenforstående har vist interesse for de personopplysningene vi behandler. Vi mener derfor at det er liten sannsynlig at opplysningene er utsatt for regelbrudd.
Basert på arten og omfanget av de opplysningene vi behandler, mener vi at konsekvensene ved regelbrudd ikke vil være alvorlige.
Når det gjelder en del av opplysningene om ansatte er både sannsynlighet for og alvoret ved regelbrudd en del større. Vi har derfor egne rutiner for behandling av slike opplysninger, herunder begrensning av tilgang til dem.
Vi skal risikovurdere endringer som kan påvirke informasjonssikkerheten, for eksempel når vi kjøper nye IT-tjenester.
Resultatene av risikovurderinger skal godkjennes av den som har det daglige behandlingsansvaret i bedriften.
13. Informasjonssikkerhet
Vi skal etter loven treffe passende tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som svarer til risikoen knyttet til vår behandling av personopplysninger. Vi skal da ta hensyn til teknikkens stand, gjennomføringskostnadene og behandlingens karakter, omfang og formål, samt sammenhengen den utføres i.
Risikoene våre er vurdert overordnet i punktet ovenfor.
På denne bakgrunn har vi gjennomført disse tiltakene:
- Det er utpekt en person hos oss med særlig oppgave å påse sikkerheten: Økonomi- og Administrasjonssjef
- Uvedkommende skal hindres tilgang til personopplysningene eller utstyr disse er lagret på,
- Det skal sikres at virksomhetens nettverk er beskyttet mot inntrengning fra eksterne nettverk med brannmur som kun slipper gjennom nødvendig datatrafikk,
- Det skal sikres at virksomhetenes nettverk er beskyttet mot uvedkommendes bruk, eksempelvis ved sikring av trådløst nettverk.
- Ekstra tiltak skal iverksettes for spesielt beskyttelsesverdige opplysninger som for eksempel sykemeldinger, opplysninger rundt tilrettelegging av arbeidsplassen, vurderinger av den ansatte, merknader og advarsler.
- Ansatte skal gis opplæring i bruk av virksomhetens IT-system.
14. Avvik, analyse av avvik og tiltak for å rette opp i dem
Vi må finne ut om behandlingen av personopplysninger følger reglene i personopplysningsloven og rutinene i dette dokumentet. Er det ikke tilfellet, må vi finne ut hvordan vi kan øke etterlevelsen. Vi skal dokumentere skriftlig både hvilke avvik vi har funnet og hva vi har gjort for å rette dem opp.
I kartleggingsskjemaet vil svar på spørsmål 15 kunne oppsummere avvik for hver kategori av registrerte. Den som fyller ut skjemaet skal gi beskjed til Daglig Leder om slike avvik. Den som oppdager avviket skal sette i gang umiddelbare tiltak hvis det er nødvendig for å begrense eller hindre vesentlige ulemper eller følgeskader. Den som mottar meldingen skal først vurdere om det er nødvendig med umiddelbare tiltak. Deretter skal vedkommende sørge for at det blir gjennomført tiltak som skal gjøre at avvik ikke skjer igjen.
Viser det seg at rutinene ikke er godt nok tilpasset vår bedrift, bør vi vurdere å endre rutinene, se punkt 18.
15. Kjøp av IT-tjenester – databehandleravtaler
Vanligvis vil vi opptre som behandlingsansvarlig når virksomheten kjøper IT-tjenester fra en tjenesteleverandør. Vi har da fortsatt ansvaret for at personvernlovgivningen blir etterlevd ved kjøp av IT-tjenester, for eksempel HR-løsninger eller kundedatabaser/CRM.
Før vi kjøper IT-tjenester skal vi derfor blant annet vurdere om leverandøren tilfredsstiller de kravene til sikkerhet som personopplysningsloven krever (artikkel 32). Seriøse leverandører vil ofte kunne dokumentere at de oppfyller kravene. Vi må også sørge for å inngå en databehandleravtale som regulerer hvordan databehandleren skal håndtere personopplysningene den mottar fra og behandler på vegne av oss. Leverandører vil ofte ha egne avtaler som oppfyller kravene i regelverket.
Dersom tjenesteleverandøren skal overføre personopplysninger til land utenfor EU/EØS, må det foreligge et lovlig grunnlag for dette.
