Personvernerklæring

Personopplysninger som behandles

Som behandlingsansvarlig

Den som avgjør at personopplysninger skal behandles og hvordan opplysningene skal behandles, er behandlingsansvarlig etter personvernregelverket. Dette i motsetning til den som behandler personopplysninger på vegne av andre behandlingsansvarlige, som da er databehandler.

Vi er behandlingsansvarlig for all behandling som omtales nedenfor, om det ikke er presisert at vi er databehandler for våre kunder. Vår behandling som behandlingsansvarlig av personopplysninger er basert på den virksomhet vi driver og formålet med vår virksomhet, se mer nedenfor om formålet med behandling av personopplysninger.

Merk at vi kan behandle personopplysninger om samme person i flere sammenhenger nedenfor. Vi kan også behandle personopplysninger på andre måter enn nevnt nedenfor, men da vil vi informere de registrerte på andre måter enn gjennom denne personvernerklæringen.

Kontaktpersoner hos kunder, leverandører og andre forretningskontakter

Vi behandler opplysninger om kontaktpersoner hos eksisterende kunder, leverandører og forretningsforbindelser for at vi skal kunne ha kontakt med personer i selskapene i forbindelse med avtaler og forhold vi har med selskapene. Vi behandler da kontaktopplysninger som navn, tittel, epostadresse og telefonnummer. Dersom kontaktpersoner hos kunder foretar bestillinger per e-post, telefon, i møte eller direkte i vår webshop, vil det også behandles personopplysninger i tilknytning til dette.

Vi behandler også kontaktopplysninger knyttet til potensielle kunder, leverandører og forretningsforbindelser. Her behandler vi kontaktopplysninger som navn, tittel, epostadresse og telefonnummer på personer som arbeider i selskaper som kan bli kunde, leverandør eller forretningsforbindelse for oss. Vi kan også registrere opplysninger knyttet til dialog med kontaktpersonen og med selskapet denne arbeider i.

Vi har også kommunikasjon med eksisterende og potensielle kontaktpersoner, og det vil da behandles personopplysninger i tilknytning til epostkommunikasjon og kommunikasjon i andre kanaler som benyttes for slik kommunikasjon.

Behandlingen av personopplysninger knyttet til kontaktpersoner er basert på at vi har en berettiget interesse som virksomhet til å behandle personopplysninger om kontaktpersoner hos våre forretningspartnere. Dette grunnlaget finnes i personvernforordningen artikkel 6 nr. 1 bokstav f. Vi har vurdert at vi kan benytte berettiget interesse som grunnlag siden omfanget og sensitiviteten i personopplysninger som behandles er begrenset (kun kontaktopplysninger og opplysninger knyttet til virksomheten hvor vedkommende arbeider) slik at behandlingen er lite personverninngripende. Vi har også iverksatt tiltak for å sikre at disse opplysningene behandles på en tilstrekkelig sikker måte.

Andre som kontakter oss

Når personer kontakter oss, vil vi kunne behandle personopplysninger om vedkommende. Dette kan være kontaktopplysninger om vedkommende, samt bakgrunnen for at vedkommende kontaktet oss. Etter vi har avklart hvorfor vedkommende kontaktet oss, vil opplysningene om vedkommende slettes, om ikke opplysningene beholdes av andre grunner, som at vi vil kontakte vedkommende senere eller at vedkommende er blitt kunde, leverandør eller annen forretningsforbindelse.

Behandlingen av personopplysninger knyttet til kontaktpersoner er basert på at vi har en berettiget interesse som virksomhet til å håndtere henvendelser til oss. Dette grunnlaget finnes i personvernforordningen artikkel 6 nr. 1 bokstav f. Vi har vurdert at vi kan benytte berettiget interesse som grunnlag siden omfanget og sensitiviteten i personopplysninger som behandles er begrenset, og at vedkommende som kontakter oss selv avgjør hvilke opplysninger denne gir oss. Behandlingen er derfor lite personverninngripende, og i den registrertes kontroll. Vi har også iverksatt tiltak for å sikre at disse opplysningene behandles på en tilstrekkelig sikker måte.

Kommunikasjon med våre kunder, leverandører og andre

I vår kontakt med de vi samarbeider med i det daglige, benytter vi epost, telefon og andre løsninger for kommunikasjon (som videokonferanse, Skype, Teams mv.). I slik kommunikasjon blir det både lagret og behandlet personopplysninger. Vi vil oppbevare slike personopplysninger så lenge det er nødvendig for vår behandling, og deretter slettes etter våre rutiner.

