Retningslinjer for personvern
1. Introduksjon
Pellerin AS (Selskapet) har implementert disse retningslinjene for å sikre overholdelse av lov av 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven), som gjennomfører forordning (EU) 2016/679 (GDPR). Daglig Leder er ansvarlig for Selskapets overholdelse av disse retningslinjene.
Selskapet behandler personopplysninger når det er nødvendig for å oppfylle avtaleforpliktelser som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før avtaleinngåelse. Selskapet behandler også personopplysninger dersom det er nødvendig for å oppfylle en rettslig forpliktelse som påhviler Selskapet. Dette omfatter, men er ikke begrenset til; Oppfyllelse av avtaleforpliktelse knyttet til kundeforhold, rådgivning, oppfølgning og tilbud, etablering av kundeprofil, håndtering av kundeservice, elektronisk markedsføring, overholdelse av norsk lovgivning, samt kampanjer og undersøkelser.
I forbindelse med disse aktivitetene behandler Selskapet følgende kategorier av personopplysninger; Navn, fakturaadresse, e-postadresse, telefonnummer, anleggsadresse, fødsels- og personnummer. Selskapet inngår fortrinnsvis avtaler innenfor B2B-markedet. Hovedvekten av registrerte vil derfor ha tilknytning til en juridisk person eller annen næringsvirksomhet.
Selskapet skal gjennomgå og oppdatere disse retningslinjene ved behov. I den utstrekning det er nødvendig skal Selskapet gjennomføre tekniske og organisatoriske tiltak for å sikre overholdelse av disse retningslinjene, personopplysningsloven og GDPR. Slike tiltak skal være forholdsmessige sett opp mot behandlingen og risikoen relatert til slik behandling.
Basert på Selskapets nåværende behandling av personopplysninger, og i lys av behandlingens art, sammenheng, omfang og formål, anser Selskapet det som usannsynlig at behandlingen vil resultere i risiko for fysiske personers rettigheter og friheter.
2. Personvernprinsipper
Personopplysningsloven oppstiller syv grunnleggende prinsipper som Selskapet skal følge ved innsamling, behandling og håndtering av personopplysninger. Selskapet skal behandle personopplysninger i samsvar med disse prinsippene som er nærmere beskrevet nedenfor.
2.1 Lovlighet, rettferdighet og åpenhet
«Personopplysninger skal behandles på en lovlig, rettferdig og åpen måte med hensyn til den registrerte.»
Personopplysningsloven krever at all behandling av personopplysninger skal være lovlig og rettferdig. For at behandlingen skal være lovlig må behandlingen ha et behandlingsgrunnlag. Behandlingsgrunnlaget for Selskapets behandlingsaktiviteter vil hovedsakelig være (i) lov, (ii) rettslige forpliktelser som Selskapet er underlagt, (iii) at behandling er nødvendig i forbindelse med avtale eller intensjon om å inngå avtale med den registrerte, eller (iv) Selskapets berettigede interesser.
Videre krever personopplysningsloven åpenhet om behandlingen for de berørte fysiske personer, og åpenhet om i hvilken grad personopplysninger behandles eller vil behandles. Prinsippet om åpenhet skal også sikre at de registrerte er kjent med sine rettigheter og sette dem i stand til å gjøre bruk av disse rettighetene.
Selskapet behandler personopplysninger dersom den registrerte har samtykket til behandling av sine personopplysninger for ett eller flere spesifikke formål som fastsatt under punkt 2.2, jf. GDPR art. 6 bokstav a.
Selskapet behandler personopplysninger som er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før avtale inngås, jf. GDPR art. 6 bokstav b.
Selskapet behandler personopplysninger som er nødvendig for å oppfylle en rettslig forpliktelse som påhviler Selskapet, jf. GDPR art. 6 bokstav c.
Selskapet behandler personopplysninger som er nødvendige for formål knyttet til de berettigede interessene som forfølges av Selskapet eller en tredjepart. Den registrertes interesser eller grunnleggende rettigheter anses ikke å gå foran disse interesser, jf. GDPR art. 6 bokstav f.
Hvorvidt de ovennevnte vilkår er oppfylt vil vurderes konkret ved den enkelte behandling.
2.2 Formålsbegrensning
«Personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene».
Ethvert formål for behandling av personopplysninger må identifiseres og beskrives presist. Prinsippet om formålsbegrensning gir også anvisning på at behandling av personopplysninger bare er tillatt i den grad det skjer i overenstemmelse med det opprinnelige formålet som dataene ble innhentet for. Behandling for et annet formål på et senere tidspunkt krever særskilt behandlingsgrunnlag, som for eksempel samtykke.