16. Distribusjon av nettsider
Systemene våre registrerer en rekke generelle data, inkludert personlige data, hver gang du besøker våre nettsider. Følgende data lagres i serverloggfilene våre:
• IP-adresse (muligens i en kortsluttet, anonymisert form)
• Dato og klokkeslett for forespørsel (tidsstempel)
• Be om detaljer og måladresse (protokollversjon, HTTP-metode, henvisning, UserAgent-streng)
• Navn på forespurte filer og overført datamengde (forespurt URL inkludert spørringsstreng, størrelse i byte)
• Melding om spørringen var vellykket (HTTP-statuskode)
• Nettside som sendte forespørselen
• Nettlesertype eller app brukt
• Operativsystem og dets brukergrensesnitt
• Nettleserspråk og versjon
Vi trekker ingen konklusjoner om deg som person når du behandler disse dataene. Vi utfører verken personaliserte analyser eller datavurderinger for profilering.
Behandlingen av personopplysninger er underlagt artikkel 6 nr. 1 lit. f) GDPR. Databehandling er obligatorisk for teknisk å levere nettsidene og sikre stabiliteten og sikkerheten til systemene våre. Dette utgjør også vår legitime interesse. Det er umulig å bruke websidene våre uten slik databehandling, noe som betyr at du ikke har noen mulighet til å motsette deg.
Dataene dine vil bli slettet når du forlater nettsidene våre og avslutter den nåværende økten. IP-adressen din vil bli slettet senest syv dager etter avslutningen av websidebesøket.
17. Bruk av informasjonskapsler
Vi bruker informasjonskapsler på våre nettsider. Informasjonskapsler lagres på datamaskinen din og overføres til nettsidene våre derfra. Informasjonskapsler inneholder en spesifikk sekvens av tegn som gjør det mulig å tydelig identifisere nettlesere for returnerende brukere.
Vi skiller mellom viktige informasjonskapsler (avsnitt 2.1), brukervennlige informasjonskapsler (avsnitt 2.2) og bruksanalyser (avsnitt 2.3).
Du kan konfigurere hvordan informasjonskapsler håndteres av nettleseren din. Du kan endre innstillingene for håndtering av informasjonskapsler i nettleseren din for å deaktivere eller begrense bruken av informasjonskapsler. Informasjonskapsler som allerede er lagret, kan slettes når som helst. Denne prosessen kan også automatiseres. Når informasjonskapsler er deaktivert for websidene våre, kan det hende du ikke lenger kan bruke alle funksjonene som er gitt på sidene våre. Gå til de tilknyttede nettsidene i nettleseren du bruker for mer informasjon:
17.1 Viktige informasjonskapsler
Viktige informasjonskapsler er teknisk nødvendig for at websidene våre skal fungere korrekt. Noen viktige informasjonskapsler sikrer den tekniske stabiliteten til våre nettsider og muliggjør sikkerhetsfunksjoner. Bruk av visse funksjoner (som vogn eller kontaktskjema) ville ikke være mulig uten viktige informasjonskapsler. Det er umulig å bruke nettsidene våre uten slik databehandling, noe som betyr at du ikke har noen mulighet til å motsette deg.
Vi bruker denne typen informasjonskapsler for å forbedre sikkerheten og funksjonaliteten til våre websider og applikasjoner. Viktige informasjonskapsler inneholder ingen personlige data, noe som betyr at ingen IP-adresser eller annen informasjon som tillater sporing av brukere blir registrert. Vi bruker følgende viktige informasjonskapsler:
Cookie | Provider | Purpose | Deleted after | Type |
---|---|---|---|---|
cookieconsent_status | PHP server | Retains the status whether the cookie pop-up is clicked | 7 days | HTTPS |
fe_typo_user | TYPO3 | Retains user status when visiting further pages | 30 days | HTTPS |
PHPSESSID | wwwcertificates.samsongroup.net | Indication of product certificates | Session | HTTPS |
language | wwwcertificates.samsongroup.net | Saves the language selected for product certificates | 180 days | HTTPS |
Behandlingen av personopplysninger ved bruk av viktige informasjonskapsler er underlagt artikkel 6 nr. 1 lit. f) GDPR.
Vi bruker teknisk nødvendige informasjonskapsler for å forenkle bruken av websidene våre. Noen funksjoner på websidene våre kan ikke tilbys uten bruk av informasjonskapsler. Dette krever at nettleseren din blir gjenkjent når du kommer tilbake. Disse formålene utgjør også vår legitime interesse.
Vi bruker ikke brukerdataene som er samlet inn i de teknisk nødvendige informasjonskapslene for å lage brukerprofiler.