Behandlingen av personopplysninger knyttet til kommunikasjon er basert på at vi har en berettiget interesse for å kommunisere som en del av virksomheten vår. Dette grunnlaget finnes i personvernforordningen artikkel 6 nr. 1 bokstav f. Vi har vurdert at vi kan benytte berettiget interesse som grunnlag siden omfanget og sensitiviteten i personopplysninger som behandles er begrenset, og at opplysninger er begrenset til den aktuelle kommunikasjonsløsning. Det er også begrenset tilgang for uvedkommende, siden det er kun mottaker av epost mv. som har tilgang til sin egen epost. Behandlingen er derfor lite personverninngripende, og i den registrertes kontroll. Vi har også iverksatt tiltak for å sikre at disse opplysningene behandles på en tilstrekkelig sikker måte.

Jobbsøkere og ved rekruttering

For å kunne rekruttere personer behandler vi opplysninger om potensielle kandidater for jobber hos oss og om de som søker jobber hos oss. Personopplysninger som behandles i denne sammenheng vil være de opplysningene som jobbsøker gir oss gjennom bl.a. søknad, CV, vitnemål og attester. I tillegg til opplysninger som gis gjennom eventuelle intervju, vil vi også gjennomføre egne undersøkelser, som undersøkelser på internett, samtaler med jobbsøkerens referanser mv.

Etter vi har besatt en konkret jobb, sletter vi personopplysningene om søkere som ikke fikk jobben. For potensielle kandidater behandler vi kontaktopplysninger om vedkommende inntil vi avklarer om vedkommende kan være interessert i jobb hos oss.

Behandlingen av personopplysninger ved jobbsøking og rekruttering er basert på at vi har en berettiget interesse som virksomhet til å behandle personopplysninger i tilknytning til at vi ansetter nye medarbeidere. Dette grunnlaget finnes i personvernforordningen artikkel 6 nr. 1 bokstav f. Selv om det kan være en del personopplysninger ved jobbsøking og rekruttering, har vi vurdert at vi kan benytte berettiget interesse som grunnlag siden vi har iverksatt tiltak for å sikre at opplysningene behandles på en tilstrekkelig sikker måte, er kun tilgjengelig for de som har tjenstlig behov for opplysningene, og at opplysningene slettes etter rekruttering er gjennomført. I tillegg vil opplysninger kunne behandles som en følge av at det skal inngås en avtale med en jobbsøker (arbeidsavtale), som kan behandles etter personvernforordningen artikkel 6 nr. 1 bokstav b.

Deltakere på våre arrangementer

Vi behandler personopplysninger om de som deltar på våre arrangementer, som vil være personer hos kunder, leverandører og andre forretningsforbindelser.

Opplysningene blir behandlet både for å gjennomføre arrangementene, samt for å varsle tidligere deltakere og interessenter om arrangementer. Vi behandler da kontaktopplysninger om personene, som navn, arbeidssted, tittel, epostadresse og telefonnummer, samt hvilket arrangement vedkommende deltok på.

Vi sletter opplysningene etter to år etter avholdt arrangement, siden vi vil invitere personer som har deltatt på våre arrangementer igjen etter de har deltatt på ett av våre arrangementer.

Personopplysninger knyttet til arrangementer behandles både for å gjennomføre en avtale med de registrerte (personvernforordningen artikkel 6 nr. 1 bokstav b) om å delta på arrangement vi arrangerer, og for at vi har en berettiget interesse (personvernforordningen artikkel 6 nr. 1 bokstav f) som virksomhet til å arrangere arrangementer for å gjøre vår virksomhet og produkter kjent og markedsføre oss, samt å knytte nettverk. Vi har vurdert at vi kan benytte berettiget interesse som grunnlag siden omfanget og sensitiviteten i personopplysninger som behandles er begrenset (kun kontaktopplysninger og arrangementet vedkommende skal eller har deltatt på) slik at behandlingen er lite personverninngripende. Vi har også iverksatt tiltak for å sikre at disse opplysningene behandles på en tilstrekkelig sikker måte.

For å sikre at deltakere med allergier og intoleranse for mat mv., vil vi innhente informasjon fra enkelte om de har allergier eller intoleranse. Dette er å anse som såkalte særlige kategorier personopplysninger, siden dette er helseopplysninger, og vi ber derfor om samtykke for å behandle disse opplysningene. Vi overlater ikke opplysningene videre til våre samarbeidspartnere, som medarrangører, catering, hoteller mv., men gir kun informasjon om hvor mange som har allergier mv. og hva slags allergier det gjelder. Vi sletter også disse opplysningene rett etter arrangementet er gjennomført.