Selskapet behandler den registrertes personopplysninger for følgende formål:
Oppfyllelse av avtaleforpliktelse knyttet til kundeforhold: Dersom den registrerte er kunde hos Selskapet, benyttes den registrertes opplysninger til å fakturere for kjøpte varer og tjenester, samt bistå ansatte hos Selskapets kunder med oppdrag, support og reklamasjoner.
Gi relevante råd, oppfølginger og tilbud: Selskapet er konstant i utvikling. Det må tilpasse seg markedet og kundenes ønsker. Som en naturlig del av denne utviklingen, vil det komme nye produkter, endringer i eksisterende produkter eller andre forhold som gjør at Selskapet ønsker å kontakte den registrerte eller virksomheten den registrerte har tilknytning til som kunde. Til dette benytter Selskapet den registrertes kontaktinformasjon. Når Selskapet sender informasjon til den registrerte, kan Selskapet benytte eksterne tjenester og tilbydere for utsendingen.
Etablere kundeprofil: Dersom den registrerte eller virksomheten den registrerte har tilknytning til, ønsker å starte et kundeforhold med Selskapet, vil Selskapet etablere en kundeprofil basert på informasjonen den registrerte gir til Selskapet. Dette skjer i Selskapets kundeoppfølgingssystem. Systemet benyttes også til fakturering.
Kundeservice: Dersom den registrerte kontakter Selskapet via e-post, telefon eller sms, vil aktiviteten og innholdet logges i Selskapets kundesystemer. Selskapet logger blant annet hvor lang tid det bruker å svare på telefonen og hvem det er som legger på samtalen. Dette er for å sikre kvaliteten i Selskapets kundeservice slik at den registrerte alltid behandles på best mulig måte ved kontakt med Selskapet. Selskapet tar også notater under kundebehandlingen slik at det er lettere for en ny saksbehandler å hjelpe den registrerte dersom den ringer igjen om samme sak.
Elektronisk markedsføring etter kundeforholdet har opphørt: Dersom den registrerte har samtykket til det, vil Selskapet oppbevare den registrertes opplysninger også etter avsluttet kundeforhold. Dette kan være for å kontakte den registrerte dersom Selskapet ser endringer i produkter og markeder kan føre til at den registrerte vil være bedre tjent med å komme tilbake til Selskapet. Dette samtykket, dersom det gis, kan når som helst trekkes tilbake. Samtidig, på tilsvarende grunnlag, kan Selskapet med den registrertes samtykke oppbevare kontaktinformasjon, med det formål å markedsføre Selskapets produkter og tjenester overfor den registrerte.
Kampanjer og undersøkelser: Dersom den registrerte deltar i kampanjer eller undersøkelser, kan det Selskapet samle kontaktinformasjon for det formål å kontakte den registrerte dersom vedkommende vinner en premie.
2.3 Dataminimering
«Personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for».
Selskapet skal sørge for at kun personopplysninger som er nødvendig for hvert spesifikt formål behandles (i form av mengden personopplysninger som innhentes, omfanget av behandlingen, lagringsperiode og tilgjengelighet).
2.4 Riktighet
«Personopplysninger skal være korrekte og om nødvendig oppdaterte».
Selskapet skal sørge for at ethvert rimelig tiltak treffes for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller rettes.
2.5 Lagringsbegrensning
«Personopplysninger skal lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for».
Dette krever særlig at det sikres at den tidsperioden personopplysninger lagres for er begrenset til et strengt minimum. For å sikre at personopplysninger ikke oppbevares lenger enn nødvendig, bør Selskapet fastsette klare frister for sletting eller periodisk gjennomgang.
I forbrukerforhold sletter Selskapet opplysningene det lagrer den registrerte rutinemessig 6 måneder etter avslutning av kundeforhold. Merk at Selskapet kan be om den registrertes samtykke til å oppbevare kontaktdetaljer lengre for å kunne kontakte den registrerte i ettertid.
I forretninger mellom selskaper hvor dine personopplysninger inngår, vil disse bli gjenstand for oppbevaring
Enkelte opplysninger vil vi være lovpålagt å oppbevare i opptil 5 år etter at kundeforholdet er avsluttet, jf. bokføringsloven og regnskapsloven.
Dersom det er formålstjenlig vil Selskapet anonymisere den registrertes personopplysninger, slik at de ikke lengre kan knyttes til en fysisk person, men fremdeles vil kunne benyttes av Selskapet til for eksempel anonymisert historikk eller statistikk.