17.2 Praktiske informasjonskapsler
Praktiske informasjonskapsler gjør det lettere å bruke websidene våre. De hjelper oss med å gjøre besøket på nettsidene våre så praktisk som mulig, f.eks. ved å tilby en virtuell tur. Vi bruker følgende informasjonskapsler for måling av rekkevidde:
Cookie | Provider | Purpose | Retention period | Type |
---|---|---|---|---|
PHPSESSID | vtc.view3.com | Indication of virtual tour | Session | HTTPS |
cb-enabled | vtc.view3.com | Indication of virtual tour | 1 year | HTTPS |
_ga | view3.com | Indication of virtual tour | 2 years | HTTPS |
_gat | view3.com | Indication of virtual tour | 60 seconds | HTTPS |
_gid | view3.com | Indication of virtual tour | 1 day | HTTPS |
Behandlingen av personopplysninger ved bruk av informasjonskapsler for avstandsmåling styres av ditt samtykke i henhold til artikkel 6 nr. 1 lit. a) GDPR.
17.3 Bruksanalyse-informasjonskapsler
Usage analytics cookies lar oss analysere hvordan du bruker websidene våre. De hjelper oss med å teste effektiviteten på websidene våre og oppdage feil. I tillegg gjør cookies oss i stand til å utføre webanalyse og vise oss hvordan vi kan optimalisere tjenestene våre. Vi bruker følgende bruksanalysecookies:
Behandlingen av personopplysninger ved bruk av bruksanalyse-informasjonskapsler styres av ditt samtykke i henhold til artikkel 6 (1) lit. a) GDPR.se er ditt samtykke i samsvar med art. 6 par. 1 lit. en GDPR.
17.3.1 Matomo
Vi bruker Matomo på våre nettsider, en webanalysetjeneste levert av InnoCraft Ltd., 150 Willis St, 6011 Wellington, New Zealand. Vi bruker Matomo til å analysere bruken av nettsidene våre, samt individuelle funksjoner og tilbud om å optimalisere websidene våre. Matomo er basert på informasjonskapsler som gjør det mulig for oss å analysere bruken av websidene våre, inkludert din IP-adresse.
Anonymiser besøkendes IP-adresser-funksjon er aktivert på våre nettsider. Som et resultat blir IP-adressen din forkortet for videre behandling for å utelukke personlig henvisning.
Behandlingen av data er underlagt artikkel 6 nr. 1 bokstav a) GDPR.
Angrerett
Du har rett til å tilbakekalle ditt samtykke uten å oppgi grunner når som helst for å forhindre bruk av dataene dine i fremtiden. Hvis du ikke er enig i den fremtidige overføringen av dataene dine til Matomo mens du bruker nettsidene våre, kan du deaktivere Matomo helt. For å gjøre dette, deaktiver Matomo i nettleserinnstillingene dine (se avsnitt 2). I dette tilfellet er du kanskje ikke lenger i stand til å bruke hele funksjonen som er tilgjengelig på våre nettsider.
For ytterligere informasjon om Matomo bruksvilkår og databeskyttelsesregler, gå til matomo.org/privacy-policy/.
Det er ingen forpliktelse for deg å oppgi dine personlige data. Å levere data er ikke foreskrevet i lov eller i en kontrakt, og det kreves heller ikke å inngå en kontrakt. Imidlertid kan ikke informasjonen vår hindre deg i å bruke websidene våre eller deres fulle omfang av funksjoner.
18. Integrasjon av eksterne tjenester
18.1 Integrasjon av Google-tjenester
Vi bruker tjenestene som er oppført nedenfor, levert av Google Ireland Limited ("Google"), Gordon House, Barrow Street, Dublin 4, Irland. Som en del av å tilby disse tjenestene kan Google samle inn personopplysninger. Det kan ikke utelukkes at Google også overfører disse dataene til amerikanske servere. For mer informasjon, gå til policies.google.com/privacy/frameworks.
Vi har ingen innflytelse på hvordan Google samler inn hvilke av dine personlige data. I henhold til Googles personvernregler kan følgende personopplysninger samles inn avhengig av Google-tjenesten som brukes (https://policies.google.com/privacy?gl=de&hl=no#infocollect):
• Data om appene, nettleserversjonene og enhetene du bruker for å få tilgang til Google-tjenester
• Unike identifikatorer, nettlesertype og innstillinger, enhetstype og innstillinger, operativsystem, informasjon om mobiltelefonnettverket (navnet på mobiltjenesteleverandøren, telefonnummer, appversjonsnummer)Data on how your apps, browser and devices samhandle med Google-tjenester (for eksempel IP-adresse, krasjrapporter, systemaktiviteter samt dato, klokkeslett og lenke-URL for forespørselen din).