Utsendelse av nyhetsbrev

Vi sender informasjon og nyhetsbrev til våre kunder, forretningsforbindelser og andre interessenter, og behandler i den forbindelse navn og epostadressen til de som har samtykket til å motta varsler. Epostadressen vil kun bli behandlet og beholdt så lenge de som har samtykket til å motta varsler ønsker dette. Melder en seg av nyhetsbrevet, vil epostadressen og annen informasjon i tilknytning til denne slettes umiddelbart.

Behandling av personopplysningene (dvs. epostadresse) skjer på grunnlag av en avtale med de som har ønsket varsling om å sende varsler og nyhetsbrev, jf. GDPR artikkel 6 nr. 1 bokstav b. For personer som vi ikke har et eksisterende kundeforhold til, vil vi også innhente samtykke for å kunne sende ut informasjon per e-post og/eller på SMS.

Undersøkelser

Vi gjennomfører til tider undersøkelser knyttet til vår virksomhet, hvor formålet er å få informasjon fra interessenter om våre produkter og tjenester, og eventuelt annet som kan være aktuelt (og er da informert om i undersøkelsen). Opplysninger fra undersøkelser blir ikke delt med andre, foruten på et aggregert og anonymisert nivå.

Behandlingen av personopplysninger ved undersøkelser er basert på at vi har en berettiget interesse som virksomhet om å innhente informasjon fra kunder, leverandører og andre interessenter. Dette grunnlaget finnes i personvernforordningen artikkel 6 nr. 1 bokstav f. Vi har vurdert at vi kan benytte berettiget interesse som grunnlag siden omfanget og sensitiviteten i personopplysninger som behandles er begrenset. Behandlingen er derfor lite personverninngripende, og vi har også iverksatt tiltak for å sikre at disse opplysningene behandles på en tilstrekkelig sikker måte.

Opplysninger samlet inn fra undersøkelser lagres kun inntil vi har laget en rapport fra undersøkelsen, og blir deretter slettet.

Brukere av våre nettsider

Vi behandler opplysninger om besøkende på våre nettsider, men slike opplysninger vil ikke kunne knyttes til enkeltpersoner og er derfor ikke personopplysninger. For bruk av informasjonskapsler (cookies) og tilsvarende teknologier, se vår Cookie-policy.

Som databehandler

Vi fungerer som databehandler for enkelte av våre kunder, som vil si at vi behandler personopplysninger på vegne av kundene. Der hvor vi yter bistand til våre kunder relatert til implementering, konfigurasjon eller forvaltning av IT-systemer, vil vi kunne behandle personopplysninger på vegne av våre kunder.

Kontakter du oss på vår support-telefon, så vil vi håndtere henvendelsen på vegne av våre kunder.

Kundene er da behandlingsansvarlig, og du må kontakte den kunden som er behandlingsansvarlig for å benytte deg av dine rettigheter som bl.a. å be om informasjon om behandling eller innsyn i dine personopplysninger. Tar du kontakt med oss om dine personopplysninger som vi behandler på vegne av en kunde, vil vi sende din henvendelse videre til kunden som behandlingsansvarlig.

Vi har inngått databehandleravtale med alle våre kunder som vi er databehandlere for, som sikrer behandling av personopplysninger på en lovlig måte.

Behandlingen av personopplysninger

Formål

Vi behandler kun personopplysninger innenfor det formålet som lå til grunn for den opprinnelige innsamlingen av personopplysningene. Ovenfor er det angitt hvorfor vi behandler personopplysninger knyttet til de enkelte grupper personer.

Prinsipper for behandling

Vi følger prinsippene for at vår behandling av personopplysninger skal skje på en sikker måte som minimerer bruken av personopplysninger. Dette omfatter:

  • Vi samler inn og behandler kun de opplysninger som er nødvendig for formålet de ble samlet inn for (dataminimering)
  • Personopplysninger som samles inn og behandles, gjøre kun for spesifikke, uttrykkelig angitte og berettigede formål, og vi viderebehandler ikke personopplysninger som er uforenelige med disse formålene (formålsbegrensning)
  • Vi lagrer ikke personopplysningene lenger enn nødvending (lagringsbegrensning)
  • Vi behandler kun personopplysninger selv eller benytter oss av databehandlere som vi har inngått databehandleravtale med. Dersom vi overfører personopplysninger, følger det av denne personvernerklæringen eller av informasjon som gis til de registrerte i det enkelte tilfelle, om vi ikke har plikt til å overføre personopplysninger etter lovregulering (som til offentlige myndigheter).

Grunnlag for behandling

Grunnlaget vi har for behandling av personopplysninger er tatt inn under de enkelte behandlingene, se ovenfor om «Personopplysninger som behandles».