For å kunne hjelpe den registrerte med reklamasjon, samt imøtekomme lovmessige krav til bokføring og regnskapsføring, vil opplysningene oppbevares i regnskapet etter til enhver tid gjeldende krav fra myndighetene. Bokføringsloven § 13 annet ledd fastsetter at slike opplysninger kan oppbevares i minimum 5 år. Oppbevaringen har lovlig behandlingsgrunnlag etter GDPR art. 17 nr. 3 bokstav b.
Dersom den registrerte kontakter kundeservice angående kundeforholdet hos Selskapet tar Selskapet notater om de sakene som bringes inn. Disse notatene oppbevarer Selskapet gjennom hele kundeforholdet og i inntil 36 måneder etter kundeforholdet er avsluttet. Dette er for å kunne bistå den registrerte med spørsmål eller andre momenter etter kundeforholdet er avsluttet.
Dersom den registrerte selv velger å sende inn opplysninger til en av Selskapets fellesbetjente e-postbokser vil disse bli lagret i inntil 12 måneder. Selskapet lagrer jobbsøknader i inntil 24 måneder i tilfelle ledige stillinger skulle oppstå på et senere tidspunkt.
Selskapet har behov for å bevare relevant kommunikasjon for å kunne forsvare seg mot eventuelle fremtidige rettskrav, jf. GDPR artikkel 17 nr. 3 bokstav e. For enkle pengekrav er foreldelsesfristen 3 år. I tilfeller av ykesskade kan foreldelsesfristen være 20 år. Ulike foreldelsesfrister kommer til anvendelse, som et minimum er foreldelsesfristen 3 år, jf. foreldelsesloven § 2. Det innebærer at alle opplysninger og kommunikasjon den registrerte sender til Selskapet vil kunne bli vurdert for oppbevaring i minimum 3 år.
All e-post havner i Selskapets backup-rotasjon. Dette kan medføre lagring i lengre tid. Opplysningene lagres normalt i 30-45 dager og maksimalt inntil 36 måneder. Dersom den registrerte begjærer sine opplysninger slettet eller rettet, vil Selskapet påse at dette også skjer ved en eventuell gjenoppretting fra backup. Utover dette vil den registrertes data slettes automatisk ved naturlig rotasjon i backup.
2.6 Integritet og konfidensialitet
«Personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak».
Personopplysninger skal beskyttes mot uautorisert tilgang gjennom tilfredsstillende organisatoriske og tekniske tiltak. Selskapet er ansvarlig for at personopplysninger oppbevares trygt, er beskyttet mot både eksterne og interne trusler, og at det iverksettes egnede tiltak for å sikre at personopplysninger er beskyttet med hensyn til konfidensialitet, integritet og tilgjengelighet.
2.7 Ansvar
«Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at prinsippene overholdes»
Ansvarsprinsippet oppstiller en forpliktelse for Selskapet om å være ansvarlig for etterlevelse av personopplysningsloven, og om å kunne dokumentere dette. På bakgrunn av dette prinsippet må Selskapet være i stand til å dokumentere etterlevelse, ved eksempelvis å protokollere sine beslutninger i samsvar Selskapets interne retningslinjer og prosedyrer.
2.8 Rettigheter
Den registrerte har rett til innsyn i personopplysningene Selskapet har lagret om vedkommende.
Den registrerte har rett til korrigering dersom Selskapet har lagret om vedkommende personopplysningene er feilaktige.
Den registrerte har rett til sletting av personopplysningene Selskapet har lagret om vedkommende.
Den registrerte har rett til å trekke tilbake samtykket.
Den registrerte har rett til å få informasjon om hvordan Selskapet behandler personopplysningene til vedkommende.
Dersom den registrerte er uenig i måten Selskapet behandler personopplysninger på, kan det sendes klage til Datatilsynet. Selskapet vil sette pris på om den registrerte først henvender seg til Selskapet, slik at eventuelle misforståelser kan oppklares.
3. Endringer
Selskapet vil oppdatere personvernerklæringen ved behov. Den registrerte vil bli varslet ved vesentlige endringer. Den siste versjonen av personvernerklæringen finnes alltid på vår nettside.
4. Kontaktinformasjon
Ta gjerne kontakt med oss dersom du har spørsmål, kommentarer eller ønsker å gjøre bruk av dine rettigheter. Du kan bruke følgende kontaktinformasjon:
Pellerin AS
Strandgata 8, 9154 Tromsø
E-post: post@pellerin.no
Telefon: +47 77 75 55 00