• Aktivitetsdata (f.eks. Søkeord du skriver inn, videoer du ser på, innhold og annonser du ser på og samhandler med)
• Stedsdata
Mer informasjon om hvordan Google bruker informasjon fra nettsteder eller apper som bruker Google-tjenester, finner du på policies.google.com/technologies/partner-sites.
Gå til Googles personvernregler som er tilgjengelig på policies.google.com/privacy for informasjon om omfanget og formålet med databehandling fra Google og dine relaterte rettigheter og mulige innstillinger for å beskytte personvernet ditt. Gå til safety.google/privacy/privacy-controls/ for informasjon om hvordan du kan kontrollere personverninnstillingene dine.
18.1.1 Google Maps
Vi bruker Google Maps. Google Maps er en nettkartleggingstjeneste som er ment å gjøre det mulig å raskt finne stedene som er nevnt på websidene våre. Når du bruker Google Maps, kan Google behandle data om din bruk av kartfunksjonene på våre nettsider.
Behandlingen av data er underlagt artikkel 6 nr. 1 bokstav a) GDPR.
Angrerett
Du har rett til å tilbakekalle ditt samtykke uten å oppgi grunner til enhver tid. Hvis du ikke er enig i den fremtidige overføringen av dataene dine til Google mens du bruker Google Maps, kan du deaktivere Google Maps-nettjenesten fullstendig. For å gjøre dette, deaktiver JavaScript i nettleserinnstillingene. I dette tilfellet vil du ikke lenger kunne bruke Google Maps og kartvisningen.
Det er ingen forpliktelse for deg å oppgi dine personlige data. Å levere data er ikke foreskrevet i lov eller i en kontrakt, og det kreves heller ikke å inngå en kontrakt. Imidlertid kan ikke informasjonen vår hindre deg i å bruke websidene våre eller deres fulle omfang av funksjoner.
18.1.2 YouTube
Våre nettsider inkluderer innhold levert av YouTube-videoplattformtjenesten. YouTube er en tjeneste levert av YouTube LLC ("YouTube"), 901 Cherry Ave., San Bruno, CA 94066, USA. YouTube LLC er et datterselskap av Google Ireland Limited ("Google"), Gordon House, Barrow Street, Dublin 4, Irland.
YouTube-integrasjon er implementert ved å legge tjenesten inn på websidene våre som iFrames. Når du laster iFrames, kan det ikke utelukkes at YouTube eller Google kan behandle dine personlige data og overføre dem til en server i et tredjeland.
Informasjon om Googles eksisterende personvernskjerming-sertifisering og ytterligere informasjon om Googles databehandling mens du bruker Google-tjenester, finner du i avsnitt 3.1 (Integrering av Google-tjenester) i denne personvernpolitikken. Vi inkluderer YouTube-innhold på våre nettsider for å gjøre forskjellige videoer tilgjengelige for deg direkte på våre nettsider, slik at du ikke trenger å se dette innholdet separat på YouTube. Dette gjør at vi kan optimalisere sidene våre og gjøre brukeropplevelsen mer interessant. Dette utgjør også vår legitime interesse. Behandlingen av personopplysninger er underlagt artikkel 6 nr. 1 lit. f) GDPR.
Angrerett
Du har rett til å motsette deg behandlingen av dine personopplysninger. Du kan når som helst sende oss din innsigelse, for eksempel via e-post til privacy-de (at) samsongroup.com. Vi behandler ikke lenger personopplysningene dine med mindre vi kan demonstrere tvingende legitime grunner for behandlingen som overstyrer dine interesser, rettigheter og friheter eller for etablering, utøvelse eller forsvar av juridiske krav.
Det er ingen forpliktelse for deg å oppgi dine personlige data. Å levere data er ikke foreskrevet i lov eller i en kontrakt, og det kreves heller ikke å inngå en kontrakt. Imidlertid kan ikke informasjonen vår hindre deg i å bruke websidene våre eller deres fulle omfang av funksjoner.
18.2 Integrering av ytterligere tjenester
18.2.1 Open street maps
Vi bruker Leaflet Open Street Maps (https://leafletjs.com/) for å illustrere kartinformasjon på våre nettsider. Å bruke Leaflet innebærer behandling av Leaflet sine data om kartbruk. Vi bruker tjenesten for å presentere attraktive nettsider og gjøre det enkelt å finne stedene som er spesifisert på sidene våre.
Behandlingen av data er underlagt artikkel 6 nr. 1 lit. a) GDPR.