Overføring og utlevering

Vi utlever ikke personopplysninger til andre enn våre leverandører som behandler personopplysninger på vegne av oss (databehandlere) etter inngåtte databehandleravtaler.

I enkelte tilfeller vil vi utlevere personopplysninger til andre, som offentlige myndigheter, og da vil utlevering enten skje som følge av at vi er underlagt lovmessig plikt til å utlevere opplysningene, at vi gjør det etter avtale med de som opplysningene gjelder (de registrerte) eller vi gjør det på grunnlag av samtykke fra de opplysningene gjelder.

Behandlingssted

Vi behandler personopplysninger primært innenfor EØS-området. Dersom vi unntaksvis overfører personopplysninger ut av EØS-området, gjør vi det kun på grunnlag av godkjente overføringsgrunnlag etter GDPR. Slik overføring vil kun skje til databehandlere som vi har inngått databehandleravtale med.

Sikkerhet ved behandling

For alle personopplysninger som vi behandler iverksetter vi tekniske og organisatoriske tiltak for å sikre konfidensialiteten, integriteten og tilgjengelighet, slik at ingen får uautorisert tilgang til opplysningene, at opplysningene ikke blir utilsiktet endret eller slettet og at opplysningene er tilgjengelig når det er behov for dem.

Sletting

Vi sletter personopplysninger dersom grunnlaget for behandlingen ikke lenger foreligger, eller om personopplysningene ikke lenger er nødvendig for oss. For de personopplysninger som vi behandler som behandlingsansvarlig er oppbevaring og sletting omtalt ovenfor under punktet om «Personopplysninger som behandles».

Rettigheter til de registrerte

Fysiske personer vi behandler personopplysninger om (som kalles «registrerte») har rettigheter knyttet til CCBs behandling av personopplysninger. Alle rettighetene nedenfor kan du benytte deg av om du kontakter oss på kontaktopplysningene som er tatt inn til slutt i denne personvernpolicyen.

Innsyn 

Som registrert kan du kreve å få innsyn i behandlingen vi har av dine personopplysninger. Dette innebærer at du skal få vite om vi behandler personopplysninger om deg dersom du kontakter oss.  

Om du ønsker det, vil du få vite hvilken behandling vi har av dine personopplysninger. Du vil imidlertid finne en oversikt over vår behandling på denne personvernerklæringen.  

Dersom du krever det, vil du også få en kopi av de personopplysninger vi behandler om deg. Vi vil kunne be deg om å spesifisere hvilke opplysninger du ønsker kopi av, for å gjøre utleveringen enklere for oss. Ved utlevering av kopi av dine personopplysninger vil vi kunne kreve at du identifiserer deg, for at vi skal sikre at vi ikke utleverer personopplysninger til uvedkommende. Opplysningene om deg vil bli oversendt i digital form med mindre du ber om å få dem overført på annen måte.  

Korrigering 

Du har rett til å få rettet personopplysninger vi behandler om deg dersom personopplysningene viser seg å ikke være korrekte.  

Sletting  

Viser det seg at vi har personopplysninger om deg som vi skulle ha slettet, så kan du kreve å få dem slettet. Er det personopplysninger som er nødvendig for oss å behandle, så har du imidlertid ikke rett til å kreve opplysningene slettet. Vi vil da slette opplysningene så snart behandlingen ikke lenger er nødvendig.  

Brudd på personvernet 

Opplever du brudd på personvernet fra vår side, ber vi deg kontakt oss på kontaktopplysningene til slutt i denne personvernpolicyen. Du kan også kontakte Datatilsynet, se nedenfor, men vi ber det om å kontakte oss i tillegg, slik at vi kan få iverksatt nødvendige tiltak så snart som mulig.  

Personvernmyndighet

Dersom du mener at vår behandling av personopplysninger bryter med disse reglene eller personvernlovgivningen, herunder personopplysningsloven eller personvernforordningen (GDPR), så kan du også klage til Datatilsynet. Du finner informasjon om hvordan kontakte Datatilsynet på Datatilsynets nettsider: www.datatilsynet.no.

Endringer av personvernerklæringen

Vi vil til tider kunne ha behov for å endre denne personvernerklæringen, som når det skjer endringer i vår behandling av personopplysninger, eller det skjer endring i regelverket som nødvendiggjør endringer. Den til enhver tid oppdaterte personvernerklæring vil finnes på adressen for denne siden, og dersom vi har registrert dine personopplysninger og finner at endringene har betydning for deg, vil vi varsle deg om endringene på epost eller SMS.

Kontakt

Om du ønsker å benytte deg av dine rettigheter, eller kontakte oss av andre grunner knyttet til behandling av personopplysninger, så kan ta kontakt på kontakt@ccb.no.