Du har rett til å tilbakekalle ditt samtykke uten å oppgi grunner til enhver tid. Hvis du ikke er enig i den fremtidige overføringen av dataene dine til Leaflet mens du bruker Open Street Maps, kan du deaktivere nettjenesten fullstendig. For å gjøre dette, deaktiver JavaScript i nettleserinnstillingene dine (se avsnitt 2). I dette tilfellet vil du ikke kunne bruke Open Street Maps og kartvisningen.
For mer informasjon, se Leaflet-nettstedet på leafletjs.com.
Det er ingen forpliktelse for deg å oppgi dine personlige data. Å levere data er ikke foreskrevet i lov eller i en kontrakt, og det kreves heller ikke å inngå en kontrakt. Imidlertid kan ikke informasjonen vår hindre deg i å bruke websidene våre eller deres fulle omfang av funksjoner.
19. Brudd på personopplysningssikkerheten
Ved brudd på personopplysningssikkerheten (for eksempel hackerangrep eller tap av personopplysninger) skal vi straks kontakte Datatilsynet for å finne ut hva vi bør gjøre.
"Brudd på personopplysningssikkerheten" betyr brudd som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som vi behandler.
Ved visse brudd på personopplysningssikkerheten skal vi varsle Datatilsynet og av og til også den registrerte. Varsling til Datatilsynet skal skje med én gang, og senest 72 timer etter at vi ble kjent med bruddet. Det er ikke nødvendig å varsle Datatilsynet hvis det er lite trolig at bruddet på personopplysningssikkerheten vil føre med seg risiko for enkeltpersoners rettigheter. Et eksempel er der et sikkerhetsbrudd har ført til at uvedkommende har fått tilgang til personopplysninger som allerede er offentlig tilgjengelige.
Vi har plikt til å varsle den registrerte dersom det er trolig at bruddet på personopplysningssikkerheten vil medføre høy risiko for enkeltpersonenes rettigheter og friheter. Vi mener at vår behandling av personopplysninger bare helt unntaksvis kan føre til slik risiko.
Vi skal dokumentere eventuelle brudd på personopplysningssikkerheten. Dette gjør vi ved å beskrive de faktiske forholdene rundt bruddet ("Hva har skjedd?"). I tillegg skal vi beskrive virkningene av bruddet og hvilke tiltak som er truffet for å avhjelpe bruddet. Denne dokumentasjonen skal gjøre det mulig for Datatilsynet å kontrollere at virksomheten har etterlevd kravene i loven.
20. Vurdering av personvernkonsekvenser og forhåndskonsultering med Datatilsynet
Vi skal utrede personvernkonsekvensene når den planlegger en behandling av personopplysninger som sannsynligvis vil utgjøre høy risiko for personers rettigheter, som retten til personvern. I vurderingen av om det er nødvendig med en slik utredning skal vi ta hensyn til arten, omfanget, sammenhengen og formålet med behandlingen. Den skal også ta hensyn til om den benytter ny teknologi.
Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: Systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser, behandling av sensitive personopplysninger i stort omfang eller systematisk overvåking av offentlig område i stort omfang.
I tilfellene ovenfor skal vi sette oss inn i de særlige reglene som gjelder, blant annet om at Datatilsynet av og til skal involveres i forhåndsdrøftelser.
21. Kontroll, oppdatering og revisjon av dokumentet
Vi skal oppdatere og revidere dette dokumentet jevnlig. Bakgrunnen er blant annet at reglene i lov og forskrift kan bli endret, vår behandling av personopplysninger kan bli endret eller erfaringer kan tilsi at vi bør endre rutinene våre. Av de samme grunnene skal vi også jevnlig gjennomgå og oppdatere skjemaene med kartlegging av behandling av personopplysninger.
Det er Økonomi- og Administrasjonssjef som har ansvar for at behov for endringer og revisjoner blir identifisert og innarbeidet i dokumentet og i skjemaet. Dette skal gjøres årlig, i forbindelse med ledelsens gjennomgang
Evalueringen bør omfatte for eksempel på følgende spørsmål:
• Har vi siden forrige revisjon endret (nye, endrede eller avsluttede) behandlinger av personopplysninger som ikke er behandlet i dokumentet eller i skjemaene?
• Tilsier de seks grunnkravene til behandling av personopplysninger at vi bør endre rutiner eller praksis?
• Har det siden forrige revisjon trådt i kraft nye regler i lov eller forskrift som tilsier endringer?
• Har virksomheten siden forrige revisjon oppdaget andre områder for forbedring av dokumentet eller skjemaene?
• Har det kommet ny teknologi som gjør at personopplysninger kan sikres på en bedre måte